Содержание
Пользователи Linux часто ссылаются на преимущества безопасности как одну из причин предпочитать программное обеспечение с открытым исходным кодом. Так как код открыт для всеобщего обозрения, есть больше глаз, ищущих потенциальные ошибки. Они ссылаются на противоположный подход, когда код виден только разработчикам, как безопасность через неясность. Только несколько человек могут увидеть код, а тех, кто хочет воспользоваться ошибками, в этом списке нет.
Хотя этот язык распространен в мире открытого исходного кода, это не проблема Linux. На самом деле, эта дискуссия старше, чем компьютеры. Так вопрос решен? Является ли один подход на самом деле более безопасным, чем другой, или возможно, что есть истина для обоих?
Что такое безопасность через неизвестность?
Безопасность через неизвестность — это опора на секретность как средство защиты компонентов системы. Этот метод частично используется компаниями, стоящими за наиболее успешными на сегодняшний день коммерческими операционными системами: Microsoft, Apple и, в меньшей степени, Google. Идея состоит в том, что если плохие актеры не знают, что существует недостаток, как они могут ими воспользоваться
?
Вы и я не можем оценить код, который запускает Windows (если только у вас нет отношений с Microsoft). То же самое относится и к macOS. Google открывает исходные коды основных компонентов Android
, но большинство приложений остаются проприетарными. Точно так же Chrome OS в основном с открытым исходным кодом, за исключением специальных битов, которые отделяют Chrome от Chromium.
,
Каковы недостатки?
Поскольку мы не можем видеть, что происходит в коде, мы должны доверять компаниям, когда они говорят, что их программное обеспечение защищено. На самом деле, они могут иметь самую сильную защиту в отрасли (как это имеет место в случае с онлайн-сервисами Google), или же у них могут быть вопиющие дыры, которые смущают себя на протяжении многих лет.
Безопасность безвестности сама по себе не обеспечивает безопасность системы. Это принято как данность в мире криптографии. Принцип Керкхоффа гласит, что криптосистема должна быть безопасной, даже если механизмы попадут в руки врага. Этот принцип восходит к концу 1800-х годов.
Максим Шеннона последовал в 20 веке. Это говорит о том, что люди должны проектировать системы, исходя из предположения, что противники немедленно с ними познакомятся.
Еще в 1850-х годах американский слесарь Альфред Хоббс продемонстрировал, как выбирать современные замки, изготовленные производителями, которые утверждали, что секретность делает их проекты более безопасными. Люди, которые зарабатывают себе на жизнь (так сказать), взламывая замки, становятся действительно хорошими в взломе замков. То, что они раньше не видели никого, не делает его непроницаемым.
Это можно увидеть в регулярных обновлениях безопасности, которые появляются в Windows, macOS и других проприетарных операционных системах. Если хранить частный код достаточно, чтобы скрыть недостатки, их не нужно будет исправлять.
Безопасность через неизвестность не может быть единственным решением
К счастью, такой подход является лишь частью плана защиты, который принимают эти компании. Google вознаграждает людей, которые обнаруживают недостатки безопасности в Chrome, и это едва ли не единственный технический гигант, использующий эту тактику.
Фирменные технологические компании тратят миллиарды на обеспечение безопасности своего программного обеспечения. Они не полностью полагаются на дым и зеркала, чтобы удержать плохих парней. Вместо этого они полагаются на секретность только в качестве первого уровня защиты, замедляя злоумышленников, затрудняя им получение информации о системе, которую они хотят проникнуть.
Дело в том, что иногда угроза не исходит извне операционной системы
, Выпуск Windows 10 показал многим пользователям, что нежелательное поведение может исходить от самого программного обеспечения. Microsoft наращивает свои усилия по сбору информации о пользователях Windows для дальнейшей монетизации своего продукта. Что это делает с этими данными, мы не знаем. Мы не можем взглянуть на код, чтобы увидеть. И даже когда Microsoft действительно открывается, она остается целенаправленно неопределенной.
Является ли безопасность с открытым исходным кодом лучше?
Когда исходный код общедоступен, больше глаз доступно для обнаружения уязвимостей. Если в коде есть ошибки, размышление идет, тогда кто-то их обнаружит. И не думайте о том, чтобы проникнуть в ваш софт. Кто-то заметит, и они вызовут вас.
Мало кто ожидает от конечных пользователей просмотра и понимания исходного кода. Это должны сделать другие разработчики и эксперты по безопасности. Мы можем быть спокойны, зная, что они делают эту работу от нашего имени.
Или мы можем? Мы можем провести легкую параллель с правительством. Когда принимаются новые законы или распоряжения, иногда журналисты и юристы внимательно изучают материал. Иногда это идет под радар.
Ошибки, такие как Heartbleed, показали нам, что безопасность не гарантирована. Иногда ошибки настолько неясны, что десятилетиями обходятся без обнаружения, даже несмотря на то, что программное обеспечение используется миллионами (не говоря уже о том, что этого не происходит и в Windows). Может потребоваться некоторое время, чтобы обнаружить причуды, такие как 28-кратное нажатие клавиши Backspace, чтобы обойти экран блокировки. И только то, что многие люди могут смотреть на код, не означает, что они делают. Опять же, как мы иногда видим в правительстве, общественные материалы могут игнорироваться просто потому, что они скучные.
Так почему же Linux широко рассматривается как безопасная операционная система?
? Хотя это отчасти объясняется преимуществами дизайна в стиле Unix, Linux также выигрывает от огромного количества людей, вложивших средства в его экосистему. С такими разнообразными и разнообразными организациями, как Google и IBM, Министерством обороны США и правительством Китая.
Есть много сторон, вложенных в обеспечение безопасности программного обеспечения. Так как код открыт, люди могут вносить улучшения и отправлять их на рассмотрение другим пользователям Linux. Или они могут оставить эти улучшения для себя
, Для сравнения, Windows и macOS ограничены улучшениями, которые исходят непосредственно от Microsoft и Apple.
Кроме того, хотя Windows может доминировать на настольных компьютерах, Linux широко используется на серверах и других компонентах критически важного оборудования. Многим компаниям нравится иметь возможность вносить свои исправления, когда ставки настолько высоки. И если вы действительно параноик
или вам нужно гарантировать, что никто не следит за тем, что происходит на вашем ПК, вы можете сделать это, только если сможете проверить, что делает код на вашей машине.
Какую модель безопасности вы предпочитаете?
Существует общее мнение, что алгоритмы шифрования должны быть открыты, пока ключи являются частными
, Но нет единого мнения, что все программное обеспечение было бы безопаснее, если бы код был открытым. Возможно, это даже не тот вопрос, который нужно задавать. Другие факторы влияют на степень уязвимости вашей системы, например, как часто обнаруживаются эксплойты и как быстро они исправляются.
Тем не менее, природа Windows или macOS из-за закрытых исходных текстов заставляет вас чувствовать себя некомфортно? Вы используете их в любом случае? Считаете ли вы, что перк, а не ущерб? Вступать в общий разговор!
