К вопросу о дырявом софте

На проходящей в эти дни конференции по безопасности CanSecWest 2009 завершился первый этап конкурса Pwn2Own, предполагающий взлом компьютерных систем через браузер. Причем завершился прогнозируемо :)

Участникам предлагались два стандартных ноутбука под управлением Windows 7 (с IE8, Firefox и Safari) и Mac OS X (Firefox и Safari). Первый этап – самый сложный, поскольку не предполагает ни наличия дополнительного софта (даже плагинов), ни дополнительных действий пользователя, кроме перехода по указанной ссылке.

Однако следующие этапы фактически потеряли смысл (хотя наверняка все-равно будут проводиться), поскольку оба ноутбука были успешно взломаны и выиграны (по условиям конкурса они представляют часть приза). Первым «ушел» MacBook – Чарли Миллеру, улучшившему свой прошлогодний результат (тогда первой также пала Mac OS X с Safari), на это понадобились считанные секунды.

А на платформе Windows, хоть и не так быстро, были последовательно взломаны все браузеры, за счет чего хакер Нилс смог конкретно поправить свое материальное положение (кроме самого ноутбука он получил по $5 тыс. за каждую успешную операцию).

Некоторые дополнительные подробности можно почитать на блогах участников конференции, например здесь. Напомню также, что по условиям конкурса Pwn2Own могут применяться только неизвестные до этих пор уязвимости. Т.е. как минимум мы имеем три Zero Day дырки.

Имеет ли смысл в свете этих фактов всерьез рассуждать о том, что какая-то платформа/программа безопасней или надежней другой? Хотя да, Linux не была взломана ни разу ;)