Is Linux een slachtoffer van zijn eigen succes geweest?

Is Linux een slachtoffer van zijn eigen succes geweest? / Linux

Jim Zemlin is het hoofd van de Linux Foundation. Hun missie is om “Linux promoten, beschermen en bevorderen”. Dus, waarom zei Jim onlangs dat het “gouden eeuw van Linux” kan binnenkort eindigen?

Het antwoord hierop ligt in het vermogen van de Linux-gemeenschap om met beveiligingsproblemen om te gaan. Het blijkt dat het moeilijker is dan je denkt.

Een golf van beveiligingsproblemen

De afgelopen 48 maanden waren brutaal voor Linux. Dat is geen overdrijving. Grote beveiligingskwetsbaarheden zijn gevonden in bijna elke afzonderlijke distributie, met ernstige gevolgen voor eindgebruikers.

Degene met de meeste bekendheid was Heartbleed. Dit beveiligingslek had gevolgen voor OpenSSL Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Meer lezen, en het voor een aanvaller mogelijk gemaakt om het geheugen van een kwetsbare server te lezen en de geheime sleutels te stelen die worden gebruikt in asymmetrische codering.

Dit, zoals je zou verwachten, ondermijnde fundamenteel de integriteit van online codering. In die tijd liepen miljoenen systemen gevaar. Tot op de dag van vandaag zijn naar schatting 200.000 systemen niet verzonden.

Toen was er Shellshock. Dit was opnieuw een ernstige kwetsbaarheid, deze keer voor de BASH-schaal. Wanneer ze worden uitgebuit, kan een aanvaller zijn eigen kwaadaardige code uitvoeren op kwetsbare OS X-, BSD- en Linux-systemen. We hebben er afgelopen september over geschreven Erger dan Heartbleed? Maak kennis met ShellShock: een nieuw beveiligingsrisico voor OS X en Linux erger dan Heartbleed? Maak kennis met ShellShock: een nieuw beveiligingsrisico voor OS X en Linux Lees meer .

Ten slotte is er de Linux GHOST-kwetsbaarheid The Linux Ghost Flaw: Everything You Need To Know The Linux Ghost Flaw: Everything You Need To Know De GHOST-kwetsbaarheid is een fout in een essentieel onderdeel van elke grote Linux-distro. Het zou in theorie mogelijk kunnen maken dat hackers de besturing van computers overnemen zonder een gebruikersnaam of wachtwoord nodig te hebben. Lees verder . Dit was net zo smerig als de andere kwetsbaarheden in termen van de hoeveelheid systemen die het beïnvloedde, en het potentieel voor misbruik dat ermee gepaard ging.

Het GHOST-beveiligingslek was een bufferoverloop in glibc, waar een externe aanvaller een zorgvuldig vervaardigd pakket met een payload van de shellcode kon verzenden, dat bij ontvangst betrouwbaar door het kwetsbare systeem zou worden uitgevoerd. Dit zou een aanvaller toelaten om hun eigen willekeurige commando's uit te voeren, zelfs zonder een gebruikersnaam of wachtwoord.

Begrotingen en vrijwilligers

Dit was geen uitputtende lijst. Zoals Zemlin opmerkte, maar elke kwetsbaarheid heeft iets gemeen. Ze hadden allemaal invloed op belangrijke Linux-componenten die leden aan een tekort aan fondsen of een tekort aan vrijwilligers.

Neem bijvoorbeeld OpenSSL. In de maanden die leidden tot de ontdekking van Heartbleed, had het minder dan $ 2000 aan donaties ontvangen. Volgens Zemlin werd het lange tijd onderhouden door twee ontwikkelaars van vrijwilligers. Toevallig werden beiden Steve genoemd.

NTPd - dat ervoor zorgt dat alle op internet aangesloten Linux-computers op tijd zijn en van vitaal belang is voor codering om te werken - wordt bewerkt door een part-time vrijwilliger. Bash en OpenSSH bevinden zich op dezelfde manier.

Ondertussen is de Linux Kernel gelijk met fondsen en vrijwilligers en wordt deze ondersteund door enkele van de grootste namen in technologie, zoals Red Hat, Google en zelfs Microsoft, hoewel niet voor lang. Er is een enorme ongelijkheid met de toewijzing van bronnen, waarbij sommige kerncomponenten van Linux beter af zijn dan andere.

Vroeger was het zo dat Linux afhankelijk kon zijn van beveiliging door middel van obscuriteit. Maar omdat het in toenemende mate wordt gebruikt als server en desktop-besturingssysteem, kan het daar niet langer afhankelijk van zijn. Linux is nu een ongelooflijk lucratief doelwit voor hackers en andere digitale ne'er-do-wells.

De gehele Linux-gemeenschap moet ervoor zorgen dat de kleine, maar vaak vergeten gedeelten van het besturingssysteem voldoende worden gefinancierd, bemand en in staat zijn om met beveiligingsbedreigingen om te gaan wanneer deze zich voordoen..

Linux's opvolger

Maar als deze veranderingen niet plaatsvinden en de fundamentele veiligheid van Linux in het geding komt, lijkt het erop dat alles behalve bepaalde bedrijven en gebruikers zich elders zullen verplaatsen. Maar waar gaan ze heen??

OpenBSD

Het motto van OpenBSD is “Slechts twee afgelegen gaten in de standaardinstallatie, in een hele lange tijd!”.

Het is waar.

