Malferma Fonto-Sekureco Frapas Kritikon
La pasinta semajno tri novaj vulnerabilecoj estis anoncitaj de la pola sekureca firmao iSec Security Research en la plej nova Linuksa kerno, kiu povus permesi al atacanto levi siajn privilegiojn sur la maŝino kaj ekzekuti programojn kiel la radikala administranto.
Ĉi tiuj estas nur la plej lastaj en serio da seriozaj aŭ maltrankviligaj sekurecaj vulnerabiloj malkovritaj en Linukso dum la lastaj monatoj. La tabulejo ĉe Microsoft verŝajne ricevas amuziĝon aŭ almenaŭ sentas iom da helpo, de la ironio, ke la fonto malfermita supozas esti pli sekura kaj tamen ĉi tiuj maltrankviligaj difektoj ankoraŭ troveblas.
Ĝi perdas la markon, kvankam mi opinias, ke la programaro de kodo malfermita estas pli sekura defaŭlte. Por komencantoj, mi kredas, ke la programaro estas nur sekura kiel la uzanto aŭ administranto, kiu agordas kaj konservas ĝin. Kvankam iuj povas argumenti, ke Linukso estas pli sekura ekster la skatolo, malklara Linukso-uzanto estas same neklara kiel uzenta uzanto de Microsoft Windows.
La alia aspekto de tio estas, ke la programistoj ankoraŭ estas homoj. Ekstere de la miloj da miloj da linio de kodo, kiuj formas mastruman sistemon, ŝajnas justa diri, ke io eble maltrafus kaj poste malkovriĝos vulnerabileco.
Tie la mensogo diferencas inter malferma fonto kaj posedaĵo. Microsoft estis sciigita de EEye Cifereca Sekureco pri la difektoj kun ilia efektivigo de ASN.1 ok monatojn antaŭ ol ili fine anoncis publike la vulnerabilecon kaj liberigis diakilon. Tiuj estis ok monatoj, dum kiuj la malbonaj homoj povis malkovri kaj eksplodi la difekton.
Malferma fonto aliflanke inklinas tranĉi kaj ĝisdatigi multe pli rapide. Estas tiom da programistoj kun aliro al la fonta kodo, kiu iam malkaŝas aŭ vundiĝas kaj anoncas ke diakilo aŭ ĝisdatigo estas liberigita kiel eble plej rapide. Linukso estas ebla, sed la malferma fonta komunumo ŝajnas reagi multe pli rapide al aferoj kiam ili ŝprucas kaj respondas kun la taŭgaj ĝisdatigoj multe pli rapide ol provi enterigi la ekziston de la vundeco ĝis ili trapasas trakti ĝin.
Dirite, la uzantoj de Linukso devus esti konsciaj pri ĉi tiuj novaj vulnerabilitoj kaj certigu, ke ili restos informitaj pri la plej lastaj diakiloj kaj ĝisdatigoj de iliaj respektivaj Linuksaj vendistoj. Unu kaverno kun ĉi tiuj difektoj estas, ke ili ne estas ekspluatataj remotamente. Tio signifas, ke ataki la sistemon per ĉi tiuj vulnerabilecoj postulas, ke la atacanto havas fizikan aliron al la maŝino.
Multaj spertuloj pri sekureco konsentas, ke, kiam atakanto havas fizikan aliron al komputilo, la gantoj estas for kaj preskaŭ ajna sekureco povas esti preterlasita. Ĝi estas la malŝarĝaj ekspluatataj vulnerabilecoj - difektoj, kiuj povas esti atakitaj de sistemoj malproksime aŭ ekster la loka reto - kiuj prezentas la plej danĝeron.
Por pliaj informoj kontrolu la detalajn vulnerabilajn priskribojn de iSec Security Research al la rajto de ĉi tiu artikolo.