יומן אבטחה

מוטי הפנה אותי לרשימה שפרסם אבירם חניק בלינמגזין. אצטט:

"אחד הטיעונים השחוקים של אלה שטוענים שקוד פתוח מאובטח פחות, הוא שהעובדה שלמוצר שהקוד שלו פתוח אפשר למצוא פרצות אבטחה בקלות יתרה. כמובן שמבט קצר בסטטיסטיקות מראה עד כמה הטיעון הזה לא מחזיק מים; אבל יש גם סיבה טכנית מאחורי זה. הסיבה היא שנדיר מאוד שפרצת אבטחה נחשפת ע"י עיון בקוד. לחפש פרצות בקוד זה קשה, מתסכל, וכרוך בהרבה עבודה ידנית."

אני מסכים עם הטענה של אבירם (אף כי אני לא עושה זאת עקב שליטתי בסטטיסטיקה, יותר כתחושת בטן) ואוסיף עליה שני טיעונים.

1. קיימת הנחה סמויה הנמצאת בבסיס הטענה כאילו קוד פתוח מאפשר רמת אבטחה גבוהה יותר. ההנחה היא שמפתחי קוד פתוח או צרכניו יודעים מהו קוד מאובטח. אלא שאין סיבה טובה לחשוב שחברות תוכנה מעסיקות את כל המתכנתים שאינם יודעים מהו פיתוח מאובטח, בעוד שכל מי שהוכיח שיש לו ידע בפיתוח מאובטח נדחה על הסף או בחר לפתח תחת קוד פתוח. למעשה, סביר יותר להניח ששיעור המפתחים בעלי ידע בפיתוח מאובטח דומה בשתי הקבוצות. סביר גם להניח שמפתחי קוד פתוח וצרכניו (מפתחים אף הם), אינם יודעים בהכרח מהו קוד מאובטח וכיצד לכתוב אותו. ניתן גם לטעון (כטענה משנית) שדווקא פתיחות הקוד, שיוצרת הזדמנויות פיתוח רבות, מקשה על תכנון תהליך אבטחה מאובטח כולל לפלטפורמה מסוימת (RSnake מתייחס לסוגיה זו בנושא של בעיות אבטחה ב-Firefox ו-Wordpress מכיוון מפתחי תוספים עצמאיים והקושי לבחון כל תוסף ולדעת מה פרצת האבטחה שהוא מביא עמו)
2. אם אקח את טענת ה"שקיפות מובילה לאבטחה" למחוזות אחרים, ניתן היה לצפות שכל השרתים בעולם יהיו מוקשחים. הרי מסמכי הקשחה של היצרנים ושל גופים חכמים אחרים יש בשפע ואפילו במגוון שפות. לכאורה, אנשי סיסטם, בעלי מודעות לאבטחה (או בלי), אמורים להחזיק תחת ידם רק שרתים מוקשחים (ואני עוד לא מדבר על עדכונים, סתם קונפיגורציה מאובטחת בסיסית). אלא שבפועל זה לא המצב. ארגון אחר ארגון, ניתן לראות כי לא משנה כמה ידע קיים בעולם וכמה קל לדעת להקשיח שרת, אנשים לא עושים זאת. כך שההנחה שאם אני יכול לקרוא את הקוד משמע אני אבדוק את בעיות האבטחה בו נראית לי לא סבירה.