Разработчики: ядро Linux слишком «дырявое», его нужно переписать с нуля

Почему в Linux так много «дыр»

Сообществу разработчиков ядра Linux не хватает специалистов, чтобы вовремя устранять найденные в нем уязвимости. Как сообщил The Register, на эту проблему обратил внимание программист Кис Кук (Kees Cook) из Google Security Team, принимающий непосредственное участие в развитии Linux.

По словам Кука, каждую неделю программисты готовят приблизительно по 100 новых исправлений для ядра, но сил тех, кто их проверяет, попросту не хватает, чтобы протестировать каждое из них. Кук утверждает, что из-за этого разработчики отбирают только самые важные из них, притом руководствуются они исключительно собственными критериями «важности» таких патчей.

Кук подчеркнул, что из-за нехватки специалистов многие проблемы ядра попросту игнорируются. По его подсчетам, на разбор еженедельных 100 исправлений требуется, по меньшей мере, 100 специалистов.

Кис Кук заявил, что большая часть инженеров, в настоящее время занятых развитием ядра Linux, работают в различных компаниях. Он призвал руководителей этих компаний нанимать больше инженеров, чтобы у разработчиков появилось больше времени на Linux.

Кис Кук объяснил свой призыв к найму большего числа инженеров тем, что из-за сложившейся вокруг ядра Linux ситуации многие уязвимости могут находиться в нем годами. Пока разработчики латают одну брешь, другая теряется в строчках кода.

В словах Кука есть внушительная доля правды. В ядре Linux постоянно обнаруживаются «дыры» в возрасте нескольких лет, многие из которых несут чрезвычайную опасность как для частных пользователей, так и для корпораций.

Например, в ноябре 2017 г. CNews рассказывал о том, как россиянин Антон Коновалов всего за несколько месяцев выловил в коде ядра Linux, по меньшей мере, 15 багов в драйверах USB. Он подчеркнул, что такие уязвимости можно использовать для запуска произвольного кода и захвата контроля над пользовательскими системами.

В июле 2021 г. эксперты по информационной безопасности компании Qualys нашли в ядре уязвимости с зашкаливающим уровнем опасности. Они позволяют вызвать крах системы и выполнить произвольный код. И если в случае «дыр», выявленных Антоном Коноваловым их возраст не был установлен, то находкам Qualys совсем недавно исполнилось шесть и семь лет.

Более того, одну из этих уязвимостей они нашли, успешно проэксплуатировав вторую. Из-за них под угрозой оказались пользователи Debian, Ubuntu, Red Hat и целого ряда других популярных дистрибутивов Linux.

Проблему с бесчисленным количеством уязвимостей в Linux Кис Кук частично связывает и с языком программирования С, самым популярным в мире (статистика Tiobe на июль 2021 г.). «Linux, написанный на C, по-прежнему будет иметь длинный хвост проблем», – подчеркнул Кук, добавив, что Linux следовало бы писать на «более безопасных» языках.

В качестве примера Кук привел язык Rust. Как CNews, согласно опросу Stack Overflow, большинство программистов называют его своим самым любимым языком. К тому же, он очень нравится и киберпреступникам.

Также Кук считает неправильным нынешний алгоритм поиска уязвимостей в коде ядра. Программисты задействуют базу данных Mitre CVE (Common Vulnerabilities and Exposures), используя ее для оценки опасности существующих уязвимостей. Кук уверен, что она совершенно не годится для решения этой задачи, поскольку, с его слов, «не всем уязвимостям присваиваются CVE-метки, и к тому же они назначаются несвоевременно».

Кис Кук уверен, что наращивание числа программистов, располагающих временем на тестирование исправлений к ядру Linux, в корне исправит ситуацию. В качестве примера он привел использование инструмента фаззинга Syzkaller, который позволяет выявить почти 1000 потенциальных проблем, в настоящее время имеющихся в ядре Linux. Разработчики в своем нынешнем количестве способны устранить порядка 400 «дыр» в год. При этом в ядре постоянно появляются новые уязвимости.

Кук предложил не только нанимать больше инженеров и переписать ядро Linux с использованием Rust. Он также рекомендует отказаться от нынешнего процесса разработки ядра, в основе которого лежит чтение и написание программистами десятков электронных писем с исправлениями и комментариями. На горы электронных писем, как CNews, еще в июле 2020 г. жаловался и сам Линус Торвальдс (Linus Torvalds), создатель Linux.

Кис Кук также ратует за внедрение более автоматизированного тестирования и фаззинга. Он утверждает, что все предложенное им сделает разработку ядра «более эффективным».

Эльяс Касми

В опенсорсном «убийце» Google Docs найден способ кражи аккаунтов и документов

Гигантские «дыры» в Linux вызывают крах системы и позволяют запускать любой код. Под угрозой Debian, Ubuntu, Red Hat

Linux перестанет работать на ПК со старыми жесткими дисками

Мир перевернулся. Microsoft выпустила собственный Linux

Популярный бесплатный аудиоредактор «стучит» на пользователей российским силовикам. Сообщество разработчиков в бешенстве

Выпущена бесплатная файловая система для параноиков, которые не доверяют облачным провайдерам

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Подобрать выделенный сервер

От 1499 руб./месяц

Подобрать виртуальный сервер

От 30 руб./месяц

Валерий Лутошкин

директор департамента сетевых решений компании STEP LOGIC

На что государство тратит десятки миллионов рублей?