Intervista a Iozzo, l'hacker che ha violato l'iPhone: "Linux e l'oss così come sono resteranno roba da smanettoni"

Pubblicato: 18 giu 2010 da sigul

Ho intervistato Vincenzo Iozzo, il 21enne italiano che al contest internazionale fra hacker ha violato l’iPhone, perché pensavo fosse un genio di Linux e dell’open source.

E invece, Iozzo mi ha stupito perché ritiene queste nostre passioni “roba da smanettoni”. Senza offesa, certo: la sua tesi è che senza aziende che li promuovono alle spalle questi software non saranno mai al top. E punta il dito contro la gestione del kernel da parte di Torvalds.

Ma partiamo dalla cosa che ti fatto celebrare dalla stampa nostrana. Al Pwn2own a marzo hai violato l’iPhone in 20 secondi: come hai fatto?

Il processo di sviluppo dell’attacco in realtà è durato due settimane, ma l’attacco in sé è stato efficace dopo 20 secondi dal lancio. Abbiamo studiato il browser dell’iPhone, abbiamo trovato una vulnerabilità e abbiamo scritto del codice che ci permettesse di accedere al database degli sms.

Hai in mente un jailbreak su iPad o iPhone 4?
No. Ci sono già persone qualificate a farlo (l’iPhone dev team) e poi è un po’ distante dai miei interessi. Il processo che porta al jailbreaking è oramai abbastanza standardizzato.

Ma cos’è cambiato in tre mesi?
L’iPhone è stata una sfida intellettuale. L’anno scorso al Pwn2own nessuno era riuscito a portare a termine l’attacco contro l’iPhone. Così con un collega abbiamo voluto dimostrare che gli attacchi sono possibili come su qualunque altro sistema.

Un anno fa avevi segnalato una vulnerabilità di Mac Os X. Insomma, la tua guerra aperta con l’Apple è finita?
Ma no, ho un ottimo rapporto col loro team sicurezza. Come per l’iPhone anche per Mac OS X circola(va) una falsa percezione di sicurezza e volevo dimostrare che in realtà “safety” non significa per forza “security”.

Ecco appunto. Apple sotto assedio, Microsoft abbandonata anche da Google: è il momento di Linux? Tu che usi?
Io uso Mac OS X e Windows 7 principalmente, ogni tanto mi capita di usare Linux. Direi che non è il momento di Linux e non lo sarmai perché per essere funzionale un sistema operativo necessità di un’azienda alle spalle, con dei processi produttivi, delle deadline e quant’altro. Linux va bene per gli smanettoni, ma non per gli utenti normali

Be’, ma scusa: vuoi dire che il progetto di Shuttleworth di portare Ubuntu nei desktop della gente comune è una battaglia persa in partenza?
No, ma Ubuntu non è Linux. Ubuntu è una buona distribuzione, ma il problema è alla radice: lo sviluppo del kernel gestito con regole draconiane da Linus Torvalds. Finché il core del sistema operativo verrà gestito in questo modo non “professionale” secondo me Linux non potrà mai fare il salto.

Utilizzare software open source secondo te può aiutare direttamente o indirettamente a rendere più sicuri i sistemi informatici?
Credo che sia difficile dirlo. C’un interessante articolo dell’università di Dresden, “The Mathematics of Obscurity: On the Trustworthiness of Open Source” che affronta il tema. I risultati in generale dimostrano che i software open source hanno meno backdoor nel loro codice ma la presenza di vulnerabilità è comunque alta.

Quali sono quindi i tuoi strumenti da hacker?
Uso un disassembler che si chiama IDA Pro, dei software sviluppati dall’azienda per cui lavoro che si chiamano BinNavi e BinDiff, diversi debugger e degli script che scrivo io quando necessario. L’unico open source che uso gdb.

C’un motivo per cui non usi programmi open source? Intendo, il mondo open source è ricco di strumenti per l’hacking, secondo te non sono validi?
Il tipo di lavoro che faccio si basa sul reverse engineering (ovvero partendo da un eseguibile/binario cercare di capire cosa fa e come si comporta) per questo tipo di lavoro i tool opensource sono limitati e in generale molto poco efficaci.

Quali sono i tuoi progetti per il futuro?
Da una parte la ricerca puramente di sicurezza. Ci sono molti aspetti nella creazione di attacchi che ancora non sono ben studiati. A Las Vegas quest’estate ne approfondiremo uno (ovvero la creazione di payload). In seguito vorrei approfondirne un altro, ovvero dei metodi migliori di ricerca di vulnerabilità su i target più disparati. Dall’altra a breve lancerò insieme a un collega un servizio di tutela di privacy su internet.

