Elk stuk elektronica dat u bezit of gebruikt zit vol met softwarefouten. Dat betekent dat je fouten hebt in je telefoon, auto, televisie, laptop, etc., en daarbuiten. Voor de meeste mensen is er niet veel aan te doen.
Daarom was het niet verrassend om dat te horen nieuwe kwetsbaarheden werden gevonden in de Linux-kernel, die (onder andere) uw Android- en Chrome OS-apparaten van stroom voorziet. In feite zien we dit de hele tijd, en het is een goede zaak.
Deze bugs zijn gevonden vanwege open-source software. Een groot deel van Android valt onder een open-sourcelicentie en de Linux-kernel valt onder een zeer strikt en onontkoombaar volledig open licentie, wat betekent dat alle code aanwezig is zodat mensen ze op elke denkbare manier kunnen zien, gebruiken en proberen te kraken.
Ik zou het niet anders willen, jij ook niet.
Dit soort flagrante exploits komen voor in alle software, inclusief closed-source software. Hoewel delen van Windows en iOS open-source zijn, is de kern van die systemen dat niet. Dit maakt ze niet beter of slechter; open-source betekent absoluut niet beter door welke meting dan ook. Het betekent alleen dat niemand behalve degenen met toegang tot de code - en de mensen die erachter zijn gekomen hoe ze deze kunnen misbruiken - weet dat ze er zijn.
Ik weet niet hoe het met jou zit, maar dit klinkt verontrustend in mijn oren. Wetende dat er bugs zijn die je elektronica kwetsbaar maken voor mensen met slechte bedoelingen, is slecht. Wetende dat ze gerepareerd worden is dat niet. Helemaal niets weten is verschrikkelijk.
Laten we dit demonstreren met een leuke en 100% hypothetische oefening. Op een avond terwijl hij te veel gras rookte, ontdekte een man een manier om het wachtwoord van je e-mail te stelen. Het werkt op Android, Windows en iOS, en het is zo eenvoudig dat iedereen die bestanden van internet kan downloaden, het kan doen.
De meeste mensen die misbruikbare bugs vinden, doen gelukkig het verantwoordelijke.
Nu, deze kerel rookt misschien te veel gras, maar hij is geen inherent slecht persoon. Hij informeert de mensen die verantwoordelijk zijn voor het oplossen van dit soort gebreken over de situatie, en nadat hij heeft geprobeerd wat sappig bounty-geld voor bugs te verzamelen, gaat hij spelen op zijn PlayStation. Hij wil ons niet allemaal beroven.
Bedrijven patchen hun software volgens hun eigen schema en pushen de fixes naar eindgebruikers zoals wij. Alles is goed, en lammeren leggen met leeuwen en konijnen enzovoort.
Maar wat als zijn kamergenoot een beetje gemeen was en besloot ons te beroven door al onze accounts te kapen? Met toegang tot onze e-mail zou dat gemakkelijk zijn. We zijn meestal nog steeds overgeleverd aan de genade van het bedrijf dat onze elektronica heeft gemaakt om ons de juiste oplossing te geven, maar als de software in kwestie open-source is, gebeuren er twee dingen:
- De bugs worden openbaar ingediend en iedereen kent ze. Dit zorgt ervoor dat internetblogs er woorden over schrijven, dan weet jij het ook.
- Mensen die het kunnen repareren, maar niet voor een van de getroffen bedrijven werken, weten er ook van. Ze kunnen helpen de oplossing te vinden en sneller in onze handen te krijgen. Ja, dit is echt, en sommige van de beste softwarehackers (de goede soort, niet de Hollywood-soort) zijn geen software-ingenieurs bij een groot technologiebedrijf.
Als de software niet open-source is, worden de bugs geheim gehouden voor gebruikers totdat er een oplossing komt en iemand de patch-opmerkingen leest. Ze zijn echter geen geheim voor mensen die de internetruimten bezoeken waar exploits voor dit soort bugs worden gekocht en verkocht. Ik weet welke situatie ik leuker vind.
Natuurlijk ga je waarschijnlijk nooit de kernel voor je telefoon opnieuw compileren en eventuele kwetsbaarheden zelf oplossen, zelfs als je er wel een oplossing voor hebt. Dat betekent maandelijkse beveiligingspatches zijn uiterst belangrijk en zouden deel moeten uitmaken van uw aankoopbeslissing voor uw volgende dure telefoon. Het is gewoon leuk om te weten wat er gaat worden opgelost, want een bedrijf probeert het niet voor je te verbergen.
Uiteindelijk, hoewel beveiligingsproblemen reëel zijn en je blij zou moeten zijn te weten dat er mensen zijn die om hen geven, is de kans groot dat je nooit in een situatie terechtkomt waarin ze echt belangrijk voor je zijn. Mensen wachten maanden en maanden tussen updates voor hun iPhones en er is nog nooit een massale inbreuk op de beveiliging geweest. Nog.
Ik denk gewoon dat het ontzettend belangrijk is om te weten hoe de dingen in de war zijn zou kunnen krijgen als de juiste (verkeerde) mensen een bug in de juiste software uitbuiten.