Linux'da güvende olduğunuzdan nasıl emin olabiliyorsunuz?

Jukac · 16 Nisan 2022

Merhabalar, bu sorularım agresiflik olarak algılanmasın. Sadece merak ediyorum işin arka tarafını.

Genelde Linux kullanıcıları "bilgisayarıma Microsoft'u ortak edemem, verilerimi onlarla paylaşamam" mantığıyla Linux'da verilerimizin daha güvende olduğunu söylüyorlar. Peki, Linux'da güvende olduğumuz nereden belli? Belki de geliştirici arkaya telemetri gibi bir hizmet attı, bunu nereden bilebiliriz?

Mesela Microsoft'un veri sızıntısı ortaya çıkarsa; muhattabımız belli, cezayı yiyecek adamlar belli, Microsoft. Adamlar karşımızda canlı canlı duruyor. Peki Linux'da böyle bir şey ortaya çıkarsa muhattabımız kim? Sonuçta dağıtımları küçücük topluluklar hazırlıyor. Hatta bir yerde 2-3 kişinin bile yoğun çalışarak dağıtım hazırlayabileceğini okumuştum. Biz bu dağıtımı kullanırsak, o 2-3 kişiye bel bağlamış olmuyor muyuz, onların insafına kalmış olmuyor muyuz? Bunun Windows kullanmaktan farkı ne? Hatta bir sıkıntı durumunda Windows'da muhattabımız koskoca Microsoft iken Linux'da 10-15 kişilik küçük bir grup mu? Bu daha da tehlikeli olmuyor mu? Beni aydınlatabilir misiniz?

Son olarak dediğim gibi kesinlikle agresiflik algılanmasın, amacım öğrenmek. İki işletim sistemini de mevcut olarak kullanıyorum, yeri geldiğinde ihtiyacı olana doğru OS'u da öneriyorum. Cevaplar için teşekkürler.

Bogazitchy · 16 Nisan 2022

Jukac dedi:
Peki, Linux'da güvende olduğumuz nereden belli? Belki de geliştirici arkaya telemetri gibi bir hizmet attı, bunu nereden bilebiliriz?

Open Source.

433815 · 16 Nisan 2022

Jukac dedi:
Genelde Linux kullanıcıları "bilgisayarıma Microsoft'u ortak edemem, verilerimi onlarla paylaşamam" mantığıyla Linux'da verilerimizin daha güvende olduğunu söylüyorlar. Peki, Linux'da güvende olduğumuz nereden belli? Belki de geliştirici arkaya telemetri gibi bir hizmet attı, bunu nereden bilebiliriz?

Çalışan servislere bakarak.

Jukac dedi:
Biz bu dağıtımı kullanırsak, o 2-3 kişiye bel bağlamış olmuyor muyuz, onların insafına kalmış olmuyor muyuz?

İş gerçekte böyle işlemiyor işte.
"Küçücük topluluklar" dediğiniz toplulukların bile genellikle doğru düzgün politikaları bulunuyor.

Jukac dedi:
Bunun Windows kullanmaktan farkı ne?

Özgür yazılım. Windows'da istesen de bel bağlamış oluyorsun, ama Linux'ta bilgiye sahipsen forklar kendin geliştirir kullanırsın, koduna bakarsın vesaire.

Jukac dedi:
Hatta bir sıkıntı durumunda Windows'da muhattabımız koskoca Microsoft iken Linux'da 10-15 kişilik küçük bir grup mu?

10-15 kişilik bir grup değil işte. Topluluğu gözünüzde çok küçültüyorsunuz.
10-15 kişilik bir grup topluluk olsaydı çoğu distro ile hata arattığımızda sonuç çıkmazdı, çünkü sonuç çıkacak veriyi yayınlayacak topluluk olmazdı.

Milyonlarca insan Linux kullanıyor, ne kadar muhteşem kullanım istatistikleri aksi varmış gibi gösteriyor olsa bile.