Senti, una cosa di cui si parla tanto oggi, ma soprattuto in chiave futura, è il cloud computing. Si parla però sempre tanto di sicurezza on line, il cloud computing non aumenterà i rischi?
Sì decisamente. Mi aspetto che dopo qualche disastro nella sicurezza si raggiungerà un punto critico. Allora la sicurezza diventerà quasi “di serie” e la gente userà gli strumenti informatici con molta meno leggerezza.

Secondo te oggi la gente non lo fa?
Non “di serie”. Prendiamo a esempio le auto. I sistemi di sicurezza a cui siamo abituati, come abs, airbag etc, sono stati adottati solo di recente. La stessa cosa accade con Internet: per ora siamo ancora nel boom quindi nessuno si preoccupare realmente degli effetti collaterali che questo può causare alla nostra privacy e ai nostri dati. Pian piano mi aspetto che questa percezione nelle persone cambi e che di conseguenza il mercato richiederà più sicurezza.

Cosa dovrebbe fare un utente medio di computer per mettere al sicuro i propri dati?
Usare dei software di cifratura come PGP o l’alternativa open source GPG, aggiornare sempre il proprio sistema operativo e il proprio software e stare attenti a non incappare nelle truffe online con un occhio attento non difficile capire quali sono (non credereste mai ad una persona per strada che vi chiede il bancomat a nome della vostra banca perchdovreste farlo su internet?)

(2 Voti | Media: 1 su 5)

78 commenti

Gallerie Correlate

Commenti dei lettori

(Inserisci un commento - Nascondi commenti anonimi)

cadona
18 giu 2010 - 16:14 - #51

0 punti

L’articolo non spiega come è avvenuto l’attacco. Facendo un pò di ricerche vien fuori che (in buona sostanza) questo attacco non è che l’ennesima applicazione del tipico attacco a stack su cui vengono salvate istruzioni da far eseguire al processore (Return-to-libc).
Sia ben chiaro: non è una cosina da poco eseguire un attacco del genere, occorre essere programmatori di buon livello, avere dimestichezza dell’assembler e del processore su cui si lavora.

Ma è un attacco da manuale, descritto su ogni guida di sicurezza per il programmatore Unix a livello macchina e ci sono moltissimi esempi ben commentati fatti per (indovinate un pò, rulli di tamburi) ambienti Linux Debian Like.

In particolare:

- il ragazzo è stato bravo, l’amico ricercatore anche (http://www.funkyspacemonkey.com/pwn2own-iphone-3gs-hacked-minutes-event-started)
- il ragazzo sta usando una tecnica di attacco ben consolidata, è uno script kiddy evoluto
- sta lurkando informazioni che girano da anni… in “ambiente Linux”
- dimostra che il processore ed il sistema su cui lavora ifon “bucato” non sono il massimo della modernità.

GLi altri discorsoni sulla sicurezza devono essere attenuati considerando un fattore proprozionale all’età: 21 anni.
kagir
18 giu 2010 - 16:19 - #52

0 punti

Che strano! Eppure avrei giurato che IBM finanziasse e facesse opera di diffusione di Linux.
hiroki
18 giu 2010 - 16:34 - #53

1 punto

la solita guerra tra OS..
le solite catalogazioni..
chi si sente migliore di qualcun altro solo per quel che utilizza..e non si limita a crogiolarsi nel suo “orgoglio” ma ha bisogno di manifestarlo con offese gratuite a chi vuol dipingere come “fesso”.

non penso che la mia intelligenza o cultura sia merito dell’OS che utilizzo, nè tantomeno mi permetto di giudicare qualcuno sulle basi della scelta (condivisibile o meno) che compie.
Vincenzo Iozzo
18 giu 2010 - 17:01 - #54

0 punti

Ogni tanto mi capita anche di vedere la Madonna…
ma non lo dico perché ho paura di esser scambiato per Giovanna d’Arco.
smaramba
18 giu 2010 - 17:02 - #55

-1 punto

“Linux e l’oss così come sono resteranno roba da smanettoni”
ah bè, se lo dice lui…
ma a parte violare l’iphone, cos’altro ha fatto? insomma, chi è?
hiroki
18 giu 2010 - 17:06 - #56

1 punto

ci tengo a precisare che la mia non è una critica all’intervistato, ma ad alcuni commenti e a chi ha scritto l’articolo che ha optato per una frase abbastanza infelice…

“perché pensavo fosse un genio di Linux e dell’open source”
Fono
18 giu 2010 - 17:08 - #57

0 punti

HHahahah Un altro sconvolto su libro paga di Microsoft per denigrare GNU/Linux
che alla fine si vanta di aver violato un giocattolino per viziati di gadget high tech, neanche avvesse violato un puro GNU/Linux O.S!!!
markk0
18 giu 2010 - 17:32 - #58

0 punti

questo non è, come qualcuno ha affermato, l’Aranzulla del 2010.
questo è un clone di Dovella!
PD
18 giu 2010 - 18:07 - #59

0 punti

La critica a Torvalds se la poteva davvero risparmiare. Totalmente senza senso.

