Sursa open source atrage critici
Saptamana trecuta au fost anuntate trei noi vulnerabilitati de catre firma poloneza de securitate iSec Security Research in ultimul kernel Linux care ar putea permite unui atacator sa-si ridice privilegiile pe masina si sa execute programele ca administrator de baza.
Acestea sunt doar cele mai recente într-o serie de vulnerabilități serioase sau grave de securitate descoperite în Linux în ultimele luni. Sala de consiliu de la Microsoft este, probabil, obtinerea unor distractii sau, cel putin, o scutire, din ironia ca sursa open source ar trebui sa fie mai sigura si inca aceste defecte critice continua sa fie gasite.
Îmi lipsește semnul, deși, în opinia mea, să pretind că software-ul open source este mai sigur în mod implicit. Pentru început, cred că software-ul este la fel de sigur ca și utilizatorul sau administratorul care îl configurează și îl întreține. Deși unii ar putea susține că Linux este mai sigur din cutie, un utilizator Linux clueless este la fel de nesigur ca un utilizator Microsoft Windows clueless.
Celălalt aspect al acestui lucru este că dezvoltatorii sunt încă umani. Din mii și milioane de linii de cod care alcătuiesc un sistem de operare, pare corect să spunem că ceva ar putea fi ratat și în cele din urmă va fi descoperită o vulnerabilitate.
Aici există diferența dintre sursa deschisă și cea privată. Microsoft a fost notificat de EEye Digital Security despre defectele implementării ASN.1 cu opt luni înainte de a anunța public vulnerabilitatea publică și a lansat un patch. Au fost opt luni în care băieții răi ar fi putut descoperi și exploata defectul.
Open source, pe de altă parte, tinde să se patcheze și să se actualizeze mult mai repede. Există atât de mulți dezvoltatori care au acces la codul sursă, odată ce a fost descoperit un defect sau o vulnerabilitate și a fost lansat un plasture sau o actualizare cât mai repede posibil. Linux este greșit, dar comunitatea open source pare să reacționeze mult mai repede la problemele pe care le ridică și să răspundă cu actualizările adecvate mult mai repede decât să încerce să îngroape existența vulnerabilității până când vor ajunge să se ocupe de ea.
Acestea fiind spuse, utilizatorii Linux ar trebui să fie conștienți de aceste noi vulnerabilități și să se asigure că aceștia sunt informați cu privire la cele mai recente patch-uri și actualizări de la furnizorii lor de Linux. O avertizare cu aceste defecte este că nu sunt exploatate de la distanță. Asta înseamnă că atacarea sistemului cu ajutorul acestor vulnerabilități necesită ca atacatorul să aibă acces fizic la mașină.
Mulți experți în securitate sunt de acord că, odată ce un atacator are acces fizic la un computer, mănușile sunt oprite și aproape orice securitate poate fi în cele din urmă ocolită. Este vorba de vulnerabilitățile exploatate la distanță - defectele care pot fi atacate de sistemele aflate în depărtare sau în afara rețelei locale - care prezintă cel mai mare pericol.
Pentru mai multe informații, consultați descrierile detaliate de vulnerabilitate de la iSec Security Research la dreapta acestui articol.