Κάθε κομμάτι ηλεκτρονικών που κατέχετε ή χρησιμοποιείτε είναι γεμάτο ελαττώματα λογισμικού. Αυτό σημαίνει ότι έχετε ελαττώματα στο τηλέφωνο, το αυτοκίνητο, την τηλεόραση, τον φορητό υπολογιστή σας κ.λπ., και όχι μόνο. Για τους περισσότερους ανθρώπους, δεν υπάρχουν πολλά να γίνουν για αυτό.
Γι' αυτό δεν ήταν περίεργο να το ακούσω νέα τρωτά σημεία βρέθηκαν στο Πυρήνας Linux, το οποίο τροφοδοτεί (μεταξύ πολλών άλλων) τις συσκευές σας Android και Chrome OS. Στην πραγματικότητα, αυτό το βλέπουμε συνέχεια, και είναι καλό.
Αυτά τα σφάλματα εντοπίστηκαν λόγω λογισμικού ανοιχτού κώδικα. Μεγάλο μέρος του Android είναι υπό άδεια ανοιχτού κώδικα και ο πυρήνας του Linux είναι υπό α πολύ αυστηρό και αναπόδραστο πλήρως ανοιχτή άδεια που σημαίνει ότι όλος ο κώδικας βρίσκεται εκεί για να τον δουν, να τον χρησιμοποιήσουν και να προσπαθήσουν να τον σπάσουν με κάθε τρόπο που μπορεί κανείς να φανταστεί.
Δεν θα το ήθελα αλλιώς, ούτε εσύ.
Αυτά τα είδη κραυγαλέων εκμεταλλεύσεων υπάρχουν σε όλα τα λογισμικά, συμπεριλαμβανομένου του λογισμικού κλειστού κώδικα. Ενώ τμήματα των Windows και του iOS είναι ανοιχτού κώδικα, ο πυρήνας αυτών των συστημάτων δεν είναι. Αυτό δεν τους κάνει καλύτερους ή χειρότερους. Ο ανοιχτός κώδικας σίγουρα δεν σημαίνει καλύτερο με καμία μέτρηση. Σημαίνει απλώς ότι κανείς εκτός από αυτούς που έχουν πρόσβαση στον κώδικα - και τα άτομα που κατάλαβαν πώς να τον εκμεταλλευτούν - δεν γνωρίζει ότι είναι εκεί.
Δεν ξέρω για εσάς, αλλά αυτό ακούγεται ανησυχητικό στα αυτιά μου. Είναι κακό να γνωρίζετε ότι υπάρχουν σφάλματα που κάνουν τα ηλεκτρονικά σας ευάλωτα σε άτομα με κακές προθέσεις. Το να ξέρεις ότι διορθώνονται δεν είναι. Το να μην ξέρεις τίποτα είναι τρομερό.
Ας το δείξουμε αυτό με μια διασκεδαστική και 100% υποθετική άσκηση. Ένα βράδυ, ενώ κάπνιζε πολύ γρασίδι, ένας φίλος ανακάλυψε έναν τρόπο να κλέψει τον κωδικό πρόσβασης στο email σας. Λειτουργεί σε Android, Windows και iOS και είναι αρκετά εύκολο ώστε όποιος μπορεί να κατεβάσει ορισμένα αρχεία από το διαδίκτυο μπορεί να το κάνει.
Οι περισσότεροι άνθρωποι που βρίσκουν εκμεταλλεύσιμα σφάλματα κάνουν το υπεύθυνο πράγμα, ευτυχώς.
Τώρα, αυτός ο τύπος μπορεί να καπνίζει πολύ γρασίδι, αλλά δεν είναι εγγενώς κακός άνθρωπος. Ενημερώνει τους υπεύθυνους για την επιδιόρθωση αυτού του είδους ελαττωμάτων για την κατάσταση και, αφού προσπαθεί να μαζέψει μερικά ζουμερά χρήματα για τα bug bounty, πηγαίνει και παίζει στο PlayStation του. Δεν έχει καμία επιθυμία να μας ληστέψει όλους.
