[...] מזמן היה כאן דיון שעסק ב"האם הקוד הפתוח רע לאבטחת מידע" ועמרי טען שאם יקרה משהו דומה לזה יעלו על העניין מהר [...]

I have nothing to say, open source is so much better from every aspect, only reason not all projects are open source is money.

אוהד:
1. מעולם לא בדקתי מוצר קוד פתוח – זה פשוט לא עניין אותי יותר מדי כדי שאני אשקיע בזה את הזמן.

2.מה יקרה כאשר אני אבדוק מוצר קוד פתוח ואגלה בו חור? בדיוק מה שקורה כשאני תוקף מוצר קוד סגור: אני אודיע למפתחים.

לא טענתי שהיא אינה קלה יותר, השאלה היא בשורה תחתונה האם "קוד פתוח" פוגע באבטחה של מוצר (וזה לא בהכרח קוד פתוח כפי שכתבתי ל – Java/.NET אין ממש אפשרות להסתיר את הקוד רק עם Obfuscators שגם הם מקשים על העבודה רק חלקית).

מה קורה ברגע שאתה בודק מוצר קוד פתוח, ואתה מגלה בו חור אבטחה?

נכון אוהד, זה אומר הכל: בקוד פתוח העבודה שלי קלה יותר. ובמוצרים בהם לא ניתן היה לבצע הינדוס לאחור (חלק מהמערכות שבחנתי כללו רכיבי תוכנה, חומרה, ורצו על board ייעודי) מלאכת התקיפה היתה קשה במיוחד.

"בכל הפעמים שפרצתי תוכנות (היו מפתחים שנתנו לי תוכנות שלהם על מנת לבדוק את מנגנוני ההגנה שלהם) הפעולה הראשונה, או הכמעט ראשונה שעשיתי היתה הינדוס לאחור."

אני חושב שזה אומר הכל.

אוהד,
אני אכתוב את זה שוב:
קוד פתוח מקל את עבודת התוקף.

ואני אכתוב את עוד פעם:
כשיש לי את הקוד הרבה יותר קל לי לתקוף.

ואני אכתוב את זה פעם שלישית
קוד פתוח חושף לא רק opcodes של אסמבלר, אלא תהליכים שלמים, וניהול התהליכים האלה.

ובפעם האחרונה:
קח שתי תוכנות. שנכתבו על ידי אותם מתכנתים. התוכנה שתחשוף את הקוד שלה תיפרץ קודם. נקודה.

בכל הפעמים שפרצתי תוכנות (היו מפתחים שנתנו לי תוכנות שלהם על מנת לבדוק את מנגנוני ההגנה שלהם) הפעולה הראשונה, או הכמעט ראשונה שעשיתי היתה הינדוס לאחור.

גיא, כשכתבתי על שוק הלימונים כיוונתי בדיוק לקיומו של גורם שלישי. הבעיה היא שאתה בעצמך לא מסוגל לבדוק את הקוד. אני לא חושב שקיימת בעיה לבדוק אם חברה מובילת ידע או לא. הבעיה האמיתית היא שהעלות שבדיקת מוצר עבור לקוח יקרה בצורה לא סבירה ולכן מוצר צריך להיבדק עבור עצמו (מודל Common Criteria).

אוהד, הייתי שמח להתווכח איתך אבל נראה לי שאנחנו מסכימים. (אם אתה בכל זאת רוצה להמשיך, אני חושב שאתה טועה לחלוטין!!!).

"אך במבחן המציאות, כמות המקרים הללו קטנה משמעותית מהאלטרנטיבה של קוד פתוח חינמי"

אז מה? במבחן המציאות כמות האפליקציות המאובטחות בצורה שפויה קטנה מאוד ביחס לאלו שמאובטחות בצורה זוועתית. גם בקוד סגור זה כך, וגם בקוד פתוח.

חברות רציניות שרוצות שהמוצר שלהן יהיה מאובטח לא ילכו על פתרונות סוג ז'. אתה בתור לקוח צריך לדעת לבחור את החברות הנכונות. אתה גם יכול ללכת לחברה שיש בה אנשי אבטחה רציניים עם מתכנתים ברמה גבוהה, מנהלי פיתוח תותחים והשקעה רצינית במוצרים, אבל מה? אם הם עובדים עם מחשבים ניידים – ויוצאים איתם הביתה – אלו יכולים להגנב. אז מה זה שווה?

מבלי לדבר על פתרון אידאלי, הפתרון שצריך ללכת עליו הוא הפתרון שמתאים ביותר למקרה שלך.

"מבחינה פסיכולוגית, מפתחים של מערכות סגורות נוטים לחשוב שמותר להם לשמור סודות בקוד, כבעצם הכל גלוי וזו רק אשליה של סודיות.".

קוד סגור מקשה על מי שמנסה לחדור, אך הוא לא מונע ממנו זאת – וזה מה שחשוב לזכור.

אני אכתוב זאת שוב:
קוד סגור לא מאובטח יותר מקוד פתוח, וקוד פתוח לא מאובטח יותר מקוד סגור.

לפני משהו כמו שנה – שנתיים היה עובד שגילה פרצה במכשור של סיסקו והלך לספר על זה לכל העולם ואחותו. קוד פתוח או קוד סגור זה בכלל לא פאקטור בלבחון את האבטחה של מוצר.

היום גם לא מעט מוצרים מפותחים ב – Java/.NET ולעשות לאלו Reverese engineering לא דורש ממך כמעט כלום, זמן אפסי. אז מה? הפתרונות ב – Java/.NET הם פחות מאובטחים?

האם מוצרים שפועלים תחת מערכות Linux הם פחות מאובטחים?
אין קשר בין הדברים.

עומר – הבעיה שלי עם לתת לגורם חיצוני לבצע את הבחינה המלאה היא שאין שום דרך לדעת מה רמתו של הגורם החיצוני.
מזכיר לי את מה שכתבת על שוק הלימונים באבטחת המידע.
זאת בעיה רצינית כיוון שיש היום הרבה חברות שמגדירות עצמן כמובילות ואין (IMHO) שום דרך אמיתית לבצע השוואה של היכולת או המקצועיות.

אוהד, לא טענתי או חשבתי שקוד פתוח = חינם אין כסף. אמרתי שייתכן ומקרים אידיאליים הם מקרים בהם ארגונים סגורים עושים שימוש בקוד פתוח. אך במבחן המציאות, כמות המקרים הללו קטנה משמעותית מהאלטרנטיבה של קוד פתוח חינמי. מעבר לכך, גם חברות שמפתחות בקוד פתוח וגובות על כך כסף עשויות לעשות שימוש במרכיבי קוד פתוח שלא הן פיתחו ובכך תולות את רמת האבטחה שלהן במוצרים שלא פותחו באותם הסטנדרטים בהכרח (אולי כן ואולי לא).
אני חושב שהפתרון האידיאלי הוא קוד סגור עם שקיפות מלאה לגורם בלתי תלוי בעל יכולת לבצע בחינה מלאה של תהליכי הפיתוח, הקוד והתוצר המוגמר. אני מסכים עם הטענות שהועלו פה לגבי security by obscurity. זה מנגנון הגנה טוב. הבעיה המרכזית בו הוא שלעתים נוטים להשתמש בו בתור מנגנון יחיד. לחילופין, גם security by transparency הוא מנגנון טוב וגם בו נוטים להשתמש לעתים כמנגנון יחיד.
זה דיון שמנסה להגיע להכרעה היכן שלא באמת ניתן להגיע להכרעה.

אוהד,

השאלה האם מוצר מאובטח או לא (או מה רמת האבטחה שלו) נקבעת מהרבה גורמים.
הדיון כאן ניסה לבודד את אחד הגורמים – והוא פתיחת הקוד.

אם אני אקח שני מוצרי תוכנה, שעושים אותו דבר, ופותחו על ידי תכנתים באותה רמה, תחת אותה מתודלוגית פיתוח. יהיה קשה יותר לנצל חולשות במוצר שהקוד שלו סגור מאשר המוצר המקביל שהקוד שלו פתוח.

אף אחד לא טען כאן "קוד פתוח == לא מאובטח, קוד סגור == מאובטח".
הטענה כאן (לפחות שלי) היא שפתיחת הקוד מקילה על התוקף.

עומר טרן, אתה עושה טעות נפוצה והיא שאתה סבור שקוד פתוח = חינם אין כסף, ושמדובר על כמה חברה שעושים הכל בזמנם הפנוי.

אני אסכם את זה בשתי מלים: אתה טועה.

יש חברות שמספקות פתרונות קוד פתוח ותמיכה בצורות שונות, הסיכוי שתתגלה פרצת אבטחה בקוד כזה הוא אפסי. לרוב החברות האלו מספקות פתרונות שהם צעד אחד אחורה, אבל צעד בטוח, הרבה יותר. חורי אבטחה ובאגים מתגלים גם במוצרי קוד סגור (בשרתים של Microsoft גם התגלו חורי אבטחה).

Shed, כתבת:
"מעולם לא הצליחו לפרוץ את ההצפנה של NDS" וזו בעצם הטעות העיקרית במה שכתבת, מה שמתאים לחברה א', לא מתאים לחברה ב' ומה שנותן מענה טוב למצב X לא בהכרח יתן מענה טוב למצב Y.

הטענות – "קוד סגור הוא מאובטח יותר" או "קוד פתוח הוא מאובטח יותר" חסרות משמעות לחלוטין.

