Ogni pezzo di elettronica che possiedi o usi è pieno di difetti del software. Ciò significa che hai difetti nel tuo telefono, auto, televisione, laptop, ecc. E oltre. Per la maggior parte delle persone, non c'è molto da fare al riguardo.
Ecco perché non è stato sorprendente sentirlo nuove vulnerabilità sono stati trovati nel Kernel Linux, che alimenta (tra molte altre cose) i tuoi dispositivi Android e Chrome OS. In effetti, lo vediamo sempre ed è una buona cosa.
Questi bug sono stati rilevati a causa del software open source. Gran parte di Android è sotto una licenza open source e il kernel Linux è sotto a molto severo e imprescindibile licenza completamente aperta, il che significa che tutto il codice è a portata di mano per essere visto, usato e cercato di violarlo in ogni modo immaginabile.
Non lo vorrei in nessun altro modo, nemmeno tu dovresti.
Questi tipi di exploit evidenti esistono in tutti i software, incluso il software closed-source. Sebbene parti di Windows e iOS siano open source, il nucleo di questi sistemi non lo è. Questo non li rende migliori o peggiori; open-source sicuramente non significa migliore da nessuna misura. Significa solo che nessuno al di fuori di coloro che hanno accesso al codice - e le persone che hanno capito come sfruttarli - sa che sono lì.
Non so voi, ma questo suona preoccupante per le mie orecchie. Sapere che ci sono bug che rendono i tuoi dispositivi elettronici vulnerabili alle persone con cattive intenzioni è un male. Sapere che vengono riparati non lo è. Non sapere proprio niente è terribile.
Dimostriamolo con un esercizio divertente e ipotetico al 100%. Una sera, mentre fumava troppa erba, un tizio ha scoperto un modo per rubare la password della tua email. Funziona su Android, Windows e iOS ed è abbastanza facile che chiunque sia in grado di scaricare alcuni file da Internet possa farlo.
La maggior parte delle persone che trovano bug sfruttabili fanno la cosa responsabile, per fortuna.
Ora, quest'uomo può anche fumare troppa erba, ma non è una persona intrinsecamente malvagia. Informa le persone incaricate di correggere questo tipo di difetti sulla situazione e, dopo aver cercato di raccogliere alcuni succosi premi in denaro, va a giocare sulla sua PlayStation. Non ha alcun desiderio di derubarci tutti.
Le aziende applicano patch al proprio software secondo i propri programmi e distribuiscono le correzioni agli utenti finali come noi. Va tutto bene e gli agnelli giacciono con leoni e coniglietti e così via.
Ma cosa succederebbe se il suo coinquilino fosse un po' malvagio e decidesse di provare a derubarci dirottando tutti i nostri account? Con l'accesso alla nostra email, sarebbe facile. Per lo più siamo ancora alla mercé dell'azienda che ha realizzato la nostra elettronica per fornirci la soluzione adeguata, ma se il software in questione è open-source, accadono due cose:
- I bug sono archiviati allo scoperto e tutti li conoscono. Questo fa sì che i blog su Internet scrivano parole al riguardo, quindi lo sai anche tu.
- Anche le persone che possono risolverlo ma non lavorano per una delle aziende interessate lo sanno. Possono aiutare a trovare la soluzione e metterla nelle nostre mani più velocemente. Sì, questa è una cosa reale, e alcuni dei migliori hacker di software (il tipo buono, non il tipo di Hollywood) non sono ingegneri del software in una grande azienda tecnologica.
Se il software non è open source, i bug vengono tenuti segreti per gli utenti fino a quando non arriva una correzione e qualcuno legge le note sulla patch. Tuttavia, non sono un segreto per le persone che frequentano gli spazi Internet in cui vengono acquistati e venduti exploit per questo tipo di bug. So quale situazione mi piace di più.
Ovviamente, probabilmente non ricompilerai mai il kernel per il tuo telefono e correggerai tu stesso eventuali vulnerabilità, anche se hai una soluzione per loro. Questo significa patch di sicurezza mensili sono estremamente importanti e dovrebbero far parte della tua decisione di acquisto per il tuo prossimo telefono costoso. È bello sapere cosa verrà risolto perché un'azienda non sta cercando di nascondertelo.
Alla fine, mentre i problemi di sicurezza sono reali e dovresti essere felice di sapere che ci sono persone a cui importa, è probabile che non ti troverai mai in una situazione in cui sono davvero importanti per te. Le persone aspettano mesi e mesi tra gli aggiornamenti per i loro iPhone e non c'è mai stata una violazione della sicurezza di massa. Ancora.
Penso solo che sia terribilmente importante sapere come hanno incasinato le cose Potevo ottenere se le persone giuste (sbagliate) sfruttano un bug nel software giusto.