Miért jó a Linux a kíváncsi szemek ellen? - Ellenvélemény

Piszkos háttéralkuk

Piszkos háttéralkuk

Hirdetés

Innen futunk neki annak a 2008-as történetnek, amely francia földre visz, és idézzük róla a beszámolót. "A szakértő a blogjában arról számolt be, hogy a védett tároló (Protected Storage, PStore) visszafejtésekor arra lett figyelmes, hogy a titkosítás megkezdése előtt ellenőrzésre kerül a Windows területi beállítások, és amennyiben a tartózkodási hely (Locale) Franciaországra van állítva (a GetSystemDefaultLCID() függvény 0x40C értéket ad vissza), akkor a véletlenszerű kulcs választása helyett a titkosítás egy mindig állandó kulccsal történik. Dave leírása szerint a francia kormány meglehetősen izgatott lett ennek hatására, pedig kiderült, hogy az egész eredetileg miattuk lett bevezetve." Itt egy jellemző példa egyrészt arra, hogy a Microsofttal milyen alkuk köthetők, másrészt az izgalom ugye sosem attól van, hogy ilyenek egyáltalán találhatóak egy szoftverben, hanem mindig az a probléma, hogy ez aztán később kiderül.

Szándékos gyengítésen esett át a Skype is, ahol már a regisztrációkor aláírjuk, hogy a keletkező üzenetek nem a mi, hanem a cég tulajdona. Most azonban az is kiderült, hogy nem csak az alap kommunikáció, hanem a titkosított chatek és hívások is megfigyelhetővé váltak, ugyanis kilenc hónappal azután, hogy a Microsoft megvette a Skype-ot, úgy alakították át a programot, hogy még több információt gyűjthessen be az NSA. Itt egyébként néha a biztonsági szakma is meghasonlik önmagával, hiszen például korábbi tanácsaink közé tartozott, hogy alkalmazzuk a titkosított beszélgetést, az teljesen biztonságos, aztán utóbb kiderült róla, hogy annyira azért mégsem az.

A rendszer minden telepített alkalmazás frissítését figyeli, aztán a felugró ablakban egy gombnyomásra el is végezhetjük a frissítést, miközben minden információt részletesen megismerhetünk
A rendszer minden telepített alkalmazás frissítését figyeli, aztán a felugró ablakban egy gombnyomásra el is végezhetjük a frissítést, miközben minden információt részletesen megismerhetünk

Frissen tartó mechanizmusok

A Javával kapcsolatosan elhangzott észrevételekkel egyetértek, bár azt hozzá kell tenni, ha valaki csak annyit tesz, hogy a Microsoft Office helyett a LibreOffice irodai csomagját használja, máris a Java használatára van kényszerítve. Az egységes rendszerfrissítést is fontos és kritikus pontnak látjuk, hiszen hiába van naprakész vírusirtónk, ha közben sebezhető, foltozatlan az operációs rendszer. Természetesen itt a Linux felhasználók vannak a legjobb helyzetben, hiszen az ottani frissítés elsőrangú: minden szoftverelemet, alkalmazást figyel, felugrik és figyelmeztet, beállítható, ütemezhető, LTS-re korlátozható és azonnal megkapjuk, naponta, vagy akár naponta többször is. Windows esetében ilyen beépített gyári alkalmazás nincs, az ottani frissítés persze automatizálható, de csak a Microsoft javításokra, ez általában az úgynevezett patch-kedd alkalmával, vagyis minden hónap második keddjén jelenik meg, bár rendkívüli esetekben jelennek meg azonnali javítások is. Az összes alkalmazás frissen tartása harmadik féltől származó programokkal oldható meg, ehhez például a PSI (Secunia Personal Software Inspector) az egyik legalkalmasabb segítség. A Mac rendszereknél is hasonló a probléma, bár egy fokkal jobb a helyzet, mert a Mac App Store-ból letöltött és telepített programok mindig jelzik, ha van elérhető frissítés, ha azonban más forrásból is szerzünk be alkalmazásokat, ezen a platformon is segédprogramot kell használni, például az AppBodega nevű programot. Itt a Windowshoz képest nagyot lépett előre az OS X, ugyanis a Mountain Lion óta a felhasználó napi automatikus rendszerfrissítéseket kaphat.

Ez a Bodega nem egy düledező viskó, hanem egy OS X alatti szoftverfrissítő
Ez a Bodega nem egy düledező viskó, hanem egy OS X alatti szoftverfrissítő

Ismét idézünk egyet: "Kedvenc felhőszolgáltatóink nemigen indulhatnak mostanában a biztonságos chat rendszer versenyen, ezért maradnak az önálló csevegőprogramok, mint a Pidgin és a Crypto.cat." Anélkül, hogy mélyebben belebonyolódnánk, ismételjük magunkat: pusztán azzal, ha valamit használok, vagy beszerzek, még nem oldom meg minden biztonsággal kapcsolatos problémámat. Ehhez kis kitérőként megemlíteném azt az idén júliusi incidenst, amelynél a Cryptocat véletlengenerálással kapcsolatban merültek fel információk, amelyek miatt egy meet-in-the-middle támadással lehetővé vált a sérülékeny változatokkal generált kulcsok feltörése. Akit mélyebben érdekel, érdemes Buherátor erről szóló cikkét elolvasni, amiben van még egy, a történethez tartozó kínos baki, ugyanis a neves Veracode korábban már auditálta a Cryptocatet, de nem talált semmilyen problémát.

A cikk még nem ért véget, kérlek, lapozz!

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények