Преди няколко дни публикувахме новината за публикуван доклад за загрижеността на много компании pили надеждността на отворения код и сега DARPA, изследователският отдел на американската армия, даде да се разбере, че е „загрижен за надеждността на отворения код“ и казва, че иска да разбере най-важната технологична екосистема на планетата, която според някои анализатори е далеч- извлечени казват, че отвореният код работи на всеки компютър на планетата и поддържа функционирането на критична инфраструктура.
От нов доклад от охранителна фирма за разработчици Snyk и Linux Foundation, 41% от компаниите нямат висока степен на доверие в сигурността на своя софтуер с отворен код и широкото им използване крие значителни рискове. Голяма част от днешната модерна цивилизация разчита на непрекъснато разширяващ се набор от отворен код, защото спестява пари, привлича таланти и улеснява много задачи.
„Чакай малко, буквално всичко, което правим, работи на Linux“, казва Дейв Айтел, изследовател по киберсигурност и бивш учен по компютърна сигурност на NSA. „Хората осъзнават сега“, казва той. „Не е преувеличено да се каже, че всички са базирани на Linux ядрото, въпреки че повечето хора никога не са чували за него. »
„Софтуерните разработчици днес имат свои собствени вериги за доставки. Вместо да сглобяват автомобилни части, те сглобяват код, като обединяват съществуващи компоненти с отворен код с техния уникален код. Въпреки че това води до повишена производителност и иновации, то също така създаде значителни проблеми със сигурността“, каза Мат Джарвис, директор за връзки с разработчиците в Snyk.
Ядрото на Linux е една от първите програми, които се зареждат, когато повечето компютри са включени. Той позволява на хардуера на машината да взаимодейства със софтуера, управлява използването на ресурси и формира основата на операционната система. Той е градивният елемент на почти всички облачни изчисления, почти всички суперкомпютри, целия Интернет на нещата, милиарди смартфони и др.
Pero ядрото също е с отворен код, като това означава, че всеки може да пише, чете и използва вашия код. И това сериозно тревожи някои експерти по киберсигурност. Неговата природа с отворен код означава, че ядрото на Linux, заедно с множество друг критичен софтуер с отворен код, е отворено за враждебна манипулация по начини, които все още едва разбираме.
Въпреки че е вярно, че това е основна технология за нашето общество, не по-малко вярно е, че като се има предвид горното, неразбирането на сигурността на ядрото означава, че не можем да осигурим критични инфраструктури. днес, DARPA иска да разбере сблъсъка между код и общност, който кара тези проекти с отворен код да работят, за да разберат по-добре рисковете, пред които са изправени.
Целта е да можете ефективно да разпознавате злонамерени участници и да им попречите да разрушат или повредят кода с отворен код. критично важно, преди да е станало твърде късно. Програмата SocialCyber на DARPA е 18-месечен многомилионен проект, който ще съчетае социологията с последните технологични постижения в областта на изкуствения интелект, за да картографира, разбере и защити огромната общност на свободен софтуер и кода, който те създават.
Този проект е различен от повечето предишни изследвания, защото съчетава автоматизиран анализ на код и социалните измерения на безплатния софтуер.
DARPA е наела няколко екипа, включително малки семинари за изследване на киберсигурността със задълбочени технически умения. Един такъв изпълнител е базираната в Ню Йорк Margin Research, която е събрала екип от високо уважавани изследователи За домашното. Margin Research се фокусира върху ядрото на Linux отчасти защото е толкова голям и толкова критичен, че успехът тук в този мащаб означава успех навсякъде другаде.
Целта е да се анализират кодът и общността, за да се визуализира и разбере цялата екосистема.. Маржиналната работа помага да се определи кой работи върху какви конкретни части от проектите за безплатен софтуер. Например Huawei в момента е най-големият участник в ядрото на Linux. Друг сътрудник работи за Positive Technologies, руска компания за киберсигурност, която подобно на Huawei е била санкционирана от правителството на САЩ, казва Аител. Margin също картографира код, написан от служители на NSA, много от които участват в различни проекти с отворен код.
„Тази тема ме вълнува“, казва Антоан за стремежа за по-добро разбиране на движението за отворен код, „защото честно казано, дори най-простите неща изглеждат толкова нови за толкова много важни хора. Правителството току-що осъзна, че нашата критична инфраструктура използва код, който буквално може да бъде написан от санкционирани лица. Точно сега."
За да направят това, изследователите ще използват инструменти като анализ на настроенията, за да анализират социалните взаимодействия в общности с отворен код, като пощенския списък на ядрото на Linux, който трябва да помогне да се идентифицира кой е положителен или конструктивен и кой е отрицателен и разрушителен.
Изследователите те искат да знаят какви видове събития и поведение могат да нарушат или навредят общности за свободен софтуер, кои членове заслужават доверие и дали има определени групи, които изискват засилено наблюдение. Тези отговори са задължително субективни. Но в момента има няколко начина да ги намерите.
Fuente: https://www.darpa.mil
Извън полезрението…
Създава се впечатлението, че не им е било позволено да инсталират своите задни вратички в ядрото на Linux и затова ни казват, че Windows и OSX са по-безопасни, защото само компаниите ще знаят какво носят.
Те вече искат да политизират отворения код с политическата си мръсотия и след това да вземат властта да санкционират и покварят кода със своите задни вратички... да се надяваме, че общността няма да позволи това.
В действителност компютърът може да разбере само затворен код и въпреки че кодът е отворен, човекът не може да знае какво се случва по всяко време в RAM паметта и все още има части от RAM, които са недостъпни, така че би довело до нарушение на сегмента.
Отвореният код става затворен код след като бъде компилиран и това е, което накрая се изпълнява... Невъзможно е да се разглоби с пълна прецизност нещо компилирано, например ядрото на Linux... Дори и да можеше, истинският контрол не е в потребителската система, но BIOS.
Ако не могат да го хванат, казват, че е опасно.
Оклеветете, че нещо остава.