אבטחה בקוד פתוח שואבת ביקורת
בשבוע שעבר הוכרזו שלוש נקודות תורפה חדשות על ידי חברת האבטחה הפולנית iSec Security Research בקרנל לינוקס האחרון, אשר יכול לאפשר לתוקף להעלות את הרשאותיו על המחשב ולבצע תוכניות כמנהל השורש.
אלה הם רק האחרונה בסדרה של פגיעויות אבטחה חמורות או קריטיות שהתגלו בלינוקס בחודשים האחרונים. חדר ההנהלה של מיקרוסופט כנראה מקבל קצת שעשוע, או לפחות מרגיש קצת הקלה, מן האירוניה כי קוד פתוח אמור להיות בטוח יותר ובכל זאת אלה פגמים קריטיים ממשיכים להימצא.
הוא מחמיץ את הסימן למרות לדעתי לטעון כי תוכנת קוד פתוח מאובטח יותר כברירת מחדל. בתור התחלה, אני מאמין כי התוכנה היא רק מאובטח כמו המשתמש או מנהל אשר מגדיר ושומר אותו. למרות שכמה מהם עשויים לטעון כי לינוקס מאובטח יותר מהקופסה, משתמש לינוקס קלולס הוא פשוט לא בטוח כמו משתמש Windows Clueless.
ההיבט השני של זה היא כי היזמים הם עדיין אנושיים. מתוך אלפים ומיליוני שורת קוד המרכיבים מערכת הפעלה נראה הוגן לומר שמשהו עלול להחמיץ ובסופו של דבר תגלה פגיעות.
כאן טמון ההבדל בין קוד פתוח לבין קנייני. מיקרוסופט קיבלה הודעה על ידי EEye Digital Security בנוגע לליקויים ביישומן של ASN.1 שמונה חודשים לפני שהודיעו לבסוף על הפגיעות בפומבי ושחררו תיקון. אלה היו שמונה חודשים שבמהלכם יכלו הרעים לגלות ולנצל את הפגם.
קוד פתוח מצד שני נוטה לקבל תוקנו ומעודכנים הרבה יותר מהר. יש כל כך הרבה מפתחים עם גישה לקוד המקור, כי ברגע פגם או פגיעות התגלה הודיעה על תיקון או עדכון משוחרר מהר ככל האפשר. לינוקס הוא מטעה, אבל קהילת הקוד הפתוח נראה להגיב הרבה יותר מהר לנושאים כפי שהם מתעוררים להגיב עם העדכונים המתאימים הרבה יותר מהר מאשר מנסה לקבור את קיומו של הפגיעות עד שהם מסתובבים להתמודד עם זה.
עם זאת, משתמשי לינוקס צריכים להיות מודעים לפגיעויות החדשות הללו ולוודא שהם מתעדכנים לגבי התיקונים העדכניים ביותר ועדכונים מיצרני Linux שלהם. אזהרה אחת עם פגמים אלה היא כי הם אינם מנוצלים מרחוק. כלומר, כדי לתקוף את המערכת באמצעות פגיעויות אלה מחייב את התוקף יש גישה פיזית למכונה.
מומחי אבטחה רבים מסכימים שלאחר התוקף יש גישה פיזית למחשב כפפות כבוי כמעט כל אבטחה ניתן לעקוף בסופו של דבר. זהו הפגיעות המנוצלת מרחוק - פגמים שניתן לתקוף ממערכות רחוקות או מחוץ לרשת המקומית - שמציגות את הסכנה הגדולה ביותר.
לקבלת מידע נוסף, עיין בתיאורי הפגיעות המפורטים של iSec Security Research מימין למאמר זה.