Почему Linux не защитит от слежки

В свете последних известий о размахе деятельности АНБ многие видят в Linux средство спасения от протрояненных систем и основу доверенных платформ. Однако скептики в очередной раз предостерегают от ложных надежд.

Открытость ещё ничего не значит сама по себе. Порой опытные программисты с трудом читают свои же листинги старых проектов. Эффективный анализ чужого кода и вовсе под силу единицам. Причём совсем не факт, что эти специалисты высокого уровня захотят тратить на это неблагодарное занятие своё время.

Внедрить программную закладку в Linux или BSD сегодня так же просто, как и в Windows. При существующем объёме открытого кода они будут оставаться незамеченными месяцами, если не годами. Истории с переходившими от версии к версии критическими уязвимостями — наглядное тому подтверждение.

К примеру, уязвимость нулевого дня, вызывающая несанкционированное повышение привилегий, существовала в ядрах Linux версий с 2.6.37 до 3.8.8. Иными словами,

серьёзную ошибку в ядре Linux не замечали около 2 с половиной лет.

«Зачем я буду проверять код, если до меня его уже досконально изучили тысячи более опытных волонтёров?» — примерно так думает большинство фанатов Linux.

В самом деле, кто из вас лично проверял исходники хотя бы десятка популярных программ? Драйверов? Сколько пользователей вообще загрузили их для ознакомления? Единицы, и уровень их далёк от экспертного.

Впрочем, и специалистам приходится нелегко. Например, в коде хост-контроллера Intel xHCI (hub.c) целых восемь лет существовала ошибка с указанием тайм-аута, приводящая к внезапному отключению многих USB-устройств после выхода из режима ожидания. Баг не просто не замечали так долго. Его прицельно искали программисты Intel и многие члены Linux-сообщества, но не смогли найти.

Серьёзный анализ кода Linux часто становится невозможным или неоправданным из-за темпов разработки и разветвлённости направлений оптимизации. Пока вы будете изучать один релиз, напишут два новых.

Дистрибутивы: 
Пользовательские теги: 

Комментарии

Автор креатива — типичный линуксоненавистник. Вывалил в кучу все пакости о Линуксе, которые только знал. :) Вот к чему тут про тайм-аут USB?

Самая главная ошибка в рассуждениях — никто не будет просто так копаться в коде. Зачем? А вот если кто-то обнаружит подозрительную сетевую активность (а ее обнаружить во многих случаях легко), то тогда спецы и начнут ковырять софт. И главное преимущество СПО перед проприетарным софтом даже не в том, что закладку будет на порядки легче обнаружить. Пейсатель просто не понимает самой концепции свободного ПО. Главное преимущество в том, что сразу же выйдет заплатка, которая либо войдет в основную ветку, либо которую можно будет применить самостоятельно. А что ждет пользователей в случае, например, продукции MS? Надо будет сначала найти бэкдор в бинарном коде, потом требовать от MS признать факт внедрения бэкдора и только потом упрашивать выпустить заплатку. А бэкдор MS никогда не признает, даже если его действительно найдут. Выкручивались уже не раз. ;)

Open Source — не панацея, конечно, но слежку за пользователем осложняет.

На данном сайте автор вы ;) А в общем панацеи нет, и не будет. В этом и прелесть компьютерного мира! А то если все было гладко, мы с вами остались бы без работы :)

Please delete this comment (double click when saving a comment).

P.S.: шибко подозрительный парсер...

Вы всерьез не различаете перепост и "отсебятину"?

Комментировать

Filtered HTML

  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.