Ang Open Source Security ay Kumukuha ng Kritika
Noong nakaraang linggo, tatlong bagong kahinaan ang inihayag ng Polish security firm na iSec Security Research sa pinakabagong kernel ng Linux na maaaring magpapahintulot sa isang magsasalakay na itaas ang kanilang mga pribilehiyo sa makina at isagawa ang mga programa bilang tagapangasiwa ng root.
Ang mga ito ay lamang ang pinakabagong sa isang serye ng mga malubhang o kritikal na mga kahinaan sa seguridad natuklasan sa Linux sa nakaraang ilang buwan. Ang board room sa Microsoft ay malamang na nakakakuha ng ilang mga libangan, o hindi bababa sa pakiramdam ng ilang mga kaluwagan, mula sa kabalintunaan na open source ay dapat na maging mas ligtas at gayon pa man ang mga kritikal na mga flaws patuloy na natagpuan.
Ito ay nakaligtaan ang marka bagaman sa palagay ko upang i-claim na ang open source software ay mas ligtas sa pamamagitan ng default. Para sa mga starters, naniniwala ako na ang software ay lamang bilang ligtas na bilang ng user o administrator na configures at nagpapanatili nito. Kahit na ang ilan ay maaaring magtaltalan na ang Linux ay mas ligtas sa labas ng kahon, ang isang clueless gumagamit ng Linux ay tulad ng hindi secure na bilang isang clueless gumagamit ng Microsoft Windows.
Ang iba pang aspeto nito ay ang mga developer pa rin ang tao. Mula sa libu-libong at milyon-milyong mga linya ng code na bumubuo sa isang operating system tila makatarungan upang sabihin na ang isang bagay ay maaaring makaligtaan at sa huli isang kahinaan ay natuklasan.
Sa ganitong mga lugar ay ang pagkakaiba sa pagitan ng open-source at pagmamay-ari. Ang Microsoft ay naabisuhan sa pamamagitan ng EEye Digital Security tungkol sa mga flaws sa kanilang pagpapatupad ng ASN.1 walong buwan bago sila sa wakas inihayag ang kahinaan sa publiko at pinakawalan ng isang patch. Iyon ay walong buwan na kung saan ang mga masamang tao ay maaaring natuklasan at pinagsamantalahan ang kapintasan.
Ang bukas na pinagmulan sa kabilang banda ay may posibilidad na makakuha ng patched at na-update nang mas mabilis. Mayroong maraming mga developer na may access sa source code na sa sandaling ang isang kapintasan o kahinaan ay natuklasan at inihayag ng isang patch o pag-update ay inilabas sa lalong madaling panahon. Ang Linux ay nabigo, ngunit ang bukas na pinagmumulan ng komunidad ay tila mas mabilis na gumanti sa mga isyu habang lumabas at tumugon sa naaangkop na mga update mas mabilis kaysa sa sinusubukang ilibing ang pagkakaroon ng kahinaan hanggang sa makarating sila sa pakikitungo dito.
Sinabi nito, ang mga gumagamit ng Linux ay dapat magkaroon ng kamalayan sa mga bagong kahinaan na ito at tiyakin na nananatili silang napapaalam sa mga pinakabagong patches at mga update mula sa kani-kanilang mga vendor ng Linux. Ang isang caveat na may mga bahid na ito ay hindi nila magagamit ang malayuan. Nangangahulugan iyon na ang pag-atake sa sistema gamit ang mga kahinaan na ito ay nangangailangan ng magsasalakay na magkaroon ng pisikal na pag-access sa makina.
Maraming mga eksperto sa seguridad ang sumasang-ayon na sa sandaling ang isang magsasalakay ay may pisikal na pag-access sa isang computer ang mga guwantes ay naka-off at halos anumang seguridad ay maaaring magawa sa kalaunan. Ito ay ang malayuang pinagsamantalang kahinaan-mga depekto na maaaring maatake mula sa mga sistema ng malayo o sa labas ng lokal na network-na nagpapakita ng pinaka-panganib.
Para sa karagdagang impormasyon tingnan ang detalyadong paglalarawan ng kahinaan mula sa iSec Security Research sa kanan ng artikulong ito.