Linux больше не является панацеей для хакеров. Ubuntu, самый популярный дистрибутив Linux, обнаружил гигантские уязвимости нулевого дня, для которых у разработчиков еще нет патчей. Их определили в рамках хакатона всего за несколько часов, причем некоторым участникам удалось проэксплуатировать обнаруженные ранее «дыры». Разработчики по неизвестным причинам не спешат их устранять.

Переход на линукс не поможет

Ubuntu OC, самый известный и популярный дистрибутив Linux, оказался самым опасным для пользователей. Менее чем за три дня хакеры выявили три основные уязвимости нулевого дня, которые теоретически могли существовать в системе месяцами или даже годами. Портал Truelist писал в начале 2023 года, что Ubuntu установлена ​​на 33,9% компьютеров с Linux по всему миру.

Термин «уязвимость нулевого дня» (0-day) относится к пробелу в программном обеспечении, для которого нет обновления, устраняющего его. Другими словами, пользователи, которые регулярно обновляют используемое ими программное обеспечение, и те, кто предпочитает использовать старые, но проверенные и стабильные версии программ, также подвержены его эксплуатации.

В случае с Ubuntu разработчикам в лице Canonical удается не ударить в грязь лицом и быстро выпустить исправления для всех трех уязвимостей до того, как их начнут активно эксплуатировать хакеры. Участники хакатона Pwn2Own, то есть в некотором роде «белые хакеры», смогли выявить «дыры» — за свои достижения они получили от организаторов и спонсоров мероприятия крупные суммы денег, так что этот конкурс может можно рассматривать как своего рода программу Bug Bounty. В России подобные инициативы, как сообщает CNews, не очень хорошо воспринимаются правоохранительными органами.

ЧИТАТЬ   «Все будет дороже и хуже». Как отказ от зерновой сделки повлияет на экономику России

Кто взломал убунту

Хакер был среди тех, кто нашел «дыру» в Ubuntu во время Pwn2Own Кайл Зенг (Кайл Зенг) из команды ASU SEFCOM. Он обнаружил в системе бесплатную двойную уязвимость, за что получил приз в размере 30 000 долларов (2,293 млн рублей по курсу ЦБ на 27 марта 2023 года).

Отказ от Windows в пользу Ubuntu не гарантирует надежной защиты от пиратства.

Столько же выиграл пират Мин Чо (Минги Чо) от Теори. Эти деньги были уплачены организаторами за выявление уязвимости Use-After-Free.

Столько же $30 000 выиграл участник под псевдонимом Synacktiv, обнаруживший уязвимость, с помощью которой хакеры могут повысить права пользователей в системе.

Разработчики ничего не делают

В целом настольная операционная система Ubuntu была одной из главных целей конкурса Pwn2Own.

Систему несколько раз взламывали, и один из участников наглядно продемонстрировал, что специалисты Canonical не очень-то хотят обеспечивать безопасность пользователей своей ОС.

Сергей Бычков, ЦИТ Красноярского края: Киберармии сильнейших стран воюют в киберпространстве

безопасность

Хакер Бьен Фам из команды Qrious Security смог воспользоваться одной из ранее найденных уязвимостей в системе (ее индекс или хотя бы принцип работы не разглашается), за что получил 15 000 долларов (1,146 млн).

Нельзя исключать, что Ubuntu содержит массу «дыр», которые пока не выявлены, а также те, которые разработчики не спешат исправлять. Отметим также, что Canonical попала в список компаний, поддержавших западные санкции и отвернувшихся от России и их российских пользователей.

все честно

Организаторы Pwn2Own не стремились разрушить репутацию Ubuntu. Конкуренты также взломали другие системы, а некоторым даже удалось взломать автомобиль, который одна из многих компаний миллиардера Илона Маска совершенствовала почти шесть лет.

ЧИТАТЬ   ИИ используется не по назначению для создания вредоносного ПО, говорит канадский кибер-чиновник

Речь идет об электромобиле Tesla Model 3, который был создан в июле 2017 года. Выяснилось, что наиболее уязвимым к TOCTOU-атаке оказалось программное обеспечение автомобиля (time-of-check to time-of-use), что было легко продемонстрировано экспертами из команды Synacktiv. При этом они выиграли 100 000 долларов призовых (7,645 млн рублей) плюс новый седан Tesla Model 3, который только что сошел с конвейера.

Но всего этого участникам Synacktiv оказалось мало, и они взяли еще 40 000 долларов (3,058 млн рублей) у организаторов Pwn2Own, показав миру, что не только прошивка популярного американского автомобиля, но и вторая по распространенности в мире настольная ОС: Apple macOS. Ему принадлежит 16,26% мирового рынка настольных компьютеров по сравнению с 71,78% для Windows всех версий и 2,94% для всех существующих дистрибутивов Linux (данные StatCounter на февраль 2023 года).

Последняя ОС Windows 11 также обнаружила недостатки с точки зрения безопасности. Например, он подвержен уязвимости Use-After-Free и, как и Ubuntu, имеет скрытые способы повышения прав пользователей, которыми, вероятно, воспользуются хакеры. Выявление этих двух лазеек в системе Microsoft обогатило хакеров на сумму 60 000 долларов (4,587 млн ​​рублей).

Евгений Черкесов

Source

От admin