Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Varnost
Objavljeno: 25.5.2009 13:20 | Avtor: Edi Strosar | Monitor Junij 2009 | Teme: mnenje, komentar, odprta koda

Je odprto res bolj varno?

V majski številki smo objavili članek z naslovom "Znova: odprta koda, da ali ne?", v katerem smo predstavili večno problematiko odprte kode v javni upravi - torej, ali lahko z uvajanjem naveze Linux/FOSS (konkretno Linux/OpenOffice) država prihrani zajeten kupček denarja, ki bi sicer v obliki licenc odtekel k Microsoftu. Pa je ceneje v resnici tudi bolj varno?

Je odprto res bolj varno?

V članku je avtor - glede na večinoma pozitivne izkušnje iz tujine - menil, da lahko država s pravilno zastavljenim projektom na dolgi rok veliko prihrani, obenem pa se reši Microsoftove odvisnosti. Popolna zmaga torej.

Če pogledamo na vse skupaj z nekoliko drugačnega zornega kota, je slika precej drugačna. Začnimo s pripombo na legendarno izjavo Eric S. Raymonda iz FOSS biblije "The cathedral and the bazaar", ki se je privrženci odprtokodnega krila oklepajo kakor pijanec plota in jo je v svojem članku navedel tudi sam avtor: "... v odprtokodnih programih so luknje lažje in hitreje odkrite, saj jih ves čas išče veliko oči." Ta izjava preprosto ne drži in je, milo rečeno, zavajajoča. Testiranje z vpogledom v izvirno kodo (white box testing) danes, čeprav je še vedno pomembno, ni več primarni način iskanja varnostnih pomanjkljivosti. Testiranje brez vpogleda v izvirno kodo (black box testing) in testiranje delovanja aplikacije v kaotičnem okolju (fuzzing) dajeta veliko boljše rezultate, pa še dostop do kode ni potreben.

Mnogi se spomnimo, da se je leta 2004 v spletu znašel del izvirne kode Windows 2000. Microsoft je kasneje potrdil, da je šlo za približno 10 % celotne kode. In koliko ranljivosti je bilo odkritih s pregledovanjem tako "uidene" kode? Javno znana je bila le ena: CVE-2004-0566 (gre za prekoračitev celoštevilčnega podatkovnega tipa v IE5). Seveda je odveč omenjati, da je bil Windows 2000 luknjast kakor švicarski sir, vendar je bila plejada drugih ranljivosti odkrita z "black box testingom/fuzzingom" in povratnim inženirstvom (reverse engineering). Čeprav EULA ali "pogodba za končnega uporabnika" izrecno prepoveduje tako početje, se povratno inženirstvo intenzivno uporablja za iskanje pomanjkljivosti v Microsoftovih izdelkih. In ne samo to - kaj menite, kako neki so nastali projekti, kot ReactOS in TinyKrnl? Zanimivo razmišljanje o "konspiraciji zaprte kode" je na svojem blogu objavila tudi priznana strokovnjakinja za računalniško varnost Joanna Rutkowska in seveda dvignila veliko prahu med OSS fundamentalisti:

http://theinvisiblethings.blogspot.com/2009/01/closed-source-conspiracy.html

Odstotek okužb z zlonamerno kodo (infection rate) je v vsaki novejši različici Oken manjši (Vir: Microsoft Security Intelligence Report v6)

Odstotek okužb z zlonamerno kodo (infection rate) je v vsaki novejši različici Oken manjši (Vir: Microsoft Security Intelligence Report v6)

Naslednja priljubljena trditev pripadnikov Linux/FOSS plemena je, da so odkrite vrzeli nemudoma zakrpane, vsekakor pa prej kakor pri zaprti kodi, kjer programerji "... včasih tudi nimajo časa prav isti trenutek". Četudi izpustimo podrobnosti in torej to, da morajo vsi Microsoftovi popravki skozi proces SDL (Security Development Lifecycle) in SQA (Software Quality Assurance), je zgornja trditev največkrat popolnoma napačno interpretirana, poudarek je namreč na "nemudoma zakrpane", dejansko pa bi moral biti na "odkrite vrzeli". Znani so primeri pomanjkljivosti v odprtokodnih programih in tudi samem linuxnem jedru, ki so bile v kodi dolga leta, pa jih nihče iz skupnosti OSS ni odkril (dokaj čudno glede na trditev, da jih išče več oči, kajne). Kdove, morda pa so jih odkrili "black hat" hekerji in jih preprosto zadržali zase oz. uporabljali?