בדיוק כמו הדיון באם על שומר או מאבטח צריך להחזיק אקדח, רובה, או תת מקלע רציני – זה תלוי איפה הוא נמצא ועל מה הוא שומר. וגם אם הוא מחזיק את הנשק הנכון, הוא צריך גם לדעת להשתמש בו ולא להרדם בשמירה.

דבר שני כתבת: "קח בחשבון שיש מי שיודע לקרוא תעבורת ssl" אולם לא התייחסת לבעיה המרכזית בדיון: האם openssl הוא מאובטח פחות מפתרונות ssl בקוד סגור?

חשוב לעשות את ההבדל בין תנאים שונים, חברות שונות, נושאים שונים ומקרים שונים. ומה שחשוב לזכור בנוסף בקוד פתוח – הוא שיש הרבה גרסאות והפצות שונות למוצרים מסויימים, חלקם מאובטחים יותר וחלקם פחות.

בנוסף עוד מקרה הוא דפדפן, רמת האבטחה של מוצר תלויה גם באיפה הוא יושב בסופו שלדבר ומהי מטרתו. מוזילה הוא לא הפנטגון ואין צורך להתייחס אליו ככזה. דפדפנים מבוססים קוד סגור, אינם בהכרח מאובטחים יותר, חלקם כן, חלקם לא.

אני נוטה לצדד בעמדתו של שד, אבל אני חושב ששניכם לוקחים בחשבון בעיקר צד אחד של תהליך הפיתוח, תהליך הבדיקות.
בקוד פתוח יותר קשה לאכוף סטנדרטים של פיתוח ויותר קשה לאכוף רמת הכשרה. אלו דברים משמעותיים בפיתוח. ייתכן והמצב האידיאלי הוא ארגון סגור המפתח בקוד פתוח, כך שמצד אחד הוא מייצר תהליכי עבודה בהם קיים דגש לאבטחה ומצד שני הוא מאפשר ביקורת ציבורית. עם זאת, אני מסכים עם הטענה שהעובדה שניתן לבדוק משהו לא גורמת למישהו לבדוק אותו.
אני גם בכלל לא בטוח שרוב פריצות האבטחה בקוד פתוח נולדות כתוצאה מקריאת קוד. לדעתי (לא בדקתי) רוב הפרצות נובעות מניסיונות תקיפה ולא מקריאה שיטתית של קוד על ידי עין אנושית.

עם כל האהדה שלי לקוד הפתוח, אני לא בטוח שבמבחן המציאות ישנה הוכחה לטענת הקוד הפתוח המאובטח יותר. הדוגמא היחידה בה ניתן לעסוק באמת היא שועל אש ואני לא בטוח עד כמה הוא יותר מאובטח. גם לגבי Apache זכורים לי לא מעט מפגעים בגרסאות השונות שאפשרו הרצת קוד מרוחק (את זה אני זוכר מקריאת דוחות בדיקה ללקוחות שונים בעבר).

הטענה הנכונה לדעתי בהקשר זה (לא שלי, לקוחה ממאמר של רוס אנדרסון) היא שזה חסר משמעות. בקוד פתוח יש יותר גישה לתוקפים ויותר גישה למגנים. בקוד סגור יש פחות גישה לתוקפים ופחות גישה למגנים. התוצאה היא שקילות (בעולם אידיאלי).

מעבר לזה, אני חושב שמרבית הדוגמאות שניתנו פה לוקות בהיעדר אובייקטיביות ורובן רלוונטיות לקוד פתוח וסגור באותה המידה.
הדיון בשאלת קוד פתוח או סגור הוא דיון לשם שמיים. לצרכים ארציים יותר השאלות הרלוונטיות יותר הן קוד פתוח או סגור של מי, לאיזו מטרה ואיך קיבלנו אותו.

באופן כללי אני אתחיל ואומר שאני מתייחס לפתיחה של קוד לא רק כאל חשיפת opcodes באסמבלר, אלא גם לחשיפה של מנגנוני קלט ופלט, Physical layer של רשתות תקשורת, קודי VHDK של רכיבי חומרה וצ'יפים וכו'.

כבר הסכמנו שקוד פתוח מקל את העבודה. קח את NDS כדוגמא: מוצר הצפנה שנמצא בשימוש של עשרות מליוני אנשים ברחבי העולם מדי יום ביומו. מעולם לא הצליחו לפרוץ את ההצפנה של NDS, בין השאר, כי אי אפשר לעשות הינדוס לאחור של הצ'יפ שלהם. פשוט אין את האמצעים הטכנולוגיים לכך.
ברגע שהם ישחררו את הקוד של הצ'יפ – העסק גמור מבחינתם, וכל אחד יוכל לקנות ממיר "עם צ'יפ" (בדיוק כמו PS2) שיודע לפענח את כל הערוצים של יס בלי לשלם ליס אפילו אגורה שחוקה אחת.

