לינוקס, עדכונים, אבטחת מידע ו… מיקרוסופט

לפני מס' חודשים כשרכשתי את ה-ASUS 1000HE שלי, היה בו XP מוכן להתקנה. הייתי צריך לאשר את ההסכמים, לבחור שפה, לכתוב שם משתמש ו.. זהו, המערכת הכניסה אותי ישר פנימה בלי לשאול סיסמא ובלי כלום. תפעיל את המחשב ותוך מס' רגעים אתה בפנים גם אם אתה אדם זר. אין סיסמאות.

כמובן שמיד שיניתי הגדרות, הוספתי סיסמא ושאר דברים כדי להגן על המחשב, אבל נשארה בי המחשבה שמיקרוסופט ואבטחה, זה לא צמד חמד, במיוחד שרק לפני מס' ימים מיקרוסופט התריעה על חור בניגון וידאו עם ActiveX, ואותו חור אבטחה היה ידוע למיקרוסופט במשך שנה, אבל שם במיקרוסופט לא עשו כלום עם זה עד לפני מס' ימים.

ב-ויסטה, מיקרוסופט הוסיפה שיפורי אבטחה, אבל גם דאגה לעצבן קשות את המשתמשים בכך שעל כל פיפס קטן היית מקבל חלון התראה, ורבים ביטלו לגמרי את אותה התראה כי זה פשוט נידנד נון-סטופ.

בקיצור, קל מאוד לצחוק על מיקרוסופט בענייני אבטחה, אבל מה עם לינוקס?

כולם יודעים שבלינוקס "אין וירוסים" בגלל כל השיטה שבה בנויה הפצת לינוקס, לא כל אחד מקבל אישורים להשתמש ב-root כדי לעשות דברים וניתן להגביל מאוד את האפשרויות של הרצה/הפעלת תוכניות, וכמובן שניתן להגביל משתמשים וישנם כלים רבים ומתודות רבות לכך. חורי אבטחה בלינוקס בד"כ "נסגרים" במהירות וכל הפצה מכובדת מעדכנת את הגירסה האחרונה (ולעיתים הגירסה לפני אחרונה) עם עדכוני אבטחה. כיום משתמשי אובונטו, פדורה ו-SUSE בכלל "מתפנקים" עם חלונות קופצים של התראות על עדכוני אבטחה שקל מאוד להתקין ולשמור את המערכת יציבה וסגורה מבחינת חורים (למעט עניין של הרשאות שזה דבר תלוי במשתמש או במנהל הרשת).

כל הפצה רצינית שנמכרת בצורה מסחרית (או תואמת 100% הפצות מסחריות כמו CentOS שתואמת ל-Red Hat Enterprise Linux), דואגת לעדכוני אבטחה למשך 5-7 שנים מיום צאת ההפצה לעולם, כך לדוגמא מי שהשתמש ב-RHEL 2.1 קיבל עדכוני אבטחה עד 31/5 השנה. גירסת RHEL 3 מובטח לה עדכוני אבטחה עד 31/10/2010, ומי שמשתמש בגירסת RHEL 5 האחרונה, מובטחים לו עדכוני אבטחה עד ל-31/5/2014, כלומר מבחינת עדכוני אבטחה, אפשר לישון בשקט (כל מה שצריך הוא כמובן נוהל מסודר לעדכוני שרתים. אם יש למישהו מהקוראים נוהל שהוא רוצה להפיץ לאחרים והוא משתמש בו, הוא מוזמן לכתוב אותו בטוקבק לרווחת הקוראים), וכנ"ל לגבי גירסאות אובונטו LTS או SLES של SuSE/Novell.

יש רק בעיה אחת, והיא שייכת להפצות שמתעדכנות תדיר ומשתנות כל חצי שנה עד שנה, ואני מדבר על הפצות כמו פדורה, אובונטו הרגיל, OpenSuSE וכו'. ההפצות האלו משתנות כל הזמן ומתעדכנות, אולם עדכוני האבטחה שם הם די קצרים ובמקרים רבים העדכונים מפסיקים ברגע שעוברים 2 "דורות" של הפצה, כלומר אם יש כיום פדורה 11, עדכוני אבטחה לפדורה 9 יפסקו בקרוב.

מה הבעיה עם זה? הבעיה שאיש אינו מודע לכך אלא אם הוא מתעדכן תדיר בעולם הלינוקס וההפצות. אין שום חלון התראה שיאמר משהו כמו "הפצה זו מסיימת את חייה מבחינת עדכונים ועדכוני אבטחה בימים אלו. עליך לשדרג את ההפצה בה הינך משתמש או למצוא לך פתרון עדכוני אבטחה". לצערי כבר ראיתי מקרים שמפתחים משתמשים לדוגמא באובונטו 6 וגירסאות יותר מוקדמות עם חורי אבטחה רציניים ואיש לא ידע זאת כי איש לא התעניין בגרסאות החדשות, וכך אם מישהו היה פורץ למחשבי החברה, היו לו חיים די קלים בלהשיג לעצמו root ולעשות כרצונו במחשבים ובשרתים.

כיום בכל הפצה מסודרת יש אפשרות לקבל מיילים מהשרת אל מנהל הרשת, מיילים מסוג כמו של Logwatch מיידעים את מנהל הרשת מה קורה ומה קרה עם השרת בזמן האחרון (ההגדרות בברירת המחדל הם כל 24 שעות). ישנם כאלו המוסיפים סקריפטים שמדווחים להם בחזרה מה קרה עם גיבויים, סקריפטים שרצים וכו', אבל אין שום דבר שמתריע בפני המנהל רשת שההפצה מגיעה ל-EOL (סוף חיים) ושאין יותר עדכונים, וכך חברות שמריצות שרתי לינוקס אך לא מחזיקות איש לינוקס במשרה מלאה יכולים למצוא את עצמם בבעיות אם מישהו יצליח לחדור את חומת האש שלהם ולמצוא שרת/תחנת לינוקס עם הפצה ישנה וחורי אבטחה שמאפשרים השתוללות רצינית. שיטת בדיקת EOL וידוע סטנדרטית תעזור רבות גם לאותה חברה שמריצה תחנות ושרתי לינוקס, וגם תעזור מבחינת אבטחת המערכות.

Comments

comments