מארגנת תחרות ההאקרים: לינוקס אינה מאובטחת לחלוטין, היא פשוט הוזנחה על ידי המשתתפים

מערכת ההפעלה ויסטה הציגה רמת אבטחה גבוהה יחסית | צלם: יח"צ

לטענת טרי פורסלוף, לא צריך לקפוץ למסקנות מכך שלינוקס הייתה מערכת ההפעלה היחידה שלא נפרצה בתחרות. את המחמאות היא שומרת דווקא למיקרוסופט

02.04.08 | 17:01  IDG
Software | Security | Microsoft

אנשים לא צריכים לקפוץ למסקנות חפוזות בעקבות העובדה שמתוך שלושת המחשבים הניידים שהשתתפו בשבוע שעבר בתחרות ההאקרים "PWN to OWN", היחיד שלא נפרץ היה זה שהריץ מערכת הפעלה לינוקס, כך טוענת היום חוקרת האבטחה שניהלה את התחרות.

"פשוט לא הייתה כל התעניינות באובונטו", אומרת טרי פורסלוף, מנהלת תגובות האבטחה של TippingPoing, חברת בת של תאגיד 3Com, שהייתה זו שפרשה את חסותה על האירוע. "תחרות כמו זו אינה אמת מידה להשוואה בין רמות האבטחה של מערכות ההפעלה. לא מדובר על ברומטר מדויק".

לדבריה, העובדה שמחשב הסוני הנייד שהריץ אובונטו 7.10 היה היחיד שלא נפרץ אינה אומר שמערכת ההפעלה שלו בטוחה יותר בהשוואה למקינטוש או לויסטה, שתי המערכות האחרות שהשתתפו בתחרות.

"למעשה, היה מדובר על חוסר עניין מצידם של ההאקרים בתחרות", אומרת פורסלוף. "המתקפה של שיין מקאולי למשל (פרטים בהמשך) הייתה עובדת בקלות גם על לינוקס. אבל המתחרים מפיקים הרבה יותר תועלת ותשומת לב ממתקפות על מק או חלונות", היא מסבירה.

מתוך שלושת המחשבים, הראשון שנפרץ היה ה-MacBook Air. הדבר נעשה ביום חמישי שעבר, היום השני של התחרות, על ידי האקר בשם צ'ארלי מילר, תוך שימוש בנקודת תורפה לא מוכרת בדפדפן הספארי. למחרת, ביום שישי, פרץ מקאולי למחשב הפוג'יטסו שהריץ מערכת הפעלה של ויסטה שכללה את חבילת השירות הראשונה (SP1), זאת תוך שימוש בנקודת תורפה בתוכנת הפלאש של אדובי.

בשני המקרים גרפו ההאקרים פרס כספי נאה בתמורה לנקודות התורפה החדשות אותן גילו -10,000 דולר למילר ו-5,000 דולר למקאולי. נקודות התורפה גם דווחו לאפל ולאדובי על מנת שתוכלנה לתקן אותן בהקדם.

היום הראשון של PWN to OWN תוכנן כך שניתן יהיה לעשות שימוש אך ורק במתקפות דרך הרשת, ולהאקרים לא ניתנה כל גישה למערכות ההפעלה עצמן. כתוצאה מכך איש לא הצליח לפרוץ לאף אחד משלושת המחשבים באותו יום. רק למחרת, לאחר שרמת החשיפה של המחשבים הורחבה, תחילה כך שתכלול שימוש ביישומים מקומיים שמותקנים על מערכות ההפעלה כברירת מחדל, ולאחר מכן גם לקבוצה גדולה יותר של תוכנות צד שלישי, רק אז נפרצו ה-MacBook Air והפוג'יטסו.

"למען האמת, לא ציפינו שמישהו יצליח ביום הראשון", אומרת פורסלוף. לא זו בלבד שקשה מאוד לזהות ולנצל נקודות תורפה שעומדות בקריטריונים של היום הראשון, אלא שהן ככל הנראה שוות הרבה יותר מ-20,000 הדולרים אותם הציעה TippingPoint באותו יום, היא מסבירה.

