Sicurezza IT: intervista a Charlie Miller

di Tullio Matteo Fanti

scritto il

oneITSecurity ha realizzato un'intervista esclusiva a Charlie Miller, uno dei più famosi "bug hunter" in circolazione, facendo il punto sulle minacce alla sicurezza browser e sistemi operativi

Charlie Miller, uno dei più famosi bug hunter oggi in circolazione, ha rilasciato una intervista esclusiva a oneITSecurity, condividendo il suo punto di vista su sicurezza IT, browser e sistemi operativi.

Al centro dell’intervista, un interessante confronto tra piattaforme in termini di sicurezza: Windows 7, Snow Leopard e Linux.

Secondo Miller, Windows 7 è più sicuro, perché implementa la ASLR (Address Space Layout Randomization).

Il nuovo OS Microsoft avrebbe quindi una “superficie” d’attacco più ristretta (ad esempio, niente Java o Flash di default). Solitamente, Windows era il più difficile da bucare, anche per la funzione DEP (Data Execution Prevention);, per quanto di recente è stato mostrato come aggirare queste protezioni.

Linux, dal canto suo, non sarebbe secondo Miller più difficile da violare rispetto a Windows e Mac OS X, anzi, probabilmente sarebbe addirittura più semplice da hackerare, sebbene questo dipenda da quale variante di Linux si vuol prendere in considerazione.

Linux non sarebbe quindi nel mirino degli hacker, semplicemente perché non ci sono abbastanza utenti che lo usano sui propri sistemi dekstop. Inoltre, le vulnerabilità sono spesso e volentieri insite nei browser, che girano sia sotto Linux che Windows.

Alla domanda «qual è la combinazione sistema operativo+browser più sicura da usare?», Miller risponde: Chrome o IE8 su Windows 7 senza Flash installato. Probabilmente non ci sono differenze sufficienti tra i browser per discuterne più di tanto; la cosa principale è non installare Flash.

Ricordiamo che Miller ha vinto per due anni consecutivi il “Pwn2Own security contest” bucando Safari su Mac OS X, che a detta sua sarebbe pieno di bug. Quest’anno ci riprova col browser Apple, dopo aver violato anche iPhone e un device con Android.