Er sikkerhet gjennom usynlighet sikrere enn åpen programvare?
Linux-brukere oppgir ofte sikkerhetsfordeler som en av grunnene til å foretrekke åpen kildekode. Siden koden er åpen for alle å se, er det flere øyne som søker etter mulige feil. De refererer til motsatt tilnærming, hvor koden bare er synlig for utviklerne, som sikkerhet gjennom uklarhet. Bare noen få personer kan se koden, og folkene som vil dra nytte av feil, er ikke på listen.
Selv om dette språket er vanlig i open source-verdenen, er dette ikke et Linux-spesifikt problem. Faktisk er denne debatten eldre enn datamaskiner. Så er spørsmålet avgjort? Er en tilnærming faktisk tryggere enn den andre, eller er det mulig at det er sannhet for begge?
Hva er sikkerhet gjennom uklarhet?
Sikkerhet gjennom uklarhet er tilliten til hemmelighold som et middel til å beskytte komponentene i et system. Denne metoden er delvis vedtatt av selskapene bak dagens mest vellykkede kommersielle operativsystemer: Microsoft, Apple, og i mindre grad Google. Ideen er at hvis dårlige skuespillere ikke vet at det finnes en feil, hvordan kan de dra nytte av dem? 3 Windows 98 Bugs Worth Revisiting 3 Windows 98 Bugs Worth Revisiting Er det bare nostalgi som holder meg knyttet til dette operativsystemet, eller var Windows 98 faktisk verdt å huske? Dette operativsystemet som ble utgitt for 15 år siden, hadde sine oppturer og nedturer. Kritikere har vært ganske sterke ... Les mer ?
Du og jeg kan ikke ta en topp på koden som gjør at Windows kjører (med mindre du har et forhold til Microsoft). Det samme gjelder for macOS. Google åpne kilder kjernekomponentene i Android Er Android virkelig åpen kildekode? Og gjør det like mye? Er Android virkelig åpen kildekode? Og gjør det like mye? Her undersøker vi om Android er virkelig åpen kildekode. Tross alt er den basert på Linux! Les mer, men de fleste apps forblir proprietære. På samme måte er Chrome OS stort sett åpen kildekode, bortsett fra de spesielle brikkene som skiller Chrome fra Chromium, er Google avlytting på Chrome-brukere? Er Google avlytting på Chrome-brukere? Open source-utviklere har funnet ut at Debian-versjonen av Chrom er nedlasting av kode fra Google-poster, brukeren via PC-mikrofon og streamer lyden tilbake til analyse. Er Google avlytting på deg? Les mer .
Hva er ulempene?
Siden vi ikke kan se hva som skjer i koden, må vi stole på selskaper når de sier at programvaren er sikker. I virkeligheten kan de ha den sterkeste sikkerheten i bransjen (som det ser ut til å være tilfelle med Googles online-tjenester), eller de kan ha skarpe hull som skamrer seg lenge i årevis.
Sikkerhet ved uklarhet, i seg selv, gir ikke et system med sikkerhet. Dette er tatt som en gitt i kryptografiens verden. Kerckhoffs prinsipp hevder at et kryptosystem skal være sikkert selv om mekanismene faller i fiendens hender. Dette prinsippet går helt tilbake til slutten av 1800-tallet.
Shannons maksimal fulgte i det 20. århundre. Det står at folk skal designe systemer under forutsetning om at motstandere umiddelbart vil bli kjent med dem.
Tilbake på 1850-tallet viste amerikansk låsesmed Alfred Hobbs hvordan man kunne velge toppmoderne låser laget av produsenter som hevdet at hemmeligholdelse gjorde deres design tryggere. Folk som gjør deres levebrød (så å si) plukker låser får egentlig Godt å plukke lås. Bare fordi de kanskje ikke har sett en før, gjør det ikke ugjennomtrengelig.
Dette kan ses i de vanlige sikkerhetsoppdateringene som kommer på Windows, MacOS og andre proprietære operativsystemer. Hvis du holder koden privat, var det nok til å holde feilene skjult, ville de ikke trenge å bli patched.
Sikkerhet gjennom uklarhet kan ikke være den eneste løsningen
Heldigvis er denne tilnærmingen bare del av forsvarsplanen disse selskapene tar. Google belønner folk som oppdager sikkerhetsfeil i Chrome, og det er neppe den eneste teknologiske giganten å bruke denne taktikken.
Proprietære teknologibedrifter bruker milliarder på å gjøre programvaren trygg. De stoler ikke helt på røyk og speil for å holde gutta unna. I stedet stoler de på hemmelighold som bare det første forsvarslaget, senker angriperne ned ved å gjøre det vanskeligere for dem å få informasjon om systemet de ønsker å infiltrere.
Saken er noen ganger trusselen kommer ikke fra utenfor operativsystemet Microsoft gjør at Windows 10-personvernet bekymrer deg Microsoft gjør at Windows 10-personvernet bekymrer deg før opphavsretten til opphavsmannen oppdateres, og Microsoft tar opp personvernets bekymringer angående Windows 10. Men vil dette være nok til å appease personvernforesatte? Les mer . Utgivelsen av Windows 10 viste mange brukere at uønsket atferd kan komme fra selve programvaren. Microsoft har styrket sin innsats for å samle inn informasjon om Windows-brukere for å kunne tjene mer på å tjene penger på produktet. Hva det gjør med dataene, vet vi ikke. Vi kan ikke se koden for å se. Og selv når Microsoft åpner seg, forblir det målrettet vakt.
