La sicurezza attraverso l'oscurità è più sicura del software open source?
Gli utenti Linux citano spesso i vantaggi per la sicurezza come uno dei motivi per preferire il software open source. Poiché il codice è aperto a tutti, ci sono altri occhi alla ricerca di potenziali bug. Si riferiscono all'approccio opposto, in cui il codice è visibile solo agli sviluppatori, come sicurezza attraverso l'oscurità. Solo poche persone possono vedere il codice e le persone che vogliono approfittare di bug non sono in quella lista.
Sebbene questo linguaggio sia comune nel mondo open source, questo non è un problema specifico per Linux. In realtà, questo dibattito è più vecchio dei computer. Quindi la domanda è risolta? È un approccio in realtà più sicuro dell'altro, o è possibile che ci sia la verità in entrambi?
Cos'è la sicurezza attraverso l'oscurità?
La sicurezza attraverso l'oscurità è il ricorso alla segretezza come mezzo per proteggere i componenti di un sistema. Questo metodo è parzialmente adottato dalle società che stanno dietro i sistemi operativi commerciali di maggior successo di oggi: Microsoft, Apple e, in misura minore, Google. L'idea è che se i cattivi attori non sanno che esiste un difetto, come possono trarne vantaggio 3 Windows 98 Bug che vale la pena rivisitare 3 bug di Windows 98 che valgono la pena rivisitare È solo nostalgia che mi tiene collegato a questo sistema operativo, o era Windows 98 vale la pena ricordare? Questo sistema operativo rilasciato 15 anni fa ha avuto i suoi alti e bassi. I critici sono stati piuttosto duri ... Per saperne di più ?
Tu e io non possiamo dare un picco al codice che esegue Windows (a meno che tu non abbia una relazione con Microsoft). Lo stesso è vero per macOS. Google open source i componenti principali di Android è Android Really Open Source? E lo fa anche la materia? Android è davvero open source? E lo fa anche la materia? Qui esploriamo se Android è o meno veramente open source. Dopotutto, è basato su Linux! Leggi altro, ma la maggior parte delle app rimane proprietaria. Allo stesso modo, Chrome OS è in gran parte open source, fatta eccezione per i bit speciali che separano Chrome da Chromium Google Eavesdropping su Chromium Users? Google Eavesdropping su Chromium Users? Gli sviluppatori open source hanno scoperto che la versione Debian di Chromium sta scaricando il codice da Google registra l'utente tramite PC mic e trasmette l'audio indietro per l'analisi. Google ti sta orecchiando? Leggi di più .
Quali sono gli svantaggi?
Dal momento che non possiamo vedere cosa sta succedendo nel codice, dobbiamo fidarci delle aziende quando dicono che il loro software è sicuro. In realtà, potrebbero avere la più forte sicurezza del settore (come sembra essere il caso dei servizi online di Google), o potrebbero avere buchi appariscenti che in modo imbarazzante indugiano per anni.
La sicurezza per oscurità, da sola, non fornisce un sistema di sicurezza. Questo è considerato un dato nel mondo della crittografia. Il principio di Kerckhoff sostiene che un criptosistema dovrebbe essere sicuro anche se i meccanismi cadono nelle mani del nemico. Questo principio risale alla fine del 1800.
La massima di Shannon è stata seguita nel 20 ° secolo. Dice che le persone dovrebbero progettare i sistemi partendo dal presupposto che gli avversari diventeranno immediatamente familiari con loro.
Nel 1850, il fabbro americano Alfred Hobbs dimostrò come scegliere serrature all'avanguardia realizzate da produttori che sostenevano che la segretezza rendesse più sicuri i loro progetti. Le persone che fanno i loro mezzi di sostentamento (per così dire) prendono i lucchetti veramente bravo a raccogliere le serrature. Solo perché potrebbero non averne visto uno prima non lo rende impenetrabile.
Questo può essere visto nei normali aggiornamenti di sicurezza che arrivano su Windows, macOS e altri sistemi operativi proprietari. Se mantenere il codice privato fosse sufficiente a mantenere nascosti i difetti, non avrebbe bisogno di essere riparati.
La sicurezza attraverso l'oscurità non può essere l'unica soluzione
Fortunatamente, questo approccio è solo parte del piano difensivo che prendono queste compagnie. Google premia le persone che scoprono difetti di sicurezza in Chrome, ed è difficilmente l'unico gigante tecnologico a utilizzare questa tattica.
Le aziende tecnologiche proprietarie spendono miliardi per rendere sicuro il loro software. Non si affidano interamente al fumo e agli specchi per tenere lontani i cattivi. Invece, si affidano alla segretezza come solo il primo livello di difesa, rallentando gli attaccanti rendendo più difficile per loro ottenere informazioni sul sistema che stanno cercando di infiltrarsi.
