Michael Cain
0 
4627
631
Jim Zemlin er leder af Linux Foundation. Deres mission er at “fremme, beskytte og fremme Linux”. Så hvorfor sagde Jim for nylig, at “Linux-gyldne tidsalder” kan snart komme til en ende?
Svaret på det ligger i Linux-fællesskabets evne til at tackle sikkerhedsproblemer. Det viser sig, det er sværere end du tror.
En overflod af sikkerhedsproblemer
De sidste 48 måneder har været brutale for Linux. Det er ikke hyperbole. Der er fundet større sikkerhedssårbarheder i næsten hver enkelt distribution, med alvorlige konsekvenser for slutbrugerne.
Den med den mest berygtede var Heartbleed. Denne sårbarhed påvirkede OpenSSL Heartbleed - Hvad kan du gøre for at forblive sikker? Heartbleed - Hvad kan du gøre for at være sikker? , og gjorde det muligt for en angriber at læse hukommelsen på en sårbar server og stjæle de hemmelige nøgler, der er brugt i asymmetrisk kryptering.
Dette, som du måske kunne forvente, underminerede grundlæggende integriteten af online kryptering. På det tidspunkt var millioner af systemer i fare. Indtil i dag anslås det, at 200.000 systemer ikke er sendt.
Så var der Shellshock. Dette var en anden alvorlig sårbarhed, denne gang påvirkende BASH-skallen. Når en angriberen udnyttes, kunne den udføre deres egen ondsindede kode på sårbare OS X-, BSD- og Linux-systemer. Vi skrev om det i september sidste år Værre end hjertet? Mød ShellShock: En ny sikkerhedstrussel for OS X og Linux værre end hjertefuld? Mød ShellShock: En ny sikkerhedstrussel til OS X og Linux .
Endelig er der Linux GHOST-sårbarheden Linux Ghost-fejl: Alt hvad du behøver at vide Linux-Ghost-fejlen: Alt hvad du behøver at vide GHOST-sårbarheden er en fejl i en vital del af enhver større Linux-distro. Det kan i teorien give hackere mulighed for at tage kontrol over computere uden behov for et brugernavn eller adgangskode. . Dette var lige så grimt som de andre sårbarheder med hensyn til mængden af systemer, det påvirkede, og potentialet for misbrug, der fulgte med det.
GHOST-sårbarheden var en bufferoverløb fundet i glibc, hvor en fjernangriper kunne sende en omhyggeligt udformet pakke indeholdende en shellcode-nyttelast, som med tillid blev udført af det sårbare system efter modtagelse. Dette ville have gjort det muligt for en angriber at udføre deres egne vilkårlige kommandoer uden engang et brugernavn eller en adgangskode.
Budgetter og frivillige
Dette var ikke en udtømmende liste. Som Zemlin påpegede, men hver sårbarhed har noget til fælles. De påvirkede alle betydelige Linux-komponenter, som led af mangel på midler eller mangel på frivillige.
Tag f.eks. OpenSSL. I de måneder, der førte til opdagelsen af Heartbleed, havde den modtaget mindre end $ 2000 i donationer. Ifølge Zemlin blev det i lang tid vedligeholdt af to frivillige udviklere. Tilfældigt, begge blev kaldt Steve.
NTPd - som er ansvarlig for at sikre, at alle Internet-tilsluttede Linux-computere er til tiden og er afgørende for, at kryptering kan fungere - arbejdes med en frivillig på deltid. Bash og OpenSSH er i lignende hårde stræder.
I mellemtiden er Linux-kernen fyldt med midler og frivillige og understøttes af nogle af de største navne inden for teknologi, som Red Hat, Google og endda Microsoft, om end ikke længe. Der er en enorm ulighed med fordelingen af ressourcer, hvor nogle kerne Linux-komponenter er bedre stillet end andre.
Det plejede at være tilfældet, at Linux kunne være afhængig af at være sikker gennem uklarhed. Men da det i stigende grad bruges som server og desktop OS, kan det ikke længere afhænge af det. Linux er nu et utroligt lukrativt mål for hackere og andre digitale ne-do-brønde.
Hele Linux-samfundet skal sørge for, at de små, men ofte glemte dele af OS er tilstrækkeligt finansieret, bemandet og i stand til at håndtere sikkerhedstrusler, når de dukker op.
Linux's efterfølger
Men hvis disse ændringer ikke sker, og Linux's grundlæggende sikkerhed bringes i tvivl, ser det ud til, at alle undtagen visse virksomheder og brugere vil flytte andre steder. Men hvor vil de hen??
OpenBSD
Mottoet med OpenBSD er “Kun to fjernhuller i standardinstallationen, i en pokker i lang tid!”.
Det er sandt.
