trovato su
http://autistici.org/native/freaks/intervista_a_luigi_auriemma.txt
ciao
pinna
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~ Intervista a Luigi Auriemma ~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Intervistatore: Jacopo Ottaviani
eMail: native@???
Sito: http://autistici.org/native
Intervistato: Luigi Auriemma
eMail: aluigi@???
Sito: http://aluigi.altervista.org
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
// Jacopo:
Ciao Luigi, innanzitutto grazie per aver accettato di rispondere
alle mie domande. Penso che le tue risposte potranno essere spunto
di riflessione a chiunque capiterà di leggere questa intervista.
Aggiungo inoltre che per me è un onore poterti intervistare, visto
che ti seguo da molto tempo e che il tuo account web è praticamente
mirrorato nel mio hard disk :>
Bene, chiusa questa piccola ma dovuta parentesi, passiamo all'intervista
vera e propria...
// Luigi:
Fico 8-)
// Jacopo:
Quando hai cominciato a dedicarti alla sicurezza informatica? E con
quale
approccio? Inoltre, qual'è stato l'evento-scintilla che ti ha spinto ad
avvicinarti al mondo dell'underground e quindi della sicurezza
informatica?
// Luigi:
Nel 2001 avevo trovato un lavoro in cui si era sempre collegati ad
internet
(avevo un 56K allora) e sia per il tipo di lavoro che per i turni di
notte c'era
molto tempo libero cosi' ne approfittai per seguire un po' di piu' le
mailing-list di sicurezza e cercare di capire se per trovare le
vulnerabilita'
nel software bisognava davvero essere degli esperti o dei geni.
La prima od una delle prime cose che testai fu Apache 1.3.15 per
Windows e
provai soltanto a fare diverse richieste consecutive (a mano col
Netcat!)
utilizzando una crescente quantita' di dati fino a che trovai
l'eccezione, ossia
un crash causato da un bug off-by-one.
Cosi' pensai che se era davvero cosi' facile trovare vulnerabilita'
anche senza
avere grosse conoscenze tanto valeva riprovarci una seconda volta,
una terza,
una quarta ... beh io continuo a provare ma penso che forse avevo
ragione.
// Jacopo:
Oggi sei sicuramente uno dei più attivi ricercatori italiani in campo
di sicurezza informatica (soprattutto nel settore videogiochi),
qual'è la
forza che ti spinge ad andare avanti in questa velocità?
// Luigi:
Sono malato di mente penso. Sapere che il tempo che spendo davanti
al PC si
concretizza in materiale che nessun'altro ha trovato o creato prima
(almeno
pubblicamente si intende) mi carica tantissimo.
Non e' importante l'utilita' personale che ne deriva quanto il
livello di
originalita' ed interesse.
Inoltre c'e' da notare che sono quasi sempre depresso e svogliato,
il che non
rende certo piu' facile fare ricerca.
// Jacopo:
Su un commento di un exploit di coder tedesco mi è capitato di
leggere una
domanda a te rivolta in modo ironico:
"Hey Luigi, how many Advisories do you release every month??maybe 30
;)??
sometimes i think your day has 48 hours ;)".
Perchè non rendere pubblica la risposta? Quanti advisories scrivi di
media
al mese e inoltre tempo passi di media davanti al monitor?
// Luigi:
La media non la conosco ma minimo 2 bugs al mese di solito. Comunque
se ti
interessano queste statistiche penso di aver raggiunto circa quota
200 in quanto
a bugs trovati visto che molti advisories contengono vulnerabilita'
multiple.
Non ho alcun traguardo ma senza dubbio mi piacerebbe trovare piu'
vulnerabilita'
di chiunque altro al mondo e soprattutto originali e se possibile
divertenti.
Riguardo al tempo che trascorro davanti al PC... direi parecchio
visto che
tutto sommato mi rilasso ed il tempo vola velocemente qua' davanti,
anche senza
fare nulla.
Se sono senza lavoro (ossia spesso) ci sto' oltre 8 ore minimo ma
appunto ho il
problema di non riuscire ad ottimizzare tutto questo tempo.
// Jacopo:
Il fatto che ogni tuo codice sia adattabile sia per Windows che per
Linux
fa pensare che tu utilizzi entrambe le piattaforme. Cosa hai da dirci
riguardo le tue preferenze, e le tue abitudini? Secondo te davvero vale
la pena installare entrambe le piattaforme? Cosa hai da dire a
coloro che
rimuovono dal proprio pc tutto il software proprietario?