Il problema è che a volte la minaccia non proviene dall'esterno del sistema operativo Microsoft semplifica la privacy di Windows 10 Microsoft risolve i problemi di privacy di Windows 10 Prima del rilascio dell'aggiornamento dei creativi, Microsoft sta affrontando i problemi di privacy delle persone riguardo a Windows 10. Ma sarà sufficiente per placare i difensori della privacy? Leggi di più . Il rilascio di Windows 10 ha mostrato a molti utenti che il comportamento indesiderato può provenire dal software stesso. Microsoft ha intensificato i suoi sforzi per raccogliere informazioni sugli utenti di Windows al fine di monetizzare ulteriormente il suo prodotto. Che cosa fa con quei dati, non lo sappiamo. Non possiamo dare un'occhiata al codice per vedere. E anche quando Microsoft si apre, rimane volutamente vago.
La sicurezza dell'open source è migliore?
Quando il codice sorgente è pubblico, sono disponibili più occhi per individuare le vulnerabilità. Se ci sono errori nel codice, il pensiero va, quindi qualcuno li individuerà. E non pensare di infilare una backdoor nel tuo software. Qualcuno lo noterà e ti chiameranno.
Poche persone si aspettano che gli utenti finali possano vedere e dare un senso al codice sorgente. Questo è compito degli altri sviluppatori e degli esperti di sicurezza. Possiamo stare tranquilli sapendo che stanno facendo questo lavoro per nostro conto.
O possiamo? Possiamo tracciare un facile parallelo con il governo. Quando vengono approvate nuove leggi o ordini esecutivi, a volte giornalisti e professionisti del diritto controllano il materiale. A volte passa sotto il radar.
Bug come Heartbleed ci hanno mostrato che la sicurezza non è garantita. A volte i bug sono così oscuri che passano decenni senza essere rilevati, anche se il software è in uso da milioni (per non dire che questo non accade anche su Windows). Può richiedere un po 'di tempo per scoprire stranezze come battere il tasto Backspace 28 volte per aggirare la schermata di blocco. E solo perché molte persone possono guardare il codice non significa che lo facciano. Di nuovo, come a volte vediamo nel governo, il materiale pubblico può essere ignorato semplicemente perché lo è noioso.
Quindi perché Linux è considerato un sistema operativo sicuro Linux è sicuro come lo pensi? Linux è davvero sicuro come lo pensi? Linux è spesso considerato il sistema operativo più sicuro su cui puoi mettere le mani, ma è davvero così? Diamo un'occhiata ai diversi aspetti della sicurezza dei computer Linux. Leggi di più ? Mentre questo è in parte dovuto ai vantaggi del design in stile Unix, anche Linux trae vantaggio dal numero di persone investite nel suo ecosistema. Con organizzazioni diverse e varie come Google e IBM per il Dipartimento della Difesa degli Stati Uniti e il governo cinese Il governo cinese ha un nuovo Distro Linux: è tutto buono? Il governo cinese ha un nuovo Linux Distro: è buono? Ubuntu Kylin è una spin altamente personalizzata di Ubuntu Linux, costruita dal governo cinese, rivolta agli utenti cinesi. A differenza di altri progetti Linux basati sul governo, Ubuntu Kylin è in realtà piuttosto buona! Per saperne di più, ci sono molte parti investite nel mantenere il software sicuro. Dal momento che il codice è aperto, le persone sono libere di apportare miglioramenti e di inviarli nuovamente per gli altri utenti Linux. Oppure possono mantenere questi miglioramenti da soli Open Source rispetto al software libero: qual è la differenza e perché è importante? Open Source contro software libero: qual è la differenza e perché è importante? Molti pensano che "open source" e "software libero" significano la stessa cosa, ma non è vero. È nel tuo migliore interesse sapere quali sono le differenze. Leggi di più . Per confronto, Windows e macOS sono limitati ai miglioramenti che provengono direttamente da Microsoft e Apple.
Inoltre, mentre Windows può essere dominante sui desktop, Linux è ampiamente utilizzato su server e altri componenti hardware mission critical. Molte aziende amano avere la possibilità di fare le proprie correzioni quando la posta in gioco è così alta. E se sei veramente paranoico Sistemi operativi Linux per The Paranoid: quali sono le opzioni più sicure? Sistemi operativi Linux per The Paranoid: quali sono le opzioni più sicure? Passare a Linux offre molti vantaggi agli utenti. Da un sistema più stabile a una vasta selezione di software open source, sei su un vincitore. E non ti costerà un centesimo! Per saperne di più o per garantire che nessuno stia monitorando ciò che accade sul tuo PC, puoi farlo solo se puoi verificare che cosa sta facendo il codice sulla tua macchina.
Quale modello di sicurezza preferisci?
Esiste un consenso generale sul fatto che gli algoritmi di crittografia devono essere aperti, a condizione che le chiavi siano private. Come funziona la crittografia ed è davvero sicuro? Come funziona la crittografia, ed è davvero sicura? Leggi di più . Ma non c'è consenso sul fatto che tutto il software sarebbe più sicuro se il codice fosse aperto. Questa potrebbe non essere la domanda giusta da porre. Altri fattori influiscono sulla vulnerabilità del sistema, ad esempio sulla frequenza con cui vengono scoperti gli exploit e sulla velocità con cui vengono risolti.
Tuttavia, la natura closed-source di Windows o macOS ti lascia a disagio? Li usi comunque? Lo consideri un vantaggio, non un danno? Chime in!
Scopri di più su: sicurezza informatica, crittografia, Linux, open source.