Охраняемостта с отворен код привлича критика
Миналата седмица бяха обявени три нови уязвимости от полската фирма за сигурност iSec Security Research в най-новото ядро на Linux, което би позволило на атакуващия да издигне привилегиите си на машината и да изпълни програмите като администратор на root.
Това са само последното от поредица от сериозни или критични уязвимости в сигурността, открити в Linux през последните няколко месеца. В залата на Microsoft вероятно ще се развесели, или поне ще се почувства малко облекчение, от иронията, че отвореният код се очаква да бъде по-сигурен и все пак тези критични недостатъци продължават да бъдат намерени.
Липсва марката, въпреки че по мое мнение може да се твърди, че софтуерът с отворен код е по-сигурен по подразбиране. За начало смятам, че софтуерът е толкова сигурен, колкото потребител или администратор, който го конфигурира и поддържа. Въпреки че някои могат да твърдят, че Linux е по-сигурен от кутията, един безсмислен потребител на Linux е също толкова несигурен, колкото и безмилостния потребител на Microsoft Windows.
Другият аспект е, че разработчиците са все още човешки. От хилядите и милионите кодове на кода, които съставят операционна система, изглежда честно да се каже, че нещо може да се пропусне и в крайна сметка ще бъде открита уязвимост.
В това се състои разликата между отворен код и собственост. Microsoft беше уведомена от EEye Digital Security за недостатъците при прилагането на ASN.1 осем месеца, преди да обяви окончателно уязвимостта публично и да пусне кръпка. Това бяха осем месеца, през които лошите могли да открият и експлоатират недостатъка.
Отвореният източник от друга страна има тенденция да се запълва и актуализира много по-бързо. Има толкова много разработчици, които имат достъп до изходния код, че след като бъде открит недостатък или уязвимост и е обявен кръпка или актуализация се пускат възможно най-бързо. Линуксът е погрешен, но общността с отворен код изглежда реагира много по-бързо на проблемите, когато те възникнат, и реагира с подходящите актуализации много по-бързо, отколкото да се опитва да погребе съществуването на уязвимостта, докато не се захване с нея.
Това каза, че потребителите на Linux трябва да са наясно с тези нови уязвимости и да са сигурни, че ще останат информирани за последните кръпки и актуализации от техните доставчици на Linux. Едно предупреждение с тези недостатъци е, че те не могат да бъдат експлоатирани от разстояние. Това означава, че да атакувате системата, като използвате тези уязвимости, изисква нападателя да има физически достъп до машината.
Много експерти по сигурността се съгласяват, че след като нападателят има физически достъп до компютър, ръкавиците са изключени и почти всяка сигурност може да бъде окончателно заобиколена. Това са отдалечено експлоатираните уязвимости - недостатъци, които могат да бъдат атакувани от системи далеч или извън локалната мрежа - които представляват най-голямата опасност.
За повече информация разгледайте подробните описания на уязвимостта от iSec Security Research отдясно на тази статия.