Упрощение безопасности до уровня бесполезности

На этой неделе прошел очередной конкурс Pwn2Own в рамках конференции CanSecWest, где опять подготовленным зараннее методом быстренько “взломали” Safari на Маке. О прошлогоднем состязании можно прочитать здесь. Другими “жертвами” конкурса были Windows 7 с Internet Explorer 8 и Google Chrome. Во многих новостных ресурсах это, конечно же, будет подаваться как “очередное доказательство ущербности Mac OS X” или же того, что “Mac OS X ничем не лучше Windows”.
Саму эту тему мы оставим для флеймов на форумах или в комментариях (кто ж вспомнит, что в Mac OS X обычно взламывают через различные пакеты с открытыми исходными кодами, которые даже не Apple разрабатывает) но мне тут попались на глаза интересные комментарии по поводу общей бесполезности этого соревнования, и я решил поделиться ими с вами.
————–
“Упрощение безопасности до уровня бесполезности”
Слишком сильное упрощение подачи результатов соревнования Pwn2Own в СМИ послужило поводом для критики того, как изображается это соревнование и как оно проводится. Это “упрощение безопасности до уровня бесполезности”, прокомментировал Джефф Джонс (Jeff Jones), директор группы Microsoft по безопасности.

В прошлом году Джонс прокомментировал это в своем блоге, где написал: “Мне плевать на эти соревнования “взлом коробки”. Если компьютер не взломали, это не означает, что его невозможно взломать. Если его взломали, это просто показывает то, что мы и так знаем — любой компьютер можно взломать при правильных обстоятельствах. Так что особо не принимайте близко к сердцу результаты Pwn2Own. Я не принимаю.”
В прошлом году на результаты повлияло и произвольное время выхода обновлений, при котором успешный взлом Сафари не попал в цикл обновлений Apple, а другие исследователи, вооруженные информацией о Windows Vista, обломались из-за выхода в последний момент Vista Service Pack 1.
Соревнование также в какой-то мере оторвано от реальности из-за факта, что там выставляется текущая версия Mac OS X против новой версии Windows, которая не отражает ситуации с версией, на которой в тот момент работает большинство пользователей. В прошлом году Vista использовали только небольшая группа первопроходцев (да и сейчас менее четверти пользователей использует Vista), а SP1 был настолько новый и проблематичный, что PC World советовал пользователям не устанавливать его до тех пор, пока “не исправят все проблемы”.
[ad#intext-inside]
В этом году использование еще невышедшей Windows 7, к которой у исследователей не было достаточно доступа, чтобы ее изучить, вместе с тем фактом, что Microsoft открыто предупредила пользователей не использовать ее в рабочей среде, вызывает ощущения, что Pwn2Own больше относится к теоретическим играм, чем к реальным вопросам безопасности, которые важны для конечных пользователей.
Безопасность в реальном мире
Проблемы безопасности реального мира, которые оказывают воздействия на пользователей Windows сегодня, относятся к факту, что для Windows не только обнаружено большее количество уязвимостей, но и то, что эти уязвимости активно используются для разработки вирусов, спайвер, рекламного ПО и прочих гадостей. Более того, есть огромное количество компьютеров, которые не обновляются вовремя патчами, которые уже выпущены, что приводит к созданию огромных бот-сетей, которые активно распространяют атаки на другие системы. Эти две проблемы накладываются друг на друга, и создают общий кризис безопасности Windows.
И хотя эксперты любят говорить о многих обнаруженных уязвимостях, часто забывая правильно сравнивать похожий код на каждой стороне (например, Mac OS X, которая унаследует уязвимости, обнаруженные в опциональных серверных приложениях с открытыми исходными кодами, Java и в других компонентах, которые не учитываются на стороне Windows), основная проблема — это активная эксплуатация этих уязвимостей. У Mac OS X по-прежнему нет настоящих вирусов, в то время как пользователи Windows продлолжают страдать от вирусов, спайвер и прочих проблем безопасности.
И в то же время, однако, технологические СМИ рекламируют CanSecWest как “состязание в безопасности”, описывая в статье как “браузеры на Windows еще держались” после успешного применения атаки на Мак, как будто Windows как-то успешно уклонилась от взлома, хотя на самом деле просто не являлась мишенью его атаки на открытый исходный код.
[ad#intext-inside]
Internet Explorer 8 на компьютере с Windows “пал” чуть позже от атаки другого исследователя, который называет себя Nil, а после этого он продемонстрировал и успешный взлом браузера Firefox.
Отсюда