Ашық кілт қауіпсіздігі сынға түседі
Өткен аптада iSec Security Research поляк қауіпсіздік фирмасы соңғы Linux ядросында үш зиянкестер жариялады, бұл шабуылдаушы машинаға өз артықшылықтарын арттыруға және бағдарламаларды түбірлік әкімші ретінде орындауға мүмкіндік береді.
Бұл соңғы бірнеше ай ішінде Linux-де табылған маңызды немесе маңызды қауіпсіздік осалдықтарының соңғы сериясы. Майкрософттың басқарма кабинеті, ашық көзі қауіпсіздікті қамтамасыз етуі керек, алайда бұл маңызды кемшіліктерді табуды жалғастыруда.
Бұл, менің пікірімше, ашық бастапқы бағдарламалық жасақтаманың әдепкі бойынша қауіпсіздігін талап етеді. Бастауыштар үшін, бағдарламалық жасақтама оны конфигурациялайтын және сақтайтын пайдаланушы немесе әкімші сияқты қауіпсіз деп есептеймін. Кейбіреулер Linux-ті қораптан қауіпсіз деп санаса да, клиникалық Linux пайдаланушысы Microsoft Windows пайдаланушысы секілді қатесіз.
Бұдан басқа, әзірлеушілер әлі де адам. Операциялық жүйені құрайтын мыңдаған және миллиондаған кодтар желісінен бір нәрсе жіберіп алуы мүмкін және ол ақырында осалдықты анықтайтын болады деп айтады.
Онда ашық және жеке меншік арасындағы айырмашылық жатыр. Microsoft корпорациясы EEye Digital Security компаниясымен кемінде сегіз ай бұрын ASN.1 іске асыруымен кемшіліктер туралы хабардар болды, олар ақырында осалдығын ашық жариялап, патч шығарды. Бұл сегіз ай болды, оларда жаман жігіттер кемшіліктерді тапты және пайдаланды.
Екінші жағынан, ашық бастапқы код көзге ұрып, жаңартылады. Бастапқы кодқа қол жеткізуге мүмкіндік беретін көптеген әзірлеушілер бар, олар кемшіліктерді немесе осалдығын анықтағаннан кейін және түзету туралы жариялады немесе жаңарту мүмкіндігінше тез жіберіледі. Linux - бұрмаланған, бірақ ашық көзі қауымдастығы мәселе туындаған кезде әлдеқайда тез жауап береді және тиісті жаңартулармен олармен айналыспай тұрып, осалдықтың барлығын көмуге тырыспайды.
Linux пайдаланушылар осы жаңа осалдықтарды білуі және өздерінің тиісті Linux жеткізушілерінің соңғы патчтары мен жаңартулары туралы хабардар болуын қамтамасыз етуі керек. Осы кемшіліктермен бір ескерту - олар қашықтан пайдалануға болмайды. Яғни, осы осалдықтарды пайдаланып жүйеге шабуыл жасау үшін шабуылдаушы машинаға физикалық қол жеткізуді талап етеді.
Көптеген қауіпсіздік сарапшылары компьютерге физикалық қол жеткізу мүмкіндігіне ие болғаннан кейін қолғаптардың өшірілгенін және кез-келген қауіпсіздікті кейінге қалдыруға болады деп келіседі. Бұл алыс қашықтықта қолданылған осалдықтар - алысқа немесе жергілікті желіден шабуылдауға болатын кемшіліктер - бұл ең қауіпті болып табылады.
Қосымша ақпарат алу үшін осы мақаланың оң жағындағы iSec Security Research-тің толық осалдық сипаттамаларын қараңыз.