Open Source Security maak kritiek
Verlede week is drie nuwe kwesbaarhede aangekondig deur die Poolse sekuriteitsfirma iSec Security Research in die nuutste Linux-kern wat 'n aanvaller kan toelaat om hul voorregte op die masjien te verhoog en programme as die hoofadministrateur uit te voer.
Hierdie is net die nuutste in 'n reeks ernstige of kritiese sekuriteitsprobleme wat die afgelope paar maande in Linux ontdek is. Die bestuurskamer by Microsoft word waarskynlik 'n bietjie vermaak, of ten minste 'n bietjie verligting, van die ironie dat oopbron veronderstel is om veiliger te wees en tog bly hierdie kritieke foute gevind.
Dit mis die punt, hoewel ek na my mening beweer dat oopbronprogrammatuur by verstek veiliger is. Om te begin glo ek dat die sagteware net so veilig is as die gebruiker of administrateur wat dit instel en onderhou. Alhoewel sommige kan argumenteer dat Linux veiliger uit die boks is, is 'n clueless Linux-gebruiker net so onseker as 'n clueless Microsoft Windows-gebruiker.
Die ander aspek hiervan is dat die ontwikkelaars steeds menslik is. Uit die duisende en miljoene reëls kode wat 'n bedryfstelsel uitmaak, lyk dit regverdig om te sê dat iets misgeloop kan word en uiteindelik 'n kwesbaarheid ontdek sal word.
Daarin lê die verskil tussen open source en proprietary. Microsoft is deur EEye Digital Security in kennis gestel van die foute met die implementering van ASN.1 agt maande voordat hulle die kwesbaarheid in die openbaar bekend gemaak het en 'n pleister vrygestel het. Dit was agt maande waartydens die slegte ouens die fout kon ontdek en ontgin het.
Oopbron, aan die ander kant, is geneig om baie vinniger op te laai. Daar is so baie ontwikkelaars met toegang tot die bronkode dat een keer 'n fout of kwesbaarheid ontdek is en aangekondig dat 'n pleister of opdatering so gou as moontlik vrygestel word. Linux is onleesbaar, maar die oopbrongemeenskap lyk baie vinniger op probleme as hulle ontstaan en reageer met die toepaslike opdaterings baie vinniger eerder as om die bestaan van die kwesbaarheid te probeer begrawe totdat hulle daaraan kom om dit te hanteer.
Dit gesê, Linux gebruikers moet bewus wees van hierdie nuwe kwesbaarhede en maak seker dat hulle op hoogte bly van die nuutste kolle en opdaterings van hul onderskeie Linux-verskaffers. Een van die voorbeelde van hierdie foute is dat hulle nie op afstand uitgebuit kan word nie. Dit beteken dat om die stelsel aan te val deur hierdie kwesbaarhede aan te val, die aanvaller fisiese toegang tot die masjien moet hê.
Baie sekuriteitsdeskundiges stem saam dat wanneer 'n aanvaller fisiese toegang tot 'n rekenaar het, die handskoene af is en feitlik enige sekuriteit uiteindelik omseil kan word. Dit is die kwetsbaarhede wat op afstand aangewend word, wat foute kan aangaan wat van verreweg of buite die plaaslike netwerk aangeval word. Dit bied die grootste gevaar.
Vir meer inligting, kyk na die gedetailleerde kwesbaarheidsbeskrywings van iSec Security Research regs van hierdie artikel.