Is beveiliging door vergetelheid veiliger dan opensourcesoftware?
Linux-gebruikers noemen vaak beveiligingsvoordelen als een van de redenen om de voorkeur te geven aan open source software. Omdat de code voor iedereen zichtbaar is, zijn er meer ogen op zoek naar mogelijke bugs. Ze verwijzen naar de tegenovergestelde benadering, waarbij code alleen zichtbaar is voor de ontwikkelaars, als beveiliging door middel van obscuriteit. Slechts een paar mensen kunnen de code zien en de mensen die misbruik willen maken van bugs staan niet op die lijst.
Hoewel deze taal gebruikelijk is in de open-source wereld, is dit geen specifiek Linux-probleem. In feite is dit debat ouder dan computers. Dus is de vraag opgelost? Is een benadering werkelijk veiliger dan de andere, of is het mogelijk dat er waarheid is voor beide?
Wat is beveiliging door vergetelheid?
Beveiliging door middel van obscuriteit is de afhankelijkheid van geheimhouding als een middel om componenten van een systeem te beschermen. Deze methode is gedeeltelijk overgenomen door de bedrijven achter de meest succesvolle commerciële besturingssystemen van vandaag: Microsoft, Apple en in mindere mate Google. Het idee is dat als slechte acteurs niet weten dat er een tekortkoming bestaat, hoe kunnen ze hiervan profiteren 3 Windows 98 Bugs Worth Revisiting 3 Windows 98 Bugs Worth Revisiting Is het gewoon nostalgie die me verbonden houdt aan dit besturingssysteem, of was Windows 98 eigenlijk de moeite waard om te onthouden? Dit besturingssysteem dat 15 jaar geleden werd uitgebracht, had zijn ups en downs. Critici zijn behoorlijk hard geweest ... Lees meer ?
Jij en ik kunnen niet de top nemen van de code waardoor Windows wordt uitgevoerd (tenzij je toevallig een relatie hebt met Microsoft). Hetzelfde geldt voor macOS. Google opent bronnen de kerncomponenten van Android Is Android Echt Open Source? En doet het er zelfs toe? Is Android echt Open Source? En doet het er zelfs toe? Hier onderzoeken we of Android echt open source is. Het is tenslotte gebaseerd op Linux! Meer lezen, maar de meeste apps blijven beschermd. Op dezelfde manier is Chrome OS grotendeels open source, met uitzondering van de speciale bits die Chrome van Chromium scheiden. Is Google op Chromium-gebruikers afluisteren? Is Google afluisteren van Chromium-gebruikers? Open source-ontwikkelaars hebben ontdekt dat de Debian-versie van Chromium code downloadt van Google en registreert de gebruiker via een pc-microfoon en streamt de audio terug voor analyse. Is Google je aan het afluisteren? Lees verder .
Wat zijn de nadelen?
Omdat we niet kunnen zien wat er in de code aan de hand is, moeten we bedrijven vertrouwen als ze zeggen dat hun software veilig is. In werkelijkheid hebben ze misschien de sterkste beveiliging in de branche (zoals het geval lijkt te zijn met de online services van Google), of ze hebben misschien gaten in de gaten die jarenlang gênant rondhangen.
Beveiliging door obscuriteit op zich biedt een systeem geen beveiliging. Dit wordt als een gegeven beschouwd in de wereld van cryptografie. Het principe van Kerckhoff stelt dat een cryptosysteem veilig moet zijn, zelfs als de mechanismen in de handen van de vijand vallen. Dit principe dateert helemaal terug tot het einde van de 19e eeuw.
Shannon's stelregel volgde in de 20e eeuw. Er staat dat mensen systemen moeten ontwerpen in de veronderstelling dat tegenstanders er meteen mee vertrouwd raken.
In de jaren 1850 demonstreerde de Amerikaanse slotenmaker Alfred Hobbs hoe hij de modernste sloten van fabrikanten kon kiezen die beweerden dat geheimhouding hun ontwerpen veiliger maakte. Mensen die hun broodwinning verdienen (om zo te zeggen) het plukken van sloten krijgen werkelijk goed in het plukken van sloten. Alleen omdat ze er nog nooit een hebben gezien, maakt het niet ondoordringbaar.
Dit is te zien aan de reguliere beveiligingsupdates die binnenkomen op Windows, macOS en andere bedrijfseigen besturingssystemen. Als het privé houden van de code voldoende was om gebreken verborgen te houden, hoefden ze niet te worden gepatcht.
Beveiliging door onduidelijkheid kan niet de enige oplossing zijn
Gelukkig is deze aanpak alleen een deel van het defensieve plan dat deze bedrijven nemen. Google beloont mensen die beveiligingsfouten in Chrome ontdekken en het is niet de enige technologie gigant die deze tactiek gebruikt.
Eigen technologiebedrijven geven miljarden uit aan het veilig maken van hun software. Ze vertrouwen niet volledig op rook en spiegels om slechteriken weg te houden. In plaats daarvan vertrouwen ze op geheimhouding als enige eerste verdedigingslaag, waardoor aanvallers worden afgeremd door het voor hen moeilijker te maken om informatie te krijgen over het systeem dat ze willen infiltreren.
Het probleem is dat de bedreiging soms niet van buiten het besturingssysteem komt. Microsoft neemt je Windows 10-privacy weg Betreft Microsoft Vermijdt je Windows 10-privacyaspecten Vóór de release van de Creators Update lost Microsoft de privacykwesties over Windows 10 op. is dit voldoende om privacyverdedigers te sussen? Lees verder . De release van Windows 10 liet veel gebruikers zien dat ongewenst gedrag uit de software zelf kan komen. Microsoft heeft zich meer ingespannen om informatie over Windows-gebruikers te verzamelen om het product nog meer te laten gelden. Wat het met die gegevens doet, weten we niet. We kunnen de code niet bekijken om te zien. En zelfs wanneer Microsoft zich opent, blijft het doelbewust vaag.