לכן, כאשר אני חושף על חשיפה של מערכת בחירות אלקטרונית, שכוללת לא רק את הקוד שרץ על הטרמינלים, אלא גם את כל מה שפירטתי קודם – ברור לי שלתוקף יהיה הרבה יותר קל לבצע סניפינג וזיוף מידע כאשר הוא מכיר את השכבות התחתונות של ערוץ התקשורת. אותו כנ"ל לגבי זיוף קלטים, פלטים ולמעשה כל סוג התקפה שתוכל לחשוב עליו.

1. כן, אני מכיר openssl וג'אווה. אני לא ארחיב כאן, רק אומר שקח בחשבון שיש מי שיודע לקרוא תעבורת ssl.

2. "כמה קשה יהיה לאחד המועמדים לשחד את צוות המומחים שבודק כדי להעלים עין מחור? הרי לכל אחד יש מחיר."
גם לאירן יש הרבה כסף נזיל וזמין. אני מאוד מקווה שהם לא "קנו" את ראש אמ"ן.
לא לכל אחד יש מחיר, והאנשים שיראו את הקרביים של מערכת כזו צריכים להיות מסוג האנשים שאין להם מחיר.

שד:
"לעומת זאת, כאשר קיבלתי משימה לוודא הקשחה של רכיב חומרה מסויים בעבודה – ה-attention שלי לנושא היה אחר לגמרי."

מעטות מאוד מאוד החברות שממש טורחות להסתכל על המוצר שלהם בצורה רוחבית בחיפוש אחרי פרצות אבטחה אחרי שלב התכנון.
וגם אלו שעושות את זה אף פעם לא עושות את זה מספיק, ולראיה – כמות פרצות האבטחה שמתגלות במוצרים מסחריים.

"אני ארגיש הכי בטוח להצביע עם פתק. אבל אם הייתי צריך לבחור – הייתי מרכיב ערימת מומחים שמורכבת מגוונים שונים של האוכלוסייה, כאשר כל אחד מהם עובר סינון ובדיקת רקע שיגרמו לבדיקות של המוסד להיראות כמו משחק ילדים.
אני מעדיף קוד שיהיה פתוח לצוות של אנשים כאלה מאשר לכל העולם ואחותו."

טוב, ואני ארגיש הכי בטוח להשתמש במערכת שהמתכננים שלה סומכים על עצמם מספיק כדי לחשוף את פרטי המימוש לביקורת פתוחה.
הסכמנו כבר שקוד סגור לא מונע מתוקף נחוש להבין את המערכת.
מבחינה פסיכולוגית, מפתחים של מערכות סגורות נוטים לחשוב שמותר להם לשמור סודות בקוד, כבעצם הכל גלוי וזו רק אשליה של סודיות.
לא תחשוב לנסות להסתיר סודות בקוד פתוח, נכון?
עובדתית אנשים מנסים להסתיר סודות בקוד סגור כל הזמן.
הייתי אפילו אומר שקוד סגור מעודד כתיבה בצורה לא באמת בטוחה מתוך אשליה כוזבת של ביטחון וסודיות.

"על אותו משקל, האם היית מעדיף שנמל התעופה בן גוריון יפרסם את נהלי האבטחה שלו? זמני הסיורים, מיקומי הסוכנים (הגלויים והסמויים), המעברים, השערים, מתגי השליטה האלקטרונים וכדומה? או שמא אתה מעדיף שרק מי שצריך לדעת את המידע הזה – ידע אותו."

מכיוון שהעולם האמיתי הרבה פחות צפוי מעולם המחשבים, לא הייתי רוצה לחשוף את הדברים האלו כמובן.
מצד שני, אין לי שום בעיה לחשוף איפה מערכת ההפעלה שומרת פרטים פרטיים של תהליכים, או כל חשוב אחר, כי שם אני סומך על המערכת שתכן על עצמה (או רוצה להשתמש במערכת שניתן לסמוך עליה).
חוץ מזהף גם באבטחה אמיתית יש סודות, וכמו שלומדים בכל קורס קריפטוגרפיה – אסור לסודות האלו להיות ה"איך".
מפתח פרטי הוא סודי.
האלגוריתם של ההצפנה הוא לא סודי.

כמה דוגמאות:
על openssl שמעת?
לא חושב שהוא מטרה טובה להאקרים? הרי מי שמצליח למצוא בו פרצת אבטחה יהיה מלך, משתמשים בו בעשרות אלפי מערכות, והקוד שלו פתוח.

על ג'אווה שמעת?
הקוד של ג'אווה זמין (ולא רק מרגע שסאן עברו לGPL, אלה עוד הרבה הרבה קודם), מי שמוצא פרצת אבטחה בג'אווה הוא מלך מלכים, כי משתמשים בו במאות אלפי מערכות, במיוחד מערכות אנטרפרייז.

אז למה אתה לא שומע על פרצות אבטחה במערכות הפתוחות האלו?

ניב:
אני ממש לא מגזים.
אני חושב שבמקרה הזה חובה לפתוח את הקוד, במיוחד כי יש פה מוטיבציות והרבה כסף שמוטל על הפרק.
כמה קשה יהיה לאחד המועמדים לשחד את צוות המומחים שבודק כדי להעלים עין מחור? הרי לכל אחד יש מחיר.
מצד שני, את הציבור כולו אי אפשר לשחד.
אמרו חכמים: אור השמש מחטא מצויין.
ואני מוסיף: וקוד פתוח מקבל הרבה שמש.

אוהד, אני ממש לא מסכים איתך.
1. הרוב המוחלט של חורי האבטחה נובעים מבעיות בטיפול בקלט לא צפוי. (קלט יכול להגיע מהמקלדת, מהרשת, או מכל התקן IO אחר).
תאר לך שיפרסמו את מגוון השאלות של המאבטחים בשדה התעופה, איזה תשובות הם מצפים לקבל עבור כל שאלה, ואיך הם מרכיבים את הפרופיל של האדם העומד מולם.
כמו כן, יפרסמו שרטוט של כל השערים, הגדרות, המצלמות (ומי מסתכל עליהם), נתיבי תעבורה רגליים וממונעים וכו'.
ההקבלה כאן היא מלאה.
(בסוגריים אני אוסיף, שגם מערכת ההפעלה ידועה בפרוייקטים של קוד פתוח).

2. "היתרון של קוד פתוח הוא שניתן לשנות אותו ולטפל באבטחה שלו בצורה שלא תהיה חשופה החוצה" – צר לי, אבל הטיעון הזה לא רלוונטי ל-99.99% ממשתמשי המיחשוב בעולם. פשוט אין להם את היכולת לשנות את הקוד, וגם אם יש להם את הידע, אין להם משאבים אחרים (זמן).

BTW אם כבר מדברים על אבטחה, משום מה אי אפשר לפרסם פה תגובות מהדפדפן אופרה, נאלצתי להפעיל את IE בשביל זה. צריך קצת לרכך את מערך האבטחה בבלוג הזה:)

פוסט מעניין מאוד, וגם הדיון שהתפתח פה מאוד מעניין.

כמה הערות:

1. נהלי האבטחה של נמל התעופה לא מקביל בכלל לקוד פתוח, זה יותר מקביל ללשחרר את הנתונים של הגישה לשרת שלך FTP, SQL וכיו"ב. בנוסף אין טעם לעשות את ההשוואה הזו כי ההבדל בין קוד שבסופו של דבר די הופך למשהו "שחור ולבן", לבין נהלי אבטחה. אני יודע שזה לא קשור אבל כשמדברים על אבטחה של נמל תעופה זה כולל גם את המשטרה, הצבא, שירותי ביון, משתפ"ים ועוד. האבטחה של נמל התעופה לבד לא ממש שווה. במקרה הזה אתה יכול להשוות את כל הנתונים מסביב לעניין הזה (סוג השרתים/מחשבים, הרשתות, הנתבים, האנשים שמתפעלים את המערכת, אם זו מערכת באינטרנט לדוגמה אז זה יכול להיות תלוי גם במערכת ההפעלה של המשתמש והתוכנות שהוא משתמש בהן ועוד ועוד). בכל מקרה – מדובר על השוואה מאוד לא מתאימה.

2. האבטחה תלויה פשוט באבטחה של המוצר ואיך הוא מטופל, אני לא מוצא את הדיון בקוד פתוח / קוד סגור רלוונטי כ"כ. היתרון של קוד פתוח הוא שניתן לשנות אותו ולטפל באבטחה שלו בצורה שלא בהכרח תהיה חשופה החוצה. (כל עוד אתה לא מפיץ זאת אלא משתמש הקצה).

אוהד.

אלי: זה בעריכה.
כשכתבתי את הפוסט השתמשתי במילה מוצפנים אבל המינוח הנכון הוא מקודדים.

גיא, כתבת בפוסט את המילה "מוצפנים" בקו חוצה – מדוע?
זה נגד CRAWLERים או בעריכה.

עמרי אתה ממש נסחף לדעתי. לגבי מכונות ההצבעה האלקטרוניות, חס וחלילה אם הקוד יהיה ידוע לכולם. אמנם Security by Obscurity הוא מושג כמעט מגונה כיום, אבל בשורה התחתונה הוא לפעמים נדרש (והרבה יותר ממה שחושבים. כשפותחים קוד, לא רק מגלים את בעיות האבטחה שבו, אלא גם איך הוא בנוי, מה בעצם כל הדברים הגלויים והסמויים שהמערכת עושה ועוד. ושמע, יש דברים שצריכים להישאר סמויים.
התשובה של שד בהקשר זה היא בדיוק הדבר שיש לעשותו. היה על כך דיון מעניין בבלוג לפני זמן וכן בבלוג של עומר טרן ושל MrM.

אגב בלי קשר לאבטחה, לפני זמן מה שמעתי הרצאה מרתקת אצלנו בחברה על השימוש בקוד סגור לעומת קוד פתוח מבחינת ההגנות בפטנטים וכן הלאה עבור חברה שרוצה לפתח מוצרים. אם תרצו אפשר לפתוח על זה דיון נפרד.

עמרי, מבחינה טכנית קשה לנהל דיון נורמלי על גבי מערכת תגובות, פורומים עדיף.

אני בכל זאת אענה כאן:
1. אנחנו מסכימים שקוד פתוח מקל מציאה פרצות אבטחה. אנחנו לא מסכימים שיותר עיניים סרקו קוד פתוח בנסיון למצוא בו פרצות אבטחה מאשר עיניים אשר ניסו להקשיח קוד סגור.

2. אני בספק אם יותר אנשים קראו קוד של גימפ וסרקו אותו לבעיות אבטחה מאשר אנשים שקראו את הקוד של מודול בפוטושופ ובדקו שהא מאובטח מספיק. יש הבדל עצום בין אדם שקורא קוד כחלק מפרוייקט פתוח, בזמנו החופשי לבין אדם שקיבל משימה והוא צריך לעמוד מאחורי התוצאות שלה.
כשאני התעסקתי עם הקוד של VLC (וזה היה לפני הרבה שנים) עניין אותי רק MPEG2 (זמני לימודים) אז נגעתי רק בו. למה? כי זה מה שעניין אותי.
לעומת זאת, כאשר קיבלתי משימה לוודא הקשחה של רכיב חומרה מסויים בעבודה – ה-attention שלי לנושא היה אחר לגמרי.

3. אל תתיחס אליו כאל מהנדס QA, תתיחס אליו כאל "מומחה אבטחה", א"ארכיטקט security". תראה שהוא ישאר בתפקידו זמן רב. (דרך אגב, בחלק מהחברות בהן עבדתי היתה משרה כזו).

4. אף אחד לא אמר שקוד פתוח הוא הכרחי כדי למצוא פרצות אבטחה. הטענה היא שקוד פתוח מקל את העבודה, ועם הטענה הזו הסכמת כבר (ע"ע 1).

5. לא אמרתי או רמזתי שאתה פנאט לרגע. סליחה אם זה הובן כך מהדברים. התייחסתי בחצי הומור להערה שלך על כך שאני משתמש בלינוקס כרגע.

6. אני ארגיש הכי בטוח להצביע עם פתק. אבל אם הייתי צריך לבחור – הייתי מרכיב ערימת מומחים שמורכבת מגוונים שונים של האוכלוסייה, כאשר כל אחד מהם עובר סינון ובדיקת רקע שיגרמו לבדיקות של המוסד להיראות כמו משחק ילדים.
אני מעדיף קוד שיהיה פתוח לצוות של אנשים כאלה מאשר לכל העולם ואחותו.

על אותו משקל, האם היית מעדיף שנמל התעופה בן גוריון יפרסם את נהלי האבטחה שלו? זמני הסיורים, מיקומי הסוכנים (הגלויים והסמויים), המעברים, השערים, מתגי השליטה האלקטרונים וכדומה? או שמא אתה מעדיף שרק מי שצריך לדעת את המידע הזה – ידע אותו.

1. זה מקל, עם זה אני מסכים. מה שאני טוען זה שיש פחות פרצות אבטחה בקוד פתוח בדיוק בגלל הסיבה הזו.

2. קח קוד של מוצר תוכנה רציני, נניח פוטושופ. כמה מפתחים קראו את הקוד של מודול מסויים בו?
קח קוד של מוצר קור פתוח רציני, נניח גימפ. כמה מפתחים קראו את הקוד של מודול מסויים בו?
נכון שלא כל אחד שקורא את הקוד הוא בעל מומחיות מתאימה בשביל לזהות פרצות אבטחה, אבל כשמדובר בהבדלים של סדרי גודל במספר הקוראים של הקוד, מדובר גם בהבדלים של סדרי גודל במספר האנשים שמסוגלים לזהות פרצות אבטחה.
זה שאתה לא טרחת להסתכל בקוד לא אומר שפחות אנשים מכירים את הקוד הפתוח שאתה מריץ מאשר את הקוד הסגור שאתה מריץ.
מצד שני, מתי היתה הפעם האחרונה שמישהו קרא קוד סגור שכתבת לפני שנתיים? בחברות מסחריות, קוד ישן לא מעניין אף אחד, גם אם הוא רץ אצל
מיליון לקוחות.

3. אפילו מתכנתים מהשורה בדרך כלל לא מסוגלים לזהות בעיות אבטחה שיושבות להם תחת האף. מהנדס QA עם מומחיות כזו לא ישאר מהדס QA הרבה זמן.

4. זה שחלונות פרוצה למרות שהקוד שלה סגור בסך הכל מחזק את הטיעון שקוד פתוח זה לא הכרחי כדי למצוא פרצות אבטחה.
זה שהיא מטרה יותר מפתה מלינוקס זה ברור, אבל זה לא סותר את הטענה שקוד פתוח הוא יותר בטוח בממוצע מקוד סגור.

5. האמונה שלי בזה שקוד פתוח הוא יותר בטוח לא הופכת אותי לפנאט, אם זה אתה רומז.

אגב, מה דעתך על הדרישות לפתוח את הקוד של מכונות ההצבעה האלקטרונית בארצות הבעית?
האם תרגיש יותר בנוח להצביע במכונת הצבעה שהקוד שלה פתוח או בכזו שהקוד שלה סגור ונקרא רק על ידי צוות המפתחים המוכשר אין קץ שלה?

עמרי,
1. "לחשוב שחוסר קוד מונע מתוקף נחוש להבין מה התוכנה עושה זה נאיווי." – זה לא מה שאני חושב או טוען. אני לא טוען שקוד סגור מונע מתוקף להנדס אותו לאחור, ולמצוא בו פרצות אבטחה.
הטענה שלי היא, שקוד פתוח מקל על הפורץ את העבודה.

2. "בקוד פתוח קל יותר למפתחים אחרים לעלות עליה" – נכון. הבעיה היא ש99 אחוז מהמשתמשים בתוכנה הם לא מפתחים. אני עובד ומפתח עבור לינוקס כעשר שנים. מעולם לא הסתכלתי על קוד המקור של הקרנל או אופן אופיס. אם מישהו ישים לי שם "מתנה" – אני לא אדע מזה.
שורה תחתונה: זה נאיווי לחשוב שאם הקוד פתוח יותר אנשים בודקים את הקוהורנטיות שלו.

3. "צוותי QA לא בודקים את הקוד ולא מסוגלים למצוא פרצות אבטחה שאינן טריוויאליות." – חולק עליך במאה אחוז. צוות QA שקיבל משימה לבדוק אבטחת הקוד מסוגל ואף עושה זאת.

4. "תגיד, עמדת עם שעון וספרת את כמות השעות שאנשים ניסו בהם לפרוץ את חלונות ולינוקס שאתה מכריז את זה בכזה ביטחון?" לא לא ספרתי עם counter, אבל לא צריך להיות גאון גדול כדי להסתכל על חוק המספרים הגדולים:
כמה שרתי ווב יש בעולם? מה האחוז שלהם לעומת כמות המחשבים הפרטיים שיש בעולם? נכון – אפסי. רוב המחשוב בעולם הוא מחשוב שנמצא בדסקטופ של אנשים ולא בחוות שרתים.
מתוך המחשבים הביתיים, די ברור לנו שחלונות שולטת.
כלומר יש היצע, עכשיו בוא נבדוק ביקוש:
כמה רשתות בוט נט פעילות יש כרגע? על כמה מחשבים בודדים הן שולטות ברגע זה ממש? מתוכם כמה מריצים חלונות?
כלומר- יש גם ביקוש. עבור האקר זדוני הרבה יותר הגיוני ומשתלם להשקיע זמן בלפרוץ חלונות (אני מדגיש חלונות ולא IIS) על מנת לקבל שליטה על מחשבים רבים ככל האפשר, ו/או לבצע מתקפה מתוחכמת על מחשבים של משתמשים תמימים (קרי, משיכת סיסמאות ממחשבים מרוחקים, ביצוע פישינג שמגיע מתוך ההוסט עצמו ולא מתבצע על פני הרשת, ריגול ועוד).

5. "אגב, מצחיק שאני כותב כרגע תחת חלונות ואתה תחת אובונטו" לא מצחיק בכלל. אני משתמש בקוד פתוח הרבה, מפתח על פלטפורמות פתוחות, וגם תרמתי לא מעט לפרוייקטים כאלה ואחרים. יחד עם זאת – אני לא פנאט ואני יודע להסתכל על התמונה המלאה. קוד פתוח עושה את העבודה של תוקף קלה יותר. וזו נקודה שלקחתי בחשבון ואני מוכן לחיות איתה. הסיבה המרכזית לכך היא שאני מעריף שתוקף יעדיף להשקיע את הזמן בלתקוף מטרות אחרות (קרי חלונות) אשר יביאו לו יותר רווח.

