Linus Torvalds przeprasza, a ludzie od bezpieczeństwa obrzucają się 0‑dayami

Słowa Linusa Torvaldsa o ludziach zajmujących siębezpieczeństwem IT („to cholerni idioci”) były za mocne –nawet jak na Linusa. On sam najwyraźniej zreflektował się, żeprzesadził – 20 pullrequestów w ciągu dnia, puchnący od kodukernel i zbliżające się Święto Dziękczynienia wyprowadziły goz równowagi. Za swoje słowa więc przeprosił,wkrótce po tym publikującwpis, pouczający zajmujących się bezpieczeństwem ludzi jakpowinni pracować. A jak wśród ekspertów od bezpieczeństwa? Unich po staremu, właśnie zaczęli ze sobą wojować, obrzucającsię exploitami 0-day.

Twórca Linuksa podtrzymuje swoją opinię, że zabijanieniebezpiecznych procesów nie jest drogą do zwiększaniabezpieczeństwa. Problem może i znika, ale znika w niewłaściwysposób. Błąd nie zostaje naprawiony. Zanim badacze wezmą sięwięc za dalsze utwardzanie systemu, muszą wziąć sobie do sercamantrę „nie czyń szkód” i skupić się przede wszystkim natym, by nie denerwować ani użytkowników, ani deweloperów.

Najgorszym rodzajem ludzi od bezpieczeństwa są ci, którzymyślą, że zwyciężyli, ponieważ powstrzymali nieuprawnionydostęp – tłumaczy Torvalds, podczas gdy z perspektywy programistynic się nie zmieniło. Dla niego taki dostęp to tylko symptombłędu, który musi być zgłoszony, zdebugowany i naprawiony. Dlaprogramisty końcowy efekt utwardzania jest dopiero początkiem jegopracy.

Z kolei dla użytkowników kiedy jakiś proces czy funkcjonalnośćzostaną zablokowane, to widzą to oni po prostu jako ujawnienieutajonego błędu. Wszystko działało – ale łatka utwardzającacoś zrobiła (pewnie coś drastycznego). Z perspektywybezpieczeństwa to co było niebezpieczne teraz jest niegroźne.

Ale z perspektywy użytkownika utwardzenie było po prostuokropnym kłopotem, być może rujnującym ich pracę, a niczego nienaprawiającym. Przecież odkrytego błędu oni w ogóle niepostrzegali wcześniej jako problemu. Dlatego właśnie podstawowązasadą pracy nad kernelem jest nie psucie niczego użytkownikom.

Tylko użytkownicy mają bowiem w ostateczności znaczenie. Beznich programy są bezcelowe, cała wieloletnia praca programistycznajest bezcelowa. Bez użytkowników systemy mogą sobie być„bezpieczne”, ale cała praca nad bezpieczeństwem okazuje siętylko masturbacją, nie przynoszącą ostatecznie żadnej korzyści –deklaruje Linus.

Tak więc jeśli ktoś chce zwiększać bezpieczeństwo Linuksa,to musi zgłaszać odkryte błędy deweloperom, którzy rozwiążąje u podstaw i usuną w kolejnej aktualizacji kernela. Upodobanie doubijania procesów musi odejść.

A co w tym czasie robią eksperci od linuksowego bezpieczeństwa?W ostatnich dniach możemy na Twitterze obserwować gry i zabawyKeesa Cooka (tego samego inżyniera Google’a, który zostałwcześniej zwyzywany przez Linusa Torvaldsa) oraz Brada Spenglera zprojektu grsecurity. Zaczęło się od tego, że podczas ostatniegoLinux Security Summit, Cook podczas swojego wystąpienia wychwalałpraktyki bezpieczeństwa swojego zespołu pracującego nad KernelSelf Protection Project, twierdząc że są o wiele lepsze niż wwypadku grsecurity, a tworzony kod znacznie lepiej audytowany. Nadowód zaprezentowałcoś, co uważał za lukę 0-day w kodzie grsecurity – wcześniejnie zgłosiwszy jej deweloperom.

Spengler, człowiek znany z ogromnego ego, osobliwychreakcji na znajdowanie błędów w jego kodzie i otwartegolekceważenia zapisów licencji GPL w odpowiedzi zachował sięrównie kiepsko. Napisał exploit do luki 0-day w kodzie Cooka iopublikowałgo na Twitterze. Obserwujący ten spektakl użytkownicy mówią wzasadzie jednym głosem – to poprostu dziecinada. Czy ktoś się dziwi, że Linusowi puszczająnerwy?