Błędy w swoich programach znajdziecie sami. Pokażę jak

Charlie Miller, trzykrotny zwycięzca hakerskiego konkursu Pwn2Own zapowiedział, że nie przekaże producentom złamanych przez niego programów informacji o znalezionych lukach. W zamian poinformuje przedstawicieli Adobe'a, Microsoftu i Apple'a jak je wykryć.

Miller stwierdził, że jest rozczarowany podejściem firm do kwestii bezpieczeństwa w tworzonych przez nie aplikacjach.

"Znajdujemy błąd. Oni go łatają. Znajdujemy następny błąd. Znowu go łatają. Takie postępowanie nie poprawia bezpieczeństwa produktu" powiedział Miller.

Miller napisał proste narzędzie, które automatycznie wyszukuje luki bezpieczeństwa w aplikacjach. Stosowana metoda znana jest jako fuzzing i polega na wprowadzaniu do aplikacji różnych wadliwych danych i obserwowaniu reakcji aplikacji. Za pomocą swojego programu Miller szybko odkrył 20 błędów w Safari i samym systemie Mac OS X 10.6. Narzędziu nie oparł się też Power Point, PDF Viewer Adobe'a a także pakiet biurowy OpenOffice.org.

Miller odniósł się też do krytyki, jak spotyka go za nieprzekazywanie informacji na temat znalezionych luk bezpieczeństwa producentom złamanych przez niego aplikacji.

"Więcej sensu ma nie mówienie o tym" twierdzi Miller. "To, co mogę zrobić to powiedzieć im, by znaleźli błędy i by zrobili to, co sam zrobiłem. Może wówczas częściej będą stosować fuzzing." dodał. Miller ma nadzieję, że swoim postępowaniem wywrze presję na programistach tworzących produkty z lukami bezpieczeństwa, by więcej uwagi poświęcali zagadnieniom bezpieczeństwa.

Millera szczególnie zirytowało to, w jak prosty sposób znalazł błędy. Jego zdaniem nie wymagało to specjalnych zabiegów. "Postąpiłem szablonowo, a pomimo to znalazłem błędy" - powiedział.

O sposobie znalezienia 20 luk Miller ma opowiedzieć na specjalnej konferencji towarzyszącej Pwn2Own.

Miller jest specjalistą od łamania Safari. W 2008 i w 2009 r. we wcześniejszych edycjach konkursu hakerskiego Pwn2Own włamał się do przeglądarki Apple'a. W tym roku udało mu się to zrobić po raz trzeci. W nagrodę otrzymał notebook, 10 tys. dolarów i bilet na konferencję DefCon w Las Vegas, która odbędzie się latem tego roku.