Samo Za Pravna Lica

Protestni softver otvorenog koda izaziva zabrinutost za bezbednost

Protestni softver otvorenog koda izaziva zabrinutost za bezbednost

U svetu šifrovanih telefona, kupci i konkurenti često govore o platformama otvorenog koda. Postoji zabluda da je svaka aplikacija koja nije izgrađena na open-source kodiranju nekako inferiorna ili da joj se ne može verovati.

Ova percepcija će se uskoro promeniti. Najnovije vesti o sajber bezbednosti dolaze sa prvih linija hakerskog rivalstva, koje se zahuktava kako se sukob Rusije i Ukrajine nastavlja. Ovo je priča o pogrešnom pokušaju da se podrži mirno rešavanje rata hakovanjem otvorenog koda.

Razrađena šema izdvojila je geolokaciju za Rusiju i Belorusiju u najvećem registru softvera na svetu, Node Package Manager, koji sadrži preko 800.000 paketa koda.

Pogrešna poruka mira

Programer otvorenog koda Interprocess Communication, koji održava oko 40 NPM biblioteka, odlučio je da protestuje protiv napada na Ukrajinu pisanjem novog koda za NPM paket koji se zove mirovni rat. Zatim ga je objavio na Githubu, napominjući: „Ovaj kod služi kao nedestruktivni primer zašto je kontrola vaših čvornih modula važna. Takođe služi i kao nenasilni protest protiv ruske agresije koja sada preti svetu. Ovaj modul će dodati poruku mira na radne površine vaših korisnika, a to će učiniti samo ako već ne postoji samo da bi bio ljubazan.”

Prošla je sedmica bez preuzimanja mirovnog modula.

Eskalirani događaj

Kako je programer bio i održavalac popularnog node-IPC-a, on je ubacio zlonamerni kod u paket; dodavanje funkcije za identifikaciju IP adrese na ciljnim računarima u Belorusiji i Rusiji. Ovo bi uticalo na programere koji koriste node-IPC u svojim projektima.

Zlonamerni kod je dizajniran da obriše datoteke na ciljnim računarima sa IP adresom i zameni ih emotikonom srca. Napad je potisnut ažuriranjem. Više od milion preuzimanja drugih biblioteka otvorenog koda, koristeći node-IPC aplikaciju, obavlja se nedeljno.

Za perspektivu, zamislite da je ažuriranje OS napravljeno da namerno izbriše datoteke na vašem računaru.

Novo skovani termin za ovu vrstu napada malvera je Protestvare.

Implikacije za softver otvorenog koda

Istraživač u Snik-u, bezbednosnoj kompaniji koja je pratila promene kodiranja i objavila incident, pozvao je autora node-IPC-a rukom kada je kritikovao odluku o pokretanju napada.

„Čak i ako neki namerni i opasni čin održavaoca RIAEvangelista budu doživljeni kao legitiman čin protesta, kako se to odražava na buduću reputaciju održavaoca i udeo u zajednici programera?“ U stvari, protest je razbesneo mnoge otvorene- korisnika izvornog koda i oglasio se alarmom o bezbednosti slobodnog softvera koji svako može da pregleda, modifikuje i poboljša.Stručnjaci prate druga ažuriranja protestnog softvera protiv ruske agresije u Ukrajini.

Drugi incidenti vredni pažnje

Još 2010. godine, kada su hakeri poremetili otvoreni kod za Gugl i druge kompanije, potencijal da se internet zatroje zlonamernošću bila je prava pretnja. Besplatan softver otvorenog koda je lakše hakovati jer je dostupan javnosti. Internet radi na FOSS-u. Nedavni napad na Log4J skoro je srušio internet.

Još jedan NPM skandal nije bio hak, samo katastrofalan rezultat programera koji je poništio objavljivanje više od 250 modula iz biblioteke. Poznat kao incident sa levom tablom, katastrofa koda iz 2016. razbila je internet, zahtevajući od NPM-a da vrati kod protivno željama programera.

U 2017, istraživač sistemske bezbednosti koji je bio docent na Univerzitetu u Minesoti proučavao je potencijal za ljudske greške i smanjio njihov uticaj kao deo svog većeg obima posla oko bezbednosti, operativnih sistema, analize programa i kompajlera – sa Linuk OS u centru njegovog rada, čiji je osnovni nivo Linuk kernel. Kernel je otvorenog koda, tako da je javno dostupan za pregled i doprinos milionima linija koda.

