Este securitatea prin obscuritate mai sigură decât software-ul open source?
Utilizatorii de Linux citează adesea avantajele de securitate ca fiind unul dintre motivele pentru care preferă software-ul open source. Deoarece codul este deschis pentru toată lumea să vadă, există mai mulți ochi care caută potențiale bug-uri. Se referă la abordarea opusă, în care codul este vizibil numai dezvoltatorilor, ca securitate prin obscuritate. Doar câțiva oameni pot vedea codul, iar cei care vor să profite de bug-uri nu sunt pe lista respectivă.
În timp ce această limbă este comună în lumea open source, aceasta nu este o problemă specifică sistemului Linux. De fapt, această dezbatere este mai veche decât computerele. Deci, întrebarea este rezolvată? Este o abordare de fapt mai sigur decât celălalt sau este posibil să existe adevăr la ambele?
Ce este securitatea prin obscuritate?
Securitatea prin obscuritate este dependența de secret ca mijloc de protejare a componentelor unui sistem. Această metodă este parțial adoptată de companiile care se află în spatele celor mai de succes sisteme de operare comerciale de astăzi: Microsoft, Apple și, într-o mai mică măsură, Google. Ideea este că dacă actorii răi nu știu că există un defect, cum pot să profite de ele 3 Windows 98 Bugs Worth Revizuirea 3 Windows 98 Bugs Worth Revizuirea Este doar o nostalgie care mă menține atașată la acest sistem de operare sau a fost Windows 98 merită să-ți amintești? Acest sistem de operare lansat acum 15 ani a avut urcușuri și coborâșuri. Criticii au fost destul de dure ... Citește mai mult ?
Tu și cu mine nu putem face un vârf la codul care face ca Windows să ruleze (dacă nu se întâmplă să ai o relație cu Microsoft). Același lucru este valabil și pentru MacOS. Google deschide sursele componentele de bază ale Android Este Android Open Source? Și aceasta chiar contează? Este Android cu adevarat Open Source? Și aceasta chiar contează? Aici analizăm dacă Android este sau nu într-adevăr open source. La urma urmei, se bazează pe Linux! Citiți mai multe, dar majoritatea aplicațiilor rămân în proprietate. În mod similar, sistemul de operare Chrome este în mare parte cu sursă deschisă, cu excepția biților speciali care separă Chrome de Chromium Este Google de ascultare pe utilizatorii Chromium? Aplicația Google îi asculta pe utilizatorii Chromium? Dezvoltatorii de surse deschise au descoperit că versiunea Debian a Chromium este descărcarea de cod de la Google înregistrează utilizatorul prin micul PC și transmite fluxul audio pentru analiză. Îți ascultă Google? Citeste mai mult .
Care sunt dezavantajele?
Deoarece nu putem vedea ce se întâmplă în cod, trebuie să avem încredere în companii atunci când spun că software-ul lor este sigur. În realitate, aceștia pot avea cea mai puternică securitate din industrie (așa cum pare să fie cazul serviciilor online Google), sau pot avea găuri strălucitoare care stau în jur de ani de zile.
Securitatea prin obscuritate, pe cont propriu, nu oferă un sistem cu securitate. Aceasta este luată ca dată în lumea criptografiei. Principiul lui Kerckhoff susține că un sistem criptos trebuie să fie sigur chiar dacă mecanismele intră în mâinile inamicului. Acest principiu datează până la sfârșitul anilor 1800.
Maximul lui Shannon a urmat în secolul XX. Se spune că oamenii ar trebui să proiecteze sisteme presupunând că adversarii se vor familiariza imediat cu ei.
Înapoi în anii 1850, lăcătușul american Alfred Hobbs a demonstrat cum să aleagă încuietori de ultimă generație realizate de producătorii care au susținut că secretul le-a făcut design-urile mai sigure. Oamenii care își fac mijloacele de trai (ca să spunem așa) iau lăcate într-adevăr bun la încuietori. Doar pentru că s-ar putea să nu fi văzut vreunul înainte, nu o face impenetrabilă.
Acest lucru poate fi văzut în actualizările obișnuite de securitate care ajung pe Windows, MacOS și alte sisteme de operare proprietare. Dacă păstrarea codului privat era suficient pentru a menține defectele ascunse, nu ar fi nevoie să fie patch-uri.
Securitatea prin obscuritate nu poate fi singura soluție
Din fericire, această abordare este numai parte a planului defensiv pe care aceste companii îl iau. Google recompensează oamenii care descoperă vulnerabilități de securitate în Chrome și nu este decât singurul gigant tehnic care poate folosi această tactică.
Firmele de tehnologie proprietară cheltuiesc miliarde pentru a-și face software-ul în siguranță. Ei nu se bazează în întregime pe fum și pe oglinzi pentru a ține departe băieții răi. În schimb, se bazează pe secret ca fiind doar primul nivel de apărare, încetinind atacatorii în jos, făcându-i mai greu pentru ei să obțină informații despre sistemul pe care doresc să se infiltreze.
Problema este că, uneori, amenințarea nu provine din afara sistemului de operare Microsoft Îți ușurează problemele de confidențialitate Windows 10 Microsoft vă ușurează problemele legate de confidențialitatea Windows 10 Înainte de lansarea actualizării creatorilor, Microsoft se adresează preocupărilor cetățenilor privitoare la Windows 10. Dar acest lucru va fi suficient pentru a calma avocații de confidențialitate? Citeste mai mult . Descărcarea Windows 10 a arătat un număr mare de utilizatori că comportamentul nedorit poate proveni din software-ul propriu-zis. Microsoft și-a intensificat eforturile pentru a colecta informații despre utilizatorii de Windows, pentru a-și monetiza în continuare produsul. Ce face cu aceste date, nu știm. Nu putem să ne uităm la cod pentru a vedea. Și chiar dacă Microsoft se deschide, rămâne în mod intenționat vag.
