Konkurs hakerski: Tylko Ubuntu przetrwało

MacBook Air padł w dwie minuty, na Vistę potrzebowano 4 godziny. Nie poddał się jedynie Ubuntu. Tak zakończył się konkurs hakerski na CanSecWest.

Mac OS X padł przez dziurę w przeglądarce Safari. Do złamania Visty trzeba było zainstalować zewnętrzny program — Adobe Flash Player.

Początkowo trudność Macaulayowi sprawił Service Pack 1 dla Visty, którego wcześniej nie testował i nie wiedział, w jaki sposób wykorzystać znalezioną wcześniej lukę we Flashu. W końcu jednak mu się to udało. Haker podkreśla, że tę samą dziurę jest w stanie wykorzystać do włamania zarówno na Mac OS X-a, jak i na Linuksa. Jego zdaniem, bez względu na wysiłki firm produkujących systemy operacyjne, zawsze będą one podatne na atak. “Nikt nie jest w stanie nic z tym zrobić, bo zawsze można zainstalować oprogramowanie, które pozwoli na obejście zabezpieczeń. Jeśli nie będzie to Java, to będzie to coś innego” – stwierdził Macaulay

Oczywiście test niczego nie dowodzi i trudno na jego podstawie wyciągać jakieś wnioski o bezpieczeństwie testowanych systemów. To przede wszystkim dobra zabawa dla hakerów, możliwość popisania się swoimi umiejętnościami oraz przy okazji zwrócenie uwagi na problem bezpieczeństwa.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

36 odpowiedzi na „Konkurs hakerski: Tylko Ubuntu przetrwało”
  1. Awatar los
    los

    Ja widzę jeden wniosek. Otóż, zamknięte oprogramowanie pogarsza bezpieczeństwo sytemu GNU/Linux.

    1. Awatar cactus
      cactus

      +1 🙂

    2. Awatar Memphis
      Memphis

      A gdyby Flash Player był otwarty, to nie miałby dziur?

      1. Awatar dPeS
        dPeS

        każdy soft ma dziury, w otwartym kodzie łatwiej je znaleźć i poprawić, poza tym moim zdaniem programiści zamkniętych aplikacji ze względu na terminy i to, że nikt tego kodu nie przeczyta pozwalają sobie większą swawolę programistyczna 🙂

        1. Awatar Seban
          Seban

          To zależy od tego jak bardzo firma/zespół dba o jakość. A za otwarte kody nikt programiście nie zapłaci – czy to nie jest powód do niechlujstwa? Co najmniej tak dobry jak Twój.
          Otwarte źródła mają większą szansę na wykrycie błędu bo więcej par oczu je czyta niż 5-10 programistów zaangażowanych w zamknięty projekt.

        2. Awatar dPeS
          dPeS

          > A za otwarte kody nikt programiście nie zapłaci – czy to nie jest powód do niechlujstwa? Co najmniej tak dobry jak Twój.

          nie mi oceniać który lepszy – jednak zapominasz o tym, że jeśli nikt nie płaci to też nikt nie każe pisać – jeśli już ktoś to robi to po pierwsze z pasji a po drugie wie, że patche które wysyła będą oceniane przez szersze grono bardziej doświadczonych programistów.

          > To zależy od tego jak bardzo firma/zespół dba o jakość.
          sprawa oczywista, jednak z moich obserwacji wynika, że w 99% przypadków termin ważniejszy niż jakość (zajmuję się zawodowo testowaniem aplikacji od 4 lat, po drodze były już 3 firmy z rożnych dziedzin)

        3. Awatar szon
          szon

          "A za otwarte kody nikt programiście nie zapłaci – czy to nie jest powód do niechlujstwa?"

          Nie. Ponieważ tacy programiści robią to z pasji. Dochodzi do tego jeszcze ewentualny wstyd przed społecznością.

        4. Awatar Cobra
          Cobra

          A za otwarte kody nikt programiście nie zapłaci (…)

          Marzenie Microsoftu (itp. firm). Tylko po co Ty promujesz takie pojmowanie? Bo już jest powszechne, to trzeba je traktować jako regułę, która będzie trwać wiecznie?

          Dodatkowo, kojarzy mi się to co napisałeś z -bardzo powszechnym- nazywaniem Wolnego/Otwartego Oprogramowania "darmowymi programami". Ty piszesz o czymś innym, wiem. Jednak twoje stwierdzenie opiera się na tym samym, całkowicie błędnym pojmowaniu idei FLOSS. FLOSS na _żadnym_ etapie nie *skreśla* pieniędzy. Co do niektórych etapów po prostu na razie rynek nie jest gotów, odn. niektórych ludziom brak wyobraźni (a geniuszy wyprzedzających epokę -jak zwykle- nazywa się wariatami) a duża część jest wypierana/blokowana przez marketing firm tworzących kod zamknięty. Już teraz jednak – od reguł są wyjątki, a ja np. jestem jednym z tych, którzy wierzą, że (zacytowawszy *marketing* IBM) "przyszłość jest otwarta".

