Nork idazten ditu akatsak? Kerneleko 125.000 ahultasunei begirada sakonagoa

Azpiegitura digitalak gure bizitzaren ia alderdi guztiak babesten dituen garai honetan, gure sistemen muinaren beraren segurtasuna —sistema eragilearen nukleoa— funtsezkoa da. Linux nukleoaren 125.000 ahultasun baino gehiago aztertzen dituen azken ikerketa integral batek aurrekaririk gabeko argia eman du segurtasun akats kritiko horien jatorriari buruz. Aurkikuntzak errua sinplistatik haratago doan kontakizun konplexua erakusten du, oinarri teknologiko sendoak eta seguruak eraikitzen ahalegintzen diren enpresei ikuspegi erabakigarriak eskainiz. ### Akatsaren iturria: Agerpen harrigarria Ohiko jakituriak iradoki dezake segurtasun ahultasun gehienak esperientziarik gabeko garatzaileek edo aktore gaiztoek sartu dituztela. Hala ere, datuek beste istorio bat kontatzen dute. Nukleoko akatsen gehiengoa —% 60 gutxi gorabehera— ez dute kodetzaile hasiberriek sartu, garatzaile senior esperientziadunek baizik. Nukleoaren arkitektura korapilatsuaren ulermen sakona duten pertsonak dira, ezaugarri konplexuak eta errendimendu optimizazioak ezartzeaz arduratzen direnak. Nukleoa hobetzeko gai bihurtzen dituen esperientziak ere akats sotilak eta eragin handikoak egiteko aukera ematen die. Paradoxa honek nabarmentzen du konplexutasuna, ez gaitasun eza, segurtasunaren aurkari nagusia dela. Berrikuntzaren eta eraginkortasunaren bila etengabean, aditu onduenek ere, nahi gabe, armadura digitalean zirrikitutxoak sor ditzakete. ### Ahultasunaren izaera: oroimen-arazoak dira nagusi Ahultasun mota zehatzetan sakontzeak erronka iraunkor eta ezaguna azaleratzen du. Memoriaren segurtasun-urratzeek nukleoaren segurtasun-akatsen paisaian nagusitzen jarraitzen dute. Erabilera-ondoren erroreak, buffer-a gainezkatzea eta mugaz kanpoko sarbidea bezalako arazoek salatutako CVE guztien zati handi bat dira (Ahultasun eta Esposizio Ohiko). Errore hauek kernelak memoria gaizki kudeatzen duenean gertatzen dira, erasotzaileei kode arbitrarioa exekutatzeko edo sistema hutsegitea ahalbidetuz. Arazo hauen prebalentziak C bezalako programazio-lengoaiak erabiltzearen berezko arriskuak azpimarratzen ditu, maila baxuko kontrol indartsua eskaintzen dutenak baina memoriaren kudeaketa zorrotzaren zama garatzaileari zuzenean jartzen diotenak. Aurkikuntza honek gogorarazten du oinarrizko software osagaiek, indartsuak izan arren, gainbegiratze zorrotza eskatzen duten berezko konplexutasunak dituztela. ### Segurtasunaren bilakaera: Aurrerapenaren kronograma Azterketak luzetarako ikuspegia ere eman zuen, kernelaren segurtasun jarrera nola eboluzionatu den agerian utziz. Joera nagusiak hauek dira: * **Aurkikuntzan gorakada bat:** Aurkitutako ahultasunen kopurua izugarri handitu da azken hamarkadan. Hau ez da nahitaez kodearen kalitatearen beherakadaren adierazle; aitzitik, segurtasun-kontzientzia areagotua, analisi automatikoko tresna sofistikatuagoak eta akatsak aurkitzeko eta konpontzeko komunitatearen ahalegin dedikatuagoak islatzen ditu. * **Adabakien paradoxa:** Zaurgarritasun-aurkikuntza-tasak gora egin duen arren, arazo hauek konpontzeko denbora nabarmen murriztu da. Kode irekiko komunitatearen lankidetza-eredua eraginkorra izan da adabakiak azkar garatzeko eta zabaltzeko ahultasun bat identifikatu ondoren. * **Lehentasunak aldatzea:** Datuek kernel-komunitatean segurtasun-adabakiak lehenesteko ahalegin kontzientea erakusten dute, askotan eginbide berrien garapenaren aurrean, gero eta handiagoa den mehatxuen panoramari erantzun heldua erakutsiz. > "Datuek argi erakusten dute konplexutasuna segurtasunaren etsaia dela. Eskarmentu handieneko garatzaileek ere, sistema oso konplexuetan lan egiten dutenean, akatsak egingo dituzte. Gakoa da akats horiek aurreikusten eta arintzen dituzten prozesuak eraikitzea". — Kerneleko segurtasun ikertzailea ### Kerneletik haratago: Enpresa-fundazio erresistentea eraikitzea Enpresentzat, aurkikuntza hauek akademikoak baino gehiago dira; ekintzarako deia dira. Jada ez da nahikoa azpiko osagaien segurtasunean soilik fidatzea. Segurtasun estrategia proaktiboa eta geruzatua ezinbestekoa da. Hemen **Mewayz** bezalako plataforma operatibo moderno bat kritiko bihurtzen da. OS kernel bera ez den arren, **Mewayz** ingurune egituratu eta modularra eskaintzen du negozio-fluxuak eraikitzeko. Integrazio konplexuak abstraituz eta prozesu estandarizatuz, **Mewayz** bezalako plataforma batek negozioaren software pertsonalizatuaren "eraso azalera" murriztu dezake. Erakundeei beren balio bakarrean zentratzea ahalbidetzen die oinarrizko elementu kaltegarriak berrasmatu gabe —eta agian gaizki konfiguratu gabe. Nukleoaren azterketak sistema konplexuetan akatsak saihestezinak direla irakasten digu; beraz, erresilientzia ez da akatsik ez egoteak zehazten, baizik eta horiek modu eraginkorrean kudeatzeko, arintzeko eta haiei erantzuteko gaitasunak. Plataforma operatibo egonkor eta ongi diseinatutako bat aukeratzea erresilientzia hori eraikitzeko oinarrizko urratsa da. Nukleoko 125.000 ahultasunetatik zehar egindako bidaiak, azken batean, giza asmamenari eta bere mugei buruzko istorio bat erakusten du. Interkonektatutako gure munduan segurtasuna partekatutako erantzukizuna dela frogatzen du, nukleoko garatzaile seniorretik bere konpainiaren software operatiboa hautatzen duen negozio liderra arte. Akatsak nondik datozen ulertzea da guztiontzako etorkizun seguruago bat eraikitzeko lehen urratsa.

Ohiko galderak

Zeintzuk dira Linux nukleoaren 125.000 ahultasunen azterketaren aurkikuntza nagusiak?

Ikerketak agerian utzi du nukleoaren ahultasunen zati handi bat kodearen ekarpenaren prozesutik bertatik datorrela, eta garatzaileek noizean behin segurtasun-akatsak sartzen dituzte akatsak konpontzen edo eginbideak gehitzen dituzten bitartean. Ikertzaileek aurkitu zuten gutxi gorabehera ahultasunen % 30 arazo berriak sortzen zituzten "konponketetatik" zetozela, kode segurua mantentzearen konplexutasuna nabarmenduz. Analisiak ahultasunak nukleoaren azpisistema desberdinetan nola hedatzen diren ereduak ere identifikatu zituen, batez ere gailu kontrolatzaileetan eta sareko kodean. Datu horrek zalantzan jartzen du kode zaharragoa berez ahulagoa den ideia, eta erakusten du azken gehiketak berdin-berdin arazotsuak izan daitezkeela.

Nor da kernelaren ahultasun gehienen arduraduna ikerketaren arabera?

Ikerketek adierazten dute erantzukizuna ez dela talde txiki batean kontzentratzen. Horren ordez, ahultasunak kolaboratzaile ugarirengandik datoz, garatzaile nagusietatik hasi eta laguntzaile berrietaraino. Dena den, ikerketak ikusi zuen talde espezifikoek mantendutako zenbait azpisistemak ahultasun-tasa handiagoak erakusten zituztela. Horrek iradokitzen du antolakuntza-faktoreek —berrikuspen prozesuak, dokumentazioaren kalitatea eta talde-lan-karga barne— rol garrantzitsuak betetzen dituztela. Interesgarria da, nukleoaren ekarpen-historia duten hamarkadetako esperientziadun garatzaileek ere ahultasunetan laguntzen dutela, azpimarratuz esperientziak bakarrik ez dituela segurtasun-akatsak eragozten.

Zer ondorio ditu ikerketa honek enpresen segurtasuneko profesionalentzat?

Enpresen segurtasuneko profesionalentzat, aurkikuntza hauek geruzetako segurtasun ikuspegien garrantzia azpimarratzen dute. Erakundeek ezin dute saltzaileen adabakietan soilik fidatu; Mewayz bezalako exekuzio-denbora babesteko irtenbideak ezarri behar dituzte, kernel mailan portaera anormalak kontrolatzen dituztenak. Datuek iradokitzen dute ahultasunen kudeaketa tradizionalak, CVE ezagunetan oinarritzen dena, sortzen ari diren mehatxuak galdu ditzakeela. Enpresek sistema-mailako jarduerei ikusgarritasuna ematen dieten soluzioak lehenetsi beharko lituzkete eta adabakiak erabilgarri egon aurretik zero-eguneko ustiapenak hauteman ditzaketenak, bereziki Mewayz bezalako zerbitzuen bidez eskuragarri dauden mehatxuak hautemateko modulu aurreratuak erabiliz.

Nola babestu ditzakete erakundeek kernelaren ahultasunetatik aurkikuntza hauek ikusita?

Erakundeek alderdi anitzeko estrategia bat hartu beharko lukete: lehenik eta behin, mantendu adabakien kudeaketa diziplina zorrotza nukleoaren segurtasun-eguneratzeak berehala aplikatuz. Bigarrenik, inplementatu nukleoaren eragiketak kontrolatzen dituen exekuzio-denborako babesa jarduera susmagarrien bila. Hirugarrenik, kontuan hartu Mewayz bezalako soluzioak, mehatxuak hautemateko 207 modulu espezializatuak kernel mailako erasoak identifikatzeko bereziki diseinatuta. Erakundeek beharko lukete