13.12.2010

Почему открытые исходники не есть хорошо с точки зрения безопасности?

Еще одно исследование. "The Mathematics of Obscurity: On the Trustworthiness of Open Source". Дрезденский технический университет. Автор исследования поставил перед собой задачу ответить на вопрос: что лучше с точки зрения безопасности - иметь исходные коды ПО или не иметь их?

В рамках исследования была построена модель, которая и стала предметом изучения. Были исследованы как "за" так и "против" наличия исходных текстов, изучен жизненный цикл уязвимостей и ошибок и ряд связанных вопросов. Итог неутешителен - наличие исходных кодов не делает его безопаснее, даже при наличии большого числа желающих этот код анализировать. Давно известный принцип secuirty through obscurity в данном случае является верным. Но при этом авторы говорят, что делать окончательные выводы еще рано и важно учитывать не только один единственный факт наличия/отсутствия исходников, но смотреть на проблему шире, учитывая и другие аспекты. Например, распространенность ПО. Пример MS Windows показывает, что отсутствие исходников не дает нам права утверждать о большей защищенности этого семейства операционных систем. Но и пример Linux не позволяет утверждать обратное.

Резюме исследования: Неизвестность (отсутствие исходников) может являться вполне надежным сдерживающим фактором для злоумышленников. Но наличие исходников позволяет получить иные преимущества. Например, возможность исследований исходников, обеспечение права на доступ к информации и т.д. Правда, к безопасности они не имеют никакого отношения.

4 коммент.:

Mikhail комментирует...

если под безопасностью понимать только защиту от уязвимостей - то действительно opensource тут ничего не выигрывает.

С другой стороны, сколько уже закрытых криптодвижков было взломано через некорректно реализованные алгоритмы шифрования или бекдоры? и были ли такие факты про openssl или gnupg?

xsaper комментирует...

Это исследование не смотрел, но большинство таких "накатов" на Open Source строятся на сравнении количества уязвимостей в Windows и в каком-нибудь дистрибутиве Linux. Только все при этом забывают, что Windows - это голая операционная система, а Linux - это ОС с кучей софта, включая 2-3 HTTP, 3-4 FTP, 3 SMTP, 1-2 POP3 серверов плюс куча офисного и GUI софта (OpenOffice, 5-7 проигрывателей мультимедиа, 3-5 различных графических и фото редакторов, и.т.д.).

Алексей Лукацкий комментирует...

В данном исследовании вообще про Windows ни слова. Анализируется сам подход с точки зрения математики

Baevsky комментирует...

Это исследование только подтверждает бессмысленность постановки вопроса: "Что безопаснее - открытое по или закрытое?"