          No a w końcu odn. newsa samego w sobie – cóż, kolejny *przypadek*, że właśnie *Ubuntu* przetrwało 😉

      2. Awatar arag0rn
        arag0rn

        > A za otwarte kody nikt programiście nie zapłaci

        Zniknąłeś właśnie takie firmy jak: Sun, RedHat, JBoss (no powiedzmy że to też już RedHat), Novell, CommandPrompt, Sourcefire, IBM, Intel, HP, Google, Yahoo, Pentaho, Trolltech (…)

  2. Awatar Gf
    Gf

    czekam az bedzie wydana wersja zamrozona i stabilna. np. przegladarka 2.0FF Gnome cos tam. powiedzmy jakies 3000 aplikacji i koniec!
    zero updatu. ale masz pewnosc, ze np. nikt nie wlamie Ci sie do systemu. I nie znalazl sie taki smialek od np. 5 lat.

    moze byc to jako opcja. moze byc to jako chroot/skrzynka cokolwiek. Wazne by zaczac taki eksperyment. Wyselekcjonowac oprogramowanie i tylko je łatac ze względu bezpieczeństwa.

    1. Awatar celafon
      celafon

      Czy takie cos juz przypadkiem nie powstaje pod nazwa Debian? Z tego co wiem, to do stabilnej wersji nowosci wchodza bardzo powoli… Moze ktos rozwinie, bo z Debiana to ja znam tylko …Ubuntu 😉

      1. Awatar Tor
        Tor

        Czy ja wiem? Etch to głównie same nowości, zamrożone na kilka miesięcy, a za półtora roku znowu kolejne nowości. 😛

    2. Awatar Gf
      Gf

      Ale to ma być zamrozone np. na 5 lat.
      a nie 0.5 roku. o to chodzi. by miec SYSTEm super stabilny i bezpieczny np. do embeded lub innych rzeczy. moze nie miec przegladarki innej niz lynx

      1. Awatar umlaut
        umlaut

        Nie może byc zamrozony totalnie, musza byc dodawane chociaz laty bezpieczenstwa.

      2. Awatar abc
        abc

        Kernele 2.2 i 2.4 są ZTCW cały czas wspierane

        1. Awatar diablownik
          diablownik

          Ostatnia wersja testowa (RC) jądra 2.2 pojawiła się ponad 3 lata temu. Można więc dyskutować, czy to świadczy o wsparciu dla wersji 2.2

          Natomiast wersja 2.4 jak najbardziej jest wspierana nadal.

      3. Awatar tomaszx
        tomaszx

        OpenBSD

  3. Awatar przepior
    przepior

    Tylko ciekawe czy tyle samo osob poswiecilo tyle samo czasu dla kazdego systemu operacyjnego. I jak zostalo powiedziane ta sama dziura jest rowniez na ubuntu wiec to, ze linuks sie ostal nie oznacza, ze jest najbezpieczniejszy i nie mozna sie na niego wlamac, bo nikt tego nie zrobil w czasie konkursu. Chodzi tu glownie o zapatrzonych w linuksa fanatykow gloszacych juz pewnie na forach, ze air padl w dwie minuty, a vista w cztery godziny. Tylko czy np. te dwie minuty air'a nie byly poprzedzone kilkoma godzinami przygotowywania strony i testowania tej metody. A to, ze vista padla w cztery to od kiedy? Od momentu gdy zainstalowano flasha, czy od momentu rozpoczecia drugiego dnia? A linuks nie padl wiec to jest najlepszy system do wszystkiego i kto go nie uzywa to sie nie zna i jest lamerem korzystajacym z np. z mac'a, bo jest latwiejszy w obsludze lub windows'a/mac'a, bo potrzebuje photoshop'a.

    1. Awatar misio pysio
      misio pysio

      skoro ta sama dziura jest rowniez na ubuntu to dlaczego sie nie wlamali i nie ukradli supertajnych rzeczy? Jesli chodzi o fanatykow to raczej jest wiecej tych windowsowych a to czy ktos jest lamerem z powodu korzystania z jakiegos systemu operacyjnego zostawie bez komentarza

      1. Awatar Memphis
        Memphis

        Tutaj się nie zgodzę. Większość użytkowników Windows akurat nie obchodzi, jakiego ktoś używa systemu i nie starają się "nawracać" ludzi, także z tym fanatyzmem, to bym się jeszcze zastanowił. Traktują system operacyjny raczej jako narzędzie.

