En oikein löytänyt yleistä keskustelua koskien Linuxia ja tietoturvallisuutta, vaan vanhoja virus/palomuuriketjuja, joista monet vielä kysymysmuotoisia ja kohdistettu johonkin jakeluversioon. Joten päätin pykätä pystyyn uuden yleisen ketjun koskien aihetta, kun satuin törmäämään Slashdotin pwnie awards juttuun, jossa Linux on suhteellisen kovassa käsittelyssä.
http://it.slashdot.org/story/09/07/31/2325257/Linux-Twitter-and-Red-Hat-Win-Big-At-Pwnie-Awards ja tarkemmin sivu
http://pwnie-awards.org/2009/awards.htmlmissä pisti silmään erityisesti "Lamest Vendor Response: Linux"
The Linux kernel development team was nominated several times over for their ongoing lack of handling of bugs of "unknown impact" and generally assuming that all kernel memory corruption issues are only Denial-of-Service issues. Here's a hint: Just because you can only get a DoS from a bug, doesn't mean that skilled hackers can't get a root shell out of it.
Ja alkuperäisessä lainauksessa tuolla sivulla on linkit mm. can't get a root shell out of it kohdissa, joiden lukeminen oli aika mielenkiintoista.
Toki aukotonta järjestelmää ei ole olemassakaan, mutta mieleeni tuli, että alkaako Linux saamaan "kriittisen massan" kehittäjistä, joilla on ylimalkainen asenne bugeja kohtaan? Koodiahan tulee ihan hirvittävää kyytiä Linuxiin, mutta niin myös alkaa tuleen käyttäjiä joita kiinnostaa järjestelmän haavoittuvuudet. Seuraa väistämätön kysymys, että onko Linux enää ylipäätään lähellekään niin turvallinen, mitä käyttäjät luulevat. Kukaan ei varmasti kiellä, etteikö mm. tällä foorumilla pidetä yleisesti Windowsia erittäin haavoittuvaisena järjestelmänä ja Linuxia vastaavasti
todella turvallisena vaihtoehtona. Äärimmäisyyksissä palomuurit ja virustorjunnat on Linuxissa _täysin_ turhia, kysymättä välttämättä käyttäjältä edes koneen käyttökohdetta. Lähes ainoana turvallisuusriskinä tunnutaan yleisesti pitävän ulkopuolisia jakelulähteitä, mikä tietysti onkin mahdollinen turvallisuusriski, mutta Ubuntun repoistakin alkaa löytymään vaan aikalailla monen näköistä ja monien mielestä varmasti ihan turhaa sälää.
Toisaalta voidaan avata myös launchpad ja alkaa tutkimaan bugiraportteja. On aika mielenkiintoista, että monet bugit on suljettu sillä verukkeella, että vika on korjattu vielä alpha/beta asteella olevassa julkaisussa. Ok, seuraava esimerkki ei liity mitenkään tietoturvaan, mutta tämä on tekemäni bugiraportti
https://bugs.launchpad.net/alarmclock/+bug/380442Suljettu, mutta nytkään asennettaessa alarm-clock Jauntyyn, sen versio ei vielä ole 1.0
Tilanne siis "Fix released"? Kuinkahan paljon mahtaa olla potentiaalisia turvallisuus bugeja (jonkinlaisia muistivuotoja tms?), joille on käynyt samoin?
Onko tällä foorumilla lukijoita, jotka lukevat/tarkistavat jollain tasolla, jotain lähdekoodista mitä repoissa on? Avointa koodia kun kerran pidetään lähes automaattisesti todella turvallisena. Avointa koodia on pidetty mm. joissain podcasteissa ihan sen kummemmin perustelematta turvallisena. Kortilla tietysti aina kääntöpuoli, sitä ei kait kukaan erehdy kieltämäänkään? Kumpi kiinnostaa enemmän, tarkistella avointa koodia ja tehdä siihen parannuksia, vai tarkoitusperäisesti etsiä siitä haavoittuvuutta mitä voi hyödyntää omiin tarkoituksiin? Villi veikkaukseni, että jälkimmäiseen ryhmään löytyisi todella paljon anonyymejä käden nostajia.
Asia on alkanut askarruttamaan ainakin minua aina vain enemmän, mitä enemmän Linuxia on tullut käytettyä nyt parin vuoden aikana. Toivottavasti en saa mitään äärifanaattista väittelyä aikaiseksi, mutta olen aukaissut keskustelun.
Mitä mieltä Te olette?
Aihe: Linux, ohjelmistot ja avoimenkoodin turvallisuus, vai illuusio turvallisuudesta? (Luettu 5052 kertaa)
