Китайские, российские и северокорейские хакеры тайно работают над внедрением бэкдоров и эксплойтов в программное обеспечение с открытым кодом, используемое многочисленными организациями, разработчиками и правительствами по всему миру, к таким выводам пришла компания Strider Technologies, сообщает FCW.
Компания Strider производит впечатление странной, она называет себя «лидером в области стратегической разведки» и снабжает клиентуру сведениями о перспективах их дел в связи с геополитическими рисками. Рискнём утверждать, что публикация про закладки в open source рассчитана исключительно на привлечение внимания (расчёт, как видите, верен – ред.).
По данным Strider, вредоносные вставки в открытый код могут позволить хакерам похитить огромные объёмы конфиденциальных данных у правительств и компаний.
Такая схема вредительства общедоступна. Проекты с открытым исходным кодом, лежащие в основе повсеместно используемых программных систем, зависят от вклада членов сообщества в разработку. Программисты работают под псевдонимами (никами), для агентов самое то.
Strider заявила, что использовала некий ИИ-инструмент для проверки ПО с открытым исходным кодом и выявила ники, связанные с такими странами, как Китай и Россия.
(Отличная методика, известная со времён вьетнамской войны: «Ли Си Цын, прикрой, атакую! Ли Си Цын! Лисицын!!!» – ред.)
Буквально так. Вот один из разработчиков, «as-suvorov», ранее (якобы – ред.) работал в MFI Soft, компании-разработчике программного обеспечения, на которую США наложили санкции за её «связь с разработкой оборудования и программного обеспечения, используемого для сбора российской разведывательной информации».
Под подозрением у Strider находится treelib – популярный пакет программ на Python, используемый для создания структур данных и визуальных представлений с древовидными диаграммами, которые помогают объяснять связанную информацию (генеалогические древа, как вариант). Этот пакет на GitHub к моменту публикации результатов Strider скачали около 878 тысяч раз. Владелец репозитория treelib, некий «Chen», внёс в пакет 154 вклада, т.е. фрагмента кода. С 2022 года Чэнь работает в Alibaba Cloud, китайской компании облачных вычислений, «известной сотрудничеством с государственными оборонными конгломератами и передачей уязвимостей кода в базу данных китайской правительственной разведки». То, что «Chen» в Китай всё равно что «Joe» в США, Strider не смущает, и расследование продолжается: «Chen» работает в такой-то компании, связанной, разумеется, с правительством, имеет докторскую степень университете, который вовсю сотрудничает с китайской оборонкой, и т.д.
От редакции: если в «исследовании» столько места уделяется отдельно взятому примеру, то этот пример, будь он абсолютно достоверен, часто маскирует недостаточность доказательств существования изучаемого явления как такового.
Польза от публикации Strider тем не менее есть. Она даёт повод вспомнить, что открытый свободно распространяемый исходный код и в самом деле небезопасен, причём в первую очередь опасность угрожает нашей стране. Напомним слова нашего эксперта, основателя и руководителя DZ Systems Дмитрия Завалишина: «Бездумно опираться на поступающие из Интернета обновления опенсорсных частей коммерческого решения значит находиться в постоянном риске. Представьте, что пара органов вашего организма доступна вам дистанционно, и вы точно не знаете, что с ними происходит. Так и с СПО (свободное ПО – ред.) – любое поступление обновлений должно контролироваться весьма серьёзным образом. Это подразумевает детально проработанную и строго поддерживаемую архитектуру тестирования решения в целом и его компонент по отдельности. Мысль кажется очевидной, но по факту далеко не все проекты могут похвастаться хотя бы 50% покрытия кода тестами».
См. также:
- Что такое СПО >>>
- Актуальные ИБ-угрозы национального масштаба – данные «Ростелекома» >>>
- Удачная попытка включить в реестр отечественного ПО AOSP-систему встретила противодействие >>>
- США озаботились безопасностью ПО с открытым исходным кодом >>>
- СПО – спекулировать, планировать, отлынивать >>>
- Исключительно для русских >>>
- Об ограничениях на доступ к открытым исходным кодам для программистов из РФ – эксперты >>>
- СПО-войны. Эпизод N >>>
