Har Linux vært et offer for sin egen suksess?
Jim Zemlin er leder av Linux Foundation. Deres oppdrag er å “Fremme, beskytte og fremme Linux”. Så, hvorfor sa Jim nylig at “gylden alder av Linux” kan snart komme til en slutt?
Svaret på dette ligger i Linux-fellesskapets evne til å takle sikkerhetsproblemer. Det viser seg, det er vanskeligere enn du tror.
En flurry av sikkerhetsproblemer
De siste 48 månedene har vært brutale for Linux. Det er ikke hyperbole. Store sikkerhetsproblemer har blitt funnet i nesten hver enkelt distribusjon, med alvorlige konsekvenser for sluttbrukerne.
Den mest beryktede var Heartbleed. Dette sikkerhetsproblemet påvirket OpenSSL Heartbleed - hva kan du gjøre for å holde seg trygt? Heartbleed - Hva kan du gjøre for å være trygg? Les mer, og gjort det mulig for en angriper å lese minnet av sårbar server og stjele de hemmelige nøklene som brukes i asymmetrisk kryptering.
Dette, som du kanskje regner med, fundamentalt undergravd integriteten til online kryptering. På den tiden var millioner av systemer i fare. Til denne dag er det anslått at 200 000 systemer er upatchet.
Så var det Shellshock. Dette var et annet alvorlig sårbarhet, denne gangen påvirker BASH-skallet. Når den utnyttes, kan en angriper utføre sin egen ondsinnede kode på sårbare OS X-, BSD- og Linux-systemer. Vi skrev om det i september i verste fall enn Heartbleed? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Verre enn Heartbleed? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Read More .
Endelig er det Linux GHOST-sårbarheten Linux Ghost-feilen: Alt du trenger å vite Linux Ghost-feilen: Alt du trenger å vite GHOST-sårbarheten er en feil i en viktig del av alle store Linux-distro. Det kan i teorien tillate hackere å ta kontroll over datamaskiner uten behov for brukernavn eller passord. Les mer . Dette var så ubehagelig som de andre sårbarhetene i forhold til mengden systemer det berørte, og potensialet for misbruk som fulgte med det.
GHOST-sårbarheten var en bufferoverflyt funnet i glibc, hvor en ekstern angriper kunne sende en nøye utarbeidet pakke som inneholdt en skalskod nyttelast, som ville være pålitelig utført av det sårbare systemet ved mottak. Dette ville ha gitt en angriper muligheten til å utføre sine egne vilkårlig kommandoer, uten at et brukernavn eller passord.
Budsjetter og frivillige
Dette var ikke en uttømmende liste. Som Zemlin påpekte, men hver sårbarhet har noe til felles. De har alle påvirket betydelige Linux-komponenter som lider av mangel på midler, eller mangel på frivillige.
Ta for eksempel OpenSSL. I månedene som førte til oppdagelsen av Heartbleed, hadde den mottatt mindre enn $ 2000 i donasjoner. Ifølge Zemlin ble det lenge vedlikeholdt av to frivillige utviklere. Tilfeldigvis, begge ble kalt Steve.
NTPd - som er ansvarlig for å sikre at alle Internett-tilkoblede Linux-datamaskiner er på gang, og er avgjørende for kryptering til arbeid - blir jobbet av en deltids frivillig. Bash og OpenSSH er i like store straits.
I mellomtiden er Linux Kernel flush med midler og frivillige, og støttes av noen av de største navnene i teknologi, som Red Hat, Google, og til og med Microsoft, om enn ikke for lenge. Det er stor ulikhet med ressursallokering, med noen kjerne Linux-komponenter bedre enn andre.
Det pleide å være tilfelle at Linux kunne stole på å være sikker gjennom uklarheten. Men da det i økende grad brukes som server- og stasjonær OS, kan det ikke lenger avhenge av det. Linux er nå et utrolig lukrativt mål for hackere, og andre digitale ne'er-do-brønner.
Hele Linux-fellesskapet må sørge for at de små, men ofte glemte delene av operativsystemet er tilstrekkelig finansiert, bemannet og i stand til å håndtere sikkerhetstrusler når de kommer opp.
Linux etterfølger
Men hvis disse endringene ikke skje, og Linux-grunnleggende sikkerhet blir satt i tvil, ser det ut til at enkelte selskaper og brukere vil flytte andre steder. Men hvor skal de gå?
OpenBSD
Mottoet til OpenBSD er “Bare to fjernhull i standardinstallasjonen, i lang tid!”.
Det er sant.
OpenBSD ble grunnlagt av Theo De Raadt i 1996. Det startet livet som en gaffel av NetBSD, etter at den beryktede brennende De Raadt ble sparket ut av dette prosjektet på grunn av “personlighet forskjeller”.
