Intervista a Vincenzo Iozzo

Vincenzo Iozzo è un giovane Hacker Italiano che ha visto balzare il suo nome sulla cresta delle cronache informatiche grazie agli ottimi risultati ottenuti nelle due recenti edizioni del Pwn2ow, Wired Italia l’ha recentemente intervistato e mi sembra doveroso riportarvi l’intervista e complimentarmi pubblicamente con Vincenzo. 🙂

Come mai non hai dato la rivincita all’iPhone?
Perché il Blackberry non era mai stato attaccato, mentre l’iOs in gara era il 4.2.1, non molto diverso dal 3.2.1 del 2010. Si poteva violare con la stessa tecnica, cercando un’altra vulnerabilità. Solo con il 4.3 Apple ha preso buone precauzioni.
Di quale delle due imprese sei più soddisfatto?
Del Blackberry, perché con questo non c’è modo di fare debugging, cioè capire cosa sta succedendo al tuo attacco sul dispositivo. Mentre per l’iPhone ci sono vari tool, non è una scatola chiusa.
Quindi il Blackberry è più sicuro?
No, molto meno in termini di contromisure, specialmente nei confronti di iOs 4.3. Solo più oscuro da attaccare.
Cosa ne pensi delle app infette finite recentemente sui dispositivi Android?
Le linee guida di Google sono decisamente meno restrittive rispetto a quelle di Apple per quanto viene inserito nei market ufficiali. In generale i sistemi di sicurezza su iPhone (tipo sandboxing e code signing) sono molto più efficaci di quelli su Android, senza considerare che questo usa di base una versione modifica del kernel Linux, piattaforma più nota agli attaccanti.
C’è da temere un boom di attacchi di questo tipo?
Non per ora. Se parliamo di market ufficiali, al momento non hanno senso perché i costi di ricerca per scrivere del malware sono decisamente inferiori ai ricavi. Le cose sono diverse per gli iPhone jailbroken o repository non ufficiali di Android.
Ci si può fidare a connettersi in un Internet Café?
No, come gli aeroporti sono decisamente i posti più rischiosi. Qui i malintenzionati possono rubare le credenziali a chi naviga su siti che non usano https.
Quali sono i problemi di sicurezza principali per uno smartphone, come ci si protegge?
L’unico modo è fare attenzione alle app che si installano. A parte questo, c’è poco da fare se parliamo di attacchi da remoto. Il modo più facile di bucare uno smartphone resta passare per il browser. Poi molto dipende dall’architettura del telefono, per esempio sul Blackberry è parecchio difficile accedere al database delle email.
Serve un antivirus sullo smartphone?
Al momento no. Magari in futuro.Parlando invece di pc, qual è lo stato di sicurezza dei nostri portatili?
Windows 7 e Mac Os X Lion sono molto più sicuri dei predecessori. Il panorama non è cambiato particolarmente rispetto a un anno fa, anche se si va diffondendo l’uso delle sandbox per proteggere i dati importanti. Certo, si possono by-passare, ma così servono due attacchi. La gente continua a essere poco attenta: il problema viene ancora percepito come remoto e distante, specie in Italia.
Il caso Anonymous avrà strascichi secondo te?
Ha avuto e ne avrà. Al di là della storia di Assange, HB Gary ora è sotto processo dopo che Anonymous ha pubblicato le loro email con cui venivano offerti servizi sporchi. Rispetto a un anno fa dal punto di vista dell’end-user non è cambiato molto, ci sono stati molti più attacchi resi pubblici nei confronti di aziende anche di alto profilo, tutto qui.

Più in generale, che novità hai visto in termini di attacchi al Pwn2own?
È stato molto interessante l’attacco a Internet Explorer, per la complessità: sono state usate tre vulnerabilità insieme. Questo è particolarmente rilevante perché fino a due anni fa potevi ottenere gli stessi risultati sfruttando una sola vulnerabilità.
Che mi dici di Chrome, che si è salvato anche questa volta? è più sicuro degli altri browser?
Ha una sandbox molto funzionante per cui l’attacco sarebbe stato parecchio complicato. Non dico impossibile, ma se l’obiettivo sono i 20.000 dollari tutti scelgono un target diverso. È un po’ più sicuro, sì, non troppo però.

Fonte | Wired Italia