Αδυναμία του Open Source λογισμικού;;

[ale3andro]

Μόλις διάβασα στα νέα του PC World αυτό το άρθρο για ένα κενό ασφαλείας σε διανομές Debian/Ubuntu η οποία καταλήγει έτσι:

Το σημαντικό αυτό πρόβλημα φαίνεται να δείχνει μία γενικότερη αδυναμία του Open Source λογισμικού, οπού ένας προγραμματιστής κάνει μία σημαντική αλλαγή η οποία τις περισσότερες φορές γίνεται αποδεκτή χωρίς δεύτερη κουβέντα από την κοινότητα. Φαίνεται ότι πρέπει να αλλάξει η μεθοδολογία που ακολουθείται στα ζητήματα ασφαλείας, ώστε να είμαστε σίγουροι πως δεν θα δημιουργηθεί ασυνεννοησία στις ομάδες προγραμματιστών, όπως εδώ, οπού η ομάδα του Debian θα έπρεπε να ενημερώσει τους προγραμματιστές του OpenSSL για να να διορθώσουν το δικό τους bug και όχι να αναλάβουν την πρωτοβουλία να το διορθώσουν αυτοί, κάνοντας έτσι ακόμα χειρότερα τα πράγματα.

Ποιά είναι η γνώμη σας;

[Dimitris]

Kαταρχήν το bug διορθώθηκε. Και έπειτα γιατί δεν αναφέρει ο συγγραφέας του άρθρου για τα άπειρα κενά ασφαλείας άλλων εμπορικών λογισμικών; Αυτό δεν πρόκειται για αδυναμία του ελεύθερου λογισμικού, αλλά για το πλεονέκτημά του. Χωρίς αυτή τη δυνατότητα δε θα υπήρχαν τόσες διανομές και τόσα ελεύθερα προγράμματα.

"γίνεται αποδεκτή χωρίς δεύτερη κουβέντα" είναι επίσης λανθασμένο. Υπάρχουν πολλοί έλεγχοι πριν κάτι γίνει αποδεκτό.

Το συγκεκριμένο "λάθος" ήταν από τα πλέον δύσκολα να βρεθούν. Δε πρόκειται για απλό προγραμματιστικό bug, αλλά τις ρίζες του τις έχει σε ένα κλάδο των μαθηματικών που αποκαλείται θεωρία αριθμών. Το ssh χρησιμοποιεί ένα τρόπο κρυπτογράφησης των δεδομένων που λέγεται rsa, από τα αρχικά των δημιουργών του. Το σύστημα αυτό κρυπτογράφησης δημιουργεί 2 αριθμούς. Πολύ μεγάλους. Ένας δημόσιος και ένας ιδιωτικός. Η δύναμη του συστηματος κρυπτογράφησης έγγειται στο ότι είναι δύσκολο να παραγοντοποιηθούν οι δύο αυτοί αριθμοί. Η παραγοντοποίηση των ακεραίων αριθμών σε πρώτους εχει αποδειχθεί σε ένα πολύ δύσκολο πρόβλημα. Αλλά και η δημιουργία τέτοιων μεγάλων αριθμών που να είναι δύσκολοι να παραγοντοποιηθούν δεν είναι τετριμμένη. Το λάθος εμφανίστηκε στον αλγόριθμο δημιουργίας τέτοιων αριθμών. Και δεν ήταν λάθος με την εννοια του λάθους. Απλώς υπήρχε πιθανοτητα ο αλγοριθμος να δημιουργησει μεν μεγαλους αριθμους αλλα εύκολα παραγοντοποιήσιμους. Δε συνέβαινε πάντα. Μόνο σε κάποιες περιπτώσεις. Αλλά και σε εκείνες τις περιπτώσεις έπρεπε ο υπολογιστής που είχε ένα αδύναμο "κλειδί" να βρισκόταν σε συνειδητή "επίθεση".

Αρα ας είμαστε ειλικρινείς σε απλούς χρήστες αυτό δεν είχε καμία απολύτως επιρροη. Μόνο σε καποιες εταιρίες/οργανισμούς που έχουν υψηλά πρότυπα ασφαλειας.

Αυτά.

[vista killer]

Πάντως είναι σωστή η τοποθέτηση ότι έπρεπε η του debian να ενημέρωναν προτού κάνουν αυτήν την αλλαγή παρασύροντας μαζί τους τόσες διανομές και άλλους τόσους server που έχουν στηθεί πάνω σε αυτές τις διανομές. Το ελεύθερο λογισμικό έχει την ελευθερία του αλλά σε θέματα ασφαλείας θα πρέπει να μπουν μερικοί κανόνες.

[ale3andro]

Προσωπική μου άποψη είναι ότι το συγκεκριμένο άρθρο ήταν λίγο άδικο για το Open Source λογισμικό. Είναι φυσιολογικό να υπάρχουν και σε αυτό bugs αλλά το ότι ο κώδικας είναι ανοιχτός βοηθάει στο να εντοπίζονται και να επιδιορθώνονται ταχύτερα τα όποια προβλήματα.
Όσο μεγαλώνει ο αριθμός των χρηστών Open Source λογισμικού θα πρέπει να περιμένουμε να έρχονται στην επιφάνεια πιο γρήγορα κάποια bugs και να υπάρχει τέτοια κριτική. Όπως μάλλον θα πρέπει να περιμένουμε κάποια στιγμή και τους πρώτους ιους για Open Source λειτουργικά συστήματα.

[bullgr]

Να τονίσω σε αυτό το θέμα ότι στον χώρο του open source, ένα τμήμα δουλεύεται και διορθώνονται τα bugs από την
open source κοινότητα και μετά πάνε στις commercial-stable εκδόσεις.

Στην περίπτωση του Ubuntu, βελτιώνονται τα διάφορα τμήματα στις ενδιάμεσες διανομές των LTS και μετά ανά δύο
χρόνια κυκλοφορεί η LTS έκδοση (6.06, 8.04) οι οποίες συστήνονται και για το στήσιμο servers.

Το ίδιο κάνει και η Red Hat που είναι αποκλειστικά commercial διανομή. Έχει την open source κοινότητα του Fedora στο
οποίο "τρώνε τα μούτρα τους" (με την καλή έννοια, χωρίς παρεξήγηση) με τα bugs, τις διορθώσεις και εφόσον είναι όλα
εντάξει τότε προχωρούν στο Red Hat.

Και το Suse αντιλαμβάνοντας τη χρησιμότητα της open source κοινότητας δημιούργησε τη δική της κοινότητα
διαθέτοντας το OpenSuse.

Επίσης να αναφέρω ότι τα windows κυκλοφορούν γνωρίζοντας οι δημιουργοί του ότι θα έχουν ένα κάρο bugs και θα
πρέπει να περιμένουν οι χρήστες τους κάναδυο service packs για να δουλέψουν σωστά.
Ενώ μια διανομή linux με commercial υποστήριξη που προορίζεται για servers είναι ήδη δοκιμασμένα τα τμήματά του
από την open source κοινότητα.

Ποιος τρόπος πιστεύετε ότι είναι καλύτερος για ένα μηχάνημα παραγωγής (server);
Η μέθοδος των windows ή της open source κοινότητας;

Ας το πάρουν χαμπάρι μερικοί... Το μέλλον είναι στις open source κοινότητες και μέθοδοι τύπου windows (αγοράζω
τα νέα windows, αναβαθμίζω τον υπολογιστή μου να ανταπεξέλθει και περιμένω τα service packs) θα εκλείψουν
γιατί ο κόσμος πλέον ξύπνησε...

[Dimitris]

Ξύπνησε; Γιατί από το άρθρο αυτό φαίνεται ότι κοιμάται ακόμη τον ύπνο του δικαίου, τουλάχιστον ο συγγραφέας του.

Να τονίσω επίσης σχετικά με την ασφάλεια των υπολογιστών ότι λίγες είναι οι περιπτώσεις που δημιουργείται βλάβη λόγω αδυναμίας (bug) του λειτουργικού. Στις περισσότερες περιπτώσεις οφείλεται ο χρήστης. Για παράδειγμα, κατεβάζουμε ένα πρόγραμμα από άγνωστη πηγή και μας ζητάει τον κωδικό πρόσβασης. Ε, αμα τον δώσουμε είμαστε άξιοι της μοίρας μας. Eίναι ευκολότερο να πάρεις με ύπουλα μέσα τον κωδικό πρόσβασης κάποιου παρά να επιχειρήσεις "κατά μέτωπο επίθεση" (brute force attack).

