? Linus Torvalds gegen die Internet-Sicherheit Profis

Die Washington Post-Feature-Geschichte, Net of Insecurity: Der Kern des Arguments, öffnet sich “Schnell, flexibel und kostenlos, ist Linux die Übernahme der Online-Welt.Aber es wächst unruhig über Sicherheitsschwächen.

Die Kosten für Ransomware-Angriffe: 1 Milliarde US-Dollar in diesem Jahr, Chrome zu starten Etikettierung HTTP-Verbindungen als nicht sicher, das Hyperledger-Projekt wächst wie gangbusters, Jetzt können Sie einen USB-Stick, der alles in seinem Weg zerstört kaufen

Linus Torvalds nimmt Sicherheit ernst, aber nicht ernst genug für einige Kritiker.

Unsinn. Linux betreibt das Internet bereits seit über einem Jahrzehnt.

Google, Facebook, Yahoo, Netflix – es sei denn, sein Name ist Microsoft, seine Web-Präsenz basiert fest auf Linux.

Oh, warte, was ist das? Microsoft zieht auch zu Linux. Microsoft Azure Networking-Chefarchitekt Kamala Subramaniam gab bekannt, dass Azure Cloud Switch (ACS), ein Linux-basiertes Netzwerkprogramm, “uns die Flexibilität ermöglicht, die Software zu verkleinern und Funktionen zu entwickeln, die für unser Rechenzentrum und unsere Netzwerkanforderungen erforderlich sind.”

Einige Leute argumentieren jedoch, dass Linux-Gründer und Führer, Linus Torvalds nicht die Sicherheit ernst genug. Die Post stellt fest, dass Torvalds an Sicherheitsexperten im Laufe der Jahre knurrte.

Sie sehen, es gibt nichts Neues über die Konflikte zwischen Torvalds und einige Sicherheitsprofis.

Sicher, Zitat Bergbau kann kommen mit Edelsteinen aus dem Jahr 2008 wie wenn er sagte: “Die OpenBSD Menge ist ein Haufen masturbierender Affen.” Aber es verfehlt den Zusammenhang. In der gleichen Linux-Kernel-Mailing-Liste Nachricht, schrieb Torvalds auch

Ich weigere mich, mit dem ganzen Sicherheitskreis zu stören, weil ich denke, dass er das falsche Verhalten verherrlicht und damit ermutigt. Es macht “Helden” aus Sicherheitsleuten, als ob die Leute, die nicht nur reparieren normalen Bugs sind nicht so wichtig.

Kann das Internet ohne Linux existieren? Microsofts Liebesbeziehung mit Linux vertieft sich, Heartbleed: Die schlimmste Stunde der Open Source

In der Tat sind alle langweiligen normalen Bugs _way_ wichtiger, nur weil es eine Menge mehr von ihnen. Ich glaube nicht, dass einige spektakuläre Sicherheitslücke sollte verherrlicht oder um als “mehr” als ein zufälliger spektakulärer Crash durch schlechte Sperrung gepflegt werden.

Für mich ist Sicherheit wichtig. Aber es ist nicht weniger wichtig als alles andere, was auch wichtig ist!

Es überrascht nicht, dass Menschen, die ihren Lebensunterhalt von Sicherheit machen, in Torvalds abgehakt werden.

Torvalds nimmt Sicherheit ernst. Er macht es einfach nicht zum Alles- und End-all seines Betriebssystems.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Benutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt ersten Bundesvorsteher Sicherheitsbeauftragter

Nach 30 Jahren Arbeit mit Betriebssystemen, Netzwerken und Sicherheit, hier ist, wie ich die Sicherheit zu sehen.

Wie Sicherheitsexperte Bruce Schneier sagte: “Sicherheit ist ein Prozess, kein Produkt.”

Torvalds stimmt zu. Seine Botschaft, so die Washington Post, lautet: “Die Sicherheit jedes Systems kann nie perfekt sein, so dass es immer wieder gegen andere Prioritäten wie Geschwindigkeit, Flexibilität und Benutzerfreundlichkeit in einer Reihe von inhärenten Nuancen gewogen werden muss Kompromisse “. Dies ist ein Prozess, den Torvalds vorgeschlagen hat, der von seinen Kritikern schlecht verstanden wird.

Die wirkliche Sicherheit Problem war schon immer Menschen. Mehrere Systeme wurden infolge von schlechten Sicherheitspraktiken, wie lausigen Passwörtern, gebrochen, als von cleveren Hackern, die ihren Weg in obskure technische Sicherheitslücken brechen.

Sicher, diese Löcher sind gefährlich, aber Linux ist Open Source. Eric S. Raymond, ein frühes Open-Source-Intellektueller, sagte: “Bei genügend Augäpfeln sind alle Bugs flach.” Er hat recht.

Das bedeutet nicht, dass Open-Source-Software ist etwas sicherer als andere Programme. Das geht nicht.

Open-Source der größte Fehler bisher war OpenSSL Heartbleed. Diese Sicherheitslücke brach das primäre Sicherheitsprotokoll des Internets.

Es geschah, weil Magical Thinking. Alle nahmen an, dass OpenSSL absolut sicher sein muss, weil es einen guten Ruf hatte, sicher zu sein, daher war es sicher. Entwickler, Website-Entwickler, Sicherheitsexperten, ein und alle, scheint es niemand verwendet ihre Augäpfel, um den Code zu überprüfen, ob es wirklich sicher war. Das war es nicht.

In keinem kleinen Teil, das war, weil es nur zwei, count ’em, zwei Programmierer an OpenSSL.

Die Core Infrastructure Initiative der Linux Foundation (CII) identifiziert heute bargeldarme, unternehmenskritische Open-Source-Projekte, um sicherzustellen, dass solche Probleme nicht wieder passieren. Es gibt auch beste Richtlinien für die Sicherheitspraxis für Open-Source-Projekte, damit Programmierer Probleme vermeiden können.

Im Falle von Linux, das ist kein Problem. Es gibt etwa 10.000 Linux-Entwickler. Sicherheit ist nicht Job Nr. Eine für etwas wie alle von ihnen, aber sie halten ihre Augen offen für mögliche Sicherheitswanzen.

Braucht Linux eine bessere Sicherheit? Sicher.

Niemand zweifelt daran. Auf dem Seoul Linux Kernel Summit stellte der kernel Security-Betreuer James Morris vor kurzem eine lange Liste wichtiger strategischer Sicherheitsprobleme vor. Diese können und werden behandelt.

Ich für ein, aber, vertrauen Linus allmählichen Ansatz in Richtung Security-Fixes anstelle von radikalen Veränderungen, die möglicherweise schädigen Linux Performance und Funktionen. Perfekt? Besser als jede andere Wahl? Ja.

 Geschichten

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer