Atvērtā koda drošība vērš kritiku
Pagājušajā nedēļā Polijas drošības firma iSec Security Research pēdējā Linux kodolā paziņoja par trim jaunām ievainojamībām, kas varētu ļaut uzbrucējam paaugstināt savas tiesības uz iekārtu un izpildīt programmas kā administratora administratoru.
Šie ir tikai jaunākie vairāku nopietnu vai kritisku drošības ievainojamību, kas pēdējo dažu mēnešu laikā atklāti Linux. Microsoft dēļa galda istabā, iespējams, izpaužas kāda izklaide vai vismaz šķietama atvieglojuma sajūta no ironijas, ka atvērtā koda drošība ir vēl drošāka, tomēr šīs kritiskās kļūdas joprojām tiek atklātas.
Tas, manuprāt, neļauj izmantot preču zīmi, lai apgalvotu, ka pēc noklusējuma atvērtā koda programmatūra ir drošāka. Sākotnēji es uzskatu, ka programmatūra ir tik droša kā lietotājs vai administrators, kurš to konfigurē un uztur. Lai gan daži var apgalvot, ka Linux ir drošāks no kastes, neierobežots Linux lietotājs ir tikpat nedrošs kā neuzticams Microsoft Windows lietotājs.
Otrs aspekts ir tas, ka izstrādātāji joprojām ir cilvēki. No tūkstošiem un miljoniem koda rindiņas, kas veido operētājsistēmu, šķiet taisnīgi teikt, ka kaut kas varētu tikt izlaists un galu galā tiks atklāta ievainojamība.
Tajā ir atšķirība starp atvērtā koda un patentēto. EEye Digital Security Microsoft paziņoja par kļūdām, kas saistītas ar ASN.1 ieviešanu, astoņus mēnešus pirms tās publiski paziņoja par ievainojamību un izlaida plāksteri. Tie bija astoņi mēneši, kuru laikā sliktie puiši varēja atklāt un izmantot šo trūkumu.
No otras puses, atvērtā koda tendence kļūst ielīmēta un atjaunināta daudz ātrāk. Ir tik daudz izstrādātāju ar piekļuvi avota kodam, kas pēc tam, kad ir atklāts trūkums vai ievainojamība, un paziņo, ka plāksteris vai atjauninājums tiek izlaists pēc iespējas ātrāk. Linux ir kļūdaini, bet atvērtā koda kopiena, šķiet, reaģē daudz ātrāk ar problēmām, kad tās rodas, un reaģē ar atbilstošajiem atjauninājumiem daudz ātrāk, nekā mēģina apglabāt neaizsargātības esamību, kamēr netiks galā ar to.
Tas nozīmē, ka Linux lietotājiem ir jāapzinās šīs jaunās neaizsargātās vietas un jāpārliecinās, ka viņi ir informēti par jaunākajiem plāksteriem un atjauninājumiem no saviem attiecīgajiem Linux pārdevējiem. Viens no šiem trūkumiem ir tas, ka tie nav izmantojami attālināti. Tas nozīmē, ka, lai uzbruktu sistēmai, izmantojot šīs vājās vietas, uzbrucējam ir jābūt fiziskai piekļuvei mašīnai.
Daudzi drošības speciālisti piekrīt, ka, ja uzbrucējam ir fiziska piekļuve datoram, cimdi ir izslēgti un gandrīz jebkuru drošību iespējams apiet. Tas ir attālināti izmantoti ievainojamības - trūkumi, kurus var uzbrukt no sistēmām, kas tālu vai ārpus vietējā tīkla, kas rada visvairāk briesmas.
Lai iegūtu papildinformāciju, skatiet iSec Security Research detalizētos ievainojamības aprakstus pa labi no šī raksta.