Svaki komad elektronike koji posjedujete ili koristite pun je softverskih nedostataka. To znači da imate nedostatke na svom telefonu, automobilu, televiziji, prijenosnom računalu itd., i šire. Za većinu ljudi, tu se ne može puno učiniti.
Zato to nije bilo čudno čuti nove ranjivosti pronađeni su u Linux kernel, koji pokreće (između mnogih drugih stvari) vaše Android i Chrome OS uređaje. Zapravo, ovo vidimo cijelo vrijeme, i to je dobra stvar.
Ove greške su pronađene zbog softvera otvorenog koda. Velik dio Androida je pod licencom otvorenog koda, a jezgra Linuxa pod a vrlo stroga i neizbježna potpuno otvorena licenca što znači da je sav kod tu kako bi ga ljudi mogli vidjeti, koristiti i pokušati provaliti na sve zamislive načine.
Ne bih želio drugačije, ne bi trebao ni ti.
Ovakve očigledne eksploatacije postoje u svim softverima, uključujući softver zatvorenog koda. Dok su dijelovi sustava Windows i iOS otvorenog koda, jezgra tih sustava nije. To ih ne čini boljim ili lošijim; open-source definitivno ne znači bolji po bilo kojem mjerilu. To samo znači da nitko osim onih koji imaju pristup kodu - i ljudi koji su smislili kako ih iskoristiti - ne zna da su tu.
Ne znam za vas, ali ovo zvuči zabrinjavajuće za moje uši. Loše je znati da postoje greške koje vašu elektroniku čine ranjivom na ljude s lošim namjerama. Znati da se popravljaju nije. Strašno je ne znati ništa.
Pokažimo to zabavnom i 100% hipotetskom vježbom. Jedne večeri dok je pušio previše trave, kolega je otkrio način da ukrade lozinku za vašu e-poštu. Radi na Androidu, Windowsu i iOS-u, a dovoljno je jednostavan da to može učiniti svatko tko može preuzeti neke datoteke s interneta.
Većina ljudi koji pronađu bugove koji se mogu iskoristiti čine odgovornu stvar, srećom.
Sada, ovaj tip možda puši previše trave, ali on nije inherentno zla osoba. On obavještava ljude zadužene za popravljanje ovakvih nedostataka o situaciji, a nakon što je pokušao skupiti nešto sočnog novca za bug bounty, odlazi i igra na svom PlayStationu. On nema želju sve nas opljačkati.
Tvrtke krpaju svoj softver prema vlastitom rasporedu i guraju popravke do krajnjih korisnika poput nas. Sve je dobro, i janjci leže s lavovima i zečićima i tako dalje.
Ali što ako je njegov cimer bio malo zao i odlučio nas pokušati opljačkati otimanjem svih naših računa? S pristupom našoj e-pošti, to bi bilo lako. Uglavnom smo još uvijek prepušteni na milost i nemilost tvrtki koja je napravila našu elektroniku kako bi nam osigurala odgovarajući popravak, ali ako je dotični softver otvorenog koda, događaju se dvije stvari:
- Greške se vode javno i svi znaju za njih. Zbog toga internetski blogovi pišu riječi o tome, a onda i vi znate za to.
- Ljudi koji to mogu popraviti, ali ne rade za neku od pogođenih tvrtki, također znaju za to. Oni mogu pomoći pronaći popravak i brže ga dobiti u našim rukama. Da, ovo je prava stvar, a neki od najboljih softverskih hakera (onih dobrih, ne holivudskih) nisu softverski inženjeri u velikoj tehnološkoj tvrtki.
Ako softver nije otvorenog koda, greške se drže u tajnosti za korisnike sve dok ne stigne popravak i netko ne pročita bilješke o zakrpi. Oni ipak nisu tajna za ljude koji često posjećuju internetske prostore gdje se kupuju i prodaju eksploatacije za ovu vrstu bugova. Znam koja situacija mi se više sviđa.
Naravno, vjerojatno nikada nećete ponovno kompajlirati kernel za svoj telefon i sami popraviti bilo koju ranjivost, čak i ako imate rješenje za njih. To znaci mjesečne sigurnosne zakrpe iznimno su važni i trebali bi biti dio vaše odluke o kupnji sljedeći skupi telefon. Jednostavno je lijepo znati što će se popraviti jer tvrtka to ne pokušava sakriti od vas.
Na kraju, iako su sigurnosni problemi stvarni i trebali biste biti sretni što znate da postoje ljudi kojima je stalo do njih, velika je vjerojatnost da nikada nećete biti u situaciji u kojoj su vam stvarno važni. Ljudi čekaju mjesece i mjesece između ažuriranja svojih iPhonea i nikada nije došlo do masovnog probijanja sigurnosti. Još.
Samo mislim da je jako važno znati koliko su stvari zabrljane mogao dobiti ako pravi (pogrešni) ljudi iskoriste grešku u pravom softveru.