vineri, 7 martie 2014

O gaură de securitate descoperită în GnuTLS poate compromite datele criptate trimise prin Internet

Acum aproape două săptămâni Apple lansa o versiune-surpriză de iOS pentru a acoperi o gaură de securitate în librăria lor pentru criptare a datelor. Această gaură de securitate făcea posibilă interceptarea datelor transmise prin internet chiar dacă acestea erau criptate. În aproximativ o săptămână acelaşi lucru se întâmpla şi cu OS X, perioadă în care utilizatorii au rămas fragili în faţa atacurilor de tip man-in-the-middle.
O gaură de securitate asemănătoare a fost găsită zilele astea şi în GnuTLS, ceea ce înseamnă că mulţi utilizatori de Linux s-au aflat într-o postură asemănătoare cu utilizatorii de iOS şi Mac OS X (asta în caz că cineva trăia cu iluzia că Linux e 100% sigur împotriva atacurilor informatice). Totuşi diferenţa constă în faptul că, în timp ce Apple a avut nevoie de cca. o săptămână de la descoperirea problemei până la distribuirea unui fix pentru aceasta, GnuTLS a primit un patch de securitate la doar câteva ore de la raportare. Problema a fost raportată pe data de 4 martie iar Manjaro, la ora actuală, oferă deja versiuni actualizate care rezolvă această problemă (ştiu că azi e 7 martie, dar nici eu nu am mai verificat după actualizări de câteva zile).

Ce vreau eu să subliniez în această postare este importanţa unor astfel de probleme în software-ul open-source. Deşi aparent programele ce au codul sursă la vedere par mai fragile în faţa atacurilor informatice (deoarece cineva se poate uita în cod şi să înţeleagă mult mai uşor de unde ar putea apare diverse "scăpări"), adevărul este că acest lucru permite şi patch-uirea lor imediată de oricine are cunoştinţe suficiente pentru a corecta codul problemă. Totodată acesta este şi unul din celelalte multe motive pentru care Linux este mai sigur decât sistemele de operare closed-source: faptul că astfel de probleme se pot identifica mai uşor şi pot fi, totodată, reparate într-un timp mult mai scurt.

O astfel de gaură de securitate ar putea avea un impact catastrofal asupra utilizatorilor de Windows, de exemplu, care primesc patch-uri de securitate doar o dată pe lună (cu unele excepţii în cazuri mai speciale).


1 comentarii :

Anonim spunea...

interesant :)
chiar azi am primit un update pt gnutls