Ochiq havola xavfsizligi tanqidni tarbiyalaydi
O'tgan hafta uchta yangi zaifliklar politsiya xavfsizlik firmasi iSec Security Research tomonidan oxirgi Linux yadrosida e'lon qilindi, bu esa buzg'unchiga mashinada o'z imtiyozlarini oshirib, dasturlarni ildiz boshqaruvchisi sifatida bajarishga imkon beradi.
Bu so'nggi bir necha oy ichida Linuxda topilgan jiddiy yoki tanqidiy xavfsizlik kamchiliklari sonining eng so'nggi qismidir. Microsoft boshqaruv kengashi, ehtimol, ochiq-oydin manba yanada xavfsiz bo'lishi kerak bo'lgan ironyden ba'zi bir o'yin-kulgini yoki hech bo'lmaganda, bir oz his qilishni boshlagan bo'lishi mumkin va shu bilan birga, bu muhim kamchiliklar ham davom etmoqda.
Mening fikrimcha, ochiq kodli dasturiy ta'minot sukut bo'yicha xavfsizroq bo'lishini talab qilish uchun belgini sog'inadi. Yangi boshlanuvchilar uchun dasturiy ta'minotni konfiguratsiya va saqlab turuvchi foydalanuvchi yoki boshqaruvchi sifatida xavfsiz deb hisoblayman. Ba'zilar, Linuxni qutidan xavfsizroq bo'lishini ta'kidlashsa ham, Linux foydalanuvchisi clueless Microsoft Windows foydalanuvchisi kabi xavfli emas.
Boshqa tomoni, ishlab chiquvchilar hali ham insondir. Operatsion tizimni tashkil etadigan minglab va millionlab kodlar qatoridan, biror narsa javobsiz qolishi mumkinligi va oxir-oqibat, zaiflik aniqlanishi mumkinligi haqida adolatli ko'rinadi.
Bu erda ochiq manba va xususiy mulk o'rtasidagi farq yotadi. Microsoft, EEye Digital Security tomonidan kamchiliklar haqida ASN.1 amalga oshirilganligi to'g'risida sakkiz oy oldin xabardor bo'lib, ular nihoyat bu kamchiliklarni ochiq e'lon qilib, tuzatdi. Ular sakkiz oy mobaynida yomon odamlarning kamchiliklarini topib, ekspluatatsiya qilishlari mumkin edi.
Boshqa tomondan ochiq manba yamoqqa aylanib, tezroq yangilanadi. Manba kodiga kirish imkoniga ega bo'lgan juda ko'p ishlab chiquvchilar mavjud, ular bir marta nuqson yoki zaiflik aniqlangan va tuzatishlar yoki yangilanishlar iloji boricha tez chop etilishi e'lon qilingan. Linux juda noto'g'ri, ammo ochiq manba jamiyati ular paydo bo'ladigan muammolarga nisbatan tezroq javob berishadi va ular bilan shug'ullanishga kirishgunga qadar zaiflik mavjudligini ko'mishga urinishdan ko'ra, mos yangilanishlar bilan tezroq javob berishadi.
Ya'ni, Linux foydalanuvchilari bu yangi zaifliklardan xabardor bo'lishlari va o'zlarining Linux sotuvchilaridan eng so'nggi yamalar va yangiliklardan xabardor bo'lishlariga ishonch hosil qilishlari kerak. Ushbu nuqsonlari bo'lgan bir ogohlantirish, ular uzoqdan foydalanish mumkin emas. Boshqacha qilib aytganda, bu zaifliklardan foydalangan holda tizimga hujum qilish buzg'unchiga mashinaga jismoniy kirishni talab qiladi.
Ko'pgina xavfsizlik bo'yicha mutaxassislar, tajovuzkor kompyuterga jismoniy kirish imkoniga ega bo'lganidan so'ng, qo'lqoplar yopiq va deyarli barcha xavfsizliklarni bekor qilishi mumkin. Uzoqdan ishlatiladigan zaifliklar - uzoqdan yoki mahalliy tarmoqdan tashqarida hujumlarga duchor etilishi mumkin bo'lgan kamchiliklar - eng xavfli vaziyatni keltirib chiqaradi.
Qo'shimcha ma'lumot uchun iSec Security Research-dan batafsil ma'lumotni ushbu maqolaning o'ng tomoniga qarang.