Η ανοιχτή ασφάλεια πηγαίνει κριτική
Την περασμένη εβδομάδα ανακοινώθηκαν από την πολωνική εταιρία ασφάλειας iSec Security Research τρία νέα τρωτά σημεία στον τελευταίο πυρήνα του Linux που θα επέτρεπε σε έναν εισβολέα να αυξήσει τα προνόμιά του στο μηχάνημα και να εκτελέσει προγράμματα ως διαχειριστής ρίζας.
Αυτά είναι μόνο τα τελευταία σε μια σειρά από σοβαρά ή κρίσιμα σημεία ευπάθειας ασφαλείας που ανακαλύφθηκαν στο Linux τους τελευταίους μήνες. Η αίθουσα συσκέψεων της Microsoft πιθανόν να πάρει κάποια διασκέδαση, ή τουλάχιστον να αισθανθεί κάποια ανακούφιση, από την ειρωνεία ότι η ανοιχτή πηγή υποτίθεται ότι είναι πιο ασφαλής και παρόλα αυτά αυτά τα κρίσιμα ελαττώματα συνεχίζουν να βρίσκονται.
Λείπει το σήμα, αν και κατά τη γνώμη μου να ισχυριστεί ότι το λογισμικό ανοιχτού κώδικα είναι πιο ασφαλές από προεπιλογή. Για αρχάριους, πιστεύω ότι το λογισμικό είναι μόνο τόσο ασφαλές όσο ο χρήστης ή ο διαχειριστής που το διαμορφώνει και το διατηρεί. Παρόλο που κάποιοι μπορεί να υποστηρίξουν ότι το Linux είναι πιο ασφαλές από το κουτί, ένας ανεξήγητος χρήστης του Linux είναι εξίσου ανασφαλής ως ένας ανώνυμος χρήστης των Microsoft Windows.
Η άλλη πτυχή του είναι ότι οι προγραμματιστές εξακολουθούν να είναι άνθρωποι. Από τις χιλιάδες και τα εκατομμύρια των γραμμών κώδικα που συνθέτουν ένα λειτουργικό σύστημα φαίνεται δίκαιο να πούμε ότι κάτι θα μπορούσε να χαθεί και τελικά θα εντοπιστεί μια ευπάθεια.
Εκεί βρίσκεται η διαφορά μεταξύ ανοιχτού κώδικα και ιδιόκτητου. Η Microsoft ειδοποιήθηκε από την EEye Digital Security για τα ελαττώματα με την εφαρμογή του ASN.1 οκτώ μήνες πριν ανακοινώσουν τελικά την ευπάθεια δημοσίως και κυκλοφόρησαν ένα patch. Αυτοί ήταν οκτώ μήνες κατά τις οποίες οι κακοί άνδρες θα μπορούσαν να έχουν ανακαλύψει και να εκμεταλλευτούν το ελάττωμα.
Ανοικτή πηγή από την άλλη πλευρά τείνει να πάρει patched και ενημερώθηκε πολύ πιο γρήγορα. Υπάρχουν τόσοι προγραμματιστές με πρόσβαση στον πηγαίο κώδικα που μόλις εντοπιστεί ένα ελάττωμα ή ευπάθεια και έχει ανακοινωθεί μια ενημερωμένη έκδοση κώδικα ή ενημερωμένη έκδοση που θα κυκλοφορήσει το συντομότερο δυνατόν. Το Linux είναι λανθασμένο, αλλά η κοινότητα ανοιχτού κώδικα φαίνεται να αντιδρά πολύ πιο γρήγορα σε θέματα που προκύπτουν και να ανταποκρίνεται με τις κατάλληλες ενημερώσεις πολύ πιο γρήγορα παρά να προσπαθεί να θάψει την ύπαρξη της ευπάθειας, μέχρι να τα βγάλουν πέρα για να τα αντιμετωπίσουν.
Τούτου λεχθέντος, οι χρήστες Linux θα πρέπει να γνωρίζουν αυτά τα νέα τρωτά σημεία και να φροντίζουν να ενημερώνονται για τα πιο πρόσφατα patches και ενημερώσεις από τους αντίστοιχους κατασκευαστές Linux. Μια προειδοποίηση με αυτές τις ατέλειες είναι ότι δεν μπορούν να αξιοποιηθούν εξ αποστάσεως. Αυτό σημαίνει ότι για να επιτεθεί στο σύστημα χρησιμοποιώντας αυτές τις ευπάθειες απαιτεί ο εισβολέας να έχει φυσική πρόσβαση στο μηχάνημα.
Πολλοί εμπειρογνώμονες στον τομέα της ασφάλειας συμφωνούν ότι όταν ένας επιτιθέμενος έχει φυσική πρόσβαση σε έναν υπολογιστή, τα γάντια είναι κλειστά και σχεδόν οποιαδήποτε ασφάλεια μπορεί τελικά να παρακάμπτεται. Είναι τα απομακρυσμένα εκμεταλλεύσιμα τρωτά σημεία - ατέλειες που μπορούν να επιτεθούν από συστήματα μακριά ή έξω από το τοπικό δίκτυο - που παρουσιάζουν τον μεγαλύτερο κίνδυνο.
Για περισσότερες πληροφορίες, ανατρέξτε στις λεπτομερείς περιγραφές ευπάθειας από την έρευνα ασφαλείας iSec στα δεξιά αυτού του άρθρου.