בין הוודאות הבודדות שהיו לי תמיד לגבי מערכות הפעלה, אני בהחלט יכול להזכיר "לינוקס טובה יותר ממיקרוסופט".
אבל האם זה באמת כך?
בימינו גילוי א באג זה מאפשר לך לעשות הסלמה בשרתים העיקריים של לינוקס.
Il באג זה מזוהה עם הקוד CVE-2018-14665 ונראה שהוא זוהה על ידי נארנדרה שינד.
הבעיה לא נמצאת בקוד הגרעינים של לינוקס אבל לפחות כך נראה בקוד של הממשקים הגרפיים הנפוצים ביותר בהפצות לינוקס, שרת X.org, החל מגירסה 1.19.0.
המשמעות היא שבמשך כשנתיים כל המערכות המשתמשות בשרת X.org עלולות להיות נתונות להתקפה על בסיס הסלמה.
כדי להיות ברור, המערכות המושפעות מפגיעות זו הן OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux ו- CentOS!
אני לא חושב שזה מתאים או הכרחי להמשיך בניתוח הטכני של הבעיה, בקישורי ההעמקה בסוף המאמר תוכלו למצוא את המידע וההצעות הדרושות לפתרון הבעיה.
מה שמעניין אותי זה ללמוד כמה היבטים שלעתים קרובות לא מוערכים ולעשות זאת אנסה לשאול כמה שאלות פשוטות עליהן אנסה לענות.
ראשית, מה קרה ליוניקס, אחר כך לינוקס בשנים האחרונות?
ואז, מי מחליט אם וכיצד ליישם אותם תיקון מערכת בשימוש או בשדרוג?
ללא ספק מי שכמוני, בגיל מסוים, התמודד עם הצורך להשתמש בשורת הפקודה יוניקס או לינוקס או בשניהם, שהיום מוחלף לעתים קרובות מאוד על ידי שימוש בגרסה גרפית.
הכנסת הגרפיקה הייתה הצלחה עבור מערכות, קירבה משתמשים פוטנציאליים רבים, מה שהפך את מערכות יוניקס / לינוקס לדומות יותר למערכות Windows, אך יחד עם זאת היה צורך להגביר את המורכבות. על קצה המזלג, בעוד שהיו קיימות מערכות חזקות יחסית וקלות יחסית, הצגת הגרפיקה הכבידה על הקוד.
מערכות הפעלה לינוקס הן בדרך כלל הפררוגטיבה של טכנאים, הן משמשות בתוך מרכז הנתונים לניהול רשתות ומערכות IT הדורשות ביצועים גבוהים זה המאפיין שלהם, אך לעיתים קרובות הם ידועים מעט על ידי מנהלים ומקבלי החלטות הנשענים על טכנאים. התנהגות נכונה או לא נכונה, קשה לומר.
מי יותר טוב מטכנאי טוב יכול לומר מה דרוש כדי שמערכת תעבוד טוב יותר? כנראה שלא.
אבל מי אחראי לחברה? מי אחראי משפטית לטעויות? מי משלם במקרה של אי עמידה בחקיקת הפרטיות או במקרה של גניבת סודות תעשייתיים, צבאיים או ממלכתיים?
עכשיו, אני חושב שברור שטכנאים חייבים להיות בעלי אוטונומיה, אבל אני חושב שברור באותה מידה כי בארגון רציני יש להשתמש במערכת ניתוח סיכונים אשר מתחשבת גם בסיכון טכנולוגי ובניתוח של תיקון יש לקחת בחשבון (פונקציונאלי ובטיחותי), כגון ניתוח סיכונים בעת מעבר מגירסה לגירסה אחרת.
התהליך שדחף לעבר גרפיקה דומה מאוד לזה שדחף ועדיין דוחף לכיוון הווירטואליזציה ... אני מקווה שמי שבחר בווירטואליזציה עשה זאת במודע!
מה שיותר ויותר ברור לי זו העובדה שצריך לעשות דברים פשוטים בכדי שניתן יהיה לבצע בקרה אפקטיבית, וזה כלל שלדעתי תמיד יכול להיות תקף, על אחת כמה וכמה בתחום ה- IT.
בהחלט בסביבה קריטית יש צורך להבטיח כי הצוות הטכני יוכל לעבוד באמצעות כלים בטוחים ובעקבות נהלים ברורים.
היכולת להשתמש במערכות הפעלה כמו לינוקס משורת הפקודה זו אפוא, לדעתי, יכולת להישמר, מבלי להימשך יותר מדי מהקלות המסמן של מערכות גרפיות, אשר בתמורה מגדילות את מורכבות הקוד ומשטח ההתקפה.
להעמיק:
- https://www.nushinde.com
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives...
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-int...
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability
(צילום: ארה"ב DoD)