[sentient6]

http://www.skai.gr/master_avod.php?id=83051&lsc=2

Ένα ρεπορτάζ του skai γιατο ΕΛΛΑΚ!! 1.30 λεπτό είναι, αλλά είναι αρκετό, μπράβο τους και μπράβο μας σε εμας που χρησιμοποιούμε open-source προγράμματα

[ilpara]

βλέπω στα πλάνα ότι ο skai αντιλαμβάνεται το ανοιχτό λογισμικό ως πράσινες οθόνες με άσους και μηδενικά, ως ξεκοιλιασμένα-ανοιχτά κουτιά, ως πράσινες πλακέτες, ως κάτι κυριολεκτικά ανοιχτό πάντως μου άρεσε οπτικά το κόκκινο καπελάκι
όταν αρχίσουν τα MME να δείχνουν και εικόνες από ubuntu ή άλλες διανομές όπου φαίνεται ότι το "ανοιχτό" λογισμικό είναι μια χαρά απλό και κατανοητό για τον μέσο χρήστη, και ότι δεν θα χρειαστεί να μετατρέψει σε κάμπριο τον Η/Υ του, τότε θα είναι ακόμα καλύτερα!
Πάντως, πέρα από την πλάκα, μπράβο στον ΣΚΑΙ!

[navagos™]

Το άρθρο το είδα,αυτό που δεν είδα είναι ποιός το έγραψε,οπότε αναρωτιέμαι αν αξίζει να το πάρουμε στα σοβαρά χωρίς να ξέρουμε τίποτα για τον συγγραφέα του.
Καλά την είδηση στο pcw που τη βρήκαν? Πηγή δεν αναφέρουν πάντως..

[The_Mentor]

Εδώ πρέπει να πούμε 1-2 πραγματάκια.
Βασικά αν θεωρούμε αυτό πρόβλημα τότε τί πρέπει να πούμε για τα λειτουργικά που τα χρυσοπληρώνεις και είσαι ανοικτός απο παντού;
Θυμάστε την ασφάλεια των win98 SE που αν στο login δεν ήξερες τους κωδικούς και πάταγες ESC έμπαινες κανονικά έχοντας πλήρη πρόσβαση στα αρχεία;
Τα XP κλατάρανε με την εφαρμογή του SP3 και ακόμα παλεύουν να βρούνε λύση.
Δεν υπήρξε ποτέ διάψευση για τις φήμες πως η NSA έχει βάλει το χέρι της στον κώδικα των XP.
Τα Vista, 1 χρόνο μετά την κυκλοφορία τους και η Microsoft ανακοινώνει νέο λειτουργικό για τον επόμενο χρόνο (2009). Γιατί; Τί την κάνει να "κάει" τα Vista; Γιατί βιάζεται τόσο πολύ να τα αποσύρει (γιατί ουσιαστικά αυτό γίνεται αν κυκλοφορήσει νέο λειτουργικό του χρόνου).

Για το Ubuntu το πρόβλημα που προέκυψε με τα κλειδιά SSH λύθηκε σχεδόν άμεσα από την κοινότητα (λογικό να λυθεί ένα τόσο κρίσιμο πρόβλημα ασφαλείας). Επίσης λογικό οι έχοντες συμφέροντα από την μείωση του linux να σπεύδουν να δηλώσουν ανοησίες.
Αυτοί που τις δηλώνουν (τις ανοησίες) πρέπει επίσης να θυμηθούν πως η Microsoft έτρεχε το Hotmail πάνω σε Linux... Γιατί δεν προτίμησε το δικό της λειτουργικό παρά μόνο όταν ξέσπασε σάλος γι' αυτό;

Και φυσικά αυτός είναι ο λόγος (debug προβλήματα) που σχεδόν ΠΟΤΕ δεν αναβαθμίζεις κρίσιμους servers αμέσως μετά την κυκλοφορία ενός λειτουργικού και περιμένεις εύλογο χρονικό διάστημα.
Προσωπικά τους κρίσιμους servers μου τους έχω ακόμα με το 6.06 LTS