Բաց կոդով ապահովությունը քայքայում է քննադատությունը
Անցյալ շաբաթ երեք նոր խոցելիություններ հայտնվեցին լեհական անվտանգության iSec Security Research ընկերության կողմից Linux- ի վերջին սերնդի կողմից, որը կարող էր թույլ տալ հարձակվողին բարձրացնել իրենց արտոնությունները մեքենայի վրա եւ իրականացնել ծրագրեր `որպես արմատական ադմինիստրատոր:
Սրանք պարզապես վերջին մի քանի ամիսների ընթացքում Linux- ում հայտնաբերված լուրջ կամ կարեւորագույն անվտանգության խոցելի շարքերի շարքերում են: Microsoft- ի վարչության սենյակը, հավանաբար, որոշակի զվարճություն է ստանում կամ, գոնե զգալով ինչ-որ թեթեւություն, հեգնանքից, որ բաց աղբյուրը պետք է լինի ավելի ապահով եւ դեռեւս այդ կարեւոր թերությունները շարունակում են գտնել:
Այն բացակայում է նշանը, չնայած իմ կարծիքով պահանջում է, որ բաց կոդով ծրագրային ապահովումը ավելի ապահով է: Սկսնակների համար ես կարծում եմ, որ ծրագրակազմը ապահով է միայն այն օգտագործողի կամ ադմինիստրատի կողմից, որը կարգավորում եւ պահպանում է այն: Թեեւ ոմանք կարող են պնդել, որ Linux- ը ավելի անվտանգ է վանդակում, Linux- ի կողոպտիչը նույնքան անապահով է, որքան Microsoft- ի Windows- ի օգտագործողը:
Դրա մյուս կողմն այն է, որ մշակողները դեռեւս մարդկային են: Օպերացիոն համակարգը կազմող հազարավոր եւ միլիոնավոր տողերից դուրս, կարծես թե, ճիշտ է ասել, որ ինչ-որ բան կարող է բաց թողնել, եւ, ի վերջո, բացահայտվելու է խոցելիություն:
Այդտեղ բացվում է բաց աղբյուրի եւ սեփականության իրավունքի տարբերությունը: Microsoft- ը EEye Digital Security- ի կողմից ծանուցվել է թերությունների մասին ASN.1- ի իրականացման հետ `ութ ամիս առաջ, երբ նրանք վերջապես հայտարարեցին խոցելիությունը հրապարակայնորեն եւ ազատ արձակեցին: Նրանք ութ ամիս էին, որոնց ընթացքում վատ տղաները կարող էին հայտնաբերել եւ շահագործել թերությունը:
Մյուս կողմից, բաց աղբյուրը ձգտում է հեշտությամբ թարմացնել եւ թարմացնել ավելի արագ: Կան բազմաթիվ ծրագրավորողներ, որոնք մուտք գործել են կոդով, որը հայտնաբերվել է մեկ անգամ, կամ հայտնաբերվել է պարկ կամ թարմացում, հնարավորինս արագ արձակվել: Linux- ը սխալ է, բայց բաց կոդով համայնքը, կարծես թե, ավելի արագ արձագանքում է այն հարցերին, որոնք առաջանում են, եւ համապատասխան թարմացումներով արձագանքում են ավելի արագ, քան փորձում են թաղել գոյություն ունեցող խոցելիությունը, մինչեւ նրանք շրջվեն դրա հետ:
Linux- ի օգտագործողները պետք է տեղյակ լինեն այս նոր խոցելիության մասին եւ համոզվեք, որ նրանք տեղեկացված են վերջին Linux օպերատորների վերջին թխվածքների եւ թարմացումների մասին: Այս խեղաթյուրումներից մեկի նախազգուշացումն այն է, որ դրանք հեռակա կարգով չեն շահագործվում: Դա նշանակում է, որ հարձակման համակարգը, օգտագործելով այդ խոցելի պահանջները, պահանջում է հարձակվողին ունենալ ֆիզիկական մուտքի մեքենա:
Անվտանգության շատ մասնագետներ համաձայն են, որ երբ հարձակվողը համակարգչին ֆիզիկական մատչելիություն է ունենում, ձեռնոցները փակ են եւ գրեթե ցանկացած անվտանգության կարող է ի վերջո շրջանցվել: Դա հեռակա շահագործվող խոցելիություն է. Այն թերությունները, որոնք կարող են հարձակվել համակարգերից հեռու կամ տեղական ցանցից դուրս, որոնք ներկայացնում են առավել վտանգը:
Լրացուցիչ տեղեկությունների համար կարող եք ծանոթանալ iSec Security Research- ի մանրամասն տեղեկությունների բացահայտմանը սույն հոդվածի իրավունքին: