Open Source Security vekur gagnrýni
Í síðustu viku voru þrír nýjar varnarleysi tilkynntar af pólsku öryggisfyrirtækinu iSec Security Research í nýjustu Linux kjarna sem gæti leyft árásarmanni að hækka forréttindi sín á vélinni og framkvæma forrit sem rótarstjórann.
Þetta eru bara nýjustu í röð af alvarlegum eða mikilvægum öryggisveikleika sem uppgötvuð eru á Linux undanfarna mánuði. Stjórnborðið hjá Microsoft er líklega að fá skemmtunar eða að minnsta kosti tilfinning, af því að það er kaldhæðnislegt að opinn uppspretta ætti að vera öruggari og ennþá finnast þessar gagnrýni galla.
Það saknar merkisins þó að mínu mati að halda því fram að opinn hugbúnaður sé öruggari sjálfgefið. Til að byrja, tel ég að hugbúnaðinn sé aðeins eins öruggur og notandi eða stjórnandi sem stýrir og viðheldur því. Þrátt fyrir að sumir megi halda því fram að Linux sé öruggari úr kassanum er clueless Linux notandi alveg eins óöruggur og clueless Microsoft Windows notandi.
Hin hliðin er sú að verktaki er enn mannlegur. Út af þúsundum og milljónum lína af kóða sem mynda stýrikerfi virðist það sanngjarnt að segja að eitthvað gæti orðið saknað og að lokum verði varnarleysi uppgötvað.
Þar liggur munurinn á opnum og einkum. Microsoft var tilkynnt af EEye Digital Security um galla við framkvæmd þeirra á ASN.1 átta mánuðum áður en þeir tilkynndu að lokum varnarleysi opinberlega og losa plástur. Þeir voru átta mánuði þar sem slæmur krakkar gætu hafa uppgötvað og nýtt sér gallann.
Opinn uppspretta hefur hins vegar tilhneigingu til að fá lapp og uppfæra miklu hraðar. Það eru svo margir forritarar með aðgang að kóðanum sem einu sinni er galli eða varnarleysi uppgötvað og tilkynnt að plástur eða uppfærsla er sleppt eins fljótt og auðið er. Linux er svikalegt en opið samfélag virðist hafa áhrif á vandamál sem koma upp þegar þau koma upp og svara með viðeigandi uppfærslum miklu hraðar frekar en að reyna að grafa fyrir varnarleysi þar til þau komast að því að takast á við það.
Það er sagt að Linux notendur ættu að vera meðvitaðir um þessar nýju varnarleysi og ganga úr skugga um að þeir verði upplýstir um nýjustu viðbætur og uppfærslur frá viðkomandi Linux-söluaðilum. Ein tilgáta með þessum galla er að þau eru ekki nýtanleg lítillega. Það þýðir að til að ráðast á kerfið með þessum veikleikum þarf að árásarmaðurinn hafi líkamlega aðgang að vélinni.
Margir sérfræðingar í öryggismálum eru sammála um að þegar árásarmaður hefur líkamlega aðgang að tölvu er hanska slökkt og næstum allir öryggi er hægt að lokum framhjá. Það er lítillega notaður veikleikar - gallar sem hægt er að ráðast á frá kerfi langt í burtu eða utan staðarnetsins - sem eru mest hættuleg.
Nánari upplýsingar er að finna í nákvæmar varnar lýsingar frá iSec Security Research til hægri á þessari grein.