Är säkerhet genom oskärpa säkrare än öppen källkodsprogramvara?

Öppen källkodsprogram levereras med tydliga säkerhetsfördelar. Det motsatta tillvägagångssättet är säkerhet genom obskärlighet. Är ett tillvägagångssätt faktiskt säkrare än det andra eller är det möjligt att det finns sanning för båda?

Öppen källkodsprogram levereras med tydliga säkerhetsfördelar.  Det motsatta tillvägagångssättet är säkerhet genom obskärlighet.  Är ett tillvägagångssätt faktiskt säkrare än det andra eller är det möjligt att det finns sanning för båda?
Annons

Linux-användare citerar ofta säkerhetsförmåner som en av anledningarna till att föredra öppen källkodsprogramvara. Eftersom koden är öppen för alla att se finns det fler ögon som letar efter potentiella buggar. De hänvisar till motsatt tillvägagångssätt, där koden endast är synlig för utvecklarna, som säkerhet genom obskärlighet. Bara ett fåtal personer kan se koden, och de personer som vill dra fördel av buggar finns inte på listan.

Även om detta språk är vanligt i open source-världen är det här inte en Linux-specifik fråga. Faktum är att denna debatt är äldre än datorer. Så är frågan avgjort? Är ett tillvägagångssätt faktiskt säkrare än det andra, eller är det möjligt att det finns sanning för båda?

Vad är säkerhet genom oskärpa?

Säkerhet genom dunklighet är beroendet av sekretess som ett medel för att skydda komponenter i ett system. Denna metod är delvis antagen av företagen bakom dagens mest framgångsrika kommersiella operativsystem: Microsoft, Apple, och i mindre utsträckning Google. Tanken är att om dåliga skådespelare inte vet att det finns en fel, hur kan de dra nytta av dem? 3 Windows 98 Bugs Worth Revisiting 3 Windows 98 Bugs Worth Revisiting Är det bara nostalgi som håller mig kopplad till detta OS, eller var Windows 98 faktiskt värt att komma ihåg? Detta operativsystem som släpptes för 15 år sedan hade sina upp- och nedgångar. Kritikerna har varit ganska hårda ... Läs mer?

Du och jag kan inte ta en topp i koden som gör att Windows körs (om du inte råkar ha en relation med Microsoft). Detsamma gäller för macOS. Google öppna källor Kärnkomponenterna i Android Är Android verkligen öppen källkod? Och gör det även materia? Är Android verkligen öppen källkod? Och gör det även materia? Här undersöker vi huruvida Android är verkligen öppen källkod. Det är trots allt baserat på Linux! Läs mer, men de flesta appar förblir proprietära. På samma sätt är Chrome OS i stor utsträckning öppen källkod, förutom de speciella bitarna som skiljer Chrome från Chrome är Google avlyssning på Chrome-användare? Går Google avlyssning på kromanvändare? Open source-utvecklare har funnit att Debian-versionen av Chrom hämtar kod från Google-poster, användaren via PC-mikrofon och strömmar ljudet tillbaka för analys. Går Google avlyssning på dig? Läs mer .

Vad är nackdelarna?

Eftersom vi inte kan se vad som händer i koden måste vi lita på företag när de säger att deras programvara är säker. I själva verket kan de ha den starkaste säkerheten i branschen (vilket tycks vara fallet med Googles onlinetjänster), eller de kan ha skarpa hål som genomsynligt sjunger runt i åratal.

Säkerhet genom dunkling, i sig, ger inte ett system med säkerhet. Detta tas som en given i kryptografiens värld. Kerckhoffs princip argumenterar för att ett kryptosystem ska vara säkert även om mekanismerna faller i fiendens händer. Denna princip går hela vägen tillbaka till slutet av 1800-talet.

Shannons maxim följde på 20-talet. Det står att folk ska utforma system under antagandet att motståndarna omedelbart kommer att bli bekanta med dem.

Tillbaka på 1850-talet demonstrerade den amerikanska låssmedten Alfred Hobbs hur man hämtar toppmoderna låser gjorda av tillverkare som hävdade att sekretessen gjorde sina konstruktioner säkrare. Människor som gör sitt försörjningsskapande (så att säga) väljer lås blir riktigt bra på att välja lås. Bara för att de kanske inte har sett en förut gör det inte ogenomträngligt.

Detta kan ses i de vanliga säkerhetsuppdateringarna som kommer fram på Windows, MacOS och andra proprietära operativsystem. Om du behåller koden privat var tillräcklig för att hålla gnistor gömda, skulle de inte behöva patchas.

Säkerhet genom oskärpa kan inte vara den enda lösningen

Lyckligtvis är detta tillvägagångssätt bara en del av den defensiva planen som dessa företag tar. Google belönar människor som upptäcker säkerhetsbrister i Chrome, och det är knappast den enda tekniska jätten att använda denna taktik.

Egenutvecklade teknikföretag spenderar miljarder på att göra deras programvara säkra. De litar inte helt på rök och speglar för att hålla borta onda killar. I stället förlitar de sig på sekretess som bara det första försvarskiktet, vilket sänker angriparna genom att göra det svårare för dem att få information om det system som de vill infiltrera.

