Sigurnost otvorenog izvora privlači kritike
Prošlog tjedna poljska sigurnosna tvrtka iSec Security Research objavila je tri nova ranjivosti u najnovijem Linux kernelu što bi moglo omogućiti napadaču da povisi svoje privilegije na stroj i izvršava programe kao root administrator.
Ovo su tek najnoviji u nizu ozbiljnih ili kritičnih sigurnosnih ranjivosti otkrivenih u Linuxu posljednjih nekoliko mjeseci. Soba za sastanke u Microsoftu vjerojatno je dobila zabavu, ili barem osjećala olakšanje, od ironije da bi otvoreni izvor trebao biti sigurniji, no i dalje se te kritične nedostatke mogu naći.
Nedostaje mi oznaka, iako po mom mišljenju tvrde da je softver otvorenog koda po sigurnost sigurniji. Za početak, vjerujem da je softver jednako siguran kao korisnik ili administrator koji ga konfigurira i održava. Iako neki mogu tvrditi da je Linux sigurniji od okvira, bezobzirni Linux korisnik jednako je nesiguran kao neupadljiv korisnik Microsoft Windows.
Drugi aspekt toga je da su programeri još uvijek ljudski. Od tisuća i milijuna linija koda koji čine operacijski sustav, čini se pravednim reći da nešto može biti propušteno i na kraju će se otkriti ranjivost.
Tu se nalazi razlika između open-source i proprietary. Microsoft je obavijestio EEye Digital Security o nedostatcima u implementaciji ASN.1 osam mjeseci prije nego što su konačno javno objavili ranjivost i objavili zakrpu. Bilo je osam mjeseci tijekom kojih su negativci mogli otkriti i iskoristiti taj nedostatak.
S druge strane, otvaranje izvora često skriva i ažurira puno brže. Postoji toliko mnogo programera s pristupom izvornom kodu koji jednom otkrivaju nedostatak ili ranjivost i najavljuju da se zakrpa ili ažuriranje oslobodi što je brže moguće. Linux je pogrešan, ali čini se da je zajednica otvorenog koda mnogo brže reagirala na pitanja koja nastaju i odgovoriti odgovarajućim ažuriranjima mnogo brže nego pokušavajući pokopati postojanje ranjivosti sve dok se ne približe tome.
To je rekao, Linux korisnici bi trebali biti svjesni tih novih ranjivosti i pobrinite se da ostanu informirani o najnovijim zakrpama i ažuriranjima od njihovih Linux prodavača. Jedna opomena s tim nedostatcima je da se oni ne mogu iskoristiti na daljinu. To znači da napad na sustav pomoću ovih ranjivosti zahtijeva da napadač ima fizički pristup stroju.
Mnogi sigurnosni stručnjaci se slažu da kada napadač ima fizički pristup računalu, rukavice su isključene i gotovo se sva sigurnost može konačno zaobići. To su daljinski iskorišteni ranjivosti - nedostaci koji mogu biti napadnuti iz sustava daleko ili izvan lokalne mreže - koji predstavljaju najveću opasnost.
Dodatne informacije potražite u detaljnim opisima ranjivosti iz iSec Security Research desno od ovog članka.