Is Open Source Security beter?
Wanneer de broncode openbaar is, zijn meer ogen beschikbaar om kwetsbaarheden te herkennen. Als er fouten in de code zitten, gaat het denken, dan zal iemand ze herkennen. En denk er niet aan om een achterdeur in je software te sluipen. Iemand zal het opmerken, en ze zullen je eruit roepen.
Weinig mensen verwachten van eindgebruikers dat ze de broncode bekijken en begrijpen. Dat is voor andere ontwikkelaars en beveiligingsexperts. We kunnen rustig slapen, wetende dat ze dit werk namens ons doen.
Of kunnen we? We kunnen een eenvoudige parallel trekken met de overheid. Wanneer nieuwe wetgeving of uitvoeringsbesluiten worden aangenomen, onderzoeken journalisten en juristen soms het materiaal. Soms gaat het onder de radar.
Bugs zoals Heartbleed hebben ons laten zien dat beveiliging niet gegarandeerd is. Soms zijn bugs zo obscuur dat ze tientallen jaren meegaan zonder te worden gedetecteerd, ook al wordt de software al door miljoenen mensen gebruikt (om niet te zeggen dat dit ook niet op Windows gebeurt). Het kan een tijdje duren om eigenaardigheden te ontdekken, zoals het 28 keer achter elkaar raken van de Backspace-toets om het lockscreen te omzeilen. En alleen omdat veel mensen naar code kunnen kijken, wil nog niet zeggen dat ze dat wel doen. Nogmaals, zoals we soms zien in de overheid, kan openbaar materiaal genegeerd worden gewoon omdat het dat is saai.
Dus waarom wordt Linux algemeen beschouwd als een veilig besturingssysteem Is Linux echt zo veilig als jij denkt dat het is? Is Linux echt zo veilig als je denkt dat het is? Linux wordt vaak aangeprezen als het meest veilige besturingssysteem dat je kunt krijgen, maar is dit echt het geval? Laten we een kijkje nemen naar de verschillende aspecten van Linux computerbeveiliging. Lees verder ? Hoewel dit deels te danken is aan de voordelen van Unix-stijl, profiteert Linux ook van het enorme aantal mensen dat in zijn ecosysteem investeert. Met organisaties zo gevarieerd en divers als Google en IBM voor het Amerikaanse ministerie van Defensie en de Chinese overheid. De Chinese overheid heeft een nieuwe Linux-distro: is het goed? De Chinese overheid heeft een nieuwe Linux Distro: is het goed? Ubuntu Kylin is een zwaar aangepaste spin van Ubuntu Linux, gebouwd door de Chinese overheid, gericht op Chinese gebruikers. In tegenstelling tot andere op overheid gebaseerde Linux-projecten, is Ubuntu Kylin eigenlijk best goed! Meer lezen, er zijn veel partijen geïnvesteerd om de software veilig te houden. Omdat de code open is, zijn mensen vrij om verbeteringen aan te brengen en ze opnieuw in te dienen zodat andere Linux-gebruikers ervan kunnen profiteren. Of ze kunnen die verbeteringen voor zichzelf houden. Open Source versus vrije software: wat is het verschil en waarom is het belangrijk? Open source versus vrije software: wat is het verschil en waarom is het belangrijk? Velen gaan ervan uit dat "open source" en "vrije software" hetzelfde betekenen, maar dat is niet waar. Het is in uw eigen belang om te weten wat de verschillen zijn. Lees verder . Ter vergelijking: Windows en macOS zijn beperkt tot de verbeteringen die rechtstreeks van Microsoft en Apple komen.
En hoewel Windows mogelijk dominant is op desktops, wordt Linux veel gebruikt op servers en andere onderdelen van bedrijfskritische hardware. Veel bedrijven willen graag de mogelijkheid om hun eigen oplossingen te maken als de inzet zo hoog is. En als je echt paranoïde Linux-besturingssystemen voor The Paranoid bent: wat zijn de veiligste opties? Linux-besturingssystemen voor de paranoïde: wat zijn de veiligste opties? Overschakelen naar Linux biedt veel voordelen voor gebruikers. Van een stabieler systeem tot een uitgebreide selectie open source software, je bent op een winnaar. En het kost je geen cent! Meer lezen of moet u garanderen dat niemand controleert wat er op uw pc gebeurt, u kunt dat alleen doen als u kunt controleren wat de code op uw computer aan het doen is.
Welk beveiligingsmodel heeft u liever?
Er is een algemene consensus dat versleutelingsalgoritmen open moeten zijn, zolang sleutels privé zijn. Hoe werkt versleuteling en is het echt veilig? Hoe werkt versleuteling en is het echt veilig? Lees verder . Maar er is geen consensus dat alle software veiliger zou zijn als de code open zou zijn. Dit is misschien niet eens de juiste vraag om te stellen. Andere factoren beïnvloeden de kwetsbaarheid van uw systeem, zoals hoe vaak exploits worden ontdekt en hoe snel ze worden opgelost.
Desondanks laat het gesloten-source karakter van Windows of macOS je ongemakkelijk voelen? Gebruik je ze toch? Vind je dat een extraatje, geen nadeel? Meedoen!
Meer informatie over: Computerbeveiliging, Codering, Linux, Open Source.