Prije nekoliko dana objavili smo vijest o izvješću koje je objavljeno o koncernu brojnih tvrtki strili pouzdanost otvorenog koda a sada je DARPA, istraživački ogranak američke vojske, dala do znanja da je "zabrinuta za pouzdanost otvorenog koda" i kaže da želi razumjeti najvažniji tehnološki ekosustav na planetu, za koji neki analitičari misle da je daleko- dohvaćeno recimo da otvoreni kod radi na svakom računalu na planetu i održava kritičnu infrastrukturu u radu.
po novo izvješće od sigurnosna tvrtka za programere Snyk i Linux Foundation, 41% tvrtki nema visok stupanj povjerenja u sigurnost svog softvera otvorenog koda a široka uporaba predstavlja značajne rizike. Velik dio današnje moderne civilizacije oslanja se na sve veći broj otvorenog koda jer štedi novac, privlači talente i olakšava mnoge zadatke.
"Čekaj malo, doslovno sve što radimo radi na Linuxu", kaže Dave Aitel, istraživač kibernetičke sigurnosti i bivši znanstvenik NSA-e za računalnu sigurnost. "Ljudi sada shvaćaju", kaže on. “Nije pretjerano reći da se svi temelje na Linux kernelu, iako većina ljudi nikada nije čula za njega. »
“Danas programeri softvera imaju vlastite opskrbne lance. Umjesto sastavljanja dijelova automobila, oni sastavljaju kod spajajući postojeće komponente otvorenog koda sa svojim jedinstvenim kodom. Iako to dovodi do povećane produktivnosti i inovacija, također je stvorilo značajne sigurnosne probleme,” rekao je Matt Jarvis, direktor Odnosa s programerima u Snyku.
Linux kernel je jedan od prvih programa koji se učitava kada je većina računala uključena. Omogućuje interakciju hardvera stroja sa softverom, upravlja korištenjem resursa i čini osnovu operativnog sustava. To je građevni blok gotovo cjelokupnog računalstva u oblaku, gotovo svih superračunala, cijelog Interneta stvari, milijardi pametnih telefona i još mnogo toga.
Pero jezgra je također otvorenog koda, kao to znači da svatko može pisati, čitati i koristiti vaš kod. A to ozbiljno zabrinjava neke stručnjake za kibernetičku sigurnost. Njegova priroda otvorenog koda znači da je jezgra Linuxa, zajedno s mnoštvom drugog kritičnog softvera otvorenog koda, otvorena za neprijateljsku manipulaciju na načine koje još uvijek jedva razumijemo.
Iako je istina da je to ključna tehnologija za naše društvo, ništa manje nije istina da, s obzirom na gore navedeno, nerazumijevanje sigurnosti kernela znači da ne možemo osigurati kritične infrastrukture. Danas, DARPA želi razumjeti koliziju koda i zajednice koja omogućuje funkcioniranje ovih projekata otvorenog koda, kako bi bolje razumjeli rizike s kojima se suočavaju.
Cilj je moći učinkovito prepoznati zlonamjerne aktere i spriječiti ih da ometaju ili kvare otvoreni kod. kritično važno prije nego bude prekasno. DARPA-in program SocialCyber je 18-mjesečni projekt vrijedan više milijuna dolara koji će kombinirati sociologiju s nedavnim tehnološkim napretkom u umjetnoj inteligenciji kako bi se mapirala, razumjela i zaštitila golema zajednica slobodnog softvera i kod koji oni stvaraju.
Ovaj se projekt razlikuje od većine prethodnih istraživanja jer kombinira automatiziranu analizu koda i društvene dimenzije slobodnog softvera.
DARPA je angažirala nekoliko timova, uključujući male istraživačke radionice o kibernetičkoj sigurnosti s dubokim tehničkim vještinama. Jedan takav implementator je Margin Research iz New Yorka, koji je okupio tim visoko cijenjeni istraživači Za domaću zadaću. Margin Research fokusira se na Linux kernel djelomično zato što je tako velik i tako kritičan da uspjeh ovdje na ovoj ljestvici znači uspjeh svugdje drugdje.
Cilj je analizirati i kôd i zajednicu kako bi se konačno vizualizirao i razumio cijeli ekosustav.. Marginalni rad pomaže odrediti tko radi na kojim određenim dijelovima projekata slobodnog softvera. Na primjer, Huawei trenutno daje najveći doprinos Linux kernelu. Drugi suradnik radi za Positive Technologies, ruska tvrtka za kibernetičku sigurnost koju je, kao i Huawei, sankcionirala američka vlada, kaže Aitel. Margin je također mapirao kod koji su napisali zaposlenici NSA-e, od kojih su mnogi uključeni u različite projekte otvorenog koda.
“Ova me tema uzbuđuje,” kaže Antoine o potrazi za boljim razumijevanjem pokreta otvorenog koda, “jer iskreno, čak i najjednostavnije stvari izgledaju tako nove mnogim važnim ljudima. Vlada je upravo shvatila da naša kritična infrastruktura koristi kod koji doslovno mogu napisati sankcionirani subjekti. Sada."
Da bi to učinili, istraživači će koristiti alate kao što je analiza sentimenta za analizu društvenih interakcija unutar zajednica otvorenog koda, kao što je mailing lista Linux kernela, koja bi trebala pomoći u prepoznavanju tko je pozitivan ili konstruktivan, a tko negativan i destruktivan.
Istraživači žele znati koje vrste događaja i ponašanja mogu poremetiti ili naštetiti zajednice slobodnog softvera, koji članovi su pouzdani i postoje li posebne skupine koje zahtijevaju pojačani nadzor. Ti su odgovori nužno subjektivni. Ali trenutno postoji nekoliko načina da ih pronađete.
izvor: https://www.darpa.mil
Izvan vida…
Stječe se dojam da im nije dopušteno instalirati svoja stražnja vrata u Linux kernel i zato nam govore da su Windows i OSX sigurniji jer će samo tvrtke znati što nose.
Oni već žele ispolitizirati otvoreni izvor svojom političkom prljavštinom, a zatim preuzeti moć sankcionirati i pokvariti kod svojim stražnjim vratima... nadajmo se da zajednica to neće dopustiti.
U stvarnosti, računalo može razumjeti samo zatvoreni kod, a iako je kod otvoren, čovjek ne može znati što se u svakom trenutku događa unutar RAM memorije, a još uvijek postoje dijelovi RAM-a koji su nedostupni, pa dovelo bi do povrede segmenta.
Otvoreni kod postaje zatvoreni kod nakon kompajliranja, a to je ono što se na kraju izvršava... Nemoguće je potpuno precizno rastaviti nešto što je kompajlirano, na primjer Linux kernel... Čak i da možete, prava kontrola ne leži u sustav, ali BIOS.
Ako ga se ne mogu dočepati, kažu da je opasno.
Oklevetati da nešto ostaje.