Linux, co się kulom nie kłaniał

Koniec, proszę ja Was. Konkurs p0wn2own uważam za zakończony - a zwycięzcą jest Linux, reprezentowany przez Ubuntu. Trzeciego dnia, kiedy zasady konkursu pozwalały na instalowanie popularnych aplikacji firm trzecich(znaczenie tego słowa definiowali organizatorzy) poległa Vista. Śmiertelny cios Microsoft zawdzięcza wypiekowi firmy Adobe - Flashowi. Shane Macaulay wykorzystał nieznaną do tej pory lukę i za jej pomocą dobrał się do systemu. W ten właśnie sposób na placu boju zostało Sony Vaio z Ubuntu 7.10 na pokładzie.

Ciekaw jestem jednego - czy linuksowa wersja Flasha jest odporna na ten atak, czy tylko atakujący Ubuntu nie zdołali wykryć czułego jej punktu? Tego się nie dowiemy, bo informacje o odkrytych lukach przekazywane są bezpośrednio producentom oprogramowania i otaczane ścisłą tajemnicą. Ujawnione zostaną dopiero po wydaniu odpowiedniej łatki.

Wnioski wynikające z konkursu są jednak, uważam, optymistyczne. Żaden z trzech najpopularniejszych systemów nie dał się sforsować jeżeli użytkownik nie podejmował żadnych głupich akcji, OS X padł dopiero na „zdradzieckim linku”, którym nakarmiono Safari. Windows poległ na zewnętrznej aplikacji, Ubuntu dotrwało do końca, choć nie wiadomo, czy nie dotyczy go ta sama luka. Nie jest źle.

Pozostaje wielkie pytanie: czy wyniki tak naprawdę mówią coś istotnego o bezpieczeństwie poszczególnych systemów? Nie jestem pewien. Najwyższa nagroda wynosiła niecałe 25 000 dolarów - obawiam się, że to niewiele w porównaniu z pieniędzmi, które można wziąć na czarnym rynku za opierający się na nieznanej luce exploit. Desktopy są w tej dobrej sytuacji, że jest ich cała masa, więc każdy skuteczny atak powoduje łatwe do zauważenia, masowe infekcje, poza tym opiera się on najczęściej na wykorzystaniu naiwności niedoświadczonego użytkownika. Dużo bardziej lukratywny jest rynek serwerowy.

Przed producentami systemów staje więc łatwe do wykoncypowania zadanie - edukować, edukować, jeszcze raz edukować. Tak konstruować zabezpieczenia, żeby zapewniały bezpieczeństwo danych nawet za cenę ograniczenia swobody działań użytkownika. Jeżeli tak na to spojrzeć, to wyniki pown2own zaskakująco dobrze pokrywają się z obecnym podejściem do tych zagadnień na poszczególnych platformach: OS X stosuje zasadę „użytkownik ma się nie męczyć” (i poległ pierwszy, na własnym oprogramowaniu) a Windows, poprzez UAC, staje się potwornie upierdliwy (ale zdołał się - jako system - obronić).

Na co dzień korzystam ze wszystkich trzech środowisk i muszę przyznać, że obecnie najlepiej i najrozsądniej bezpieczeństwo systemu rozwiązane jest w Linuksie, który po prostu nie idzie na żadne w tym względzie poważne kompromisy i który od początku wymusza na użytkowniku zasady bezpiecznego korzystania z systemu, najlepiej również rozwiązuje problem separacji przywilejów. Historia przyznaje mu rację: wyizolowane profile użytkownika i mechanizmy w rodzaju sudo znajdują się obecnie również u jego konkurentów, nie są jednak moim zdaniem tak dopracowane.

To co, do kolejnego konkursu, już za rok?