Açık Kaynak Güvenliği Eleştirisi
Geçtiğimiz hafta, en son Linux çekirdeğindeki Polonyalı güvenlik firması iSec Security Research tarafından bir saldırganın makinedeki ayrıcalıklarını yükseltmesine ve programları root yöneticisi olarak çalıştırmasına olanak verebilecek üç yeni güvenlik açığı açıklandı.
Bunlar, son birkaç aydır Linux'ta keşfedilen bir dizi ciddi veya kritik güvenlik açıklarıdır. Microsoft'taki yönetim kurulu, muhtemelen, açık kaynağın daha güvenli olması gerektiği ve henüz bu önemli kusurların bulunmaya devam ettiği ironiden biraz eğlence ya da biraz rahatlama hissi veriyor.
Açık kaynak yazılımın varsayılan olarak daha güvenli olduğunu iddia etmek benim düşünceme rağmen işareti özlüyor. Yeni başlayanlar için, yazılımın yalnızca onu yapılandıran ve koruyan kullanıcı veya yönetici kadar güvenli olduğuna inanıyorum. Bazıları Linux'un kutudan daha güvenli olduğunu iddia etse de, bir Linux kullanıcısı, bir Microsoft Windows kullanıcısı gibi güvensiz.
Diğer yönü ise geliştiricilerin hala insan olmasıdır. Bir işletim sistemini oluşturan binlerce ve milyonlarca kod satırından, bir şeyin gözden kaçırılabileceğini ve sonuçta bir savunmasızlığın keşfedileceğini söylemek yerinde görünüyor.
Orada açık kaynak ile özel mülkiyet arasındaki fark yatıyor. Microsoft, güvenlik açıklarını nihayet açık bir şekilde ilan edip bir yama yayınlamadan sekiz ay önce, ASN.1 uygulamalarıyla ilgili kusurları hakkında EEye Digital Security tarafından bilgilendirildi. Bunlar, kötü adamların kusurları keşfettikleri ve sömürdükleri sekiz aydı.
Açık kaynak ise diğer yandan daha hızlı düzeltme ya da güncellenmiş olma eğilimindedir. Kaynak koduna erişim sağlayan bir çok geliştirici var. Bir hata veya güvenlik açığının ortaya çıkması ve bir yama veya güncellemenin mümkün olduğu kadar çabuk bir şekilde piyasaya sürüldüğü açıklandı. Linux yanılabilir, ancak açık kaynak topluluğu ortaya çıktıkça sorunlara çok daha hızlı tepki veriyor ve uygun güncellemelerle daha çabuk tepki veriyor gibi görünüyor, bununla uğraşana kadar savunmasızlığın varlığını gömmeye çalışmak yerine.
Bununla birlikte, Linux kullanıcıları bu yeni güvenlik açıklarının farkında olmalı ve kendi Linux satıcılarından en yeni yamalardan ve güncellemelerden haberdar olmalarını sağlamalı. Bu kusurlarla ilgili bir uyarı, uzaktan sömürülen olmadıklarıdır. Bu, bu güvenlik açıklarını kullanarak sisteme saldırmak için saldırganın makineye fiziksel erişimi olmasını gerektirir.
Birçok güvenlik uzmanı, bir saldırganın bir bilgisayara fiziksel erişimi olduğunda eldivenlerin kapalı olduğunu ve neredeyse her türlü güvenliğin atlanabileceğini kabul eder. Uzak tehlikede olan ya da yerel ağın dışındaki sistemlerden saldırıya uğrayabilecek, uzaktan en çok tehlike yaratan güvenlik açıklarıdır.
Daha fazla bilgi için, bu makalenin sağındaki iSec Güvenlik Araştırmaları'nın ayrıntılı güvenlik açığı açıklamalarına bakın.