Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
tehnologija<br />
MacHacker ponovno jaše<br />
Charlie Miller javno potkopava Appleove tvrdnje o sigurnosti, provaljujući u<br />
Macove i iPhone. Pravi špijuni rade to isto, samo potajno / Andy Greenberg<br />
Charlie A. Miller jako voli svoj<br />
MacBook Pro laptop, baš<br />
kao i svoja preostala četiri<br />
Apple računala, svoj novi iPhone<br />
kojim se svakodnevno<br />
služi i dva starija na kojima eksperimentira.<br />
No njegov odnos s kompanijom<br />
koja je proizvela te njegove ljubimce<br />
nešto je složeniji. U ožujku je, recimo,<br />
taj 26-godišnji stručnjak za sigurnost<br />
objavio kako je otkrio 20 nesigurnih<br />
mjesta u Appleovom softveru. Svako od<br />
njih moglo bi poslužiti cyber kriminalcu<br />
da preuzme kompjutor korisnika koji je<br />
na prijevaru otvorio neki PDF priložen<br />
uz e-poruku ili jednostavno posjetio inficiranu<br />
web-stranicu koristeći preglednik<br />
Safari.<br />
Toliki ulov bugova rekord je čak<br />
i za Millera, koji je u posljednje četiri<br />
godine postao najistaknutiji haker Macova<br />
na svijetu, a možda i dokaz da<br />
Appleovi uređaji nisu potpuno sigurni<br />
za upotrebu odmah nakon što ih raspakirate,<br />
kako to tvrtka godinama tvrdi.<br />
“Kad sam tek počeo govoriti da su Macovi<br />
nesigurniji od Windowsa, svi su me<br />
smatrali budalom”, kaže Miller. “Zato sam morao stalno iznova<br />
dokazivati svoju tvrdnju.”<br />
Miller je 2007. prvi hakirao iPhone. Služeći se propustom u<br />
Safariju, izvana je preuzeo kontrolu nad ne baš jako pametnim<br />
telefonom. Šest mjeseci potom, na natjecanju u Vancouveru<br />
haknuo je MacBook Air za samo dvije minute. Prošlog je ljeta<br />
otkrio metodu kojom je ubacio virus u iPhone: poslužio se tekstovnim<br />
porukama poslanim preko liste kontakata. Ne želi se,<br />
kaže, praviti važan tim svojim uspjehom, a ni metodama većinu<br />
kojih je naučio radeći pet godina za NSA kao analitičar uporabe<br />
globalnih mreža. Želi samo pokazati kako je lako pronaći slaba<br />
mjesta u softverima koji su u najširoj uporabi. Tehnika kojom<br />
pronalazi rupe u PDF i PowerPoint programima poznata je kao<br />
“dumb fuzzing”. Jednostavnim algoritmom od pet redaka Miller<br />
opetovano mijenja male, nasumce odabrane djeliće dokumenata<br />
i svaki put provjerava je li izmijenjeni dokument srušio aplikaciju.<br />
Cijeli postupak provodi upornije nego većina hakera: pušta<br />
Vještine stečene u NSA Miller je<br />
primijenio na Appleov šupljikavi<br />
sigurnosni sustav<br />
Prvi je hakirao iPhone i Mac<br />
Book Air. Ubacio je virus<br />
u iPhone. Tvrtka u kojoj je<br />
zaposlen zarađuje milijune<br />
na provjeri softvera<br />
da fuzz program ubacuje bezvrijedne<br />
informacije na ciljana mjesta puna tri<br />
tjedna prije nego što krene u prikupljanje<br />
podataka o propustima u testiranom<br />
programu.<br />
Rezultati nisu pohvalni za Apple:<br />
20 bugova u Preview aplikaciji - a svi<br />
se odnose i na Safari - prema svega tričetiri<br />
u Adobe Readeru i Microsoftovom<br />
PowerPointu. “Nevjerojatno je da Apple<br />
nije sam obavio ovakvu provjeru. Jedina<br />
vještina koju sam ovdje primijenio bilo je<br />
strpljenje”, kaže Miller. Iz tvrtke to nisu<br />
htjeli komentirati. No Apple se već dugo<br />
brani tvrdnjom kako su njegovi kompjutori,<br />
premda nesigurni, još uvijek sigurniji<br />
od drugih osobnih računala. Argument:<br />
lopovi ne gube vrijeme s Macovima jer su<br />
im, sa samo osam posto udjela na tržištu<br />
SAD-a, neisplativa meta.<br />
Ipak, i Macovi se hakiraju. Rizik da se<br />
cyber špijuni ustreme na patente, izvorne<br />
kodove i druge vrlo specifične podatke<br />
nesumnjivo postoji, što znači da je tržišni<br />
udjel samo dio jednadžbe. Adriel Desautels,<br />
šef tvrtke za kibernetičku zaštitu<br />
Snosoft, trguje na rastućem sivom tržištu<br />
podacima o propustima u softveru. Potražnja za bugovima za<br />
Appleove programe, kaže, postojano raste. Za pravu informaciju<br />
o propustu u Macovoj zaštiti Desautels je spreman potrošiti od<br />
15 tisuća pa sve do 115 tisuća dolara. O svojim klijentima ne želi<br />
govoriti, no tvrdi da ih provjerava kako mu se ne bi dogodilo da<br />
informaciju o ranjivosti računalnih sustava proda kriminalcu:<br />
“Ponekad kupac traži točno odrađenu vrstu buga za Mac.”<br />
I Miller je prodavao bugove. Pošto je 2005. napustio NSA,<br />
vladinoj je agenciji za 50 tisuća dolara ustupio podatke o propustima<br />
u Linuxu. “Mislim da se može reći kako onaj tko plaća<br />
toliku cijenu za bug neće od prodavača tražiti da smisli zakrpu”,<br />
kaže Miller. Zadnjih se godina bavi besplatnim istraživanjima<br />
u javnom interesu, zbog kojih raste sigurnost softvera. Otkako<br />
se 2007. zaposlio u baltimorskoj tvrtki Internet Security Evaluators,<br />
ugovor mu zabranjuje da prodaje bugove za svoj račun.<br />
Ta tvrtka sa 12 zaposlenih zarađuje 2,5 milijuna dolara godišnje<br />
provjeravajući sigurnost softvera osmišljenih po narudžbi.<br />
Foto Stefan Hester za <strong>Forbes</strong><br />
78 F o r b e S svibanj 2010