Saken är, ibland, hotet kommer inte från utsidan av operativsystemet Microsoft gör det lättare för din Windows 10-integritet Bekymmer Microsoft åtgärdar dina Windows 10-integritetshänsyn Innan release av Creators Update tar Microsoft upp personers integritetshänsyn avseende Windows 10. Men kommer det att räcka för att skämma bort privata förespråkare? Läs mer . Utgåvan av Windows 10 visade många användare att oönskade beteenden kan komma från själva mjukvaran. Microsoft har förstärkt sina insatser för att samla in information om Windows-användare för att ytterligare tjäna pengar på sin produkt. Vad det gör med den informationen, vet vi inte. Vi kan inte titta på koden för att se. Och även när Microsoft öppnar sig, är det målmedvetet vagt.

Är öppen källkodsäkerhet bättre?

När källkoden är allmän, finns fler ögon tillgängliga för att upptäcka sårbarheter. Om det finns fel i koden går tänkandet, så kommer någon att upptäcka dem. Och tänk inte på att smyga en bakdörr till din programvara. Någon kommer att märka, och de kommer att ringa dig ut.

Få människor förväntar sig slutanvändare att se och ge mening om källkod. Det är för andra utvecklare och säkerhetsexperter att göra. Vi kan vara lätta att veta att de gör det här arbetet på våra vägnar.

Eller kan vi? Vi kan dra en enkel parallell med regeringen. När ny lagstiftning eller verkställande order godkänns, granskar ibland journalister och jurister professionellt materialet. Ibland går det under radarn.

Buggar som Heartbleed har visat oss att säkerheten inte är garanterad. Ibland är buggar så dunkla att de går decennier utan detektering, även om mjukvaran används av miljontals (för att inte säga att detta inte händer i Windows också). Det kan ta ett tag att upptäcka quirks som att slå Backspace-tangenten 28 gånger för att kringgå låsskärmen. Och bara för att många människor kan titta på kod betyder inte att de gör det. Återigen, som vi ibland ser i regeringen, kan offentligt material ignoreras helt enkelt för att det är tråkigt .

Så varför betraktas Linux allmänt som ett säkert operativsystem Är Linux verkligen lika säker som du tror det är? Är Linux verkligen så säker som du tror det är? Linux pryds ofta som det säkraste operativsystemet du kan hämta på, men är det verkligen så? Låt oss ta en titt på olika aspekter av Linux datorsäkerhet. Läs mer ? Även om detta delvis beror på fördelarna med Unix-stil design, drar Linux också fördel av det stora antalet människor som investeras i sitt ekosystem. Med organisationer så varierade och olika som Google och IBM till Förenta staternas försvarsdepartement och den kinesiska regeringen Den kinesiska regeringen har en ny Linux Distro: Är det något bra? Den kinesiska regeringen har en ny Linux Distro: Är det något bra? Ubuntu Kylin är en kraftigt anpassad spinn av Ubuntu Linux, byggt av den kinesiska regeringen, riktad mot kinesiska användare. Till skillnad från andra regeringsbaserade Linux-projekt är Ubuntu Kylin faktiskt ganska bra! Läs mer, det finns många parter investerat i att hålla programvaran säker. Eftersom koden är öppen kan folk göra förbättringar och skicka tillbaka dem till andra Linux-användare att dra nytta av. Eller de kan behålla dessa förbättringar för sig Open Source vs Free Software: Vad är skillnaden och varför är det? Open Source vs Free Software: Vad är skillnaden och varför betyder det? Många anta att "öppen källkod" och "fri programvara" betyder samma sak men det är inte sant. Det är i ditt intresse att veta vad skillnaderna är. Läs mer . I jämförelse är Windows och MacOS begränsade till de förbättringar som kommer direkt från Microsoft och Apple.

Plus, medan Windows kan vara dominerande på stationära datorer, används Linux ofta på servrar och andra delar av missionskritisk hårdvara. Många företag gillar att ha möjlighet att göra sina egna korrigeringar när insatsen är så hög. Och om du verkligen är paranoida Linux operativsystem för paranoid: Vilka är de säkraste alternativen? Linux operativsystem för paranoid: Vilka är de säkraste alternativen? Byte till Linux ger många fördelar för användarna. Från ett mer stabilt system till ett stort urval av öppen källkodsprogram, är du på en vinnare. Och det kommer inte att kosta dig ett öre! Läs mer eller behöver garantera att ingen övervakar vad som händer på din dator, det kan du bara göra om du kan verifiera vad koden på din maskin gör.

Vilken säkerhetsmodell föredrar du?

Det finns ett allmänt samförstånd om att krypteringsalgoritmer måste vara öppna, så länge som nycklarna är privata. Hur fungerar kryptering och är det verkligen säkert? Hur fungerar kryptering och är det verkligen säkert? Läs mer . Men det finns ingen överens om att all programvara skulle vara säkrare om koden var öppen. Det kan inte ens vara rätt fråga att fråga. Andra faktorer påverkar hur sårbart ditt system kan vara, till exempel hur ofta exploater upptäckts och hur snabbt de är fixade.

Men låter Windows eller MacOS stängda källan du känna dig obekväma? Användar du dem ändå? Anser du att en prisklass, inte en skada? Chime in!

In this article