En nylig artikel fra Washington Post med titlen "Net of Insecurity" genbundnede gamle FUD om Linux og internettets sikkerhed.
The Washington Post feature historie, Net af usikkerhed: Kernen i argumentet, åbner "Hurtig, fleksibel og gratis, Linux overtager onlineverdenen. Men der er voksende uro over sikkerhedssvagheder."
Linus Torvalds tager sikkerhed alvorligt, men ikke alvorligt nok for nogle kritikere.
Nonsens. Linux kører allerede internettet, og det har det gjort i over et årti nu.
Google, Facebook, Yahoo, Netflix -- medmindre dets navn er Microsoft, er dets tilstedeværelse på internettet solidt baseret på Linux.
Åh, vent, hvad er det her? Microsoft flytter også til Linux. Microsoft Azure Networking hovedarkitekt Kamala Subramaniam meddelte det Azure Cloud Switch (ACS), et Linux-baseret netværksprogram, "giver os fleksibiliteten til at nedskalere softwaren og udvikle funktioner, der kræves til vores datacenter og vores netværksbehov."
Nogle mennesker hævder dog, at Linuxs grundlægger og leder, Linus Torvalds, ikke tager sikkerhed alvorligt nok. The Post bemærker, at Torvalds har snerret ad sikkerhedseksperter gennem årene.
Ser du, der er intet nyt om konflikterne mellem Torvalds og nogle sikkerhedseksperter.
Selvfølgelig kan citat-mining komme op med ædelstene fra 2008, såsom da han sagde "OpenBSD-mængden er en flok onanerende aber." Men det savner sammenhængen. I den samme Linux-kerne-mailingliste-meddelelse skrev Torvalds også:
Jeg nægter at bøvle med hele sikkerhedscirkuset i og med, at jeg synes, det glorificerer – og dermed opmuntrer til – den forkerte adfærd. Det gør "helte" ud af sikkerhedsfolk, som om de mennesker, der ikke bare retter normale fejl, ikke er lige så vigtige.
Faktisk er alle de kedelige normale fejl _meget_ vigtigere, bare fordi der er mange flere af dem. Jeg tror ikke, at et eller andet spektakulært sikkerhedshul skal glorificeres eller plejes som værende mere "specielt" end et tilfældigt spektakulært styrt på grund af dårlig låsning.
...
For mig er sikkerhed vigtig. Men det er ikke mindre vigtigt end alt *andet*, der også er vigtigt!
Ikke overraskende bliver folk, der lever af tryghed, sat kryds ved Torvalds.
Torvalds tager sikkerhed alvorligt. Han får det bare ikke til at gøre det til det hele og ende med sit operativsystems arbejde.
Efter 30 års arbejde med operativsystemer, netværk og sikkerhed, er det sådan, jeg ser sikkerhed.
Sikkerhed
- 8 vaner hos yderst sikre fjernarbejdere
- Sådan finder og fjerner du spyware fra din telefon
- De bedste VPN-tjenester: Hvordan sammenligner top 5?
- Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu
Som sikkerhedsekspert Bruce Schneier udtrykte det, "Sikkerhed er en proces, ikke et produkt."
Torvalds er enig. Hans budskab, ifølge Washington Post, er dette: "Sikkerhed i ethvert system kan aldrig være perfekt. Så det skal altid vejes mod andre prioriteter - såsom hastighed, fleksibilitet og brugervenlighed - i en række af iboende nuancerede afvejninger." Dette er en proces, foreslog Torvalds, dårligt forstået af hans kritikere."
Det virkelige sikkerhedsproblem har altid været mennesker. Flere systemer er blevet brudt ind som følge af dårlig sikkerhedspraksis, såsom elendige adgangskoder, end af kloge hackere, der har brudt sig ind i obskure tekniske sikkerhedshuller.
Selvfølgelig er disse huller farlige, men Linux er open source. Erik S. Raymond, en tidlig open source intellektuel leder, sagde "Givet nok øjeæbler, er alle insekter overfladiske."Han har ret.
Det betyder ikke, at open source-software på en eller anden måde er mere sikker end andre programmer. Det gør den ikke.
Open-sources største fiasko til dato var OpenSSL's Heartbleed. Dette sikkerhedshul brød internettets primære sikkerhedsprotokol.
Det skete pga Magisk tænkning. Alle antog, at OpenSSL måtte være helt sikkert, fordi det havde ry for at være sikkert, derfor var det sikkert. Udviklere, webstedsudviklere, sikkerhedseksperter, en og alle, det ser ud til, at ingen brugte deres øjne til at tjekke koden for at se, om den virkelig var sikker. Det var det ikke.
Det var ikke en lille del, fordi der kun var to, tæl med, to programmører, der arbejdede på OpenSSL.
I dag er The Linux Foundations Core Infrastructure Initiative (CII), identificerer pengefattige, missionskritiske open source-projekter for at sikre, at sådanne problemer ikke sker igen. Der er også retningslinjer for bedste sikkerhedspraksis for open source-projekter for at hjælpe programmører med at undgå problemer.
I tilfælde af Linux er det ikke et problem. Der er omkring 10.000 Linux-udviklere. Sikkerhed er ikke job nummer et for noget som dem alle, men de holder øjnene åbne for potentielle sikkerhedsfejl.
Har Linux brug for bedre sikkerhed? Jo da.
Det er der ingen, der er i tvivl om. På Seoul Linux Kernel Summit præsenterede kernesikkerhedsvedligeholder James Morris for nylig en lang liste over væsentlige strategiske sikkerhedsproblemer. Disse kan og vil blive behandlet.
Jeg har dog tillid til Linus' gradvise tilgang til sikkerhedsrettelser frem for radikale ændringer, der potentielt kan skade Linuxs ydeevne og funktioner. Perfekt? Nej. Bedre end noget andet valg? Ja.
Relaterede historier:
- Kan internettet eksistere uden Linux?
- Microsofts kærlighedsforhold til Linux bliver dybere
- Heartbleed: Open sources værste time