Open Source Security přináší kritiku
Minulý týden polská bezpečnostní firma iSec Security Research oznámila tři nejnovější chyby zabezpečení v nejnovějším jádře Linuxu, které by umožnilo útočníkovi zvýšit oprávnění na zařízení a spustit programy jako kořenový administrátor.
Jedná se pouze o poslední z řady vážných nebo kritických bezpečnostních zranitelností zjištěných v Linuxu během posledních několika měsíců. Desková místnost společnosti Microsoft pravděpodobně získává nějakou zábavu, nebo alespoň pocit úlevy, z ironie, že otevřený zdroj má být bezpečnější a přesto se tyto kritické chyby nadále nacházejí.
Chybí mi to, i když podle mého názoru tvrdí, že software s otevřeným zdrojovým kódem je ve výchozím nastavení bezpečnější. Pro začátek jsem přesvědčen, že software je pouze tak bezpečný jako uživatel nebo správce, který jej nakonfiguruje a udržuje. Ačkoli někteří mohou tvrdit, že Linux je bezpečnější z krabice, bezbožný uživatel Linuxu je stejně nejistý jako bezradný uživatel Microsoft Windows.
Druhým aspektem je, že vývojáři jsou stále lidskí. Z tisíců a milionů řádků kódu, které tvoří operační systém, se zdá být správné říci, že by se něco mohlo ztratit a nakonec by se objevila zranitelnost.
V tom spočívá rozdíl mezi otevřeným a proprietárním. Společnost Microsoft oznámila společnosti EEye Digital Security chyby při implementaci ASN.1 osm měsíců předtím, než veřejně oznámily tuto chybu veřejně a vydala opravu. Bylo to osm měsíců, během kterých mohli padouchy objevit a zneužít tuto chybu.
Otevřený zdroj na druhou stranu má tendenci dostávat opravy a aktualizace mnohem rychleji. Existuje tolik vývojářů, kteří mají přístup k zdrojovému kódu, a to jakmile je zjištěna chyba nebo chyba zabezpečení, a co nejrychleji je uvolněna aktualizace nebo aktualizace. Linux je omylný, komunita s otevřeným zdrojovým kódem se zdá, že reaguje mnohem rychleji na problémy, které vznikají, a reaguje s odpovídajícími aktualizacemi mnohem rychleji, než aby se pokoušela pohřbít existenci této zranitelnosti, dokud se neobejdou.
Uživatelé systému Linux by si měli být vědomi těchto nových zranitelností a ujistit se, že budou informováni o nejnovějších opravách a aktualizacích od svých prodejců Linuxu. Jedna věc s těmito nedostatky je, že nejsou vzdáleně využitelná. To znamená, že útok na systém pomocí těchto zranitelností vyžaduje, aby útočník měl fyzický přístup k počítači.
Mnozí bezpečnostní experti se shodují, že jakmile má útočník fyzický přístup k počítači, rukavice jsou vypnuté a téměř jakákoli bezpečnost může být nakonec vynechána. Jedná se o vzdáleně využívané zranitelnosti - chyby, které mohou být napadeny ze systémů vzdálených nebo mimo místní síti - které představují nejvíce nebezpečí.
Další informace naleznete v podrobném popisu chyby zabezpečení z výzkumu iSec Security Research napravo od tohoto článku.