CoffeeCake_AoE · 16 Nisan 2022

Jukac dedi:
Belki de geliştirici arkaya telemetri gibi bir hizmet attı, bunu nereden bilebiliriz?

GitHub - torvalds/linux: Linux kernel source tree kernel açık kaynak, böyle birşey olsaydı tespit edilirdi. Hem zamanında minessota üniversitesini banlamışlardı projeden backdoor yaratmaya çalışmaktan. Yani gözünüz arkada kalmasın, Linux güvenlidir güvenli kalacaktır.

Jukac dedi:
Hatta bir yerde 2-3 kişinin bile yoğun çalışarak dağıtım hazırlayabileceğini okumuştum. Biz bu dağıtımı kullanırsak, o 2-3 kişiye bel bağlamış olmuyor muyuz, onların insafına kalmış olmuyor muyuz?

Bu projeye yaratıcılardan çok topluluk geliştirme yapıyor, milyonlardan bahsediyoruz. Hata raporlarını sunan test edenler, geliştiren kısım derken büyük bir topluluk. Windows'u arkada kaç kişi olduğu belirsiz bir ekip geliştiriyor ve kodları açık değil. Microsoft'a mı güvenelim şu durumda ?

egoistpizza · 16 Nisan 2022

Jukac dedi:
Peki, Linux'da güvende olduğumuz nereden belli? Belki de geliştirici arkaya telemetri gibi bir hizmet attı, bunu nereden bilebiliriz?

GitHub - torvalds/linux: Linux kernel source tree

Linux kernel source tree. Contribute to torvalds/linux development by creating an account on GitHub.

github.com

The Linux Kernel documentation — The Linux Kernel documentation

Kaynak açık; istediğiniz gibi inceleyebilir, forklayabilirsiniz. Gerekli koşulları sağlayarak commit ekleyebilir ve geliştirilmesine katkıda bulunabilirsiniz.

Jukac dedi:
Mesela Microsoft'un veri sızıntısı ortaya çıkarsa; muhattabımız belli, cezayı yiyecek adamlar belli,

Değil, böyle bir durumda hiçbir taraf ceza yemez. Kullanıcı bilinci oluşmadıkça böyle bir durumdan korunmak mümkün değil.

Jukac dedi:
Peki Linux'da böyle bir şey ortaya çıkarsa muhattabımız kim?

Linux Foundation, commitleri inceliyor ve zararlı eklemelere karşı gözetiyor.

Jukac dedi:
Hatta bir sıkıntı durumunda Windows'da muhattabımız koskoca Microsoft iken Linux'da 10-15 kişilik küçük bir grup mu?

Siz çok yanlış anlamışsınız, topluluk hiç de küçük değil, sadece kernel'e katkı bulunanlar aşağıda. Şimdi düşünün, Windows kaynak koduna kaç kişinin erişimi var? Bu sayının yanına bile yaklaşamaz. Bir güvenlik açığını saptayacak ve düzeltecek devasa bir topluluk var burada. Windows'taysa kaynak koduna kısıtlı sayıda kişinin erişimi bulunuyor. Sürekli güvenlik açıkları exploitleniyor, milyonlarca kişi zarar görüyor. Hangisi daha güvenli?

acv · 16 Nisan 2022

CoffeeCake_AoE dedi:
Kernel açık kaynak, böyle birşey olsaydı tespit edilirdi. Hem zamanında minessota üniversitesini banlamışlardı projeden backdoor yaratmaya çalışmaktan.

Kasıtlı olarak backdoor eklemeyi denediler ve commitleri kabul edildikten sonra böyle bir deney uyguladıklarını itiraf ettiklerinde banlandılar, evet

Demem o ki her kodu kendin okumadığın sürece birilerine bel bağlamış oluyorsun. Yine de her şey ortada olduğu için tek bir karar mekanizması yok. 5 yıl önce eklenen bir kodu bugün herhangi biri okumaya karar verip sorun olup olmadığına karar verebilir.

egoistpizza dedi:
Sürekli güvenlik açıkları exploitleniyor, milyonlarca kişi zarar görüyor. Hangisi daha güvenli?

Tam tersine Linux çekirdeğinin durumu tam olarak bu. Exploit mitigasyonlarında geriden geliyor, mimari güvenlik zafiyetleri sadece bir bug olarak görülüyor Linux tarafında.

egoistpizza · 16 Nisan 2022

acv dedi:
Kasıtlı olarak backdoor eklemeyi denediler ve commitleri kabul edildikten sonra böyle bir deney uyguladıklarını itiraf ettiklerinde banlandılar, evet

Demem o ki her kodu kendin okumadığın sürece birilerine bel bağlamış oluyorsun. Yine de her şey ortada olduğu için tek bir karar mekanizması yok. 5 yıl önce eklenen bir kodu bugün herhangi biri okumaya karar verip sorun olup olmadığına karar verebilir.

Bu sözde "araştırma"ya ne kadar sert tepki verildiğini biliyorsunuzdur diye düşünüyorum. Kurum süresiz olarak erişim hakkını kaybetti ve geçmişte eklediği bütün commit'ler incelenmek üzere kaldırıldı. Brad Spengler bile bu kararın aşırı olduğunu ve büyük bir iş yükü oluşturacağını savundu:

Araştırma tarafındansa şöyle bir açıklama geldi:

Ayrıca bir SSS yayınladılar.

Olayın arka planı da çok derin.

Kısacası, "araştırma" amacıyla dahi Linux kerneline yapılan zararlı eklemeler sert bir şekilde cezalandırılır. Yapılan bütün eklemeler kaldırıldı ve tek tek incelendi. Böyle bir hassasiyeti herhangi farklı bir toplulukta karşılayamazsınız.

acv dedi:
Tam tersine Linux çekirdeğinin durumu tam olarak bu. Exploit mitigasyonlarında geriden geliyor, mimari güvenlik zafiyetleri sadece bir bug olarak görülüyor Linux tarafında.

Böyle bir durum mevcut değil. Saptanan bir zafiyet mail ağıyla aynı anda birçok geliştirici ekibe bildiriliyor ve en kısa zamanda düzeltiliyor.

gen2 · 16 Nisan 2022

Guvenli isletim sistemi diye bir sey yoktur aslinda. Linux transparan olmasiyla guvenlik aciklarinin tespit edilmesinde ve kapatilmasinda daha pratiktir.

acv · 16 Nisan 2022

@egoistpizza sert tepki verilmedi demedim ki. "İtiraf" ettikten sonra tepki gördüler. Commit kabul edilmişti halbuki.

egoistpizza dedi:
Böyle bir durum mevcut değil.

Bu durum gayet de mevcut. Linux çekirdeği uyumluluk ve performans adına güvenlikten feragat edilen, güvenliği arttırmaya yönelik değişikliklerin upstream'den aynı sebeple reddedildiği bir proje. Bugünlerde de güvenlik açıklarını gizli saklı patchlediklerini duydum. Altta eklediğim kaynakları okuyabilirsin.

egoistpizza dedi:
Saptanan bir zafiyet mail ağıyla aynı anda birçok geliştirici ekibe bildiriliyor ve en kısa zamanda düzeltiliyor.

Yani aklı başında her firma veya topluluğun yapacağı gibi...

Kernel Self Protection Project - Linux Kernel Security Subsystem

kernsec.org

Linux | Madaidan's Insecurities

Fixing the Desktop Linux Security Model

Fixing the Desktop Linux Security Model Whonix is a security, privacy and anonymity focused Linux distribution. Recently, we’ve been focusing a lot on important security hardening measures and fixing architectural security issues within the desktop Linux security model. Any Linux distribution...

forums.whonix.org

Brad Spengler (PaX Team/grsecurity) interview @ Slo-Tech

slo-tech.com

Google slams Linux kernel, says it needs major security investment

Downstream vendors should allocate more resources to the upstream kernel, suggests Google

www.techradar.com

Unsafe at any clock speed: Linux kernel security needs a rethink

Ars reports from the Linux Security Summit—and finds much work that needs to be done.

arstechnica.com

mjg59 | Why improving kernel security is important

mjg59.dreamwidth.org

https://grsecurity.net/~spender/interview_notes.txt

The Linux Security Circus: On GUI isolation

There certainly is one thing that most Linux users don't realize about their Linux systems... this is the lack of GUI-level isolation, and ...

theinvisiblethings.blogspot.com

egoistpizza · 16 Nisan 2022

@acv commit'in kabul edilmediğini iddia etmedim, sadece tek bir commit yüzünden toplam 258 farklı commit inceleme altına alındı ve kalıcı yasaklama getirildi. Bu sistem güvenliğine verilen önemi yeterince açıklıyor.

acv dedi:
Bu durum gayet de mevcut. Linux çekirdeği uyumluluk ve performans adına güvenlikten feragat edilen, güvenliği arttırmaya yönelik değişikliklerin upstream'den aynı sebeple reddedildiği bir proje. Bugünlerde de güvenlik açıklarını gizli saklı patchlediklerini duydum. Altta eklediğim kaynakları okuyabilirsin.

"gizli saklı patchlemek" kavramı güldürdü. Linux, BSD kadar kapalı bir sistem değildir. Performansla güvenlik arasındaki dengeyi sağlamayı amaçlar ve pek tabi başarır da. Güvenlikten feragat edilmesi söz konusu değil.

Linux kernelindeki gözetmen ekip gönüllülerden oluşuyor, bu insanlar aynı zamanda günlük hayatlarında tam zamanlı olarak çalışıyorlar. Commitler hakkında geniş çaplı bir araştırma yapılması mümkün değil fakat bu her isteyenin kolayca zararlı ekleyebileceği anlamına gelmiyor. Yukarıda sözü edilen araştırma 2 doktora öğrencisi ve 1 yardımcı doçent tarafından yürütülmüş.

Kaynaklar bilinen sorunlardan bahsetmiş, sondaki video zaten FOSDEM 2017'den bir alıntı:

https://archive.fosdem.org/2017/schedule/event/linux_desktop_versus_windows10/attachments/slides/1730/export/events/attachments/linux_desktop_versus_windows10/slides/1730/fosdem_linux_desktop_security.pdf

Kernel vulnerability'lerine bu kadar takıntılı ve düzeltmek için organize bir topluluğun bulunması ise takdire şayan. Bu açıkların bulunup gözler önüne serilmesi sistemin bloated olduğu anlamına gelmiyor, bunları düzeltmek adına bir hareket olduğu anlamına geliyor. Çoğu güvenlik açığı exploitlenmeden tespit ediliyor ve hiçbirinden aşağıdaki kadar büyük çapta problemler çıkmadı.

Linux'da güvende olduğunuzdan nasıl emin olabiliyorsunuz?

Jukac

Kilopat

Bogazitchy

Kilopat

433815

Hectopat

CoffeeCake_AoE

Kilopat

egoistpizza

Hectopat

GitHub - torvalds/linux: Linux kernel source tree

acv

Gigapat

egoistpizza

Hectopat

gen2

Gigapat

acv

Gigapat

Kernel Self Protection Project - Linux Kernel Security Subsystem

Fixing the Desktop Linux Security Model

Brad Spengler (PaX Team/grsecurity) interview @ Slo-Tech

Google slams Linux kernel, says it needs major security investment

Unsafe at any clock speed: Linux kernel security needs a rethink

mjg59 | Why improving kernel security is important

The Linux Security Circus: On GUI isolation

egoistpizza

Hectopat

EternalBlue - Wikipedia

BlueKeep - Wikipedia

Sasser (computer worm) - Wikipedia

Welchia - Wikipedia

CIH (computer virus) - Wikipedia

Jigsaw (ransomware) - Wikipedia

Ryuk (ransomware) - Wikipedia

Blaster (computer worm) - Wikipedia

Petya and NotPetya - Wikipedia