Linux: bezpieczny czy ignorowany?

Fakt, iż w czasie ubiegłotygodniowego konkursu PWN2OWN nikt nie włamał się do systemu Ubuntu Linux, nie powinien być opacznie interpretowany - twierdzi Terri Forslof, przedstawicielka firmy TippingPoint (organizatora imprezy). Forslof ujawniła, że komputer z Linuksem pozostał niezłamany m.in. dlatego, że prawie nikt nie próbował tego zrobić - większość uczestników konkursu skupiła się na włamywaniu do Windows i Mac OS X.

Dowiedz się więcej o systemie Linux i rozwiązaniach open source podczas konferencji Open Source Day 2008. Więcej informacji pod TYM adresem.

Przedstawicielka TippingPoint zastrzega, że nie chce w ten sposób w żaden sposób komentować bezpieczeństwa system Ubuntu Linux - głównym celem jej wypowiedzi jest zwrócenie uwagi na fakt, iż wiele osób wyciąga błędne wnioski z wyników konkursu PWN2OWN. Chodzi o to, iż zdaniem niektórych fakt, że Linux do końca zawodów nie został złamany jednoznacznie świadczy o tym, że jest to najbezpieczniejszy z testowanych systemów.

PWN2OWN - Przejmij i wygraj

Przypomnijmy: zorganizowany podczas ubiegłotygodniowej konferencji CanSecWest konkurs PWN2OWN polegał na trzyetapowym udostępnieniu zawodnikom trzech komputerów przenośnych z systemami operacyjnymi Windows Vista, Ubuntu Linux oraz Mac OS X. W pierwszym dniu zadanie polegało na włamaniu się do któregoś z nich przez sieć, w drugim dniu "napastnik" mógł atakować komputer siedząc przed nim i uruchamiając jedną z dołączonych do systemu aplikacji (np. klienta poczty lub przeglądarkę), zaś trzeciego dnia możliwe było instalowanie w systemach dowolnych aplikacji firm trzecich i wykorzystywanie luk w nich do atakowania OS-u. W I etapie nikomu nie udało się włamać do systemu; drugiego dnia w zaledwie 2 minuty niejaki Charlie Miller włamał się do Mac OS X przez lukę w Safari, zaś trzeciego zwycięzcą został Shane Macaulay, który do uruchomienia exploita w Windows Vista wykorzystał dziurę w Adobe Flash. Maszyna z Ubuntu do końca imprezy nie została zhakowana. Szerzej pisaliśmy o tym w tekście "PWN 2 OWN: Mac pierwszą ofiarą".

Forslof tłumaczy, że wniosku takiego nie powinno się wyciągać tylko na podstawie wyników PWN2OWN - ponieważ komputer z zainstalowaną dystrybucją Linuksa był podczas konkursu atakowany znacznie rzadziej niż dwie pozostałe maszyny (notebooki z Windows Vistą oraz Mac OS X). "Nikt się nie interesował Ubuntu, dlatego wyników konkursu absolutnie nie powinno się traktować jako miarodajnego porównania bezpieczeństwa trzech uwzględnionych w nim systemów operacyjnych" - zaznacza Terri Forslof.

Linux też by padł?

"Głównym powodem, dla którego komputer z Linuksem pozostał nietknięty, jest fakt, iż prawie nikt nie próbował się do niego włamać. Co nie znaczy, że nie było to możliwe. Exploit Shane'a [zwycięzcy z 3. dnia, który zaatakował Vistę przez lukę w Adobe Flash - red.] po drobnych modyfikacjach na pewno zadziałałby również w Linuksie i pewnie pozwoliłby na włamanie się do niego. Ale uczestnicy najwyraźniej uznali, że rozsądniej będzie zaatakować Windows lub Mac OS X" - tłumaczy przedstawicielka TippingPoint. Forslof stwierdziła też, że specjalistom łatwiej jest znajdować luki w Linuksie - "Linux jest, czym jest - jego kod jest zdecydowanie bardziej 'przezroczysty'. Ale prasa zwykle o wiele bardziej interesuje się błędami w Windows i Mac OS X".


Zobacz również