"התחרות שלנו מלמדת שנקודות התורפה מטפסות במעלה פירמידת היישומים", טוענת פורסלוף. המגמה של מעבר מתקיפה של מערכת ההפעלה עצמה לתקיפה של היישומים שרצים עליה הולכת ומתרחבת כבר חודשים רבים. כיום, הרוב המכריע של נקודות התורפה שמתגלות הן נקודות תורפה ביישומים מקומיים כגון דפדפני אינטרנט, מיקרוסופט וורד, Adobe Reader, ואחרים.

חלק מהמעבר לתקיפה של יישומים נכפה על האקרים בגלל העובדה שמערכות ההפעלה עצמן הופכות מאובטחות יותר ויותר, אומרת פורסלוף. התחרות של השנה הדגימה את זה יפה כאשר מקאולי התקשה מאוד בתחילה לפרוץ לפוג'יטסו שהריץ את Vista SP1.

"SP1 היוותה אתגר עצום עבורו", מספרת פורסלוף. "כאשר הוא נכנס לחדר בו התקיימה התחרות, הוא היה מאוד בטוח בעצמו. הוא אמר שהוא עומד לפרוץ למחשב בתוך 2 דקות. הוא אמר שהוא עומד להדהים את הקהל".

אבל זה לא מה שקרה, לפחות לא בשלב הראשון. מקאולי הכין מתקפה, אומרת פורסלוף, אבל הוא לא בחן אותה מראש מול ויסטה שכוללת את SP1, חבילת השירות ששוחררה באופן רשמי רק לפני שבועיים.

"מיקרוסופט הכניסה למערכת ההפעלה הרבה דברים חדשים על מנת להקשות על תוקפים", מסבירה פורסלוף. "מקאולי צריך היה לשלוף כמה וכמה טריקים מהשרוול על מנת לגרום למתקפה אותה הכין לעבוד על SP1".

פורסלוף טוענת עוד שנקודת התורפה בתוכנת הפלאש בה עשה מקאולי שימוש על מנת לחדור לויסטה היא למעשה מאפיין חוצה פלטפורמות, ולכן קיימת גם על Mac OS X וגם על לינוקס. לדבריה, מקאולי יכול היה בקלות רבה לפרוץ לכל אחד משני המחשבים האחרים.

"הקושי הגדול בו נתקל מקאולי בניסיון לנצל את נקודת התורפה בפלאש מראה שמיקרוסופט החלה להערים יותר קשיים בדרכם של האקרים", אומרת פורסלוף. "כמה מאסטרטגיות האבטחה החדשות של החברה מקשות מאוד על החדירה למחשב. לכל מערכת ניתן בסופו של דבר לפרוץ, החוכמה היא לבנות מערכות שייהפכו את מלאכת הפריצה למסובכת יותר, ובכך יצמצמו את מספר האנשים שמסוגלים לעשות זאת", היא מסכמת.

פורמט להדפסה

שלח באימייל

חזרה למעלה

כתובת המייל של השולח:
כתובת המייל של הנמען:
נושא ההודעה:
תוכן ההודעה:קישור לכתבה: <a href='http://it.themarker.com/tmit/article/3190'>http://it.themarker.com/tmit/article/3190</a>

סגורשלח

כתבות נוספות

• Security
• Software
• Microsoft

• 
  מיקרוסופט תשיק אנטי וירוס חינמי
  
  Security | Microsoft
• 
  הסטארט אפ הישראלי ג'ד-אי ישתף פעולה עם יבמ
  
  Security | Hardware | Israeli Hi-Tech and Startups
• 
  שורף את המועדון: העובד שפוטר איים לחבל בשרתי החברה
  
  Security | Career | Storage

עוד בחדשות >>

• 
  פיירפוקס: מספר ההורדות התוספים חצה את קו המיליארד
  
  Internet | Software
• 
  האיש שחצה את הרובי-קון
  
  Software
• 
  "התוכנה שלנו מתעמתת עם המשתמש - בשונה מתוכנות לשירות לקוחות למשל"
  