Dok je pokušavao da demonstrira programerima „kako bi zlonamerni akter mogao da prođe kroz njihovu mrežu“, istraživač je radio sa studentima doktorskih studija na izradi i objavljivanju njihovog rada pod naslovom „O izvodljivosti prikrivenog uvođenja ranjivosti u softver otvorenog koda putem Hipocrite Commits“.

Predložio je teoriju da je neko namerno uveo ranjivosti u jezgro Linuka kao deo legitimne zakrpe za ispravljanje prave greške. Ovaj predlog je zapalio zajednicu i na kraju doveo do toga da je univerzitetu zabranjeno da doprinosi radu Linuk fondacije na neodređeno vreme.

Do napada je došlo zbog činjenice da je rad bio istraživanje sprovedeno na zajednici bez traženja prethodnog odobrenja. Istraživači su tvrdili da nijedna od loših grešaka koje su kreirali za eksperiment nije stigla do Linuk kernela i da su svi njihovi testni slučajevi sa lošim zakrpama povučeni, sa pravim zakrpama zamenjenim. Ali Linuk fondacija tvrdi da je jedna zakrpa iz studije ipak prošla. Iako test na kraju nije naneo nikakvu štetu, univerzitet je kažnjen jer je prešao granicu.

Bez obzira na to, hiljade slabosti otvorenog koda se otkrivaju svake godine i prate u Nacionalnoj bazi podataka o ranjivosti Ministarstva trgovine SAD i ocenjene su kao niske, srednje ili visoke.

Zašto ChatMail koristi vlasnički kod

Prethodni ChatMail blog je napomenuo: „Prelazak na otvoreni kod bi pokazao snagu naše bezbednosti, ali bi mogao da uvede i slabosti.“ Odlučili smo da je najbolji način da pokažemo kvalitet naše privatnosti i šifrovanja podataka, bez otvaranja potencijalnih slabosti, bio da jednostavno dokažemo kako naše šifrovanje funkcioniše tako što ćemo pokazati bazu podataka uređaja i kako su poruke šifrovane u realnom vremenu. Ni u jednom trenutku poruke se nikada ne čuvaju u običnom tekstu.

Najbezbednija enkripcija je veoma bliska otvorenom kodu, pouzdani održavaoci kontrolišu proces ažuriranja i istraživači bezbednosti, a kriptografi verifikuju šifrovanje, koristeći slojeve najjače kriptografije. ChatMail Advanced Messaging and Parsing Protocol je naša ekskluzivna end-to-end enkripcija, obezbeđujući ceo ciklus ChatMail komunikacija, u tranzitu iu mirovanju na našim ojačanim uređajima koristeći našu PGP i Diffie-Hellman eliptičku krivu kriptografiju, sa Curve25519. CAMP uvek štiti privatnost korisnika putem naše najsavremenije šifrovane tehnologije.

Naš CAMP protokol koristi šifre za autentifikaciju poruka zasnovane na heš-u sa 256-bitnim bezbednim algoritmom heširanja, koji se često naziva vojnim nivoom. Toliko je bezbedan da ga američka vlada koristi za zaštitu osetljivih informacija. To je ista autentifikacija koja se koristi u Bitcoin-u. Naša simetrična enkripcija je AES-256 u režimu brojača. Automatska verifikacija se vrši pomoću vašeg javnog ključa identiteta.

Kao što vidite, postoje prednosti i mane korišćenja arhitekture otvorenog koda. Dok javni kodeks održavaju i nadgledaju ljudi širom sveta, koji posmatraju promene i upozoravaju menadžere na rizike i ranjivosti, on je takođe otvoren i za aktere pretnji.

Pravi način korišćenja otvorenog koda

Kombinovanje znanja stečenog od FOSS-a i upravljanje njime u bezbednom, privatnom komunikacionom protokolu sa više algoritama za šifrovanje je superioran pristup. Primena najnovije tehnologije virtuelizacije otvorenog koda i prilagođenih alata za upravljanje unutar prilagođenog servera u privatnom vlasništvu i kojim se upravlja na kraju garantuje sigurnost.

ChatMail. Dizajniran za bezbednost. Dizajniran za privatnost.