ღია უსაფრთხოების უშიშროება ეყრდნობა კრიტიკას
გასულ კვირას სამი ახალი ხარვეზი პოლონეთის უსაფრთხოების ფირმა ISec Security Research- ის მიერ გამოცემული უახლესი Linux ბირთვში გამოაცხადა, რომლის საშუალებითაც თავდამსხმელს შეეძლო შეესრულებინა მათი პრივილეგიები მანქანაში და გადაეცა პროგრამები ფრონტის ადმინისტრატორს.
ეს უკანასკნელი უკანასკნელი რამდენიმე თვის განმავლობაში Linux- ში გამოვლენილი სერიოზული ან კრიტიკული უსაფრთხოების ხარვეზების მხოლოდ ბოლოა. Microsoft- ის კორპორატიული ოთახი, შესაძლოა, რაღაც გასართობი, ანუ განცდა ცოტა ხნით, ირონიიდან, რომ ღია წყარო უნდა იყოს უფრო უსაფრთხო და ჯერ კიდევ კრიტიკული ხარვეზები იარსებებს.
ეს გამოტოვა ნიშნის მიუხედავად იმისა, რომ ჩემი აზრით, რომ ღია პროგრამული უზრუნველყოფა უფრო უსაფრთხო იყოს. დამწყებთათვის, მე მჯერა, რომ პროგრამული უზრუნველყოფა მხოლოდ როგორც მომხმარებელი, ისე ადმინისტრატორია, რომელიც მას კონფიგურაციას და ინარჩუნებს. მიუხედავად იმისა, რომ ზოგიერთი შეიძლება ამტკიცოს, რომ Linux უფრო უსაფრთხოა ყუთში, clueless Linux მომხმარებელი ისეთივე დაუცველია, როგორც clueless Microsoft Windows user.
სხვა ასპექტი ის არის, რომ დეველოპერები ჯერ კიდევ ადამიანის. გარეთ ათასობით და მილიონობით ხაზი კოდი, რომელიც შეადგინოს ოპერაციული სისტემა, როგორც ჩანს, სამართლიანი ამბობენ, რომ რაღაც შეიძლება გაუშვა და საბოლოოდ დაუცველობის აღმოჩნდება.
აქედან გამომდინარეობს განსხვავება ღია და საკუთრების შორის. Microsoft- მა შეატყობინა EEY Digital Security- ის მიერ ხარვეზების შესახებ ASN.1- ის განხორციელების რვა თვის განმავლობაში, სანამ საბოლოოდ საჯაროდ გამოაცხადა დაუცველობა და გაათავისუფლეს პატჩი. ეს იყო რვა თვე, რომლის დროსაც ცუდი ბიჭები შეეძლოთ აღმოჩენილი და გამოეყენებინათ ხარვეზი.
მეორეს მხრივ ღია წყარო იჩენს პატჩს და ბევრად სწრაფად განახლებას. ამდენი დეველოპერები კოდის ხელმისაწვდომობასთან ერთად, რომლითაც ხარვეზი ან მოწყვლადი აღმოჩნდება და გამოაქვეყნა პაჩი ან განახლება, რაც შეიძლება მალე გაათავისუფლონ. Linux არის fallible, მაგრამ ღია საზოგადოება, როგორც ჩანს, რეაგირება ბევრად უფრო სწრაფად საკითხებზე, რადგან ისინი წარმოიქმნება და რეაგირება შესაბამისი განახლებები ბევრად უფრო სწრაფად, ვიდრე ცდილობს დასამარხავად არსებობის დაუცველობის სანამ ისინი გარშემო საქმე გაუმკლავდეს.
რომ განაცხადა, Linux მომხმარებლებს უნდა იცოდეს ეს ახალი ხარვეზები და დარწმუნდით, რომ ისინი დარჩება ინფორმირებული უახლესი პატჩები და განახლებები მათი შესაბამისი Linux მოვაჭრეებს. ერთი ხარვეზი ამ ხარვეზებით არის ის, რომ ისინი არ არიან ექსპლოატაციას დისტანციურად. ეს იმას ნიშნავს, რომ სისტემაზე თავდასხმა ამ ხარვეზების გამოყენებით მოითხოვს თავდამსხმელს მანქანაში ფიზიკური ხელმისაწვდომობის უზრუნველსაყოფად.
ბევრი უსაფრთხოების ექსპერტები თანხმდებიან, რომ თავდამსხმელს კომპიუტერთან ფიზიკური წვდომა აქვს, ხელთათმანები გამორთულია და თითქმის ნებისმიერი უსაფრთხოება შეიძლება საბოლოოდ გვერდს აუვლის. ეს არის დისტანციურად ექსპლოატირებული ხარვეზები, რომლებიც თავს დაესხმება სისტემებს შორს ან მის ფარგლებს გარეთ ადგილობრივ ქსელში, რომლებიც წარმოადგენენ ყველაზე საშიშროებას.
დამატებითი ინფორმაციისთვის შეამოწმეთ iSec- ის უსაფრთხოების კვლევის დეტალური აღწერილობები აღნიშნულ სტატიაში.