ओपन सोर्स सिक्योरिटी ड्रॉ आलोचना
पिछले हफ्ते पोलिश सुरक्षा फर्म iSec सुरक्षा अनुसंधान द्वारा नवीनतम लिनक्स कर्नेल में तीन नई भेद्यता की घोषणा की गई थी जो हमलावर को मशीन पर अपने विशेषाधिकारों को बढ़ाने और रूट व्यवस्थापक के रूप में प्रोग्राम निष्पादित करने की अनुमति दे सकता था।
पिछले कुछ महीनों में लिनक्स में खोजी गई गंभीर या गंभीर सुरक्षा भेद्यता की श्रृंखला में ये नवीनतम हैं। माइक्रोसॉफ्ट में बोर्ड रूम शायद कुछ मनोरंजन प्राप्त कर रहा है, या कम से कम कुछ राहत महसूस कर रहा है, इस विडंबना से कि ओपन सोर्स अधिक सुरक्षित होना चाहिए और फिर भी इन महत्वपूर्ण त्रुटियों को पाया जा रहा है।
यह मेरी राय में दावा करता है कि ओपन सोर्स सॉफ्टवेयर डिफ़ॉल्ट रूप से अधिक सुरक्षित है। शुरुआत करने वालों के लिए, मेरा मानना है कि सॉफ़्टवेयर केवल उपयोगकर्ता या व्यवस्थापक के रूप में सुरक्षित है जो इसे कॉन्फ़िगर करता है और बनाए रखता है। हालांकि कुछ तर्क दे सकते हैं कि लिनक्स बॉक्स से अधिक सुरक्षित है, एक अनजान लिनक्स उपयोगकर्ता एक अनजान माइक्रोसॉफ्ट विंडोज उपयोगकर्ता के रूप में असुरक्षित है।
इसका दूसरा पहलू यह है कि डेवलपर्स अभी भी मानव हैं। ऑपरेटिंग सिस्टम बनाने वाले हजारों और लाखों लाइनों में से यह कहना उचित लगता है कि कुछ याद आ सकता है और अंततः एक भेद्यता की खोज की जाएगी।
इसमें ओपन-सोर्स और मालिकाना के बीच अंतर है। माइक्रोसॉफ्ट को ईईई डिजिटल सिक्योरिटी द्वारा एएसएन.1 के कार्यान्वयन के साथ त्रुटियों के बारे में अधिसूचित किया गया था, अंततः उन्होंने अंततः कमजोरता की सार्वजनिक घोषणा की और एक पैच जारी किया। वे आठ महीने थे, जिसके दौरान बुरे लोग दोष की खोज और शोषण कर सकते थे।
दूसरी तरफ ओपन सोर्स पैच और तेजी से अपडेट किया जाता है। स्रोत कोड तक पहुंच के साथ बहुत से डेवलपर्स हैं जो एक बार दोष या भेद्यता की खोज की जाती है और एक पैच या अपडेट की घोषणा की जाती है जितनी जल्दी हो सके जारी की जाती है। लिनक्स गिरने योग्य है, लेकिन ओपन सोर्स समुदाय मुद्दों के मुकाबले बहुत तेज़ी से प्रतिक्रिया करता है क्योंकि जब वे इससे निपटने के लिए घूमते हैं तो कमजोर पड़ने के अस्तित्व को दफनाने की कोशिश करने के बजाय उचित अद्यतनों के साथ बहुत तेज प्रतिक्रिया देते हैं।
उस ने कहा, लिनक्स उपयोगकर्ताओं को इन नई भेद्यताओं से अवगत होना चाहिए और सुनिश्चित करें कि वे अपने संबंधित लिनक्स विक्रेताओं के नवीनतम पैच और अपडेट के बारे में सूचित रहें। इन दोषों के साथ एक चेतावनी यह है कि वे दूरस्थ रूप से शोषक नहीं हैं। इसका मतलब है कि इन भेद्यताओं का उपयोग कर सिस्टम पर हमला करने के लिए हमलावर को मशीन तक भौतिक पहुंच की आवश्यकता होती है।
कई सुरक्षा विशेषज्ञ इस बात से सहमत हैं कि एक बार हमलावर के पास कंप्यूटर तक भौतिक पहुंच हो जाने के बाद दस्ताने बंद हो जाते हैं और लगभग किसी भी सुरक्षा को अंततः छोड़ दिया जा सकता है। यह दूरस्थ रूप से शोषित भेद्यता है- त्रुटियों पर स्थानीय नेटवर्क के दूर या बाहर सिस्टम से हमला किया जा सकता है- जो सबसे खतरे में मौजूद है।
अधिक जानकारी के लिए iSec सुरक्षा अनुसंधान से इस आलेख के दाईं ओर विस्तृत भेद्यता विवरण देखें।