Atvirojo kodo saugumas atkreipia dėmesį į kritiką
Praėjusią savaitę Lenkijos saugos tarnyba iSec Security Research paskelbė tris naujus pažeidžiamiausius elementus, kurie gali leisti užpuolėjui pakelti savo privilegijas į mašiną ir vykdyti programas kaip pagrindinį administratorių.
Tai yra tik naujausias iš keleto rimtų ar kritinių pažeidžiamumų, kuriuos Linux aptiko per pastaruosius keletą mėnesių. "Microsoft" valdybos kambarys tikriausiai atgauna tam tikrą atsipalaidavimą ar bent jau tam tikrą reljefą nuo ironijos, kad atvirojo kodo saugumas turėtų būti dar labiau išryškėjęs.
Nepaisant to, mano nuomone, jis praleidžia prekių ženklą, teigdamas, kad atvirojo kodo programinė įranga pagal nutylėjimą yra saugesnė. Pradedantiesiems, manau, kad programinė įranga yra tokia pat saugi, kaip ir vartotojas ar administratorius, kuris konfigūruoja ir prižiūri. Nors kai kurie gali teigti, kad "Linux" yra saugesnė negu dėžutė, "Clueless" Linux vartotojas yra toks pat nesaugus kaip nesąžiningas "Microsoft Windows" vartotojas.
Kitas aspektas yra tai, kad kūrėjai vis dar yra žmonės. Iš tūkstančių ir milijonų kodo linijos, sudarančios operacinę sistemą, atrodo teisinga teigti, kad kažkas gali būti praleistas, ir galiausiai bus aptiktos pažeidžiamumas.
Čia yra skirtumas tarp atvirojo kodo ir nuosavybės. "EEye Digital Security" apie "Microsoft" pranešė apie jų ASN.1 įgyvendinimo trūkumus aštuoni mėnesiai, kol jie galiausiai viešai paskelbė pažeidžiamumą ir išleido pataisą. Tai buvo aštuoni mėnesiai, per kuriuos blogi vaikinai galėjo aptikti ir išnaudoti trūkumus.
Kita vertus, atvirojo kodo tendencija yra pataisyta ir atnaujinama žymiai greičiau. Yra tiek daug kūrėjų, turintys prieigą prie šaltinio kodo, kai iškilus trūkiui arba pažeidžiamumui atsiranda ir paskelbia, kad pleistras arba atnaujinimas bus paleistas kuo greičiau. Linux yra klaidingas, tačiau atvirojo kodo bendruomenė, atrodo, greičiau reaguoja į problemas, kylančias jų atsiradimo metu, ir reaguoja su atitinkamais atnaujinimais daug greičiau, nei bando palaidoti pažeidžiamumo egzistavimą, kol nebus išspręsta problema.
Tačiau Linux vartotojai turėtų žinoti apie šias naujas pažeidžiamas vietas ir įsitikinti, ar jie lieka informuoti apie naujausius jų atitinkamų "Linux" tiekėjų pataisymus ir atnaujinimus. Viena iš šių trūkumų yra ta, kad jie nėra nuotoliniu būdu. Tai reiškia, kad atakuoti sistemą, naudojančią šias pažeidžiamas vietas, reikia, kad užpuolikas turėtų fizinę prieigą prie įrenginio.
Daugelis saugumo ekspertų sutinka, kad, kai užpuolikas turi fizinę prieigą prie kompiuterio, pirštinės yra išjungtos ir beveik bet koks saugumas galiausiai gali būti apeinamas. Tai yra nuotoliniu būdu išnaudojami pažeidžiamumai - trūkumai, kurie gali būti užpulti iš sistemų toli arba už vietinio tinklo, kurie kelia didžiausią pavojų.
Norėdami gauti daugiau informacijos, žr. ISec Security Research išsamius pažeidžiamumo aprašymus, pateiktus šio straipsnio dešinėje.