Hitro krpanje vrzeli pa ima še eno slabost, ki jo programerji sicer poznajo pod izrazom "nazadovanje" (code regression). Ta se nemalokrat prikrade v popravke, če so objavljeni na vrat na nos, brez predhodnega testiranja. Pa kaj bi izgubljali besede, eden izmed pionirjev spletne varnosti in tudi zagovornik OSS, Steve Bellovin, je problematiko zelo nazorno opisal: http://www.cs.columbia.edu/~smb/blog//2009-04/2009-04-29.html

Seveda enako velja tudi za Microsoft - z eno majhno, a pomembno razliko. Microsoft zelo plodno in uspešno sodeluje s hekerji, medtem ko ima oče Linuxa, g. Linus Torvalds, do strokovnjakov za varnost nadvse aroganten in izrazito negativen pristop. Če sem nekoliko piker, bi lahko dejal, da je g. Linu(x)s z vidika obravnavanja varnostnih incidentov na ravni Microsofta iz leta 1999, po Kübler-Rossovem modelu torej nekje med fazo zanikanja in jeze, gigant iz Redmonda pa je globoko v fazi sprejemanja.

Hitrost krpanja

Krpanje ranljivosti se ponavadi označuje z "0-day". Dve enakovredni razlagi tega termina sta. Po prvi, preprostejši definiciji, ta se pogosteje uporablja "na temni strani", je 0-day pomanjkljivost, ki ni zakrpana in tudi ni javno znana. Druga definicija, v rabi med varnostnimi strokovnjaki, pa označuje pomanjkljivost, ki je ravnokar postala javna, vendar ni tudi zakrpana. Velja omeniti, da je neka pomanjkljivost za širšo javnost lahko 0-day v trenutku, ko je javno razkrita, medtem ko je za neko zaprto skupino to že "n-day", torej stara stvar. Ob "odgovornem razkritju ranljivosti" (responsible disclossure) sta 0-day in popravek objavljena hkrati.

Odstotek okužb z zlonamerno kodo (infection rate) je v vsaki novejši različici Oken manjši (Vir: Microsoft Security Intelligence Report v6)

Naj na koncu izpostavim še pomembno dejstvo, ki v članku sploh ni bilo omenjeno: Microsoft državam, vključenim v Government Security Program (GSP), med njimi je tudi Slovenija, dopušča vpogled v izvirno kodo tako Oken kot tudi Pisarne. Sploh pa, kolikšen interes ima Microsoft vzdrževati lokalizirano različico pisarniškega paketa in operacijskega sistema, če država izstopi iz igre? Slovenski trg je namreč hudo premajhen. Čisto mogoče je, da imamo uporabniki slovenska Okna in Pisarno ravno zaradi tega sodelovanja.

Odstotek okužb z zlonamerno kodo (infection rate) je v vsaki novejši različici Oken manjši (Vir: Microsoft Security Intelligence Report v6)

Drži, licence niso poceni. Drži tudi, da Microsoftovi operacijski sistemi in programi niso brez varnostnih pomanjkljivosti in tudi nikdar ne bodo, vendar je Microsoft v zadnjih letih delal velikanske korake na področju varnosti, seveda pa mora prehoditi tudi najdaljšo pot. Ne pozabimo tudi, da je Microsoft ravno zaradi razširjenosti lastnih izdelkov in velikanske zbirke uporabnikov najbolj priljubljena tarča napadalcev. Na drugi strani je Linux preprosto zaspal na lovoriki "secure by default".