Οι εταιρείες διορθώνουν το λογισμικό τους σύμφωνα με το δικό τους χρονοδιάγραμμα και προωθούν τις επιδιορθώσεις σε τελικούς χρήστες όπως εμείς. Όλα καλά, και τα αρνιά ξαπλώνουν με λιοντάρια και κουνελάκια και ούτω καθεξής.
Αλλά τι θα γινόταν αν ο συγκάτοικός του ήταν λίγο κακός και αποφάσιζε να προσπαθήσει να μας ληστέψει κλέβοντας όλους τους λογαριασμούς μας; Με την πρόσβαση στο email μας, αυτό θα ήταν εύκολο. Είμαστε κυρίως στο έλεος της εταιρείας που κατασκεύασε τα ηλεκτρονικά μας για να μας δώσει την κατάλληλη επιδιόρθωση, αλλά αν το εν λόγω λογισμικό είναι ανοιχτού κώδικα, συμβαίνουν δύο πράγματα:
- Τα σφάλματα καταχωρούνται ανοιχτά και όλοι γνωρίζουν γι 'αυτά. Αυτό αναγκάζει τα ιστολόγια του Διαδικτύου να γράφουν λόγια γι' αυτό, τότε ξέρετε και εσείς.
- Τα άτομα που μπορούν να το επιδιορθώσουν αλλά δεν εργάζονται για μια από τις επηρεαζόμενες εταιρείες το γνωρίζουν επίσης. Μπορούν να βοηθήσουν να βρούμε τη λύση και να την πάρουμε στα χέρια μας πιο γρήγορα. Ναι, αυτό είναι ένα πραγματικό πράγμα, και μερικοί από τους καλύτερους χάκερ λογισμικού (το καλό είδος, όχι το είδος του Χόλιγουντ) δεν είναι μηχανικοί λογισμικού σε μια μεγάλη εταιρεία τεχνολογίας.
Εάν το λογισμικό δεν είναι ανοιχτού κώδικα, τα σφάλματα παραμένουν μυστικά για τους χρήστες έως ότου φτάσει μια επιδιόρθωση και κάποιος διαβάσει τις σημειώσεις ενημέρωσης κώδικα. Ωστόσο, δεν είναι μυστικά για τους ανθρώπους που συχνάζουν στους χώρους του Διαδικτύου όπου αγοράζονται και πωλούνται εκμεταλλεύσεις για τέτοιου είδους σφάλματα. Ξέρω ποια κατάσταση μου αρέσει περισσότερο.
Φυσικά, πιθανότατα δεν πρόκειται ποτέ να μεταγλωττίσετε ξανά τον πυρήνα για το τηλέφωνό σας και να διορθώσετε μόνοι σας τυχόν ευπάθειες, ακόμα κι αν έχετε μια επιδιόρθωση για αυτά. Αυτό σημαίνει μηνιαίες ενημερώσεις κώδικα ασφαλείας είναι εξαιρετικά σημαντικά και θα πρέπει να αποτελούν μέρος της απόφασης αγοράς σας επόμενο ακριβό τηλέφωνο. Είναι απλώς ωραίο να γνωρίζεις τι πρόκειται να διορθωθεί γιατί μια εταιρεία δεν προσπαθεί να σου το κρύψει.
Στο τέλος, ενώ τα ζητήματα ασφαλείας είναι υπαρκτά και θα πρέπει να είστε ευτυχείς που γνωρίζετε ότι υπάρχουν άνθρωποι που νοιάζονται για αυτά, το πιθανότερο είναι ότι δεν θα βρεθείτε ποτέ σε μια κατάσταση που να έχουν πραγματικά σημασία για εσάς. Οι άνθρωποι περιμένουν μήνες και μήνες μεταξύ των ενημερώσεων για τα iPhone τους και δεν υπήρξε ποτέ μαζική παραβίαση ασφάλειας. Ακόμη.
Απλώς πιστεύω ότι είναι τρομερά σημαντικό να γνωρίζουμε πόσο μπερδεμένα είναι τα πράγματα θα μπορούσε λάβετε εάν οι σωστοί (λάθος) άνθρωποι εκμεταλλεύονται ένα σφάλμα στο σωστό λογισμικό.