විවෘත සම්පත් ආරක්ෂාව විවේචනය කරයි
පසුගිය සතියේ නව අවදානම් තුනක් පෝලන්ත ආරක්ෂක සමාගමක් වන iSec ආරක්ෂක පර්යේෂණය විසින් ප්රකාශයට පත් කරන ලද නවතම ලිනක්ස් කර්නලය විසින් පහරදීම්කරුට තම වරප්රසාද හිමිවන අතර root පරිපාලකයා ලෙස වැඩසටහන් ක්රියාත්මක කිරීම සඳහා ඉඩ දිය හැකිය.
මේවා පසුගිය මාස කිහිපය තුළදී ලිනක්ස් තුල ඇති බැරෑරුම් හෝ විවේචනාත්මක ආරක්ෂක අන්තරායන් මාලාවේ නවතම ය. මයික්රොසොෆ්ට් මණ්ඩලයේ කාමරයට සමහර විට විනෝදයක් ලැබෙනු ඇත, නැතහොත් අවම වශයෙන් යම් සහනයක් දැනෙනු ඇත. විවෘත මූලාශ්රය වඩා ආරක්ෂිත යැයි කියනු ලබන යථාර්ථය සහ තවමත් තීරනාත්මක දුර්වලතා සොයාගෙන ඇත.
විවෘත මූලාශ්ර මෘදුකාංග පෙරනිමියෙන් සුරක්ෂිත බව ප්රකාශ කිරීමට මගේ මතය අනුව එය මකා නොදමනු ඇත. ආරම්භකත්වය සඳහා, මෘදුකාංගය ආරක්ෂිත පමණක් වන අතර පරිශීලකයා හෝ පරිපාලකයා එය ආරක්ෂා කිරීම සහ පවත්වාගෙන යාමේ වගකීමක් ලෙස මා විශ්වාස කරනවා. සමහරුන් පවසන්නේ Linux වඩාත්ම ආරක්ෂිත බවයැයි තර්ක කළ හැකි වුවද, නොසැලකිලිමත් ලිනක්ස් භාවිතා කරන්නෙකු නිහඬව මයික්රොසොෆ්ට් වින්ඩෝස් පරිශීලකයා ලෙස අනාරක්ෂිතව සිටිය හැක.
අනෙක් කාරණය වන්නේ සංවර්ධකයින් තවමත් මානවයන්ය. මෙහෙයුම් පද්ධතියක් වන කෝඩ් රේඛාවක් දහස් ගණනින් සහ කෝටි ගණනක් අතුරින් යම් දෙයක් අතුරුදන් විය හැකි අතර, අවසානයේදී කිසියම් අවදානමක් හමු වනු ඇත.
විවෘත මූලාශ්රය හා හිමිකාරත්වය අතර වෙනස පවතිනවා. EEye ඩිජිටල් ආරක්ෂණ විසින් මයික්රොසොෆ්ට් වෙත දැනුම් දෙනු ලැබුවේ, ASN.1 ක්රියාත්මක කිරීමත් සමග ඔවුන් අන්තිමේදී ප්රසිද්ධියේම අවධානම ප්රකාශයට පත් කොට පැප් එකක් නිකුත් කිරීමට මාස අටකට පෙරය. නරක මිනිස්සු සොයා ගැනීමටත්, උගුලට හසුකර ගැනීමටත් මාස අටක් විය.
අනෙක් අතට, විවෘත කේතය බොහෝ විට වේගවත් කිරීමට හා යාවත්කාලීන කිරීමට නැඹුරු. කිසියම් අඩුපාඩුවක් හෝ යම් අවදානමක් සොයාගත් පසු මූල කේතය වෙත පිවිසීමට බොහෝ සංවර්ධකයන් සිටින අතර, හැකි ඉක්මනින් යාවත්කාලීන කිරීම හෝ යාවත්කාලීන කිරීම නිවේදනය කර ඇත. ලිනක්ස් එක වැරදියි නමුත් විවෘත කේත ප්රජාව, ඒවා පැනනැඟී ඇති ගැටළු වලට වඩා ඉක්මනින් ප්රතිචාර දැක්වීමට ප්රතිචාර දක්වති. ඒවාට අදාලව යාවත්කාලීනව පවතින තුරු අවදානම පැවැත්ම වැලැක්වීමට උත්සාහ කිරීම වෙනුවට වඩා ඉක්මනින් යාවත්කාලීන කිරීම් සමඟ ප්රතිචාර දැක්විය හැකිය.
එමඟින් ලිනක්ස් භාවිතා කරන්නන් මෙම අන්තරායන් පිළිබඳව දැනුවත් විය යුතු අතර ඒවායේ අදාල ලිනක්ස් බෙදාහරින්නන් වෙතින් අලුත්ම පැච් සහ යාවත්කාලීනයන් පිළිබඳව දැනුම් දෙන බවට වග බලා ගන්න. මෙම දුර්වලතා සහිතව එක් උධෘතයක් දුරස්ථව සූරාකෑමට නුසුදුසු බවයි. එයින් අදහස් වන්නේ මෙම අවධානම භාවිතා කර පද්ධතියට පහර දීම සඳහා ප්රහාරකයාට පරිගණකයට භෞතික ප්රවේශයක් තිබිය යුතු බවයි.
බොහෝ ආරක්ෂක විද්වතුන් පවසන්නේ පරිගණකයට භෞතික ප්රවේශයක් ඇති විට, අත්වැසුම් අක්රිය වී ඇති අතර ඕනෑම ආරක්ෂාවක් අවසානයේදී බැහැර කළ හැකි බවය. දුරස්ථව ගසාකනු ලබන දුර්වලතා - දුර්වල පද්ධති දුරස්ථ හෝ බාහිර ජාලයකින් පහර දිය හැකි දුර්වලතා - වඩාත් අන්තරායයි.
වැඩි විස්තර සඳහා මෙම ලිපියේ දකුණු පසින් iSec ආරක්ෂක පර්යේෂණයන්ගෙන් සවිස්තරාත්මක දුර්වලතා විස්තර බලන්න.