// Luigi:
Ognuno ha i propri bisogni. Io testo in particolare i giochi (che
ormai e' il
mio marchio a dire il vero) quindi ho il mio Windows98SE installato
ma anche se
non avessi questa passione lo terrei ugualmente per verificare la
compatibilita'
dei programmi che scrivo.
Ho anche un lentissimo iBook con solo Linux installato sopra e mi e'
utile per
verificare la compatibilita' con un processore little-endian,
prossimamente se
ne ho davvero bisogno (l'unica cosa che mi limita al momento)
comprero' anche
una CPU AMD64 per eliminare ulteriori possibili problemi di
compatiblita'.
In conclusione, a parte i giochi e le mie ricerche, io utilizzo per
me solo e
soltanto software opensource od al massimo freeware.
// Jacopo:
Ritengo molto interessante il fatto che nella tua biografia
(presente nel tuo
sito) abbia specificato tempestivamente il fatto che tu sia ateo.
Esiste un rapporto tra il tuo credo e il tuo modo di affrontare la
vita in
tutti i suoi campi, compreso quello della ricerca informatica? Se
si, quale?
// Luigi:
Praticamente tutto il mio pensiero e' alla base delle mie ricerche.
La razionalita' dovrebbe essere la base di chiunque, i servers non
vanno giu'
per colpa della mano magica di qualche cracker ma perche' qualcuno si e'
dimenticato di controllare la lunghezza di un buffer o di usare un %s.
Il fatto che tutto abbia una spiegazione razionale, comprensibile e
semplice (o
che a sua volta deriva da una spiegazione piu' semplice) e' decisamente
tranquillizante perche' quando qualcosa puo' essere spiegato a volte
puo' anche
essere cambiato od ottimizzato.
Un esempio di un paio di giorni fa', mentre testavo un programma
server avevo
replicato un pacchetto da lui inviato poco prima e "come per magia"
questo
termina senza una ragione. La spiegazione di cio' l'ho scoperta
qualche ora dopo
quando ho completato il reversing del protocollo utilizzato da tale
programma.
Tutto ha una spiegazione, sta' solo a noi trovarla.
// Jacopo:
Sulla tua autobiografia ti definisci "asociale": cosa ha questa
società che
non ti garba? Che bug individui in essa?
// Luigi:
Sono un po' asociale perche' non frequento le cosiddette "compagnie"
fancazziste
e ho un numero molto limitato di amici.
Della societa' mi fa' cagare praticamente tutto, l'ipocrisia,
l'ignoranza
collettiva, le mode, il desiderare qualcosa senza averne reale
bisogno, coloro
che vivono soltanto per i soldi, i cloni (quelli che si comportano
uguali agli
altri perche' fa' tendenza), il non essere originali ed al tempo
stesso il
cercare di convincere gli altri di esserlo, l'egoismo eccessivo, i
controsensi
eccessivi, il credere o l'essere portati a credere a tutto cio' che
viene detto
anche se in realta' e' completamente falso, il portarsi dietro
l'ignoranza ed i
problemi del passato mascherando il tutto con la parola cultura,
l'imposizione
di limiti, il fottersene delle conseguenze ed in particolare
dell'inquinamento,
le religioni (che raggruppano tutto il peggior marciume che ci sia, in
particolare quelle monoteiste)... e potrei continuare cosi' ancora per
moltissimo ma penso di aver reso l'idea.
// Jacopo:
Altro spunto di riflessione venutomi leggendo la tua autobiografia è
il fatto
che tu rifiuta di guadagnare denaro (ritenuto una sorta di "roots of
all evil")
svolgendo la tua attività di bug-hunter. Ritieni davvero che non si
debba
sfruttare la cultura e le conoscenze per guadagnarsi da vivere?
// Luigi:
Beh il fatto che io sia un po' strano e' evidente, pero' se una cosa
mi diverte
non vedo il motivo di lucrarci sopra.
Secondo me e' giusto se qualcuno vende or cerca di vendere i bugs
che trova agli
sviluppatori in quanto tali ricerche richiedono tempo cosi' come e'
giusto non
contattare gli sviluppatori quando si trova un bug ma cio' che e'
giusto e'
diverso da cio' che piace a me.
