Keselamatan Sumber Terbuka Menarik Kritikan
Minggu lepas tiga kelemahan baru diumumkan oleh firma keselamatan Poland iSec Security Research dalam kernel Linux terkini yang boleh membenarkan penyerang untuk meningkatkan keistimewaan mereka pada mesin dan melaksanakan program sebagai pentadbir root.
Ini adalah yang terbaru dalam satu siri kelemahan keselamatan serius atau kritikal yang ditemui di Linux sejak beberapa bulan yang lalu. Bilik dewan di Microsoft mungkin mendapat sedikit hiburan, atau sekurang-kurangnya merasakan sedikit kelegaan, dari ironi bahawa sumber terbuka sepatutnya menjadi lebih selamat dan namun kelemahan kritikal ini terus ditemui.
Ia merindui tanda walaupun pada pandangan saya untuk menuntut bahawa perisian sumber terbuka lebih selamat secara lalai. Sebagai permulaan, saya percaya bahawa perisian itu hanya selamat seperti pengguna atau pentadbir yang mengkonfigurasi dan mengekalkannya. Walaupun sesetengah mungkin berhujah bahawa Linux lebih selamat daripada kotak, pengguna Linux tidak pasti sama seperti pengguna Microsoft Windows yang tidak percaya.
Aspek lain ialah pemaju masih manusia. Daripada beribu-ribu jutaan kod yang membentuk sistem operasi, nampaknya adil mengatakan bahawa sesuatu mungkin terlepas dan akhirnya kerentanan akan ditemui.
Di dalamnya terletak perbezaan antara sumber terbuka dan proprietari. Microsoft telah dimaklumkan oleh EEye Digital Security tentang kelemahan dengan pelaksanaan ASN.1 lapan bulan sebelum mereka akhirnya mengumumkan kerentanan secara terbuka dan mengeluarkan patch. Mereka adalah lapan bulan di mana orang jahat dapat menemui dan mengeksploitasi kelemahan itu.
Sumber terbuka di sisi lain cenderung untuk ditambal dan dikemas kini jauh lebih cepat. Terdapat begitu banyak pemaju yang mempunyai akses kepada kod sumber yang sekali kecacatan atau kelemahan ditemui dan mengumumkan patch atau kemas kini dilepaskan secepat mungkin. Linux tidak berfungsi, tetapi komuniti sumber terbuka nampaknya bertindak balas lebih cepat terhadap isu-isu ketika mereka muncul dan bertindak balas dengan kemas kini yang sesuai lebih cepat daripada cuba menguburkan kewujudan kerentanan itu sehingga mereka dapat berurusan dengannya.
Yang berkata, pengguna Linux harus sedar tentang kelemahan baru ini dan memastikan mereka tetap dimaklumkan tentang patch terkini dan kemas kini dari vendor Linux masing-masing. Satu kaveat dengan kekurangan ini adalah bahawa mereka tidak dapat dieksploitasi dari jauh. Ini bermakna bahawa untuk menyerang sistem menggunakan kelemahan ini memerlukan penyerang mempunyai akses fizikal ke mesin.
Banyak pakar keselamatan bersetuju bahawa apabila seorang penyerang mempunyai akses fizikal ke komputer, sarung tangan tidak dapat dipisahkan dan hampir semua keselamatan boleh dilalui. Ia adalah kelemahan yang dieksploitasi jarak jauh - yang boleh diserang dari sistem yang jauh atau di luar rangkaian tempatan - yang menunjukkan bahaya yang paling.
Untuk maklumat lanjut, lihat keterangan keterangan terperinci dari Penyelidikan Keselamatan iSec ke kanan artikel ini.