Ne ho conosciuti diversi di questi hacker, ignorantelli senza qualche rotella, presi a lavorare per qualche azienda sconosciuta per testare soluzioni di sicurezza come fossero dei “cani da fiuto”, sfruttando le loro caratteristiche di “smanettoni”.

Si, perché i veri smanettoni che non hanno nient’altro da fare sono proprio loro, mentre i loro coetanei si laureano e trovano lavori ben più seri nel campo dell’informatica.
PD
18 giu 2010 - 18:09 - #60

0 punti

…e colgo l’occasione per quotare smaramba (#55)
Fono
18 giu 2010 - 18:37 - #61

0 punti

PD (@59) Hai dimenticato dire una cosa, che che i coetanei del tipo alla sua età visto la bella stagione sono al mare a sfrigolare ragazze e godersi il fresco invece di buttare tempo e notti chiusi fra quattro pareti di una stanzetta ed incollati da vanti ad un pc. …..che rimpianti avranno un giorno.
lucasa
18 giu 2010 - 23:28 - #62

0 punti

Questo succede quando una persona parla di cose che non conosce… solo perché sa qualcosa di un campo.
lucasa
18 giu 2010 - 23:29 - #63

0 punti

“La roba per smanettoni” poi è una perla di ignoranza totale e tombale sull’argomento.
Novi10
18 giu 2010 - 23:48 - #64

0 punti

PD: una volta, fino a pochissimi anni fa, la parola hacker aveva tutt’altro significato e nessuno (a parte gli incoscienti) si sarebbe mai permesso di chiamare hacker un personaggio simile.
Novi10
18 giu 2010 - 23:50 - #65

0 punti

Comunque: intervista a parte, sono l’unico ad aver notato errori grammaticali e di battitura grossi come delle case? Ma rileggerli gli articoli mai, eh? Ah ma qui siamo su ossblog dove la lingua italiana non attecchisce…
non hacker
19 giu 2010 - 00:29 - #66

0 punti

bla bla bla e poi bla….. ma smettetela, vi farei ritornare tutti a programmare in assembler per 6510 e poi vediamo chi sa fare cosa!!!! altro che smanettoni!
Blog download
19 giu 2010 - 00:39 - #67

0 punti

Ottimo articolo.. Grazie mille… ;)
Perplesso
19 giu 2010 - 03:52 - #68

0 punti

Hacking is not Cracking…

@20 magari sCuola con la C … se parli di costi dell’istruzione abbi il buon senso di dimostrare di averla.
alambicco
19 giu 2010 - 12:24 - #69

0 punti

Vorrei vedere voi cosa siete capaci di fare, lui intanto ci ha messo la faccia e ha fatto qualcosa, certo è che se non fai nulla non ti sbagli … a parole sono tutti bravi poi nei fatti … mi fate pena nei commenti.
Anonimo Codardo
19 giu 2010 - 15:01 - #70

0 punti

Complimenti all’autore per il suo terribile modo di esprimersi: alla faccia dei blogger professionisti.

Nota a margine: se cercate un buon blog su Linux ed open source, date un occhio a www.oneopensource.it
ilPestifero
19 giu 2010 - 15:38 - #71

0 punti

Complimenti a segnale007 per la sua pacatezza, direi che tutti gli appassionati di Free Software ed Open Source debbano prendere esempio da lui. :D

Nel frattempo, prima di dire cosa, come e quando riguardo al kernel Linux, che come detto da molti “fanatici” del Free Software e dell’Open Source non è Ubuntu, Debian, Fedora etc., una lettura almeno a questo paper [ http://www.linuxfoundation.org/publications/whowriteslinux.pdf ] della Linux Foundation sfaterebbe molti falsi miti (FUD lo chiamano i sopradetti “fanatici”).
Raziel85
19 giu 2010 - 15:55 - #72

0 punti

Sarà anche roba per smanettoni, ma in ambito scientifico Linux domina (aggiungerei di brutto!), nella mia Uni (Ingegneria) si usa solo Linux, il CERN funziona grazie a Linux, in Francia strausano linux, negli Stati Uniti chi fa ricerca seria usa Linux, chi ha bisogno di stabilità, possibilità di personalizzare il sistema per renderlo il più possibile adatto alle proprie esigenze, usa Linux.
Relativamente alle aziende, Canonical, Red Hat, Novell, Google (android) e IBM sono forse nomi di poco conto?

