Theo de Raadt: есть только limited open source

OpenBSD
по праву считается одной из самых
безопасных операционных систем - всего один
удаленный эксплоит для ОС в дефолтовой
установке за семь лет! Как обстоят сейчас
дела с компьютерной безопасностью мы
сегодня говорим с основателем и главой
проекта OpenBSD Theo de Raadt. 

Какие вещи сегодня игнорируются
индустрией и почему у нас столько
проблем с безопасностью?

Большинство ошибок в софте, примерно 95%,
это типичные "низкоуровневые" ошибки
программистов. Происходящее сейчас это всего лишь
непонимание программистами основных
функций: они думаю, что знают как их
использовать, но при этом они постоянно
делают ошибки - как совершенно тупые, так и
маленькие, казалось бы незначительные. К
сожалению думаю, что с этим мы будем жить
вечно. Ошибки множатся и множатся и это "ошибочная
парадигма" находит свое воплощение во
все новых и новых строчках кода. Сейчас, как
с open source, так и с закрытыми программами, мы
встречаемся с миллионами строчками
программного кода, их писали люди, делающие
ошибки и переносящие эти ошибки из проекта
в проект. Именно поэтому мы и имеем дело с
постоянными дырками в ПО. Атакующий
использует эти ошибки,  и так как он, в
отличии от программиста, понимает их
побочные последствия, он использует их себе
во благо - для поднятия своих привилегий. Он
получает их всего лишь потому, что может
предсказать поведение машины, потому что
машина предсказуема.

Атакующий всегда знает как сделать это.
Единственная возможность с этим бороться -
ужесточить среду или исправить баги. Второй
вариант не совсем применим, я уже сказал - мы
имеем дело с миллионами строчек кода, но мы
пытаемся это делать. 

Почему несмотря на понимание у нас
проблемы все продолжают и продолжают
возникать? На рынке даже существует ряд
продавцов, которым совершенно плевать на
безопасность...

Да, они они не проводят аудит безопасности,
они не учат своих сотрудников, они не
внедряют простейшие технологии, которые
могут эффективно бороться с хакерами.
Атакующие по прежнему находят ошибки и по
прежнему знают как они могут влиять на
систему в целом, но все окружение настолько
криво, что хакеру не за что зацепится и
получить повышенные права.

Уделяют ли вендоры этому внимание? Нет, не
уделяют. Все эти Linux-ы, коммерческие Unix-ы,
Microsoft... Но есть и исключения, продавцы,
научившиеся на собственных ошибках. Есть
несколько Linux-овых дистрибутивов, которые
пытаются подражать нам. Но мы всегда на шаг
впереди них и то, что они внедряют некие
части систем, которыми мы занимались пять
или шесть лет, только радует - значит люди
оценили наши технологии.

В игре с хакерами OpenBSD пытается думать на
шаг или два вперед?

Я видел людей, которые не используют нашу
ОСь, но делают свою похожей на OpenBSD потому
как атакующих это сразу отпугивает. Но мы
входим в новый мир, в котором хакеры уже не
будут смотреть на предмет своей атаки.
Взломщики просто прокатятся по всем
интернету с известной атакой и через неделю
вернутся, что бы собрать урожай. Люди всеми
путями пытаются превратить машины в зомби
для спама, DDoS, так что мы несколько в иной
ситуации...

Я смотрю на безопасность примерно так -
моя безопасность зависит от твоей,
поскольку каждая не защищенная машина в
Сети становится опасной. Она может посылать
мне спам, она может убить мое соединение с
Инетом. В такой ситуации мы должны думать о
безопасности Инета в целом, это главная
цель, хотя может быть и несколько
призрачная.

Например, 65% систем Cisco поставляются с OpenSSH.
Cisco создала свой вариант SSH для некоторых
роутеров, но они сделали его несколько
криво, так что наш SSH работает на их железе
лучше. И я не думаю, что любой Linux или Unix
может без него обойтись. Да, это софтверная
монополия, но как минимум она направлена на
безопасность всей Сети! Преимущества
очевидны - за три года мы практически убили
Telnet и продолжаем развитие, ведь OpenSSH уже
есть на 12 мобильных телефонах.

Как вы думаете, Microsoft учится у open source
сообщества?

К сожалению, проблемы Microsoft не имеют
ничего общего с  проблемами Unix. Главная
проблема MS в IE, который имеет от 300 до 500
уязвимостей которые не блокируются
файрволом, так как все они все в HTTP, все в TCP
сессиях и фильтр пакетов никак на них не
повлияет. Вы уходите от ActiveX, но приходите к
проблемам с куки, уходи от куки и
натыкаетесь на зоны безопасности - все эти
вещи бесконечной чередой подтачивают
безопасность и знания по безопасности Unix
тут совершенно не помогут. Так что если вам
поставляют дерьмовый код и собираются
делать это и дальше, единственный выход
искать какие то другие методы защиты. Это
надо делать, но не думаю, что этому
уделяется много внимания.

Многие люди сравнивают модели
безопасности open source проектов и закрытого
софта. Какое ваше мнение по этому вопросу?

Люди часто задают этот вопрос, но не
уточняют о чем они говорят. Внутри Unix две
части операционной системы - сама ОСь и
программы, запущенные на ней. На самом деле
на уровне приложений нет вопроса open-source или
закрытые программы. Каждый решает для себя
сам.

Что касается операционных систем, то все
сводится к мастерству управляющих.
Некоторые проекты хороши в одном, но ужасны
в другом, и наличие исходников тут особой
роли не играет. Вы можете найти коды для
всего на свете, и атакующий может точно так
же. Случившийся факт - больше нет сlosed source,
есть только limited open source.

Оригинал