OpenBSD werd in 1996 opgericht door Theo De Raadt. Het begon als een vork van NetBSD, nadat de berucht vurige De Raadt uit dat project werd geschopt vanwege “persoonlijkheidsverschillen”.

Sindsdien zijn er slechts twee kwetsbaarheden die op afstand kunnen worden misbruikt ontdekt in OpenBSD. Dit is een verwaarloosbare som, vergeleken met Linux, Windows en ja, NetBSD.

Dat is geen toeval. OpenBSD is vanaf het begin ontworpen om veilig te zijn. Elke coderegel wordt zorgvuldig gecontroleerd op fouten en veiligheidslekken en ontwikkelaars moeten zich houden aan strikte richtlijnen voor veilige codering. Cruciaal, het is klein, en wordt geleverd met een beperkt aantal softwarepakketten in de standaardinstallatie, waardoor het aantal potentiële aanvalsvectoren wordt verminderd.

Hoewel OpenBSD onduidelijk is, hebben veel van zijn componenten succes gevonden in andere besturingssystemen, zoals OpenSSL, OpenNTPD en de PF (Packet Filter) -firewall..

Deze “beveiliging door ontwerp” ethos is aantrekkelijk voor bedrijven die gênante veiligheidsbroeken willen vermijden en gebruikers die op zoek zijn naar een veiligere computerervaring.

Voor een meer gedetailleerde vergelijking tussen Linux en BSD, bekijk dit stuk van Danny Steiben Linux vs. BSD: Which Should You Use? Linux vs. BSD: welke moet u gebruiken? Beide zijn gebaseerd op Unix, maar daar eindigen de overeenkomsten. Hier is alles wat je moet weten over de verschillen tussen Linux en BSD. Lees verder .

Windows 10

Ik weet. Het goedkeuren van Windows 10 en suggereren dat Linux zijn hoogtepunt heeft bereikt, lijkt bijna op het ondertekenen van mijn eigen uitvoeringscertificaat. Het is op zijn minst zeker dat je een aantal boze opmerkingen uitlokt.

Maar hoewel sommigen het misschien niet graag toegeven, biedt de immense rijkdom van Microsoft een relatieve immuniteit tegen enkele van de problemen met Linux-gezichten.

Als een ernstige kwetsbaarheid opduikt in een vitaal deel van Windows 10, is het bijvoorbeeld ondenkbaar dat Microsoft over de beschikbare middelen en mankracht beschikt om deze aan te pakken. Microsoft hoeft niet te vertrouwen op de motivatie van individuele vrijwilligers. Ze hebben toegewijde, betaalde werknemers.

Hoewel Windows's staat van dienst op het gebied van allesbeveiliging voor discussie vatbaar is, is Windows 10 een enorme verbetering ten opzichte van vorige versies en is het aangeprezen als “meest veilige Windows ooit”.

Maar zelfs als dat niet het geval is, is het eenvoudig de beste Windows ooit. Met zijn vernieuwde esthetiek 10 dwingende redenen om te upgraden naar Windows 10 10 aantrekkelijke redenen om te upgraden naar Windows 10 Windows 10 komt op 29 juli. Is het waard om gratis te upgraden? Als je uitkijkt naar Cortana, gamen volgens de nieuwste stand van de techniek of betere ondersteuning voor hybride apparaten - ja, zeker! En ... Lees Meer, verbeterde browser Hoe Microsoft Edge instellen, de standaardbrowser in Windows 10 Hoe Microsoft Edge instellen, de standaardbrowser in Windows 10 De nieuwe internetbrowser Edge van Microsoft verscheen voor het eerst in Windows 10 Insider Preview. Het is nog steeds ruw aan de randen, maar strak en snel. We laten u zien hoe u migreert en instelt. Lees meer, en Cortana Cortana komt op het bureaublad en hier is wat ze voor u kan doen Cortana komt op het bureaublad en hier is wat ze voor u kan doen Is de intelligente digitale assistent van Microsoft net zo bekwaam op de Windows 10-desktop als op Windows Phone? Cortana heeft veel verwachting op haar schouders. Laten we kijken hoe ze standhoudt. Meer lezen, het is een genot om zowel op de desktop als op de tablet te gebruiken Hoe goed werkt Windows 10 op een kleine tablet? Hoe goed werkt Windows 10 op een kleine tablet? Windows 10 neemt de apparaten van ontevreden Windows 8 en nieuwsgierige Windows 7-gebruikers stormenderhand. De pc-ervaring is geweldig, maar hoe presteert het op kleine schermen? Matthew heeft Windows 10 getest op ... Lees meer .

Desondanks is de gedachte om Windows 10 te gebruiken misschien een beetje te onaangenaam voor veel Linux-gebruikers.

Is er hoop voor Linux?

De Linux-wereld heeft een groot probleem. Hoe kan het ervoor zorgen dat de belangrijke, maar vaak verwaarloosde componenten van het OS voldoende middelen hebben? Als dit niet is opgelost, dan kun je vrijwel zeker zijn dat de voorspellingen van Jim Zemlin uitkomen en dat Linux een langzame en niet te stoppen daling invoert.

Maar wat denk je ervan? Is het einde nabij voor Linux? Of zal het overleven? Laat me weten wat je denkt in de reacties hieronder.

Foto Credits: omihay / Shutterstock.com, Glass Jar (Lemon Tree Images)

Ontdek meer over: Computerbeveiliging, Linux.