На этой неделе Грег Кроа-Хартман из Linux Foundation выступил с обширным докладом о текущем состоянии и будущих проблемах безопасности ядра Linux. Выступая на саммите Open Source Summit (OSS) Japan 2023, Кроа-Хартман – сопровождающий стабильного ядра Linux и видный член команды по безопасности ядра Linux – пролил свет на меняющийся ландшафт безопасности программного обеспечения с открытым исходным кодом, проблемы регулирования и ответ ядра Linux на эти проблемы.
Не проходит и дня без появления проблемы безопасности программного обеспечения, и правительства теперь пытаются указать, как компании и организации должны смягчать проблемы безопасности. Есть только одна проблема: правительства едва ли понимают, как использовать программное обеспечение, не говоря уже о том, как разработчики открытого кода создают программное обеспечение.
Например, предложенный Европейским союзом – Закон о киберустойчивости полон благих намерений, но он плохо подходит для тех, кто создает программное обеспечение с открытым исходным кодом. Хотя, как отмечает Кроа-Хартман, последняя версия закона стала намного лучше, это все равно означает, что, поскольку «весь мир продает свои устройства и продукты в ЕС, именно он будет определять их требования к безопасности».
Готовы ли мы к этой новой волне регулирования? Нет, не готовы.
Что касается сообщества Linux, Кроа-Хартман заявил, что команда по безопасности ядра Linux по своей сути является реактивной, в отличие от других команд по безопасности, которые занимают проактивную позицию. С момента своего официального создания в 2005 году команда работает неформально, без корпоративных связей и контрактов. Это обеспечивает нейтралитет и гибкость в решении проблем безопасности. Такой подход способствовал укреплению доверия между компаниями и эффективному решению проблем безопасности.
«Есть другие группы, команды по безопасности ядра и другие проекты, которые занимаются проактивностью. Но это не то, чем занимаемся мы. Мы просто реагируем на проблемы.»
А проблем хватает. Например, Кроа-Хартман отметил постоянные проблемы с безопасностью оборудования, особенно в связи с появлением таких уязвимостей, как Spectre и Meltdown. Как он отметил, с момента появления этих серьезных ошибок в процессорах прошло уже более трех лет, и пока «они продолжают пытаться исправить их в аппаратном обеспечении, несколько часов назад была анонсирована еще одна. Так что в ближайшее время этому не будет конца».
Он подчеркивает сложность работы с аппаратными эмбарго и более длительные циклы разработки аппаратного обеспечения по сравнению с программным. В идеале Кроа-Хартман хочет, чтобы компании, занимающиеся разработкой аппаратного обеспечения, «быстрее взялись за дело», и это мнение разделяют правительства и регулирующие органы.
Кроа-Хартман также отметил, что «многие люди сегодня не понимают, что хотя модель коммерческих дистрибутивов Linux не умерла, она уже не является большинством. 80% серверов и систем в мире работают под управлением свободных проектов с открытым исходным кодом, основанных на Debian, Fedora или oropenSUSE – не Red Hat Enterprise Linux (RHEL) или SUSE Linux Enterprise Server (SLES).
Эта реальность усложняет проблемы безопасности, потому что, как объяснил Корах-Хартман, «сообщества, которые работают с этими проектами с открытым исходным кодом, не могут подписать соглашение о неразглашении (NDA), потому что члены сообщества живут в других странах или работают на разные компании».
Вместо этого команда разработчиков безопасности ядра Linux представляет собой «специальную неформальную группу», не имеющую договора. Кроа-Хартман продолжает: «И это было лучшее, что когда-либо могло произойти, чтобы создать основу для того, чтобы мы делали это нейтрально для компаний и правительств. Это избавило нас от многих проблем».
Как это работает: Люди отправляют отчеты о безопасности членам группы. Нет даже списка адресов электронной почты. Есть только небольшая группа, которая не представляет никаких компаний». Кроа-Хартман добавил: «Все держится в тайне, и с 2005 года у нас не было ни одной утечки».
Что они делают, это сортируют сообщения, выясняют, что не так, и привлекают соответствующих разработчиков, если их еще нет в списке, для создания исправления как можно скорее. Затем этот патч включается в стабильную ветку Linux. Вот и все.»
- Кроа-Хартман
Когда они говорят «как можно скорее», они имеют в виду именно это. «Как только у нас появляется исправление, самое большее, что мы будем держать – это семь дней. Это, – продолжает Кроа-Хартман, – после того, как мы исправим ситуацию. Когда мы получаем отчет, мы начинаем работать над ним как можно скорее. Некоторые исправления занимают у нас больше года. У нас были проблемы с сетью. Думаю, мы потратили 18 месяцев, прежде чем исправили их должным образом. Но как только мы это исправили, исправление появилось».
Группа также не делает объявлений об исправлениях в системе безопасности. «Мы ничего не анонсируем. Мы не говорим ничего особенного. Мы просто вставляем его так, чтобы он выглядел как обычное исправление ошибки».
Да, это злит людей. Но, как объяснил Кроа-Хартман, «для людей из команды безопасности ошибка есть ошибка. В исправлениях ошибок безопасности нет ничего особенного. И если мы называем исправления безопасности особенными, это подразумевает, что другие исправления не являются особенными».
Это ошибка, потому что, по словам Кроа-Хартмана, «любая ошибка может стать проблемой безопасности на уровне ядра». Небольшое исправление, которое он сделал много лет назад для TTY, незначительной подсистемы в современном Linux, оказалось с убийственной дырой в безопасности. Оно позволяло любому получить права root в системах RHEL. Никогда не знаешь, где и когда возникнет проблема безопасности.
Кроа-Хартман также заметил, что, хотя «ядро Linux насчитывает около 30 миллионов строк кода, вы используете только около двух миллионов строк в своем сервере, 4 миллиона в своем телефоне и полтора миллиона в своем телевизоре. Но мы не знаем, что вы используете. Linux повсюду: в ваших автомобилях, на спутниках, в машинах для доения коров. Мы не знаем, что вы используете. Мы не знаем, как вы используете Linux. Мы не знаем, какова модель безопасности». Поэтому все и вся должно считаться необходимым.
Итак, что вы можете сделать, чтобы защитить себя? Кроа-Хэтман подчеркнул, что вы должны всегда использовать последнее долгосрочное стабильное (LTS) ядро.
К сожалению, очень немногие дистрибутивы Linux делают это. Он раскритиковал компании, которые не обновляют свои ядра регулярно. Устаревшие системы, с его точки зрения, по своей сути небезопасны.
Это не только его мнение. После нескольких лет исследований Кроа-Хартман сослался на команду безопасности Google Android, которая обнаружила, что в стабильных ядрах Linux все известные проблемы безопасности были устранены до того, как о них стало известно. У них есть документальное подтверждение того, что использование стабильных ядер всегда работает и что ваши системы будут в безопасности. Как сказал инженер ядра Google Linux Кис Кук: «Так что же делать производителю? Ответ прост, хотя и болезнен: постоянно обновляйтесь до последней версии ядра, либо основной, либо стабильной.»
Комментарии (0)