לפני מספר ימים פרסמנו את הידיעה על דיווח שפורסם על דאגתן של חברות רבות עמ'או האמינות של קוד פתוח וכעת DARPA, זרוע המחקר של צבא ארה"ב, הודיעה כי היא "מודאגת מהאמינות של קוד פתוח" ואומרת שהיא רוצה להבין את המערכת האקולוגית החשובה ביותר על פני כדור הארץ, שחלק מהאנליסטים חושבים שהיא רחוקה- נלקח לומר שקוד פתוח פועל על כל מחשב על פני כדור הארץ ושומר על פעילות של תשתית קריטית.
על ידי דוח חדש מ חברת אבטחה למפתחים Snyk and Linux Foundation, ל-41% מהחברות אין רמה גבוהה של אמון באבטחת תוכנת הקוד הפתוח שלהן ושימוש נרחב מהווה סיכונים משמעותיים. חלק גדול מהציוויליזציה המודרנית של היום מסתמך על גוף קוד פתוח שהולך ומתרחב מכיוון שהוא חוסך כסף, מושך כישרונות ומקל על משימות רבות.
"חכו רגע, ממש כל מה שאנחנו עושים פועל על לינוקס", אומר דייב אייטל, חוקר אבטחת סייבר ומדען אבטחת מחשבים לשעבר של NSA. "אנשים מבינים עכשיו", הוא אומר. "אין זה מוגזם לומר שכולם מבוססים על ליבת לינוקס, למרות שרוב האנשים מעולם לא שמעו על זה. »
"למפתחי תוכנה יש היום שרשרת אספקה משלהם. במקום להרכיב חלקי רכב, הם מרכיבים קוד על ידי מיזוג רכיבי קוד פתוח קיימים עם הקוד הייחודי שלהם. למרות שזה מוביל להגברת הפרודוקטיביות והחדשנות, זה גם יצר בעיות אבטחה משמעותיות", אמר מאט ג'רוויס, מנהל קשרי מפתחים ב-Snyk.
ליבת לינוקס היא אחת התוכנות הראשונות שנטענות כאשר רוב המחשבים מופעלים. הוא מאפשר לחומרה של המכונה לקיים אינטראקציה עם התוכנה, שולט בשימוש במשאבים ומהווה את הבסיס למערכת ההפעלה. זהו אבן הבניין של כמעט כל מחשוב הענן, כמעט כל מחשבי העל, האינטרנט של הדברים כולו, מיליארדי סמארטפונים ועוד.
אבל הליבה היא גם קוד פתוח, כמו זה אומר שכל אחד יכול לכתוב, לקרוא ולהשתמש בקוד שלך. וזה מדאיג ברצינות כמה מומחי אבטחת סייבר. אופי הקוד הפתוח שלו אומר שגרעין הלינוקס, יחד עם שורה של תוכנות קוד פתוח קריטיות אחרות, פתוח למניפולציות עוינות בדרכים שאנחנו עדיין בקושי מבינים.
למרות שזה נכון שמדובר בטכנולוגיה חיונית לחברה שלנו, זה לא פחות נכון שלאור האמור לעיל, אי הבנת אבטחת הליבה פירושה שאיננו יכולים לאבטח תשתיות קריטיות. היום, DARPA רוצה להבין את ההתנגשות של קוד וקהילה שגורמת לפרויקטים אלה בקוד פתוח לעבוד, כדי להבין טוב יותר את הסיכונים העומדים בפניהם.
המטרה היא להיות מסוגל לזהות ביעילות שחקנים זדוניים ולמנוע מהם לשבש או להשחית קוד פתוח. חשוב מאוד לפני שיהיה מאוחר מדי. תוכנית SocialCyber של DARPA היא פרויקט בן 18 חודשים, בהיקף של מיליוני דולרים, שישלב סוציולוגיה עם התקדמות טכנולוגית עדכנית בבינה מלאכותית כדי למפות, להבין ולהגן על קהילת התוכנה החופשית העצומה והקוד שהם יוצרים.