P.S.
Ho scritto Linux perchè spesso la distribuzione usata è diversa.
Railegh
19 giu 2010 - 19:33 - #73

0 punti

Non ho niente contro Iozzo, non lo conosco ma se si è messo in luce mi sorge il sospetto che qualche capacità l’avrà, premesso questo, il preambolo dell’articolo è erroneo “E’ un Hacker dunque amerà l’open source” , questo parallelismo mi sembra molto stupido, un Hacker può amare anche Windows e tutti gli strumenti proprietari siano essi acquisiti pagando o rubando, questo romanticismo hacker=Linux mi sembra del tutto fuoriluogo.
Per altro vorrei argomentare con Iozzo e con voi cari amici un paio di cose:

1) Ubuntu è anche Linux : Finiamola con lo snobbismo delle distribuzioni + o - professionali, sia Slackware o Gentoo o Debian o Ubuntu o SuSè o Pardus ; il Kernel è comunque Linux , dunque le distribuzioni sono tutti rami di uno stesso albero.

2) Linux non ha tutto d’orato: è vero che linux trascura molte cose e che alcune sono fatte un tantinello male, basta leggere un interessante articolo su XServer per rendersi conto che non è tutto oro ciò che luccica, ma è pur vero che non è tanto facile sviluppare un sistema operativo omnicomprensivo per altro senza un indirizzo preciso (ricordiamoci la spaventosa polemica nata da quanto Shuttlework ha iniziato a dare delle direttive di sviluppo).

3) Il concetto di sviluppo del Kernel Draconiano: credo che sia più corretto parlare di “sviluppo guidato” e non è una cosa negativa a priori, se non si segue nessuna direzione specifica si rischia di non andare da nessuna parte.

4) Linux non va bene per tutti: questo è proprio vero, io uso Linux da oramai 2 anni a livello professionale ed in ambito privato, ebbene, non mi sento di consigliarlo ai miei conoscenti, parenti ed amici : l’utente medio non riesce a concepire un uso del computer così complesso, oramai il computer è diventato un qualcosa alla stregua di un frullatore: Se devi usare il frullatore non ti serve il tester ed il cercafase, non devi conoscere la modulazione di frequenza del motore elettrico, la quantità di ampere che il suo circuito consuma e quanto incide sul carico del sistema elettrico di casa tua, per usare un frullatore ti limiti a schicciare un pulsante punto e basta, purtroppo (o perfortuna) Linux senza linea di comando è solo una pura illusione pensiamo ad Ubuntu che è la distribuzione più facile di tutte; o vuoi o non vuoi prima o poi dovrai utilizzare la linea di comando se vuoi spingerti un po oltre l’utilizzo “banale”, e la gente che in materia informatica è più ignorante oggi di quanto non lo fosse 10 anni fa, non è disposta a mettersi ad imparare cose che per altro risultano astruse ai loro occhi. Ergo Linux non va bene per tutti.
pizzuco
19 giu 2010 - 21:39 - #74

0 punti

Nota laterale.

Oltre Octvave (http://www.gnu.org/software/octave/), ci sono anche Scilab (http://www.scilab.org/, anche win64 a chi dovesse interessare) ed R-Lab Plus (http://rlabplus.sourceforge.net/).

Prima di usare MatLab (magari per le sue librerie applicative commerciali), provate ad usare Scilab (e le molte sue librerie libere) e visitate anche la pagina dei MatLab “clones”, http://www.dspguru.com/dsp/links/matlab-clones

Spero di essere stato d’aiuto. ;-)
aytin
20 giu 2010 - 11:37 - #75

0 punti

“e DALL’ORA visto che é tutto gratis ( si perché molti di voi ignorantoni confondono l’open source col free software )”

Da che pulpito…

Il mondo gnu/linux è molto, molto complesso (e pieno di passione per fortuna). Non si può mica inscatolare con due parole come ha fatto questo tipo senza meravigliarsi che esca gente con la baionetta fra i denti.

Digerito male? Relax.
killduke
20 giu 2010 - 15:53 - #76

0 punti

Non mi spreco neanche a leggere tutta l’intervista. Mi sembra anche a me solo un invasato e a buoni conti se uno vuole azzardare qualche ipotesi cattivella sarà anche un venduto di queste aziende che fa l’hacker per mettere alla prova i loro sistemi di sicurezza…non merita attenzione…
zomg
20 giu 2010 - 19:46 - #77

0 punti

LOL quanto butthurt in questi commenti
lordchaotic
03 lug 2010 - 02:48 - #78

0 punti

Mah sarà ma mia opinone è che come usabilità ubutu e compani sonoanni luce da windows e mac os. Ho provato proprio l’ultimo ubuntu 10 ed è complicato da usare e molto poco intuitivo, indi per questo non si diffonderà. Poi per le cose piu tecniche se è colpa del kernel non so, ma sul lato pratico ubuntu è difficile da usare, ed è questo che al’utente medio interessa