Avatud lähtekoodiga turvalisus tõmbab kriitikat
Eelmisel nädalal teatas Poola turvafirma iSec Security Research viimases Linuxi tuumikust kolm uut haavatavust, mis võimaldas ründajal masinaga oma privileege tõsta ja administraatorina käivitada programme.
Need on just viimaste kuude jooksul Linuxis leitud tõsised või kriitilised turvaaukud. Microsoft juhatusel on ilmselt mõni lõbustus või vähemalt mingi kergenduse irooniline avastamine, et avatud lähtekoodiga peaks olema turvalisem ja need kriitilised vead siiski leiavad.
See jätab mulje kaubamärgist, kuigi minu arvates väidetakse, et avatud lähtekoodiga tarkvara on vaikimisi turvalisem. Alustuseks usun, et tarkvara on nii turvaline kui kasutaja või administraator, kes seda konfigureerib ja haldab. Kuigi mõned võivad väita, et Linux on kasti turvalisem, on tõrgeteta Linuxi kasutaja sama ebakindel kui unikaalne Microsoft Windowsi kasutaja.
Teine aspekt on selles, et arendajad on endiselt inimlikud. Tuhandetest ja miljonist rida koodist, mis moodustavad operatsioonisüsteemi, tundub õiglane öelda, et midagi võib saada vastamata ja lõpuks avastatakse haavatavus.
Selles seisneb erinevus avatud lähtekoodiga ja omandiõigusega. EEye Digital Security teavitas Microsofti ASN.1 rakendamisest tulenevaid vigu kaheksa kuu jooksul, enne kui nad teatasid haavatavusest avalikult ja said plaastri. Need olid kaheksa kuud, mille jooksul halvad poisid võisid viga avastada ja seda ära kasutada.
Teisest küljest avanev allikas kipub parandama ja ajakohastama palju kiiremini. Nii palju arendajaid on juurdepääs lähtekoodile, kui viga või haavatavus avastatakse ja teatas, et plaaster või värskendus on võimalikult kiiresti välja antud. Linux on ebaõige, kuid avatud lähtekoodiga ühendus näib reageerides probleemidele palju kiiremini, kui need tekivad, ja vastavatele värskendustele reageerida palju kiiremini kui püüda haavatavuse olemasolu matta, kuni nad hakkavad sellega tegelema.
See tähendab, et Linuxi kasutajad peaksid olema teadlikud nendest uutest haavatavustest ja veendumaks, et nad jäävad kursis nende vastavate Linuxi müüjate värskeimate värskenduste ja värskendustega. Üheks puuduseks nende puuduste puhul on see, et neid ei kasutata eemalt. See tähendab, et rünnata süsteemi, kasutades neid haavatavusi, peab ründajal olema füüsiline juurdepääs masinale.
Paljud turvalisuse eksperdid leiavad, et kui ründajal on füüsiline juurdepääs arvutile, on kindad väljalülitatud ja peaaegu igasugune turvalisus on lõpuks möödas. Kõige ohtlikumad on kaugjuhitavad haavatavused - puudused, mida võib rünnata süsteemides kaugel või väljaspool kohalikku võrku.
Lisateabe saamiseks vaadake käesoleva artikli paremal pool üksikasjalikke iSec Security Researchi haavatavuse kirjeldusi.