  Software | Israeli Hi-Tech and Startups

עוד בחדשות >>

• 
  מיקרוסופט קוברת האפשרות לעסקת יאהו
  
  Microsoft
• 
  מיקרוסופט תשיק אנטי וירוס חינמי
  
  Security | Microsoft
• 
  מיקרוסופט מחבקת את הארגונים בענן
  
  Microsoft

עוד בחדשות >>

9 תגובות ב-7 דיונים

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

בהגיבי על הכתבה הנני מסכים לתוכן ההצהרה

7 מחמאות למיקרוסופט? תרגוםנועם06.04.2008 | 16:23

זה שפרץ לויסטה הכין פריצה לויסטה לפני SP1, ושכח לבדוק אותה על SP1. בגלל ש-"מיקרוסופט הכניסה למערכת ההפעלה הרבה דברים חדשים על מנת להקשות על תוקפים", לקח לו שעתיים לפרוץ למערכת. כלומר עבודה של מיליון מהנדסים במיקרוסופט שווה שעתיים עבודה של פורץ. באמת כל הכבוד למיקרוסופט

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

6 לקפוץ למסקנות=זה לא עבריתzeev05.04.2008 | 15:44

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

5 about Terri Forsloflarry03.04.2008 | 11:23

Terri Forslof is a former security program manager for the Microsoft Security Response Center. Linux is not Windows and naturally much harder to hack and even more harder to gain complete control over. Linux distributions are very different, kernel/user space, all this complicates the attack. Linux runs on about half of WEB servers, so there are some incentives to break into the system. Also this is important to understand, that Linux is only kernel and relatively small GNU source based user space. Most of what Linux user sees on the screen is part of specific distribution. Even Linux kernel configuration differs in significant way between installations. From 600MB CD of Ubuntu Linux kernel and set of command line tools occupy may be 20%. It means, that hack which works for Ubuntu can fail on SUSE box and so on

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

4 זה קישקוש איש סיסטם03.04.2008 | 10:34

הסיבה שלא פרצו את לינוקס היא שמאוד קשה לפרוץ אותה. אנשים מאבדים עניין מול משימה בלתי אפשרית. האתגר לפרוץ את לינוקס הוא ענק משתי סיבות. מספר הפריצות הידועות הוא מאוד נמוך. פריצה ללינוקס היא בעלת יוקרה גבוהה מאוד, חלונות ומאק נפרצות כל שני וחמישי.

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

3 MS advertisement ?larry03.04.2008 | 10:02

i do not have Flash in my Linux box. I do have a virtual Windows with Flash installed, but this is a virtual OS running under Linux. Adobe Flash is not open source and does NOT arrive with Ubuntu. Flash is part of standard installation on the most Windows based laptops. This is where the problems start. I think that this article is sponsored by MS directly or indirectly,

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

נסה את מנדריבההפתרון04.04.2008 | 01:02

גרסת One מגיעה עם flash. אפשר גם לקבל חינם מ- http://mandriva.co.il

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

ככה זה אכן נראהsuspicious03.04.2008 | 11:26

כמו קידום מיקרוסופטי טיפוסי.

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

2 להאקרים אין סיבה לפרוץ אריק03.04.2008 | 07:42

ללינוקס. האקרים יצרו את לינוקס. לינוקס היא התגשמות החלום שלהם ושל כל מי שלא אוהב שמגבילים אותו עם מע' הפעלה גרועה ועושים עליו קופה. גם אני מודה ומתוודה-עוד לא אזרתי מספיק אומץ לעבור ללינוקס, אבל זה יקרה בקרוב. אני רואה את זה כחובה מוסרית.

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן:

1 לחשוב שונהחופשי ובטוח02.04.2008 | 23:48

לחשוב אחרת זה חלק מהאבטחה. מנדריבה ולינוקס חושבים אחרת ומספקים אבטחה טובה יותר.

מחבר:יש למלא מחבר
נושא:יש למלא נושא

תוכן: