ลินุกซ์ไม่ปลอดภัยแล้วหรือ? วิวาทะ Linus Torvalds ปะทะผู้เชี่ยวชาญความปลอดภัย

By: mk

on 10 November 2015 - 21:15 Tags:

Topics:

Linus Torvalds ออกมาตอบโต้ผู้เชี่ยวชาญด้านความปลอดภัยหลายคน ที่บอกว่าเขาและทีมพัฒนาเคอร์เนลลินุกซ์ "ไม่ใส่ใจเรื่องความปลอดภัยเท่าที่ควร" โดยไม่สนใจแก้ปัญหาหรือบั๊กด้านความปลอดภัยที่มีคนแจ้งเข้ามามากนัก

Torvalds ตอบว่าหลักการพื้นฐานคือไม่มีระบบใดปลอดภัย 100% และความปลอดภัยเป็นเพียงแค่แง่มุมหนึ่งในการพัฒนา ที่ต้องแบ่งให้น้ำหนักกับมิติอื่นๆ อย่างประสิทธิภาพ ความยืดหยุ่น ความง่ายในการใช้งานด้วย เขายังวิจารณ์คนที่บอกว่า "ความปลอดภัยสำคัญที่สุด" ว่าบ้าไปแล้ว (completely crazy) โลกไม่ได้มีแค่ขาวกับดำสักหน่อย

No Description

เขายังอธิบายว่าช่องโหว่ในเคอร์เนล เป็นเพียงตัวแปรหนึ่งในระบบเท่านั้น ยังมีตัวแปรอื่นๆ อีกมาก เช่น ระบบไฟร์วอลล์ หรือระบบป้องกันภัยคุกคามอีกมากก่อนจะมาถึงระดับของเคอร์เนล ถ้าเขาต้องมาใส่ใจประเด็นเรื่องนี้คงไม่มีเวลาไปทำอย่างอื่นกันพอดี ตัวเขามองว่าบั๊กทั่วไปกับบั๊กความปลอดภัยมีความสำคัญเท่ากัน

Washington Post อ้างความเห็นจากทีมความปลอดภัยของ Akamai ว่าในอดีต ลินุกซ์ถูกมองว่าปลอดภัยกว่าวินโดวส์ แต่ช่วงหลัง เมื่อลินุกซ์ได้รับความนิยมมากขึ้น บรรดาแฮกเกอร์จึงสนใจหาช่องโหว่ฝั่งลินุกซ์เพิ่มขึ้นมาก ส่งผลให้บริษัทที่ขายผลิตภัณฑ์เกี่ยวกับลินุกซ์ต้องหามาตรการป้องกันความปลอดภัยมากขึ้น

(ใครสนใจเรื่องปรัชญาและการออกแบบด้านความปลอดภัย แนะนำให้อ่านบทความต้นทางฉบับเต็ม)

ที่มา - Washington Post, ภาพจาก +Linus Torvalds

Hiring! บริษัทที่น่าสนใจ

Bluestone PIM

We are an international company with a vision to be a global provider of PIM

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

Bangkok Payment Solutions Co., Ltd.

Our primary focus is in e-payment and card technologies.

Comments

By: LazarusSP1

on 10 November 2015 - 22:07 #860142

เท่าที่เคยสัมผัสมาพวกสาย Security นี่ ไม่มี UX/UI อยู่ในหัวเลยนะครับ

By: chettaphong

on 10 November 2015 - 22:14 #860145

ส่วนตัวก็เห็นด้วยกับเฮียเค้าอยู่เหมือนกันนะ

By: lew

on 10 November 2015 - 22:20 #860151

ส่วนตัวไม่เห็นด้วยกับบทความต้นทางนัก

นักข่าวเลือกสัมภาษณ์ผู้เชี่ยวชาญจากบริษัทที่พัฒนาแอนดรอยด์รุ่นที่อ้างว่าปลอดภัยเป็นพิเศษ (Copperhead OS) ผู้เชี่ยวชาญคนนี้บอกว่าไลนัสไม่สนใจความปลอดภัยโดยไม่ได้ยกตัวอย่าง (หรืออย่างน้อยนักข่าวก็ไม่ได้ยกมาใส่บทความ) ว่ามีครั้งไหน ที่มีช่องโหว่แล้วโครงการลินุกซ์ไม่ได้แก้
บทความเสียเวลาไปกับนิสัยด่ากราดของไลนัส ซึ่งไม่เกี่ยวกับความปลอดภัย มีนักพัฒนาเขียนโค้ดไม่สวย (ในความเห็นของไลนัส) หรือทำให้แอปใน userspace พัง (กรณีที่ยกมาในตัวอย่าง) ก็โดนด่าแรงๆ กันหมด คนอย่างไลนัสเคยถามในสัมมนาว่าใครชอบใช้ svn คนยกมือโดนด่าก็มีมาแล้ว
ไปยกว่าลินุกซ์เป็นงานอดิเรกมาก่อน พยายามแสดงว่าไลนัสไม่ใช่มืออาชีพ (ส่วน Accidental hero) ซึ่งไม่แฟร์ แฮกเกอร์มือดีจำนวนมากเริ่มมาจากเส้นทางนี้ทั้งนั้น
เนื้อหาส่วนของไลนัสยกมาจากสัมภาษณ์ก่อนหน้า ว่าไลนัสไม่ได้มองบั๊กว่าแตกต่างกัน ไม่ปิดบัง ต้องแก้ แต่จะไม่เสียเวลามานั่งจัดว่าบั๊กไหนเป็นบั๊กความปลอดภัย ซึ่งอันนี้แปลกหน่อยเพราะโครงการส่วนหนึ่งถ้ารู้ว่าสามารถถูกโจมตีได้ จะจัดแยกไว้ มีการเก็บความลับ ฯลฯ
อีกส่วนที่สัมภาษณ์ คือ Grsecurity และ PaX ที่อ้างว่าเพิ่มความปลอดภัยมาก แต่ไลนัสไม่รับเพราะทำแอปพัง แล้วโดนไลนัสด่าไล่หลัง แพตช์ลินุกซ์ที่ไลนัสไม่รับมีมหาศาล Xen พัฒนามาตั้งแต่ปี 2003 แก้ไปจนปี 2011 กว่าจะได้ merge

lewcpe.com, @wasonliw

By: toooooooon

on 10 November 2015 - 22:25 #860152

อยากได้อะไรก็เอา เคอเนลไป คอมไพล ใช้เอง

By: Aphorist

on 11 November 2015 - 10:27 #860271 Reply to:860152

คุ้น ๆ นะ

By: lew

on 10 November 2015 - 23:02 #860162

ประเด็นหนึ่งที่คนเขียนบทความต้นทางไม่ได้ชี้แจงให้ชัดคือ Linux ไม่สามารถไปบังคับให้ใครอัพเดตได้ เมื่อมีช่องโหว่ บทความระบุว่าอาจจะหลายสัปดาห์ถึงหลายเดือนกว่าผู้ใช้จะได้รับ ซึ่งจริงในกรณีแอนดรอยด์ โดยรวม ซึ่งทำประเด็นการส่งแพตช์ได้ชั้นเลว (ยกเว้น Nexus หรือ CyanogenMod) ว่าช่องโหว่ไม่ว่าจะเป็นในเคอร์เนลหรือในไลบรารี ล้วนต้องรอกระบวนการอัพเดตหลายเดือน แม้ตัวโครงการเคอร์เนล (หรือไลบรารี) จะอัพเดตไปนานแล้ว

ในโลกลินุกซ์ดั้งเดิมเช่น Ubuntu หรือ CentOS ผมยังไม่เคยเห็นกรณีมีช่องโหว่ในเคอร์เนลโดยไม่ได้แก้ไขนานขนาดนั้น

lewcpe.com, @wasonliw

By: grenadin

on 10 November 2015 - 23:44 #860173 Reply to:860162

+1 ไปบังคับใครไม่ได้

By: Dino

on 11 November 2015 - 00:20 #860177

ผมว่าผมอยู่วงการนี้มาก็ไม่ถือว่านานเหมือนกับเซียนๆ ซักเท่าไหรนะ (แค่ 20 ปีเอง) แต่ก็คิดว่าอยู่มานานพอจะรู้ว่าการออกแบบระบบ หรือ Application อะไรซักอย่าง มันคือการ trade-off กันในเรื่องต่างๆ ทำยังไงให้มันสมดุลย์มากกว่าที่จะมานั่งเถียงกันหัวชนฝาระหว่าง Security or User Friendly or Performance or Budget or Time to market or etc.

บทความลักษณะในข่าวนี้ ผมว่าไม่ใช่บทความเชิงสร้างสรรค์ซักเท่าไหรนะ มีแต่จะบ่อนทำลายวงการไปเปล่าๆ

ปล. ความเห็นส่วนตัว ตา Linus นี่ก็เหลือหลายจริงๆ คนทั้งรัก และเกลียด ผมว่า เขาเทียบชั้น Ironman ในวงการ IT จริงๆ

By: AlninlA

on 11 November 2015 - 08:36 #860232 Reply to:860177

น่าจะ hot headed มากกว่า Tony Stark นะครับ

By: aeksael

on 11 November 2015 - 00:48 #860183

เป็นไปได้หรือเปล่าครับที่การที่ต้องมาคอยอุดช่องโหว่(ไม่รวมบั๊ก)จะปั่นทอนประสิทธิภาพ

ในความคิดผมคือถ้าไม่มี แครกเกอร์ ไวรัส มัลแวร์ (โลกในอุดมคติ) การพัฒนาอาจไปได้มากกว่านี้โดยไม่ต้องพะวงเรื่องความปลอดภัย

The Last Wizard Of Century.

By: raaon on 11 November 2015 - 10:48 #860282

การกระจายงานแก้ไขปัญหานี้ได้ ทีมสร้างสรรค์ ไม่จำเป็นต้องคอยแก้ไขปัญหาเสมอไปครับ สถาปนิกออกแบบบ้าน ไม่จำเป็นต้องคอยแก้ไขก็อกน้ำรั่วในหมู่บ้านจัดสรร ที่เคยสร้างมาแล้วเป็นสิบๆ โครงการเสมอไปครับ

By: waroonh

on 11 November 2015 - 11:47 #860298

อ่านแล้วรู้สึกเหมือนสมัยก่อนที่ Windows จอฟ้าบ่อยๆ
แล้วทุกคนด่า Bill Gates เลยครับ
ต่างกันตรงที่ Linus เค้าแรงจริง ออกสื่อ เห็นกันทั้งโลกก็ยังแรง
อันนี้ต้องยอมเค้าจริงๆ ความสามารถส่วนตัวล้วนๆ

By: crucifier

on 11 November 2015 - 13:32 #860337 Reply to:860298

เป็นคนหน้าตาใจดีมากนะ แต่ไม่กล้าร่วมงานด้วย เค้ากัว >.<

Main menu