פרויקט זה שונה ממרבית המחקרים הקודמים מכיוון שהוא משלב ניתוח קוד אוטומטי והממדים החברתיים של תוכנה חופשית.
DARPA התקשרה עם מספר צוותים, כולל סדנאות קטנות למחקר אבטחת סייבר עם מיומנויות טכניות מעמיקות. מיישם אחד כזה הוא Margin Research מניו יורק, שהרכיב צוות של חוקרים מוערכים מאוד לשיעורי הבית. Margin Research מתמקד בליבת לינוקס חלקית בגלל שזה כל כך גדול וכל כך קריטי שהצלחה כאן בקנה מידה זה פירושה הצלחה בכל מקום אחר אפשרי.
המטרה היא לנתח גם את הקוד וגם את הקהילה כדי לבסוף לדמיין ולהבין את המערכת האקולוגית כולה.. עבודת שוליים עוזרת לקבוע מי עובד על אילו חלקים ספציפיים של פרויקטי תוכנה חופשית. לדוגמה, Huawei היא כיום התורם הגדול ביותר לליבת לינוקס. תורם נוסף עובד עבור טכנולוגיות חיוביות, חברת אבטחת סייבר רוסית שכמו Huawei קיבלה סנקציות של ממשלת ארה"ב, אומר אייטל. Margin גם מיפה קוד שנכתב על ידי עובדי NSA, שרבים מהם מעורבים בפרויקטים שונים של קוד פתוח.
"הנושא הזה מרגש אותי", אומר אנטואן על המסע להבין טוב יותר את תנועת הקוד הפתוח, "כי בכנות, אפילו הדברים הפשוטים ביותר נראים כל כך חדשים לכל כך הרבה אנשים חשובים. הממשלה פשוט הבינה שהתשתית הקריטית שלנו משתמשת בקוד שיכול ממש להיכתב על ידי גורמים מוגנים. עכשיו."
לשם כך, החוקרים ישתמשו בכלים כמו ניתוח סנטימנטים כדי לנתח אינטראקציות חברתיות בתוך קהילות קוד פתוח, כמו רשימת התפוצה של ליבת לינוקס, שאמורה לעזור לזהות מי חיובי או בונה ומי שלילי והרסני.
החוקרים הם רוצים לדעת אילו סוגי אירועים והתנהגויות יכולים לשבש או להזיק קהילות תוכנה חופשיות, שהחברים מהימנים בהם, והאם יש קבוצות מסוימות שמצדיקות מעקב מוגבר. תגובות אלו הן בהכרח סובייקטיביות. אבל כרגע, יש מעט דרכים למצוא אותם.
מקור: https://www.darpa.mil
מחוץ לטווח ראייה…
זה נותן את הרושם שהם לא הורשו להתקין את הדלתות האחוריות שלהם בליבת לינוקס ובגלל זה הם אומרים לנו ש-Windows ו-OSX בטוחים יותר כי רק החברות יידעו מה הם נושאים.
הם כבר רוצים לעשות פוליטיזציה של קוד פתוח עם הזוהמה הפוליטית שלהם, ואז לקחת את הכוח לסנקציות ולהשחית את הקוד עם הדלת האחורית שלהם... נקווה שהקהילה לא תאפשר זאת.
במציאות, המחשב יכול להבין רק קוד סגור, ולמרות שהקוד פתוח, האדם אינו מסוגל לדעת מה קורה כל הזמן בתוך זיכרון ה-RAM, ועדיין ישנם חלקים ב-RAM שאינם נגישים, אז זה ייתן הפרת קטע.
קוד פתוח הופך לקוד סגור לאחר הידור, וזה מה שמבוצע לבסוף... אי אפשר לפרק בדייקנות מוחלטת משהו מהידור, למשל ליבת לינוקס... גם אם היה יכול, השליטה האמיתית לא נמצאת אצל מערכת המשתמש, אלא ה-BIOS.
אם הם לא יכולים לשים את ידם על זה, הם אומרים שזה מסוכן.
להשמיץ שמשהו נשאר.