        1. Awatar Kozodoj
          Kozodoj

          Potrzeba "nawracania" zwykle raczej dotyczy mniejszości niż większości. Trudno się temu dziwić. Fakt, że czasem przybiera to nieco obłędne formy. Ale zdrowa dyskusja pomiędzy zaawansowanymi zwolennikami różnych systemów zawsze wychodzi na dobre wszystkim. Bo przynajmniej można się czegoś nowego nauczyć.

      2. Awatar przepior
        przepior

        Z tymi lamerami to naprawde slyszalem. Tym bardziej, ze uzywam mac'a a to jak sie wyrazila pewna osoba, unix dla debili xD Chodzilo mi poprostu o poczatkujacych glownie, zafascynowanych linuksem, nie patrzacych obiektywnie na systemy operacyjne. To oni wszczynaja glownie wojny. Ja uzywam mac os x'a, windows'a i ostanio najwiecej ubuntu. KAzdy system jest w czyms lepszy, ale kazdy ma jakies wady. W ubuntu jest fajny apt-get, w mac'u wyrzucanie aplikacji do kosza czy wysylanie plikow mailem i duzo rzeczy na przeciagnij i upusc, windows wygrywa w tym, ze uzywam kilku programow, ktore napewno tez sa na ubuntu, ale jeszcze ich nie poznalem.

        A jesli chodzi o bezpieczenstwo to kazdy system ma dziuru i to, ze ubuntu przetrwalo nie oznacza, ze jest najlepsze. Moze malo osob probowalo, wiekszosc pewnie skupila sie na viscie i mac'u. A jak by sie wlamali do ubuntu, a do visty nie to czy to oznacza, ze ubuntu jest dziurawe, a vista taka dobra? Tytul newsa jest krzykliwy i pokazuje ubuntu jako najlepszy system. Kazdy system moze byc bezpieczny, to zalezy od uzytkownika. Jak to sie kiedys mowilo, ze windows server jest tak samo bezpieczny jak ogolnie mowiac linuks, ale pod warunkiem, ze jest dobry admin. Ale jaki dobry admin wybiera windows'a 😉

        1. Awatar q
          q

          "Tytul newsa jest krzykliwy i pokazuje ubuntu jako najlepszy system."
          Ale Ty przewrażliwiony jesteś! Tytuł zwyczajnie wyraża radość ze zwycięstwa Ubuntu w tym akurat konkursie. Tak się przypadkowo składa, że to jest serwis zwolenników OS, więc nie wydaje się ta radość specjalnie dziwna. To jest coś jak radość kibiców z udanego startu Adama Małysza. 🙂

    2. Awatar norbert_ramzes
      norbert_ramzes

      Jakoś nigdy nie mogę zrozumieć czemu niby komu Photoshop jest potrzeby???

      Jak potrzebuję coś zrobić w pracy/domu to szybciej to zrobię w GIMPie (Ubuntu Studio ale to nie ma znaczenia) niżeli miałbym poprosić zawodowego grafika który ma Photoshopa i dosłownie 2x mocniejszego kompa…

      Swoją drogą do złamania windowsa nie trzeba "hakera"/neta ani nawet eksperymentów na systemie, wystarczy samo używanie go.

      Dodam jeszcze to że parę miesięcy temu zainstalowałem Debiana sid'a na pewnym laptopie i chodził bez najmniejszych problemów a teraz jest niestety na nim win xp (tfu!) i po samym zainstalowaniu wieszał się i "przycinał"…

      1. Awatar Kozodoj
        Kozodoj

        Wybacz, ale jak ktoś nie umie sobie z XP poradzić to Debiana też spaprze prędzej czy później…

        A Photoshop potrzebny jest zawodowcom. Po prostu taki jest standard i nic na to nie poradzisz.

  4. Awatar celafon
    celafon

    Przeciez pisze, jest napisane, ze niczego to nie dowodzi…

  5. Awatar DrunkenBear
    DrunkenBear

    Hmm do zlamania Visty z Sp1potrzebny byl plugin Flash. Ta sama dziure mozna uzyc do zlamania OsX i Linuxa. To niby dlaczego nie padlo Ubuntu? Wyglada to tak jakby hacker umyslnie oszczedzil ubuntu. Juz mi sie nie podoba taki kontest.

    1. Awatar Tor
      Tor

      Nie wiem w czym -pisany jest flash, ale raczej nie w javie? 😛 Wydaje mi się, że robiony jest dość mało-przenośnie (bo są oźnienia w wydaniach na gnu/linuksa), a więc jakaś część kodu jest inna. A to oznacza, że dziura obecna w wersji win może *nie* być obecna w wersji na lin.

      1. Awatar a
        a

        Poza tym niektóre włamania przez dziurawy kod mogą być uniemożliwione przez system operacyjny. Nawet niechcący.
        Chodzi o to, że nawet jak można pojechać po pamięci dzięki przepełnieniu stosu, to żeby wykorzystac to do włamania potrzeba jeszcze wiedzieć gdzie się ta pamięć mniej więcej znajdzie, żeby dało się zmusić system do wykonania tego kodu.

