Avoimen lähdekoodin turvaaminen kritisoi
Viime viikolla Puolan tietoturvayhtiö iSec Security Researchin viimeisimmässä Linux-ytimessä ilmoitti kolme uutta haavoittuvuutta, joiden avulla hyökkääjä voi nostaa käyttöoikeutensa koneeseen ja suorittaa ohjelmia pääkäyttäjänä.
Nämä ovat viimeisimmät sarjassa vakavia tai kriittisiä turvallisuusongelmia, jotka Linuxissa havaittiin viime kuukausina. Microsoftin hallituksen huone on luultavasti saamassa jonkin verran iloa, tai ainakin tuntuu helpolta ironialta, että avoimen lähdekoodin on tarkoitus olla turvallisempi, mutta nämä kriittiset puutteet ovat edelleen löydettävissä.
Se puuttuu merkki vaikka mielestäni väittää, että avoimen lähdekoodin ohjelmisto on turvallisempi oletuksena. Aloittelijoille, uskon, että ohjelmisto on yhtä turvallinen kuin käyttäjä tai ylläpitäjä, joka konfiguroi ja ylläpitää sitä. Vaikka jotkut saattavat väittää, että Linux on turvallisempi ulos laatikosta, selkeä Linux-käyttäjä on aivan yhtä turvaton kuin selkeä Microsoft Windows -käyttäjä.
Toinen seikka on se, että kehittäjät ovat yhä ihmisiä. Kymmenestä tuhannesta ja miljoonasta koodikohdasta, joka muodostaa käyttöjärjestelmän, näyttää oikeudenmukaiselta sanoa, että jotain saatetaan kadota ja lopulta löytyy haavoittuvuus.
Siinä on ero avoimen lähdekoodin ja omaisuuden välillä. EEye Digital Security ilmoitti Microsoftin ilmoittamasta virheistä ASN.1: n toteuttamisessa kahdeksan kuukautta ennen kuin he lopulta ilmoittivat haavoittuvuuden julkisesti ja julkaisivat laastarin. Ne olivat kahdeksan kuukautta, joiden aikana pahat ihmiset olisivat löytäneet ja hyödyntäneet virheen.
Toisaalta avoin lähdekoodi pyrkii päivittämään ja päivittämään paljon nopeammin. On niin paljon kehittäjiä, joilla on pääsy lähdekoodiin, kun virhe tai haavoittuvuus havaitaan ja ilmoitetaan, että korjaus tai päivitys vapautetaan mahdollisimman nopeasti. Linux on epäasianmukainen, mutta avoimen lähdekoodin yhteisö näyttää reagoivan paljon nopeammin kysymyksiin, kun ne alkavat, ja vastaamaan asianmukaisiin päivityksiin paljon nopeammin sen sijaan, että yrittävät haudata haavoittuvuuden olemassaoloa, kunnes ne pääsevät käsittelemään sitä.
Linux-käyttäjien pitäisi olla tietoisia näistä uusista haavoittuvuuksista ja varmista, että he ovat tietoisia viimeisimmistä korjauksista ja päivityksistä omilta Linux-myyjiltään. Yksi näistä puutteista on se, että niitä ei voida hyödyntää etänä. Tämä tarkoittaa, että järjestelmän hyökkäys käyttämällä näitä haavoittuvuuksia edellyttää, että hyökkääjällä on fyysinen pääsy koneeseen.
Monet tietoturva-asiantuntijat ovat yhtä mieltä siitä, että kun hyökkääjällä on fyysinen pääsy tietokoneeseen, käsineet ovat poissa käytöstä ja lähes kaikki tietoturva voi lopulta ohittaa. Kaikkein vaarallisimmat haavoittuvuudet - virheet, joita voidaan hyökätä järjestelmistä, jotka ovat kaukana tai paikallisen verkon ulkopuolella - ovat vaaraksi.
Lisätietoja on tämän artikkelin oikealla puolella olevista iSec Security Researchin yksityiskohtaisista haavoittuvuuksista.