खुला स्रोत सुरक्षा आलोचनात्मक छ
पछिल्लो हप्ता पोल्याण्ड सुरक्षा फर्म आईएसके सिक्योरिटी रिसर्चले हालैको लिङ्क लिनक्स कर्नलमा तीन हप्ताको नयाँ नयाँ आकस्मिक घोषणा गरेको थियो जसले आक्रमणकारीले मेसिनमा आफ्नो विशेषाधिकार बढाउन र रूट प्रशासकको रूपमा प्रोग्रामहरू निष्पादित गर्न सक्दछ।
यो भर्खरै केहि महिना मा लिनक्स मा पत्ता लागेका गम्भीर वा महत्वपूर्ण सुरक्षा हानिकारकहरु को एक श्रृंखला मा नवीनतम। माइक्रोसफ्टमा बोर्डको कोठाले केहि मनोरञ्जन प्राप्त गरिरहेको छ, वा कम से कम केहि राहत महसुस गरिरहेको छ, विलोपनबाट खुल्ला स्रोत अधिक सुरक्षित हुनु पर्छ र अझै पनि यो महत्वपूर्ण दोषहरू फेला परेन।
यो चिह्नलाई मिस गर्छ, यद्यपि मेरो धारणामा दावी गरिएको छ कि खुला स्रोत सफ्टवेयर पूर्वनिर्धारित रूपमा अधिक सुरक्षित छ। सुरुका लागि, मलाई विश्वास छ कि सफ्टवेयर केवल प्रयोगकर्ता वा प्रशासकको रूपमा मात्र सुरक्षित छ जसले यसलाई कन्फिगर र राख्दछ। यद्यपि केही तर्क हुन सक्छ कि लिनक्स बक्स भन्दा बढि सुरक्षित छ, एक क्ल्युलेक्स लिनक्स प्रयोगकर्ता केवल क्ल्युअल माइक्रोसफ्ट विण्डोज प्रयोगकर्ताको रूपमा असुरक्षित हो।
यसको अर्को पहल यो हो कि विकासकर्ता अझै पनि मानव हो। हजारौं र लाखौं कोडको लाइन जसले अपरेटिङ सिस्टम बनाउँछ यो भन्नको लागी उचित देखिन्छ कि केहि छुटेको हुन सक्छ र अन्त्यमा एक असुरक्षा पत्ता लगाइनेछ।
त्यहाँ खुला स्रोत र स्वामित्व बीचको फरक छ। माइक्रोसफ्ट ईईई डिजिटल सुरक्षा द्वारा अधिसूचनाहरु को बारे मा सूचित गरे कि उनि ASN.1 को 8 महिना को उनको कार्यान्वयन संग दोष को बारे मा घोषित गरे र उनलाई एक आचरण जारी गरे। ती आठ महिनाहरू थिए जसरी खराब मान्छेले पत्ता लगाउन सकेका थिए र दोषको शोषण गरे।
अर्कोतिर खुल्ला स्रोतले पाईन्छ र धेरै छिटो अद्यावधिक गर्न सक्छ। त्यहाँ धेरै विकासकर्ताहरू स्रोत कोडमा पहुँच भएका छन् जुन एक पटक एक दोष वा असुरक्षितता पत्ता लगाइएको छ र एक प्याचको घोषणा वा अद्यावधिक जितनी छिटो रूपमा जारी गरिएको छ। लिनक्स सम्भव छ, तर खुला स्रोत समुदायले ती समस्याहरूसँग तीव्र प्रतिक्रियाहरू देखा पर्दछ जुन तिनीहरू उठ्दछन् र सम्भावनाको अस्तित्व गुमाउने प्रयास गर्नु भन्दा सजिलो अप्ठ्यारोसँग जवाफ दिन्छ।
उनले भने, लिनक्स प्रयोगकर्ताहरू यी नयाँ हानिकारकहरूको बारेमा जान्नुपर्दछ र निश्चित हुनुहोस् कि तिनीहरू उनीहरूको लिनक्स विक्रेन्डरबाट भर्खरका प्याचहरू र अद्यावधिकहरूबारे सूचित रहन्छन्। यी खराबीहरूसँग एक गुफा भनेको हो कि तिनीहरू दूरयोग्य टाढा छैन। यसको मतलब यी हानिकारकहरू प्रयोग गरेर प्रणालीमा आक्रमण गर्न आक्रमणकारीलाई मेसिनमा भौतिक पहुँचको आवश्यकता पर्दछ।
धेरै सुरक्षा विशेषज्ञहरूले सहमत हुन्छन् कि एकपटक आक्रमणकारी एक पटक कम्प्युटरमा शारीरिक पहुँच छ जब दस्ताने बन्द छन् र लगभग कुनै पनि सुरक्षा अन्ततः बाईपास गर्न सकिन्छ। यो दूरस्थ शोषित क्षतिपूर्ति छ - दोषहरू जुन टाढाबाट वा स्थानीय सञ्जालको बाहिरबाट आक्रमण गर्न सकिन्छ - जो सबैभन्दा खतरा छ।
थप जानकारीको लागि आईएसक सुरक्षा रिसर्चबाट विस्तृत आकस्मिकता विवरणहरू यस लेखको दायाँतिर जाँच गर्नुहोस्।