        Jak jest w ubuntu – nie wiem, ale może mają randomizowane adresy na stosie – wtedy program się wyłoży, ale włamać się przez niego nie uda (przynajmniej nie tak łatwo).

        PS. ubuntu raczej nie jest przykładem bezpiecznego linuksa 🙂

  6. Awatar smonek
    smonek

    Patrząc na to w ten sposób że żadnej osobie hackującej nie udało się dostać do systemu zdalnie i bez wykorzystnia oprogramowania firm trzecich.

    Nawet w przypadku Maca – user musiał wejść na spreparowaną stronę

    A to że Linux jest ok …. prawda jest taka że dzisiaj linux jutro windows akurat trafili że soft domyślnie insyalowany z ubunt był nie podatny … za tydzień odkryją lukę w mozilli i lezał by tak samo jak mac ….

    Moim zdaniem bezpieczeństwo to złożony problem –

    np systemy windows zdobyłu sławę dziurawych itp itd
    Lecz gdyby jego użytkownicy pracowali na koncie zwykłego usera to np taki XP i bez SP2 byłby w mairę bezpieczny pomijając sławną lukę RPC to w najgorszym wypadku uszkodzeniu uległ by profil użytkownika , jakieś przejęcie danych z jego dokumentów przez IE itp itd

    W przypadku Linuxa większość userów jest świadoma to nie po porostu klienci którzy kupują telewisor podłączają do kontaktu i już …

    Napisżę tak XP robiłem tylko raz reinstalkę jak wyszedł SP2 – nie chiałem już mieszać w systemie – kilka razy złapałem wirusa ale nie zainfekował on sysemu ( praca na koncie zwykłego usera ) i był do usunięcia – ręcznie

    Obecnie pracuję na MS Vista – jestem zadowolony , na drugiej partycji mam OpenBSD 4.2 ( testuję pf.confy itp itd )- z obu systemów jestem zadowolony i spełniają rolę jakie zakładam że powinny wykonywać

    Pozdrawiam

    1. Awatar ktoś
      ktoś

      Dla mnie konto usera na XP nie było używalne. Po prostu nic nie mogłem z niego zrobić, a na ogół to ja wszystko instalowałem, konfigurowałem, odwirusowywałem i przywracałem jak się spsuło.
      Użytkownicy nieświadomi uzywają admina bo jest domyśle, średnio świadomi używają admina bo nie potrafią dostosować usera, a świadomych jest mniej niż linuxów na desktopach :]
      Jakim cudem więc ten system ma być bezpieczny od strony użytkownika?

      1. Awatar AK-105
        AK-105

        Należy jeszcze wspomnieć że cała masa aplikacji na windowsa jest tak napisana że często sprawia problemy przy uruchamianiu z konta użytkownika. Oczywiście da się to załatwić inaczej, ale większość ludzi nie ma o tym pojęcia.

    2. Awatar Tor
      Tor

      "Patrząc na to w ten sposób że żadnej osobie hackującej nie udało się dostać do systemu zdalnie i bez wykorzystnia oprogramowania firm trzecich."
      To przeglądarka na macu byłą jakiejś firmy trzeciej? Sądziłem, że safari jest robione przez Apple. 😛

      1. Awatar przepior
        przepior

        Dostac zdalnie czyli bez ingerencji osoby uzywajacej ten komputer. Trzeba bylo wejsc na spreparowana strone aby atak byl mozliwy.

    3. Awatar norbert_ramzes
      norbert_ramzes

      Pasowałoby dodać że po instalacji Ubuntu mamy dużo softu (zależy też czy to CD czy DVD, jaka wersja itd. a najlepsze jest to że Ubuntu ma ukrytą tekstową instalkę "zerżniętą" z Debiana) a w viście/xp po instalacji co jest oprócz dziur??? OS X nie używałem więc nie będę się wypowiadać.

  7. Awatar vries
    vries

    To, że Ubuntu nie padło było tylko osobistym wyborem hackera. Nie ma się co podniecać i siać propagandy. Ja osobiście wierzę panu Macaulayowi, który tweirdzi, że nie ma bezpiecznych systemów (i że do ubuntu też mógłby się włamać przez tą dziurę). Znalezienie tej dziury i sposobu jej wykorzystania to pewnie nie była szczególnie łatwa sprawa. Znalezienie kolejnej może być kwestią paru dni, miesiąca, roku… nikt nie wie kiedy programiści wypuszczą nie do końca zabezpieczony produkt. W dużej mierze pewnw odpowiedzialność za bezpieczeństwo własnych systemów zawsze będzie spoczywać na użytkwonikach i ich umiejętnościach. Oprogramowanie nigdy nie rozwiąże sprawy do końca.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *