[]
Güvenli Açık Kaynak Kodlu İşletim Sistemi (Linux)
Baştan söyleyeyim; açık kaynak konusunda bir fincan kadar bilgisizim.
Açık kaynak kodlu işletim sistemlerinde kodların direkt yayınlandığını, böylece sistemi kullananların arka planda ne dönüp dönmediğini gördüğünü sanardım. Amma ve lakin ki öyle değilmiş okuduğum kadarıyla. Programcılar bir kodların bir kısmını yayınlayabildikleri gibi bir kısmını saklayabiliyorlarmış gnu/gpl olayları vs...
Nitekim openbsd'deki ipsec uygulamasının içinde bile FBI'ın yerleştirmiş olduğu backdoor'ları okudum ve iyice soğudum olaydan (Linux'dan bile soğudum). Openbsd'ye bile backdoor koyan kim bilir nerelere neler koyar (bkz: http://www.osnews.com/story/24136/_FBI_Added_Secret_Backdoors_to_OpenBSD_IPSEC_)
Sorum şu; acaba ben olayları komple yanlış mı anladım? Güvenerek kullandığımız Ubuntu'da bile böyle açıklar olabilir mi? Kodlarının tamamı açık yani arka planda ne olup ne bittiğini kullanıcıların gördüğü distrolar var mı?
Açık kaynak kodlu işletim sistemlerinde kodların direkt yayınlandığını, böylece sistemi kullananların arka planda ne dönüp dönmediğini gördüğünü sanardım. Amma ve lakin ki öyle değilmiş okuduğum kadarıyla. Programcılar bir kodların bir kısmını yayınlayabildikleri gibi bir kısmını saklayabiliyorlarmış gnu/gpl olayları vs...
Nitekim openbsd'deki ipsec uygulamasının içinde bile FBI'ın yerleştirmiş olduğu backdoor'ları okudum ve iyice soğudum olaydan (Linux'dan bile soğudum). Openbsd'ye bile backdoor koyan kim bilir nerelere neler koyar (bkz: http://www.osnews.com/story/24136/_FBI_Added_Secret_Backdoors_to_OpenBSD_IPSEC_)
Sorum şu; acaba ben olayları komple yanlış mı anladım? Güvenerek kullandığımız Ubuntu'da bile böyle açıklar olabilir mi? Kodlarının tamamı açık yani arka planda ne olup ne bittiğini kullanıcıların gördüğü distrolar var mı?
pekcok lisans var hepsi konusunda bir sey diyemeyecegim fakat gpl ile lisanslanmis ya da gpl ile uyumlu olan bir lisansa sahip herhangi bir yazilimin kaynak kodunun bazi kisimlarina ulasilamamasi gibi bir durum soz konusu degil. dediginiz gibi kodlar yayinlaniyor herkese acik sekilde fakat problem audit surecinde. milyonlarca satir kodun surekli her guvenlik acigina/riskine karsi incelenmesi gerekiyor. tabii okunulan kodun anlasilabilmesi icin de ise hakim olmak gerekiyor. dolayisiyla ornegin ceviri takimlari ya da ne bileyim bug takimlari gibi kolay bir egitimin ardindan herkes tarafindan yapilabilecek bir is olmadigindan guvenlik takimlarina dusen is cok buyuyor. bundan oturu burada biraz da yazilimin ureticisinin kredibilitesi isin icine giriyor ve belki duruma gore biraz daha ustunkoru inceleme yapiliyor. lakin bu sizi kullandiginiz programin kodlarini incelemekten alikoymaz. eger suphe duydugunuz bir yazilim varsa didik didik edebilirsiniz kaynagini.
ubuntu konusuna gelince, tabii ki ubuntu'da da simdiye kadar belki farkedilmemis boyle aciklar olabilir ama bu bilincli olarak yapilmiyordur. sayet isin azicik paranoya tarafina kayacak olursak hicbir isletim sistemine, yazilima guvenmememiz gerekir.
linux dagitimlarinda kullandiginiz repolara da bagli olmak kosulu ile, ornegin ubuntuda sadece main reposunu kullanmak, sadece ozgur olan dolayisiyla kodunu inceleyebileceginiz yazilimlara ulasabilirsiniz.
ubuntu konusuna gelince, tabii ki ubuntu'da da simdiye kadar belki farkedilmemis boyle aciklar olabilir ama bu bilincli olarak yapilmiyordur. sayet isin azicik paranoya tarafina kayacak olursak hicbir isletim sistemine, yazilima guvenmememiz gerekir.
linux dagitimlarinda kullandiginiz repolara da bagli olmak kosulu ile, ornegin ubuntuda sadece main reposunu kullanmak, sadece ozgur olan dolayisiyla kodunu inceleyebileceginiz yazilimlara ulasabilirsiniz.
- dahicocuk
(16.06.11 08:40:37)
1
