Kiberbiztonság: miért érdemes szabad szoftvereket használni, ha fontos számunkra adataink és magánéletünk védelme?

2020-04-29 13:54


Előző cikkünkben a kiberbiztonságot érintő szabadság, biztonság és adatvédelem témakörét jártuk körbe. Ennek a témának a folytatása az úgynevezett szabad és zárt forráskódú szoftverek örök ellentéte. Mint azt korábban írtuk, az IT világ e tekintetben két nagy táborra oszlik: a szabad szoftverek támogatói, akik nagyon gyakran lelkes Linux vagy BSD felhasználók és emellett nagy arányban számitógépes technológiai szakemberek (mint például mi a Zero IT Lab csapata is), míg a zárt forráskódú rendszerek támogatói általában a nagy technológiai óriások, mint például a Microsoft vagy éppen az Apple.

Biztonság? Több szem többet lát

A szabad vs. zárt vita egyik sokat hangoztatott, ám kevésbé igaz állítása a zárt oldalról az, hogy a biztonságot semmi sem garantálja jobban, mint, hogy az adott rendszer zárt, s a kódokhoz csakis a belső fejlesztők férhetnek hozzá. Ezzel szemben elég ha csak a puszta tényekre hagyatkozunk a betörések sikerességei szempontjából. A szabad szoftverek táborának fő érve, hogy “több szem többet lát”. Ez arra utal, a szabadalmazott, zárt forráskódú projektek kódját csak nagyon korlátozott számú fejlesztő nézheti át, míg Szabad Szoftvernél mindenki belenézhet, s aki ért hozzá, az megtalálja a hibákat, amiket rendszerint megoszt a többi fejlesztővel, így az adott biztonsági rés még időben kijavításra kerül. Mivel többféle hátterű ember nézi meg a kódot, a sok különböző szem nagyobb valószínűséggel vesz észre hibákat mint ha a kód zárt forráskódú lenne, amiken különböző feladatokra dedikált fix létszámú csapatok dolgoznak. Azonban tény az is, hogy egy biztonsági hiba megtalálása nem csak “sok szemet” igényel, hanem a megfelelő szemeket.

A

Amikor a biztonság csökkenti a szabadságot

Ha valaki próbált már Windows-on kívül mást telepíteni a gépére, találkozhatott a Secure Boot nevű jelenséggel, aminek hatására nem akart elindulni a telepítési folyamat. A Secure Boot az UEFI rendszerekhez adott biztonsági komponens, a rendszerbetöltések alatti támadásoktól próbál védeni. Mivel ezen folyamat alatt egy vírus könnyen megbújhat a rendszerben - ezt hivatott a Secure Boot megakadályozni és ellenőrzi, hogy csakis a Microsoft által hitelesített programok futnak-e. A Linux közösség pedig megírta a saját Secure Boot kódját, amit Heads néven hozott ki, így a biztonság továbbra is a garantált a szabadság korlátozása nélkül.

Amikor biztonság szabadság nélkül korlátozza adataink (nem) megosztását

Az eddig bemutatott példák azokat a lehetőségeket mutatták be, amikor nem kell lemondanunk a szabadságról a biztonság érdekében, ám akadnak olyan helyezetek is, amikor a veszélyt pont az jelenti, hogy nincs szabadságunk. A biztonságot ugyanis gyakran használjuk a magánélet megvédésére, de (szoftveres) szabadság nélkül egy támadó könnyebben kijátszhatja a biztonságot, és elrejthet rosszindulatú kódot egy-egy programban. Mivel a felhasználó nehezen tud leellenőrizni egy szabadalmazott szoftvert, a támadó könnyen elrejthet kiskapukat, amik évekig rejtve maradnak. Példa erre az Egyesült Államok NSA-ja által elrejtett kiskapuk a Cisco és sok más amerikai gyártó termékekben. A történet röviden annyi, hogy az NSA a Cisco termékek exportja során kiskapukat telepítet az eszközök szoftvereibe, amivel a szervezet képes volt lehallgatni védett hálózati kommunikációkat az eszközökön keresztül. Ebből is látszik, hogy az emberi biztonságérzet az online környezetben sokszor csak addig él, amíg nem tudjuk mi fut a háttérben. Ellenben a szabad szoftvereknél, az NSA-hez hasonló biztonsági rések sokkal nehezebben maradnak észrevétlenek.

Cikksorozatunk következő befejező részében tovább taglaljuk a kiberbiztonság, szabadság és az adatok biztonságát, elsősorban mobil eszközeink használatán keresztül.