Hacker wil bugs niet vrijgeven
Charlie Miller, winnaar van de befaamde Pwn2Own-hackwedstrijd, steekt een spreekwoordelijke middelvinger op naar Apple, Microsoft en Adobe. Hij weigert twintig bugs door te geven en wil dat de bedrijven zelf meer werk maken van beveiliging.
Tijdens de wedstrijd slaagde Miller erin om een MacBook Pro met behulp van de Safaribrowser te kraken. Nadien maakte hij aan Computerworld duidelijk dat hij de huidige manier van werken beu is. Zelf omschrijft hij security als een plaat die blijft hangen.
“Wij vinden een bug, zij patchen het. We vinden nog een bug, ze patchen het. Dat verbetert de security niet. Het is wel zo dat (de software) beter wordt, maar ze moeten eigenlijk grote verbeteringen doorvoeren.”
[related_article id=”158256″]
Zelf gebruikt Miller een zogenaamde dumb fuzzer. Een eenvoudig stukje software dat automatisch lekken zoekt door data in te voeren en vervolgens te kijken wat er gebeurt. Hiermee ontdekte hij al snel twintig bugs in Apples besturingssysteem OS X 10.6 (Snow Leopard) en browser Safari, in Microsoft PowerPoint, Adobe Reader en OpenOffice.org.
Maar de hacker weigert dus de ontdekte lekken vrij te geven. Het lijkt hem nuttiger om te demonstreren hoe ze worden gevonden, in de hoop dat de softwaremakers hun methodes om zelf bugs op te sporen verbeteren.