Open Source Security Малюе Крытыка
На мінулым тыдні тры новых уразлівасцяў былі абвешчаныя польскай бяспекі фірмы Isec даследаванняў бяспекі ў апошнім Linux ядра, якая можа дазволіць зламысніку павысіць свае прывілеі на машыне і выконваць праграмы ў якасці каранёвага адміністратара.
Гэта ўсяго толькі апошнія ў серыі сур'ёзных або крытычных уразлівасцяў, выяўленых у Linux на працягу апошніх некалькіх месяцаў. У пакоі савета ў Microsoft, верагодна, атрымаць некаторы забаўка, або, па меншай меры, адчуваючы нейкую палёгку, з іроніяй, што з адкрытым зыходным кодам павінен быць больш бяспечным, і ўсё ж гэтыя крытычныя недахопы працягваюць быць знойдзеныя.
Ён прамахваецца, хоць на мой погляд, каб сцвярджаць, што праграмнае забеспячэнне з адкрытым зыходным кодам з'яўляецца больш бяспечным па змаўчанні. Па-першае, я лічу, што праграмнае забеспячэнне з'яўляецца толькі бяспечным, як карыстальнік або адміністратар, які настройвае і падтрымлівае яго. Хоць некаторыя могуць сцвярджаць, што Linux з'яўляецца больш бяспечным з скрынкі, невуцкі карыстальнік Linux гэтак жа небяспечна, як невуцкі карыстальніка Microsoft Windows.
Іншы аспект гэтага з'яўляецца тое, што распрацоўнікі ўсё яшчэ чалавек. З тысяч і мільёнаў радкі кода, якія складаюць аперацыйную сістэму, здаецца справядлівым сказаць, што нешта можа атрымаць прапусцілі і ў канчатковым выніку ўразлівасць будзе выяўлена.
У гэтым і заключаецца розніца паміж адкрытым зыходным кодам і прыватнай уласнасцю. Microsoft была апавешчаны Eeye Digital Security пра недахопы пры іх рэалізацыі ASN.1 восем месяцаў, перш чым яны, нарэшце, абвясцілі ўразлівасць публічна і выпусцілі патч. Гэта былі восем месяцаў, на працягу якіх зламыснікі маглі Выяўленыя і эксплуатаваныя хіба.
Адкрыты зыходны код, з другога боку, як правіла, каб атрымаць прапатчыць і абнаўляецца значна хутчэй. Ёсць так шмат распрацоўшчыкаў, якія маюць доступ да зыходнага кода, які калісьці недахоп ці ўразлівасць выяўлена і абвясціў патч або абнаўленне выпушчаны як мага хутчэй. Linux з'яўляецца памылковым, але адкрытым зыходным кодам, здаецца, рэагуе значна хутчэй на пытанні па меры іх узнікнення і рэагаваць з адпаведнымі абнаўленнямі значна хутчэй, чым спрабаваць закапаць існаванне ўразлівасці, пакуль яны не вакол, каб справіцца з ім.
Тым не менш, карыстальнікі Linux павінны быць дасведчаныя аб гэтых новых уразлівасцяў і пераканацца, што яны ў курсе апошніх патчаў і абнаўленняў ад сваіх пастаўшчыкоў Linux. Адно перасцярога гэтых недахопаў з'яўляецца тое, што яны не прыдатныя для выкарыстання ў аддаленым рэжыме. Гэта азначае, што, каб атакаваць сістэму з дапамогай гэтых уразлівасцяў патрабуе зламысніка мець фізічны доступ да машыны.
Многія эксперты па бяспецы лічаць, што калі-то зламыснік мае фізічны доступ да кампутара пальчаткі выключаныя, і амаль любая каштоўная папера можа быць у канчатковым выніку абыходзіцца. Менавіта выдалена эксплуатаваныя vulnerabilities- недахопы, якія могуць быць атакаваныя з сістэм далёкія або за межамі мясцовай сотавай сеткі, якія ўяўляюць найбольшую небяспеку.
Для атрымання больш падрабязнай інфармацыі азнаёмцеся з падрабязным апісаннем уразлівасці ад Isec даследаванняў бяспекі справа ад гэтага артыкула.