Intervista a Iozzo, l'hacker che ha violato l'iPhone: "Linux e l'oss così come sono resteranno roba da smanettoni"
Ho intervistato Vincenzo Iozzo, il 21enne italiano che al contest internazionale fra hacker ha violato l’iPhone, perché pensavo fosse un genio di Linux e dell’open source.
E invece, Iozzo mi ha stupito perché ritiene queste nostre passioni “roba da smanettoni”. Senza offesa, certo: la sua tesi è che senza aziende che li promuovono alle spalle questi software non saranno mai al top. E punta il dito contro la gestione del kernel da parte di Torvalds.
Ma partiamo dalla cosa che ti fatto celebrare dalla stampa nostrana. Al Pwn2own a marzo hai violato l’iPhone in 20 secondi: come hai fatto?Il processo di sviluppo dell’attacco in realtà è durato due settimane, ma l’attacco in sé è stato efficace dopo 20 secondi dal lancio. Abbiamo studiato il browser dell’iPhone, abbiamo trovato una vulnerabilità e abbiamo scritto del codice che ci permettesse di accedere al database degli sms.
Hai in mente un jailbreak su iPad o iPhone 4?No. Ci sono già persone qualificate a farlo (l’iPhone dev team) e poi è un po’ distante dai miei interessi. Il processo che porta al jailbreaking è oramai abbastanza standardizzato.
Ma cos’è cambiato in tre mesi?L’iPhone è stata una sfida intellettuale. L’anno scorso al Pwn2own nessuno era riuscito a portare a termine l’attacco contro l’iPhone. Così con un collega abbiamo voluto dimostrare che gli attacchi sono possibili come su qualunque altro sistema.
Un anno fa avevi segnalato una vulnerabilità di Mac Os X. Insomma, la tua guerra aperta con l’Apple è finita?Ma no, ho un ottimo rapporto col loro team sicurezza. Come per l’iPhone anche per Mac OS X circola(va) una falsa percezione di sicurezza e volevo dimostrare che in realtà “safety” non significa per forza “security”.
Ecco appunto. Apple sotto assedio, Microsoft abbandonata anche da Google: è il momento di Linux? Tu che usi? Io uso Mac OS X e Windows 7 principalmente, ogni tanto mi capita di usare Linux. Direi che non è il momento di Linux e non lo sarmai perché per essere funzionale un sistema operativo necessità di un’azienda alle spalle, con dei processi produttivi, delle deadline e quant’altro. Linux va bene per gli smanettoni, ma non per gli utenti normali
Be’, ma scusa: vuoi dire che il progetto di Shuttleworth di portare Ubuntu nei desktop della gente comune è una battaglia persa in partenza?No, ma Ubuntu non è Linux. Ubuntu è una buona distribuzione, ma il problema è alla radice: lo sviluppo del kernel gestito con regole draconiane da Linus Torvalds. Finché il core del sistema operativo verrà gestito in questo modo non “professionale” secondo me Linux non potrà mai fare il salto.
Utilizzare software open source secondo te può aiutare direttamente o indirettamente a rendere più sicuri i sistemi informatici? Credo che sia difficile dirlo. C’un interessante articolo dell’università di Dresden, “The Mathematics of Obscurity: On the Trustworthiness of Open Source” che affronta il tema. I risultati in generale dimostrano che i software open source hanno meno backdoor nel loro codice ma la presenza di vulnerabilità è comunque alta.
Quali sono quindi i tuoi strumenti da hacker?Uso un disassembler che si chiama IDA Pro, dei software sviluppati dall’azienda per cui lavoro che si chiamano BinNavi e BinDiff, diversi debugger e degli script che scrivo io quando necessario. L’unico open source che uso gdb.
C’un motivo per cui non usi programmi open source? Intendo, il mondo open source è ricco di strumenti per l’hacking, secondo te non sono validi?Il tipo di lavoro che faccio si basa sul reverse engineering (ovvero partendo da un eseguibile/binario cercare di capire cosa fa e come si comporta) per questo tipo di lavoro i tool opensource sono limitati e in generale molto poco efficaci.
Quali sono i tuoi progetti per il futuro?Da una parte la ricerca puramente di sicurezza. Ci sono molti aspetti nella creazione di attacchi che ancora non sono ben studiati. A Las Vegas quest’estate ne approfondiremo uno (ovvero la creazione di payload). In seguito vorrei approfondirne un altro, ovvero dei metodi migliori di ricerca di vulnerabilità su i target più disparati. Dall’altra a breve lancerò insieme a un collega un servizio di tutela di privacy su internet.
Senti, una cosa di cui si parla tanto oggi, ma soprattuto in chiave futura, è il cloud computing. Si parla però sempre tanto di sicurezza on line, il cloud computing non aumenterà i rischi?Sì decisamente. Mi aspetto che dopo qualche disastro nella sicurezza si raggiungerà un punto critico. Allora la sicurezza diventerà quasi “di serie” e la gente userà gli strumenti informatici con molta meno leggerezza.
Secondo te oggi la gente non lo fa?Non “di serie”. Prendiamo a esempio le auto. I sistemi di sicurezza a cui siamo abituati, come abs, airbag etc, sono stati adottati solo di recente. La stessa cosa accade con Internet: per ora siamo ancora nel boom quindi nessuno si preoccupare realmente degli effetti collaterali che questo può causare alla nostra privacy e ai nostri dati. Pian piano mi aspetto che questa percezione nelle persone cambi e che di conseguenza il mercato richiederà più sicurezza.
Cosa dovrebbe fare un utente medio di computer per mettere al sicuro i propri dati? Usare dei software di cifratura come PGP o l’alternativa open source GPG, aggiornare sempre il proprio sistema operativo e il proprio software e stare attenti a non incappare nelle truffe online con un occhio attento non difficile capire quali sono (non credereste mai ad una persona per strada che vi chiede il bancomat a nome della vostra banca perchdovreste farlo su internet?)