Personalmente non ho mai chiesto soldi ed ho sempre contattato gli
sviluppatori
perche' mi piace cosi', ed anche se mi fanno ribrezzo quelli che ad
esempio
usano i bugs che trovano come pubblicita' o per accaparrarsi un
contratto con
qualche sviluppatore non penso di certo che non sia giusto.
Cio' che e' giusto/logico e' una cosa mentre cio' che piace a me e'
un'altra.
Inoltre mi piace tenere il mio hobby diviso da cio' che puo' essere
definito
lavoro.
E poi il fatto di non chiedere e ricevere soldi (donazioni comprese)
mi fa'
sentire piu' libero di gestire cio' che so' fare e soprattutto mi
rende privo
di qualsiasi influenza.
// Jacopo:
Sempre riguardo il fatto del danaro, secondo te una società senza
denaro è
possibile, o è una pura utopia?
// Luigi:
Penso sia impossibile anche perche' ognuno ha i propri bisogni e poi
se ci fosse
ancora il baratto non penso sia meglio 8-)
L'idea giusta sarebbe quella di dare il giusto valore agli oggetti
ed a cio' che
si sa' fare, ad esempio oggi accade in continuazione di vedere
persone che
vendono merda ed altre che la comprano a prezzi assurdi, mentre in
una societa'
piu' razionale tali persone, sia i venditori che i compratori, non
dovrebbero
neanche esistere.
// Jacopo:
Per ritornare a farci gli affari tuoi, raccontaci la tua giornata
tipo, da
quando ti svegli a quando ti addormenti.
// Luigi:
La mia giornata quando sono jobless (che fa' piu' fico da dire
rispetto a
disoccupato) e scazzato e' molto semplice e parecchio noiosa:
Mi sveglio tra le 8:30 e le 10:00, faccio colazione, mi piazzo
davanti al PC per
controllare le mail, controllo la lista di cose da fare e nel
frattempo penso a
quale ricerca interessante posso fare, pranzo, aspetto che inizino i
Simpsons/
Futurama/Griffin od altro in TV, ritorno davanti al PC, vado a farmi
un giro in
bici con un mio amico, ancora PC, cena, solitamente vedo un film in
TV, vedo un
film in seconda serata, vado a dormire.
Minchia che noia paurosa, fortuna che non e' sempre cosi' eh eh eh.
// Jacopo:
Per concludere questa breve ma curiosa intervista, ti chiedo di
mandare un
messaggio al popolo dell'underground informatico italiano visto che
sembra
si sia intorpidito...
// Luigi:
Beh io su Internet non frequento gruppi di discussione (forum, chat
od altro)
quindi la situazione potrebbe essere diversa da quella che vedo io
comunque...
Che trovare vulnerabilita' sia una cosa non difficile e spesso
fortuita oramai
penso sia chiaro e non so' piu' in che altri modi dimostrarlo,
quindi per questa
questione ho gia' detto tutto.
Invece mi piacerebbe vedere piu' gente nel reversing, ci sono
tantissime cose da
fare e che sono utili, io ad esempio vado pazzo per gli algoritmi
come quelli di
Ventrilo, Gamespy, Halo e cosi' via.
In questo campo (mi riferisco sempre e soltanto a cio' che e'
pubblico e quindi
disponibile a chiunque, non al privato o all'underground) non mi
sembra ci siano
molte persone e penso che chi invece fa' qualcosa non rilascia il
proprio codice
o lo usa per lucrarci sopra.
A proposito dei bugs sopracitati ultimamente ho visto, sia in Italia
che in
ambito internazionale, il proliferare degli XSS che e' una cosa
vergognosa tanto
che con la scusa del phishing (sopravvalutato moltissimo) spesso si
da' piu'
importanza a queste cose di criticita' pari a sotto zero rispetto ad
un bel DoS
o persino un buffer-overflow.
Questa e' davvero una vergogna, cosi' come lo e' quella di guardare
solo "dove"
viene trovato un bug (ossia in quale software) anziche' valutare il
bug stesso o
la sua criticita' o, come faccio io, la sua originalita'.
Anche cambiare ottica riguardo l'hacking non sarebbe male, trovare
bugs e fare
ricerche non e' "da fico" ma utile, originale ed interessante.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
A cura di Jacopo Ottaviani + 25 Ago 2005 +
www.inventati.org\
www.autistici.org