OpenBSD blev grundlagt af Theo De Raadt i 1996. Det begyndte livet som en gaffel af NetBSD, efter at den notorisk fyrige De Raadt blev sparket ud af det projekt på grund af “personlighedsforskelle”.
Siden da er kun to fjernudnyttelige sårbarheder blevet opdaget i OpenBSD. Dette er en ubetydelig sum sammenlignet med Linux, Windows og ja, NetBSD.
Det er ingen tilfældighed. OpenBSD er designet fra grunden af for at være sikker. Hver kodelinie revideres omhyggeligt for fejl og sikkerhedsfejl, og udviklere er nødt til at overholde strenge sikre kodningsretningslinjer. Det er meget vigtigt lille, og leveres med en reduceret mængde softwarepakker i standardinstallationen, hvorved antallet af potentielle angrebsvektorer reduceres.
Selvom OpenBSD er uklar, har mange af dens komponenter fundet succes i andre operativsystemer, som OpenSSL, OpenNTPD og PF (Packet Filter) firewall.
Dette “sikkerhed ved design” ethos appellerer til virksomheder, der er ivrige efter at undgå pinlige sikkerhedsbukser, og brugere, der leder efter en mere sikker computeroplevelse.
For en mere detaljeret sammenligning mellem Linux og BSD, se dette stykke af Danny Steiben Linux vs. BSD: Hvilken skal du bruge? Linux vs. BSD: Hvilken skal du bruge? Begge er baseret på Unix, men det er her, lighederne slutter. Her er alt hvad du har brug for at vide om forskellene mellem Linux og BSD. .
Windows 10
Jeg ved. At godkende Windows 10 og antyde, at Linux måske har nået sit højdepunkt, er næsten som at underskrive min egen eksekveringsordre. I det mindste er det bestemt at provokere nogle vrede kommentarer.
Men selvom nogle måske ikke kan lide at indrømme det, giver Microsofts enorme rigdom det en relativ immunitet mod nogle af de problemer Linux står overfor.
Hvis en alvorlig sårbarhed opstår i en vital del af Windows 10, for eksempel, er der ingen tvivl om, at Microsoft ville have de disponible midler og arbejdskraft til at tackle det. Microsoft behøver ikke at stole på motivation fra individuelle frivillige. De har dedikerede, betalte medarbejdere.
Selvom Windows's track record i alt-sikkerhed er op til debat, er Windows 10 en enorm forbedring i forhold til tidligere versioner og er blevet udråbt som “mest sikre Windows nogensinde”.
Men selvom det ikke er tilfældet, er det let det bedste Windows nogensinde. Med sine fornyede æstetiske 10 overbevisende grunde til at opgradere til Windows 10 10 tvingende grunde til at opgradere til Windows 10 kommer Windows 10 den 29. juli. Er det værd at opgradere gratis? Hvis du ser frem til Cortana, det nyeste spil eller bedre support til hybridenheder - ja bestemt! Og ... forbedret browser Sådan konfigureres Microsoft Edge, standardbrowser i Windows 10 Sådan konfigureres Microsoft Edge, standardbrowser i Windows 10 Microsofts nye internetbrowser Edge gjorde sin første optræden i Windows 10 Insider Preview. Det er stadig ru omkring kanterne, men slankt og hurtigt. Vi viser dig, hvordan du migrerer og opsætter det. , og Cortana Cortana ankommer på skrivebordet og her er hvad hun kan gøre for dig Cortana ankommer på skrivebordet & her er hvad hun kan gøre for dig Er Microsofts intelligente digitale assistent så kompetent på Windows 10-skrivebordet, som hun er på Windows Phone? Cortana har meget forventning på sine skuldre. Lad os se, hvordan hun holder op. , er det en glæde at bruge både på skrivebordet og på tabletten Hvor godt fungerer Windows 10 på en lille tablet? Hvor godt fungerer Windows 10 på en lille tablet? Windows 10 tager enhederne til den utilfredse Windows 8 og nysgerrige Windows 7-brugere med storm. PC-oplevelsen er stor, men hvordan fungerer den på små skærme? Matthew testede Windows 10 den… .
Trods det kan tanken om at bruge Windows 10 være lidt for usmagelig for mange Linux-brugere.
Er der noget håb for Linux?
Linux-verdenen har et stort problem. Hvordan kan det sikre, at de væsentlige, men ofte forsømte komponenter i OS er tilstrækkelige ressourcer? Hvis dette ikke er løst, kan du alle undgå at garantere, at Jim Zemlins forudsigelser går i opfyldelse, og Linux går ind i en langsom og ustoppelig tilbagegang.
Men hvad synes du? Er slutningen tæt på Linux? Eller overlever den? Fortæl mig hvad du synes i kommentarerne nedenfor.
Fotokreditter: omihay / Shutterstock.com, glaskrukke (billeder af citrontræ)