Duelo de Titãs: Vista é mais seguro do que o Mac OS X?

Dino Dai Zovi ficou conhecido por ganhar 10 mil dólares por encontrar uma falha, em menos de 10 horas, no sistema operacional da Apple. O desafio aconteceu em 20 de abril último na conferência de segurança da informação CanSecWest em Vancouver, Canadá.

Leia mais: A Microsoft cumpriu a promessa de um Vista seguro?

Em entrevista por e-mail ao Computerworld EUA, ele afirma que encontrar vulnerabilidades é algo próximo a pescar, comenta a chance de alguém cair em uma brecha sem correção e qual sistema operacional  – Vista ou Mac OS X  – é o mais seguro.

COMPUTERWORLD: Em um dia, foi dito que a vulnerabilidade estava no Safari, mas no dia seguinte se descobriu que era no QuickTime. Qual foi o motivo da confusão?

Dino Zovi: Eu sabia exatamente onde estava a vulnerabilidade quando escrevi o ‘exploit’; isso é parte da pesquisa básica de vulnerabilidade exigida quando se quer uma brecha real. Eu intencionalmente não revelei exatamente onde ela se encontrava para evitar que programadores mal intencionados usassem engenharia reversa para explorá-la. Inicialmente, apenas revelei que a vulnerabilidade afetava o Safari no Mac OS X, o objeto da disputa. Agora, o projeto ZDI da TippingPoint [responsável pelo pagamento dos 10 mil dólares] revelou publicamente que a falha afeta muitas outras configurações, incluindo todos navegadores que tenham Java permitido em Mac OS X e Windows se o QuickTime está instalado.

CW: Você descobriu a vulnerabilidade e criou o ‘exploit’ em 9 horas a 10 horas e disse ‘há sangue na água’. Isso siginifica que você tinha alguma pesquisa anterior sobre o tema ou começou mesmo do zero? Foi tão fácil assim aproveitar a vulnerabilidade?

DZ: Já tinha descoberto outras vulnerabilidades no Mac OS X e mesmo no QuickTime, então já tinha alguma familiaridade com o código. Mas só notei aquela vulnerabilidade naquela noite. O “sangue na água” refere-se ao fato que já houve relatos sobre outras vulnerabilidades no QuickTime e mesmo relacionadas com Java no QuickTime nos últimos anos. Pela minha experiência, se determinado software teve vulnerabilidades no passado, é mais provável que ele contenha outras ainda não descobertas.

Halvar Flake e Dave Aitel, pesquisadores de segurança, usam a metáfora da pescaria para comparar com a busca por vulnerabilidades. Alguns dias você vai e não pega nada, outros vem algo fantástico. Eu suspeitava que teria uma boa pescaria no QuickTime e tive sorte de encontrar algo bom em um curto espaço de tempo.

CW: Como um pesquisador de segurança pode proteger as suas descobertas? Quais são as chances que alguém descubra a vulnerabilidade baseando-se nas limitadas informações que foram a público?

DZ: Mantenho os ‘exploits’ em discos de imagem com criptografia que só são abertos quando necessários. Sou muito conservador em relação aos detalhes que eu partilho e com quem para ter um controle do conhecimento das vulnerabilidades. Com os detalhes que divulguei até agora, acredito que existe uma possibilidade real que alguém crie um exploit para a vulnerabilidade. Mas isso não seria exatamente algo trivial e espero que essa pessoa seja responsável.

CW: Com o debate sobre quem é mais seguro, o que você recomendaria para usuários de Mac como precauções de segurança?

DZ: Recomendo que usuários Mac tenham contas sem privilégios de administrador, que usem senhas fortes e diferentes para password importantes, e armazenem documentos sensíveis em discos separados de imagem com criptografia. Acredito que esses são passos inteligentes para usuários que querem proteger seus computadores.

CW: Quão importante foi o prêmio da TippingPoint de 10 mil dólares?

DZ: Para mim, o desafio – especialmente pelas restrições de tempo – foi o que realmente me motivou. Também esperava que a demonstração ao vivo de um ‘exploit’ do Mac OS X geraria uma extremamente necessária evidência na nos debates sobre segurança do Mac.

CW: Pelas suas pesquisas nas duas plataformas, existe um vencedor em segurança entre o Mac OS X 10.4 e o Vista?

DZ: Descobri que a qualidade do código, pelo menos em termos de segurança, é muito melhor em geral no Visto do que no Mac OS X 10.4. É óbvio ao observar os componentes afetados nas atualizações de segurança que o Ciclo de vida de desenvolvimento de segurança da Microsoft (SDL, da sigla em inglês) resultou em menos vulnerabilidades no código recém-escrito. Espero que outros fornecedores de software sigam a liderança da Microsoft em desenvolver metodologias de desenvolvimento de software mais seguras.