Er Open Source Security Better?
Når kildekoden er offentlig, er flere øyne tilgjengelige for å oppdage sårbarheter. Hvis det er feil i koden, går tanken, så vil noen få øye på dem. Og ikke tenk på å snike en bakdør til programvaren din. Noen vil legge merke til, og de vil ringe deg ut.
Få personer forventer sluttbrukere å se og gi mening om kildekoden. Det er for andre utviklere og sikkerhetseksperter å gjøre. Vi kan hvile lett og vite at de gjør dette arbeidet på våre vegne.
Eller kan vi? Vi kan trekke en enkel parallell med regjeringen. Når ny lovgivning eller utøvende bestillinger blir vedtatt, gjennomgår journalister og jurister faglig materiale. Noen ganger går det under radaren.
Feil som Heartbleed har vist oss at sikkerhet ikke er garantert. Noen ganger er feilene så uklare at de går tiår uten deteksjon, selv om programvaren er i bruk av millioner (for ikke å si dette skjer ikke også på Windows). Det kan ta en stund å oppdage kjendiser som å trykke på Backspace-tasten 28 ganger for å omgå låseskjermen. Og bare fordi mange mennesker kan se på kode betyr ikke at de gjør det. Igjen, som vi noen ganger ser i regjeringen, kan det offentlige materialet ignoreres, bare fordi det er kjedelig.
Så hvorfor er Linux allment ansett som et sikkert operativsystem. Er Linux virkelig så trygg som du tror det er? Er Linux egentlig så trygg som du tror det er? Linux er ofte spioneringen som det sikreste operativsystemet du kan få hendene på, men er dette virkelig tilfelle? La oss ta en titt på ulike aspekter av Linux datasikkerhet. Les mer ? Selv om dette delvis skyldes fordelene med Unix-stildesign, har Linux også fordeler fra det store antallet personer som investeres i sitt økosystem. Med organisasjoner som varierte og mangfoldige som Google og IBM til amerikanske forsvarsdepartementet og den kinesiske regjeringen Den kinesiske regjeringen har en ny Linux Distro: Er det noe bra? Den kinesiske regjeringen har en ny Linux Distro: Er det noe bra? Ubuntu Kylin er en kraftig tilpasset spinn av Ubuntu Linux, bygget av den kinesiske regjeringen, rettet mot kinesiske brukere. I motsetning til andre regjeringsbaserte Linux-prosjekter, er Ubuntu Kylin faktisk ganske bra! Les mer, det er mange parter investert i å holde programvaren sikker. Siden koden er åpen, er folk fri til å gjøre forbedringer og sende dem tilbake for andre Linux-brukere å dra nytte av. Eller de kan holde disse forbedringene for seg selv Open Source vs Free Software: Hva er forskjellen og hvorfor betyr det? Open Source vs Free Software: Hva er forskjellen og hvorfor betyr det? Mange antar at "åpen kildekode" og "fri programvare" betyr det samme, men det er ikke sant. Det er i din beste interesse å vite hva forskjellene er. Les mer . Til sammenligning er Windows og MacOS begrenset til forbedringene som kommer direkte fra Microsoft og Apple.
I tillegg, mens Windows kan være dominerende på skrivebord, er Linux mye brukt på servere og andre deler av misjonskritisk maskinvare. Mange bedrifter liker å ha muligheten til å lage sine egne rettelser når innsatsen er så høy. Og hvis du er virkelig paranoid Linux operativsystemer for paranoid: Hva er de sikreste alternativene? Linux operativsystemer for paranoid: Hva er de sikreste alternativene? Bytte til Linux gir mange fordeler for brukere. Fra et mer stabilt system til et stort utvalg av open source-programvare, er du på en vinner. Og det vil ikke koste deg en krone! Les mer eller trenger å garantere at ingen overvåker hva som skjer på PCen din, du kan bare gjøre det hvis du kan bekrefte hva koden på maskinen din gjør.
Hvilken sikkerhetsmodell foretrekker du?
Det er en generell konsensus om at krypteringsalgoritmer må være åpne, så lenge nøklene er private. Hvordan virker kryptering, og er det virkelig trygt? Hvordan virker kryptering, og er det virkelig trygt? Les mer . Men det er ingen konsensus om at all programvare ville være tryggere hvis koden var åpen. Dette kan ikke engang være det rette spørsmålet å spørre. Andre faktorer påvirker hvor sårbart systemet ditt kan være, for eksempel hvor ofte utnyttelser oppdages og hvor raskt de er løst.
Ikke desto mindre lar lukkekilden til Windows eller MacOS at du føler deg ubehagelig? Bruker du dem likevel? Tror du det er en fordel, ikke noe negativt? Ringe inn!
Utforsk mer om: Datasikkerhet, kryptering, Linux, åpen kildekode.