For et par dage siden offentliggjorde vi nyheden om en rapport, der blev udgivet om mange virksomheders bekymring seller pålideligheden af open source og nu har DARPA, det amerikanske militærs forskningsarm, gjort det kendt, at det er "bekymret over pålideligheden af open source" og siger, at det ønsker at forstå det vigtigste teknologiske økosystem på planeten, hvilket nogle analytikere mener er overdrevet. open source kører på alle computere på planeten og holder kritisk infrastruktur kørende.
Ved en ny rapport fra sikkerhedsfirma for udviklere Snyk og Linux Foundation, 41% af virksomhederne har ikke en høj grad af tillid til sikkerheden af deres open source-software og udbredt brug udgør betydelige risici. Meget af nutidens moderne civilisation er afhængig af en stadigt voksende mængde af open source, fordi det sparer penge, tiltrækker talenter og gør mange opgaver lettere.
"Vent et øjeblik, bogstaveligt talt alt, hvad vi laver, kører på Linux," siger Dave Aitel, en cybersikkerhedsforsker og tidligere NSA-computersikkerhedsforsker. "Folk er ved det nu," siger han. “Det er ingen overdrivelse at sige, at alle er baseret på Linux-kernen, selvom de fleste aldrig har hørt om det. »
“Softwareudviklere har i dag deres egne forsyningskæder. I stedet for at samle bildele, samler de kode ved at flette eksisterende open source-komponenter sammen med deres unikke kode. Selvom dette fører til øget produktivitet og innovation, har det også skabt betydelige sikkerhedsproblemer,” sagde Matt Jarvis, Director of Developer Relations hos Snyk.
Linux-kernen er et af de første programmer, der indlæses, når de fleste computere er tændt. Det tillader maskinens hardware at interagere med softwaren, styrer brugen af ressourcer og danner grundlaget for operativsystemet. Det er byggestenen i næsten al cloud computing, næsten alle supercomputere, hele Internet of Things, milliarder af smartphones og mere.
Pero kernen er også open source, som det betyder, at alle kan skrive, læse og bruge din kode. Og det bekymrer nogle cybersikkerhedseksperter alvorligt. Dens open source-karakter betyder, at Linux-kernen, sammen med et væld af anden kritisk open source-software, er åben for fjendtlig manipulation på måder, vi stadig knap forstår.
Selvom det er rigtigt, at det er en essentiel teknologi for vores samfund, er det ikke mindre sandt, at i betragtning af ovenstående betyder manglende forståelse af kernesikkerhed, at vi ikke kan sikre kritiske infrastrukturer. I dag, DARPA ønsker at forstå kollisionen mellem kode og fællesskab, der får disse open source-projekter til at fungere, for bedre at forstå de risici, de står over for.
Målet er effektivt at kunne genkende ondsindede aktører og forhindre dem i at forstyrre eller korrumpere åben kildekode. kritisk vigtigt, før det er for sent. DARPAs SocialCyber-program er et 18-måneders projekt på flere millioner dollars, der vil kombinere sociologi med nyere teknologiske fremskridt inden for kunstig intelligens for at kortlægge, forstå og beskytte det store frie softwarefællesskab og den kode, de skaber.
Dette projekt adskiller sig fra de fleste tidligere undersøgelser, fordi det kombinerer automatiseret kodeanalyse og de sociale dimensioner af fri software.
DARPA har indgået kontrakt med flere hold, herunder små cybersikkerhedsforskningsworkshops med dybe tekniske færdigheder. En sådan implementer er New York-baserede Margin Research, som har samlet et team af højt respekterede forskere Til hjemmearbejdet. Margin Research fokuserer på Linux-kernen dels fordi det er så stort og så kritisk, at succes her på denne skala betyder, at succes alle andre steder er mulig.
Målet er at analysere både koden og fællesskabet for endelig at visualisere og forstå hele økosystemet.. Marginarbejde hjælper med at bestemme, hvem der arbejder på hvilke specifikke dele af gratis softwareprojekter. For eksempel er Huawei i øjeblikket den største bidragyder til Linux-kernen. En anden bidragyder arbejder for Positive Technologies, et russisk cybersikkerhedsfirma, der ligesom Huawei er blevet sanktioneret af den amerikanske regering, siger Aitel. Margin kortlagde også kode skrevet af NSA-medarbejdere, hvoraf mange er involveret i forskellige open source-projekter.
"Dette emne ophidser mig," siger Antoine om søgen efter bedre at forstå open source-bevægelsen, "fordi helt ærligt, selv de enkleste ting virker så nye for så mange vigtige mennesker. Regeringen indså lige, at vores kritiske infrastruktur bruger kode, der bogstaveligt talt kunne skrives af sanktionerede enheder. Lige nu."
For at gøre dette vil forskerne bruge værktøjer som sentimentanalyse til at analysere sociale interaktioner inden for open source-fællesskaber, såsom Linux-kernens mailingliste, som skal hjælpe med at identificere, hvem der er positiv eller konstruktiv, og hvem der er negativ og destruktiv.
Forskerne de ønsker at vide, hvilke typer begivenheder og adfærd der kan forstyrre eller skade gratis software-fællesskaber, hvilke medlemmer er til at stole på, og om der er særlige grupper, der berettiger øget overvågning. Disse svar er nødvendigvis subjektive. Men lige nu er der få måder at finde dem på.
kilde: https://www.darpa.mil
Ude af syne…
Det giver indtryk af, at de ikke har fået lov til at installere deres bagdøre i Linux-kernen, og det er derfor, de fortæller os, at Windows og OSX er sikrere, fordi kun virksomhederne ved, hvad de har med sig.
De ønsker allerede at politisere open source med deres politiske snavs, og derefter tage magten til at sanktionere og korrumpere koden med deres bagdøre... lad os håbe samfundet ikke tillader dette.
I virkeligheden kan computeren kun forstå lukket kode, og selvom koden er åben, er mennesket ikke i stand til at vide, hvad der hele tiden sker inde i RAM-hukommelsen, og der er stadig dele af RAM'en, der er utilgængelige, så det ville give segmentovertrædelse.
Open source bliver til lukket kildekode efter at være kompileret, og det er det, der til sidst bliver eksekveret... Det er umuligt med total præcision at adskille noget kompileret, for eksempel Linux-kernen... Selvom det kunne, ligger den egentlige kontrol ikke hos brugersystemet, men BIOS.
Hvis de ikke kan få fingrene i det, siger de, at det er farligt.
Ændrer, at der er noget tilbage.