Mimogrede, ali je kdo opazil, da do zadnjega nisem omenil famoznega fiaska Debian PRNG:-). Sicer pa, vsak "zastonj" ima svojo ceno. Tako vsaj pravijo.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Google zapira zadnja vrata za blokiranje oglasov

    Google zapira zadnja vrata za blokiranje oglasov

    Google bo s prihajajočimi posodobitvami spletnega brskalnika Chrome dokončno onemogočil delovanje priljubljenih razširitev za blokiranje oglasov, kot je uBlock Origin.

    novice
    Objavljeno: 16.6.2026 10:00
  • Google nam bo zaklenil ekosistem Android

    Google nam bo zaklenil ekosistem Android

    Dolgo vrsto let je bila ena izmed glavnih prednosti ekosistema Android njegova odprtost, saj za razliko od konkurenčnega Applovega iOS-a ni imel omejitev za nameščanje aplikacij. Resda je Google preverjal aplikacije, ki jih je uvrstil na svojo tržnico Play Store, a vsakdo je lahko mimo te tržnice namestil karkoli, če je z interneta prenesel namestitveno datoteko. Postopek se imenuje sideloading in je na primer na iOS onemogočen. To se bo zdaj zgodilo tudi na Androidu.

    novice
    Objavljeno: 19.6.2026 05:00
  • Trumpov telefon je skoraj popolna kopija HTC-jevega

    Trumpov telefon je skoraj popolna kopija HTC-jevega

    Razstavljanje težko pričakovanega pametnega telefona Trump Mobile T1, ki so ga opravili strokovnjaki pri iFixit, je potrdilo prejšnje sume ocenjevalcev opreme, da je naprava skoraj popolna kopija obstoječega modela HTC U24 Pro.

    novice
    Objavljeno: 12.6.2026 09:00
  • Droni bodo po novem leteli brez GPS-a in zemljevidov

    Droni bodo po novem leteli brez GPS-a in zemljevidov

    Raziskovalci z nizozemske Tehnološke univerze v Delftu so po vzoru čebel razvili učinkovit navigacijski sistem za drone Bee-Nav.

    novice
    Objavljeno: 9.6.2026 10:00
  • Prihodnji teden bodo potekli certifikati za zagon računalnikov

    Prihodnji teden bodo potekli certifikati za zagon računalnikov

    Bliža se datum, ki se je pred 15 leti zdel nedosegljivo daleč v prihodnosti. Potekli bodo certifikati iz leta 2011, s katerimi se varuje zagon osebnih računalnikov (Secure Boot), da se nanje ne ugnezdi škodljiva programska oprema že v UEFI/BIOS. Ne glede na operacijski sistem morajo posodobljene certifikate dobiti vsi starejši računalniki, najsi na njih teče Windows ali Linux. Prvi se večinoma posodobi sam.

    novice
    Objavljeno: 18.6.2026 05:00
  • Nova Philipsova svetilka je umetno sonce za sobe brez oken

    Nova Philipsova svetilka je umetno sonce za sobe brez oken

    Podjetje Philips je predstavilo novo stropno svetilko Philips Skylight, ki s pomočjo napredne LED tehnologije in sistema NatureConnect uspešno posnema videz ter globino prave strešne linije in v prostore prinaša ritem naravne sončne svetlobe.

    novice
    Objavljeno: 11.6.2026 09:15
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Posebna 2026 Prelistaj! Spletni nakup Arhiv številk
Posebna 2026

Uvodnik
Ko tehnologija postane magija

Fokus
Neznosna lahkost teorij zarote Svet, v katerem nič ni naključje Uvodnik: Tehnološke teorije zarote

Dosje
Pametni dom - Ko dom postane naprava 5G, pet let kasneje Denar, ki ga je mogoče izklopiti Kaj pa, če je vse res? Telefoni - Najboljši mikrofon je tisti, ki ga sploh ne potrebuješ Windows - Vrata, ki jih ne vidimo

Na zvezi
Kako razbiti teorije zarote Neomajni pesimisti napovedujejo pogubo Zakaj je tako težko ovreči teorijo zarote o nadzoru nad vremenom

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji