Linux vs cборная хакеров – 1:0

Результаты своеобразного чемпионата самых знаменитых хакеров планеты, который прошел на недавней конференции по компьютерной безопасности CanSecWest в Ванкувере, несколько обескуражили его участников. Главной победительницей соревнований признана... операционная система Linux. За три дня взломщикам предлагали заполучить контроль над полностью пропатченными ноутбуками Sony Vaio VGN-TZ37CN под управлением Ubuntu Linux 7.10; Fujitsu U810, работающим под Windows Vista SP1 и MacBook Air под Mac OS X 10.5.2 Leopard.

В первый день разрешались атаки только через удаленный сетевой доступ. Битва была проиграна хакерами вчистую: им не удалось взломать ни одну из машин.

На следующее утро задача упростилась: нападающим позволили использовать «дырки» в веб-браузерах и электронной почте. Через пару минут в стане ноутбуков появились первые потери: некий Чарли Миллер, известный как «чувак, который вскрыл iPhone», получил контроль над MacBook Air: ему удалось обнаружить уязвимость в браузере Safari.

Наконец, на третий день хакерам дали полный карт-бланш: можно было атаковать любые приложения сторонних разработчиков. Вскоре пала Windows Vista: Шейн Маколей при поддержке Дерека Калоуэя и разработчика VMWare Александра Сотирова вскрыли Fujitsu. Кросс-платформенная уязвимость была обнаружена в реализации Java. А вот Sony Vaio, несмотря на все попытки осаждающих, осталась неприкосновенной: хотя участники конференции и нащупали некоторые уязвимости в Ubuntu Linux 7.10, добиться желанной цели им не удалось.

Естественно, такой результат не мог не обострить вечный спор «линуксоидов» с «виндоманами»: первые празднуют победу, вторые ищут оправдательные аргументы – и с успехом их находят. «Убедительная устойчивость Ubuntu взлому – всего лишь очередное подтверждение того, что безопасность не может быть "делом, закрытым для общественности", – говорит директор компании «Редсолюшн» Андрей Ненахов. – Открытая модель разработки ПО позволяет в считанные дни выпустить обновление для критических уязвимостей: участвуя «всем миром», программисты быстро совершенствуют продукт. А закрытая модель создает лишь иллюзию защищенности. Устранять ошибки в ПО могут только авторы программы, и нет общепринятых механизмов распространения исправлений. Обычно для каждой программы надо иметь дело со своими специфическими интерфейсами, думать о лицензировании и так далее, тогда как пользователь свободного ПО может «в один клик мыши» скачать обновления для всех установленных на ПК программ. Классическйи пример – эксплойт Ping o'Death: защита для GNU/Linux была разработана в течение нескольких дней, а в коммерческом ПО эта «дыра» оставалась незакрытой многие месяцы».

«Устойчивость персональных операционных систем напрямую связана с их распространенностью, так что результат меня не удивил: победила наименее популярная на данный момент Linux, – возражает технический директор компании «Альфа Зеон» Владислав Гаген. – Кроме того, итоги соревнования, на мой взгляд, подтвердили, что нововведения в Vista наконец исправили вечную проблему безопасности в Windows. И то, что доступ хакерами все-таки был получен, на самом деле ни о чем не говорит – найденная уязвимость в Java может быть использована под любой ОС. А вот проблема с Safari – из разряда неожиданных: до сих пор считалось, что это достаточно безопасный браузер».