Bezpečnosť s otvoreným zdrojom kritizuje
Minulý týždeň oznámila poľská bezpečnostná firma iSec Security Research tri nové zraniteľnosti v najnovšom jadre Linuxu, ktoré by umožnilo útočníkovi zvýšiť svoje privilégiá na počítači a spustiť programy ako koreňový správca.
Toto sú len posledné zo série vážnych alebo kritických bezpečnostných zraniteľností, ktoré sa v posledných niekoľkých mesiacoch objavili v systéme Linux. Priestorová rada spoločnosti Microsoft pravdepodobne získava nejakú zábavu alebo aspoň pocit úľavy z irónie, že otvorený zdroj má byť bezpečnejší a napriek tomu sa tieto kritické nedostatky naďalej nachádzajú.
Chýba značka, aj keď podľa môjho názoru tvrdiť, že softvér s otvoreným zdrojovým kódom je v predvolenom nastavení bezpečnejší. Na začiatok sa domnievam, že softvér je iba taký bezpečný ako používateľ alebo správca, ktorý ho konfiguruje a udržiava. Hoci niektorí môžu tvrdiť, že Linux je bezpečnejší z krabice, bezradný užívateľ Linuxu je rovnako neistý ako bezradný používateľ systému Microsoft Windows.
Ďalším aspektom je, že vývojári sú stále ľudia. Z tisícov a miliónov riadkov kódu, ktoré tvoria operačný systém, sa zdá byť správne povedať, že by sa niečo mohlo zmeškať a nakoniec bude zistená zraniteľnosť.
V tom spočíva rozdiel medzi open-source a proprietárnym. Spoločnosť Microsoft bola informovaná spoločnosťou EEye Digital Security o chybách s implementáciou ASN.1 osem mesiacov predtým, ako verejne oznámila zraniteľnosť verejne a vydala opravu. To bolo osem mesiacov, počas ktorých mohli zlí ľudia objaviť túto chybu a využiť ju.
Otvorený zdroj na druhej strane má tendenciu získať opravu a aktualizáciu oveľa rýchlejšie. Existuje toľko vývojárov, ktorí majú prístup k zdrojovému kódu, keď sa objaví chyba alebo zraniteľnosť a oznámi sa, že náplasť alebo aktualizácia sa uvoľní čo najrýchlejšie. Linux je omylný, zdá sa však, že komunita s otvoreným zdrojovým kódom reaguje oveľa rýchlejšie na problémy, ktoré vznikajú, a reaguje s príslušnými aktualizáciami oveľa rýchlejšie, než aby sa pokúsila pochovať existenciu zraniteľnosti, kým sa nedostanú k riešeniu.
Používatelia Linuxu by si mali byť vedomí týchto nových zraniteľností a mali by byť informovaní o najnovších opravách a aktualizáciách od svojich dodávateľov Linuxu. Jedna výhra s týmito nedostatkami spočíva v tom, že nie sú vzdialene využívané. To znamená, že útok na systém pomocou týchto zraniteľností vyžaduje, aby útočník mal fyzický prístup k zariadeniu.
Mnoho bezpečnostných expertov súhlasí s tým, že akonáhle má útočník fyzický prístup k počítaču, rukavice sú vypnuté a takmer všetka bezpečnosť môže byť nakoniec vynechaná. Práve vzdialene využívané zraniteľnosti - nedostatky, ktoré môžu byť napadnuté systémami ďaleko alebo mimo lokálnej siete - predstavujú najviac nebezpečenstvo.
Ďalšie informácie nájdete v popise podrobných popisov zraniteľnosti zo služby iSec Security Research vpravo od tohto článku.