Odkrita varnostna varnost draži kritiko
Prejšnji teden je poljska varnostna družba iSec Security Research napovedala tri nove ranljivosti v najnovejših jedrcih Linuxa, ki bi napadalcu omogočile, da povlečejo svoje privilegije na računalniku in izvršujejo programe kot skrbnika korenin.
Te so le najnovejše v vrsti resnih ali kritičnih varnostnih ranljivosti, odkritih v Linuxu v zadnjih nekaj mesecih. Soba v Microsoftu je verjetno nekaj zabavnega ali vsaj občutka olajšave od ironije, da naj bi bil odprt vir bolj varen, vendar pa te ključne pomanjkljivosti še vedno najdemo.
Morda manjka znamka, po mojem mnenju pa trdim, da je odprtokodna programska oprema privzeto varnejša. Za začetek verjamem, da je programska oprema enako varna kot uporabnik ali skrbnik, ki ga konfigurira in vzdržuje. Čeprav nekateri morda trdijo, da je Linux varnejši od škatle, je brezhiben uporabnik Linuxa prav tako nezanesljiv kot neutrudljiv Microsoft Windows uporabnik.
Drugi vidik je, da so razvijalci še vedno človeški. Od tisočih in milijonov vrstic kode, ki sestavljajo operacijski sistem, se zdi pošteno reči, da se lahko zgodi, da se nekaj zgodi, in na koncu odkrijejo ranljivost.
V tem je razlika med odprtokodnim in lastniškim. Microsoft je EEye Digital Security obvestil o pomanjkljivostih z njihovim izvajanjem ASN.1 osem mesecev, preden so javno objavili ranljivost in javno objavili popravek. To je bilo osem mesecev, v katerem so lahko slabi ljudje odkrili in izkoristili napako.
Odprti vir, na drugi strani, se nagiba k hitremu in posodobljenemu posodabljanju. Obstaja toliko razvijalcev, ki imajo dostop do izvorne kode, da se po odkritju pomanjkljivosti ali ranljivosti odkrije, da je obliž ali posodobitev sproščena čim prej. Linux je zmotljiv, vendar se zdi, da se odprtokodna skupnost veliko hitreje odziva na težave, ko se pojavijo, in se z ustreznimi posodobitvami veliko hitreje odzovejo, namesto da poskušajo zakopati obstoj ranljivosti, dokler se ne lotijo obravnave.
To pomeni, da se uporabniki Linuxa morajo zavedati teh novih ranljivosti in poskrbeti, da bodo obveščeni o najnovejših popravkih in posodobitvah od svojih prodajalcev Linuxa. Ena opomena s temi pomanjkljivostmi je, da se ne izkoriščajo na daljavo. To pomeni, da za napad na sistem z uporabo teh ranljivosti zahteva, da ima napadalec fizični dostop do naprave.
Mnogi strokovnjaki s področja varnosti se strinjajo, da ko napadalec fizično dostopa do računalnika, so rokavice izklopljene in skorajda morebitna varnost lahko sčasoma obide. Gre za oddaljeno izkoriščane ranljivosti - pomanjkljivosti, ki jih je mogoče napadati iz sistemov daleč ali izven lokalnega omrežja - ki predstavljajo največjo nevarnost.
Za več informacij si oglejte podrobne opise ranljivosti iz iSec Security Research na desni strani tega članka.