Securitatea Open Source este mai bună?
Când codul sursă este public, sunt disponibile mai multe ochi pentru a detecta vulnerabilitățile. Dacă există coduri eronate, gândirea merge, atunci cineva le va vedea. Și nu vă gândiți să vă strecurați un backdoor în software-ul dvs. Cineva va observa și te vor chema.
Puțini oameni se așteaptă ca utilizatorii finali să vizualizeze și să înțeleagă codul sursă. Asta pentru alți dezvoltatori și experți în securitate să facă. Ne putem odihni ușor, știind că fac această lucrare în numele nostru.
Sau putem? Putem desena o paralelă ușoară cu guvernul. Atunci când se adoptă o nouă legislație sau ordine executive, uneori jurnaliștii și profesioniștii din domeniul dreptului examinează materialul. Uneori se află sub radar.
Bug-uri precum Heartbleed ne-au arătat că securitatea nu este garantată. Uneori, bug-urile sunt atât de obscure, încât acestea merg decenii fără a fi detectate, chiar dacă software-ul este utilizat de milioane de utilizatori (să nu spunem că acest lucru nu se întâmplă și pe Windows). Poate dura ceva timp pentru a descoperi ciudățenii, cum ar fi apăsarea cheii Backspace de 28 de ori pentru a ocoli ecranul de blocare. Și tocmai pentru că mulți oameni se pot uita la cod nu înseamnă că o fac. Din nou, după cum vedem uneori în guvern, materialul public poate fi ignorat pur și simplu pentru că este plictisitor.
Deci, de ce Linux este privit pe scară largă ca fiind un sistem de operare securizat Linux este într-adevăr la fel de sigur pe cât credeți că este? Linux este într-adevăr la fel de sigur pe cât crezi că este? Linux este adesea prezentat ca fiind cel mai sigur sistem de operare pe care îl puteți pune pe mâini, dar acesta este cu adevărat cazul? Să aruncăm o privire asupra diferitelor aspecte ale securității calculatorului Linux. Citeste mai mult ? Deși acest lucru se datorează în parte avantajelor designului în stilul Unix, Linux beneficiază și de numărul mare de persoane care au investit în ecosistemul său. Cu organizații variate și diverse ca Google și IBM către Departamentul Apărării al SUA și guvernul chinez Guvernul chinez are un nou distribuitor Linux: este orice bun? Guvernul chinez are un nou distribuitor Linux: este orice bun? Ubuntu Kylin este un spin foarte personalizat de Ubuntu Linux, construit de guvernul chinez, destinat utilizatorilor chinezi. Spre deosebire de alte proiecte bazate pe guvern Linux, Ubuntu Kylin este de fapt destul de bun! Citiți mai multe, există multe părți invitate să mențină software-ul în siguranță. Din moment ce codul este deschis, oamenii sunt liberi să facă îmbunătățiri și să le trimită înapoi pentru alți utilizatori Linux de care să beneficieze. Sau pot păstra acele îmbunătățiri pentru ei înșiși Sursă deschisă vs. Software liber: Care este diferența și de ce contează? Sursa open source vs. software liber: Care este diferența și de ce contează? Mulți presupun că "open source" și "software liber" înseamnă același lucru, dar acest lucru nu este adevărat. Este în interesul dumneavoastră să știți care sunt diferențele. Citeste mai mult . Prin comparație, Windows și MacOS sunt limitate la îmbunătățirile care provin direct de la Microsoft și Apple.
În plus, în timp ce Windows poate fi dominant pe desktopuri, Linux este utilizat pe scară largă pe servere și alte componente de hardware critice. Multe companii au opțiunea de a-și face propriile soluții atunci când mizele sunt atât de mari. Și dacă sunteți cu adevărat paranoic Sistemul de operare Linux pentru paranoic: Care sunt cele mai sigure opțiuni? Sisteme de operare Linux pentru Paranoid: Care sunt cele mai sigure opțiuni? Trecerea la Linux oferă multe beneficii utilizatorilor. De la un sistem mai stabil la o vastă selecție de software open source, sunteți pe un câștigător. Și nu vă va costa un ban! Citiți mai multe sau trebuie să vă asigurați că nimeni nu monitorizează ce se întâmplă pe PC, puteți face acest lucru numai dacă puteți verifica ceea ce face codul de pe computerul dvs..
Care model de securitate preferați??
Există un consens general că algoritmii de criptare trebuie să fie deschisi, atâta timp cât cheile sunt private Cum funcționează criptarea și este într-adevăr sigură? Cum funcționează criptarea și este într-adevăr sigură? Citeste mai mult . Dar nu există nici un consens că tot software-ul ar fi mai sigur dacă codul ar fi deschis. Aceasta nu poate fi chiar întrebarea potrivită. Alți factori influențează cât de vulnerabil poate fi sistemul dvs., cum ar fi cât de des sunt descoperite exploatările și cât de repede sunt rezolvate.
Cu toate acestea, natura sursă închisă a Windows sau MacOS vă lasă să vă simțiți incomod? Le folosiți oricum? Considerați că un avantaj, nu un prejudiciu? Interveni în discuție!
Explorați mai multe despre: Computer Security, Encryption, Linux, Open Source.