Siden da har bare to fjernutnyttbare sårbarheter blitt oppdaget i OpenBSD. Dette er en ubetydelig sum sammenlignet med Linux, Windows og ja, NetBSD.
Det er ingen ulykke. OpenBSD er designet fra grunnen til å være sikker. Hver linje av kode er grundig revidert for feil og sikkerhetsfeil, og utviklere må overholde strenge sikre kodingsretningslinjer. Det er viktig liten, og leveres med en redusert mengde programvarepakker i standardinstallasjonen, og reduserer dermed antallet potensielle angrepsvektorer.
Selv om OpenBSD er uklar, har mange av komponentene funnet suksess i andre operativsystemer, som OpenSSL, OpenNTPD og PF (Packet Filter) brannmur.
Dette “sikkerhet ved design” ethos appellerer til selskaper som er ivrige etter å unngå pinlige sikkerhetsbukser, og brukere som leter etter en sikrere databehandling.
For en mer detaljert sammenligning mellom Linux og BSD, sjekk ut dette stykket av Danny Steiben Linux vs BSD: Hvilken skal du bruke? Linux vs BSD: Hvilken skal du bruke? Begge er basert på Unix, men det er der likhetene slutter. Her er alt du trenger å vite om forskjellene mellom Linux og BSD. Les mer .
Windows 10
Jeg vet. Endorsing Windows 10 og foreslår at Linux kan ha truffet sin topp er nesten som å signere min egen eksekveringsordre. I det minste er det sikkert å provosere noen sint kommentarer.
Men selv om noen kanskje ikke liker å innrømme det, gir Microsofts enorme rikdom det en relativ immunitet mot noen av problemene Linux står overfor.
Hvis et alvorlig sårbarhet kommer opp i en viktig del av Windows 10, er det for eksempel ingen tvil om at Microsoft vil ha tilgjengelig midler og arbeidskraft for å håndtere det. Microsoft trenger ikke å stole på motivasjonen til individuelle frivillige. De har dedikerte, betalte ansatte.
Selv om Windows-track record i all-things sikkerhet er oppe for debatt, er Windows 10 en stor forbedring på tidligere versjoner, og har blitt spioneringen som “mest sikre Windows noensinne”.
Men selv om det ikke er tilfelle, er det enkelt den beste Windows noensinne. Med sin fornyet estetikk 10 Kompetente grunner til å oppgradere til Windows 10 10 Kompetente grunner til å oppgradere til Windows 10 Windows 10 kommer på 29. juli. Er det verdt å oppgradere gratis? Hvis du ser frem til Cortana, toppmoderne spill, eller bedre støtte for hybrid-enheter - ja, definitivt! Og ... Les mer, forbedret nettleser Slik setter du opp Microsoft Edge, standard nettleser i Windows 10 Slik setter du opp Microsoft Edge, standard nettleseren i Windows 10 Microsofts nye nettleser Edge gjorde sitt første utseende i Windows 10 Insider Preview. Den er fortsatt grov rundt kantene, men slank og rask. Vi viser deg hvordan du skal migrere og sette opp den. Les mer, og Cortana Cortana kommer på skrivebordet, og her er det hun kan gjøre for deg. Cortana kommer på skrivebordet. Her er hva hun kan gjøre for deg. Er Microsofts intelligente digitale assistent like kompetent på Windows 10-skrivebordet som hun er på Windows Phone? Cortana har stor forventning på skuldrene hennes. La oss se hvordan hun holder seg. Les mer, det er en glede å bruke på både skrivebordet og nettbrettet. Hvor bra virker Windows 10 på en liten Tablet? Hvor godt virker Windows 10 på en liten Tablet? Windows 10 tar enheter av utilfredsstillende Windows 8 og nysgjerrige Windows 7-brukere med storm. PC-opplevelsen er flott, men hvordan fungerer den på små skjermer? Matthew testet Windows 10 på ... Les mer .
Til tross for det kan tanken om å bruke Windows 10 være litt for ubehagelig for mange Linux-brukere.
Er det noe håp for Linux?
Linux-verdenen har et stort problem. Hvordan kan den sikre at de betydelige, men ofte forsømte komponentene til operativsystemet er tilstrekkelig resourced? Hvis dette ikke er løst, kan du bare garantere at Jim Zemlins forutsetninger vil gå i oppfyllelse, og Linux vil gå inn i en langsom og ustoppelig tilbakegang.
Men hva synes du? Er slutten nær for Linux? Eller vil det overleve? Gi meg beskjed om hva du synes i kommentarene nedenfor.
Photo Credits: omihay / Shutterstock.com, Glassburk (Sitron Tree Images)
Utforsk mer om: Datasikkerhet, Linux.