שד,
בקוד פתוח קל יותר גם למפתחים אחרים לעלות עליה.
צוותי QA לא בודקים את הקוד ולא מסוגלים למצוא פרצות אבטחה שאינן טריוויאליות.
אני לא מתייחס לאיכות מוצר של חברה ספציפית (לא מייקרוסופט ולא אורקל וגם לא לינוקס).
שד, על Security by obscurity שמעת?
זה לא סתם פתגם.
לחשוב שחוסר קוד מונע מתוקף נחוש להבין מה התוכנה עושה זה נאיווי.
מנגנוני אבטחה שמסתמכים על הסתרת מידע לא עומדים במבחן המציאות.

תסתכל בלינק הראשון של החיפוש ששלחתי בתגובה הקודמת, לפחות ברמת הכותרות:
הוא מדגים איך אפשר לשנות את ההתנהגות של קוד מקומפל בלי שיהיה לך את הקוד. זה לא תאורטי – וזה אפילו שימושי.

תגיד, עמדת עם שעון וספרת את כמות השעות שאנשים ניסו בהם לפרוץ את חלונות ולינוקס שאתה מכריז את זה בכזה ביטחון?
חוץ מזה, הטיעון הזה פשוט לא מחזיק:
למשל, רוב שרתי הווב בעולם מריצים APACHE ולא IIS.
(http://news.netcraft.com/), אז אני לא מבין מה עושים כל ההאקרים הזדוניים בנסיונות לפרוץ לIIS כשיש להם מטרה נוחה ופתוחת קוד כמו אפאצ'י.

אגב, מצחיק שאני כותב כרגע תחת חלונות ואתה תחת אובונטו .

כדאי (מאוד) לנסות ולהתרגל לאמת אמיתות קבצי מקור המורדים ממקור לא בטוח באמצעות hash של md5/sha1.

"שד, בוא נשאר מחוברים למציאות:
יש שתי סכנות בהפעלת קוד:
1. שיש בו חור אבטחה שלא התגלה עד היום (פה בדרך כלל מדובר בטעות תכנות).
2. שמישהו נתן לך גירסא שהוא בישל שמכילה חור אבטחה זדוני.
יש הבדל מהותי בין שתי הסכנות."

עמרי – אני חולק על הניתוח שלך בשתי הנקודות.
1. טעות תכנות יכולה לקרות גם בקוד סגור וגם בקוד פתוח. בקוד פתוח הרבה יותר קל לתוקף לעלות עליה. בקוד פתוח גם הרבה יותר קל לתוקף לחשוב על דרכי תקיפה "מחוץ לקופסא". אתה טוען ש"אני נהנה מהבדיקה שהקהילה עושה לקוד פתוח" – אני טוען שהבדיקה הזו לא מתקרבת לבדיקה שנעשית על ידי צוותי ה-QA של החברות המובילות. האם אתה באמת חושב שקהילת המפתחים של mysql הריצה יותר בדיקות עמידות מהמעבדות של אוראקל? נא לא לשכוח של כל זוג עיניים של מישהו שכתב שתי שורות קוד בפרוייקט היו באמת עיניים שחיפשו פרצת אבטחה.
הרבה יותר קל לפרוץ קוד או מוצר שאני יודע את הקוד שלו, בין אם נעשו בו שגיאות תכנות ובין אם לא.

2. בישול גרסא: במוצר קוד פתוח קל יותר לבשל גרסא – כי התוספת תהיה אינטגרלית בתוך הקוד, ולא פטץ' כזה או אחר שמסתמך על שירותי צד שלישי.

קוד פתוח הוא דבר טוב וחיובי, אבל הטענה כאילו"הרבה עיניים סורקות את הקוד ומוצאות בו חורי אבטחה" היא פשוט שגויה בעיני. כמות שעות (או יותר נכון שנות) אדם שהושקעו על ידי אנשים מסביב לגלובוס בנסיון לפרוץ חלונות גדולה לאין ערוך מאלה שניסו לתקוף לינוקס כזה או אחר.

בשל העובדה שאני חתום כרגע על מסמך כלשהו שלא מאפשר לי לבצע את זה – אני חייב להמנע.
אבל בהחלט הייתי רוצה לראות לאן זה היה מוביל.

כן, כמה אלפים זה רציני.
רוצה לנסות?
בו נעשה את זה מעניין:
גרסאת פיירפוקס מהקוד העדכני, ששולחת ברשת בקשה לשרת שלי.
בבקשה כתוב "I am a hacked firefox version" או משהו דומה.
נראה כמה זמן זה יחזיק מעמד לפני שזה מתפוצץ.
כדי להמנע מנזקים, כדאי לתעד באיזה מקום את השינויים שאנחנו עושים ואת המוטיבציות.