Безбедноста со отворен код ја крие критиката
Минатата недела три нови ранливости беа објавени од страна на полската безбедносна фирма iSec Security Research во најновата Линукс кернел која може да дозволи напаѓачот да ги подигне своите привилегии на машината и да ги извршува програмите како администратор.
Овие се само најновите во серијата сериозни или критични безбедносни слабости откриени во Линукс во текот на изминатите неколку месеци. Собата на одборот во "Мајкрософт" најверојатно добива забава, или барем чувство на олеснување, од иронијата дека софтверот со отворен код треба да биде побезбеден и сепак овие критични недостатоци и понатаму се наоѓаат.
Тоа го промаши ознаката, иако според мое мислење тврдам дека софтверот со отворен код е посигурен по стандард. За почеток, верувам дека софтверот е само сигурен како корисник или администратор кој го конфигурира и одржува. Иако некои може да тврдат дека Линукс е посигурен надвор од кутијата, неслободниот корисник на Линукс е исто толку несигурен како несловен корисник на Microsoft Windows.
Другиот аспект на тоа е дека програмерите се уште се човечки. Од илјадници и милиони линии на код кои го сочинуваат оперативен систем, се чини фер да се каже дека нешто може да се пропушти и на крајот ќе се открие ранливост.
Во него лежи разликата помеѓу отворен код и комерцијален. Мајкрософт беше известен од страна на EEye Digital Security за недостатоците со нивната имплементација на ASN.1 осум месеци пред конечно да ја објави ранливоста јавно и да издаде лепенка. Оние беа осум месеци за време на кои лошите момци можеа да го откриваат и искористат мааната.
Софтверот со отворен код, од друга страна, има тенденција да се забрза и ажурира многу побрзо. Има толку многу програмери со пристап до изворниот код што некогаш е откриен недостаток или ранливост и најавуваше ажурирање или евиденција што е можно побрзо. Линукс е погрешен, но заедницата со отворен код се чини дека реагира многу побрзо на прашања како што се јавуваат и реагираат со соодветните ажурирања многу побрзо, наместо да се обидуваат да го погребаат постоењето на ранливоста се додека не се свртат кон справувањето со неа.
Тоа, рече, корисниците на Линукс треба да бидат свесни за овие нови пропусти и да се осигураат дека ќе бидат информирани за најновите закрпи и ажурирања од нивните продавачи на Линукс. Еден протест со овие недостатоци е тоа што тие не се искористуваат од далечина. Тоа значи дека за напад на системот со користење на овие слабости бара од напаѓачот физички пристап до машината.
Многу безбедносни експерти се согласуваат дека откако напаѓачот ќе има физички пристап до компјутер, ракавите се исклучени и речиси секоја безбедност може да биде заобиколена на крајот. Тоа се оддалечени експлоатирани пропусти - недостатоци кои можат да бидат нападнати од системи далеку или надвор од локалната мрежа - кои претставуваат најголема опасност.
За повеќе информации проверете детални описи на ранливост од iSec Security Research на правото на овој член.