Một vài ngày trước, chúng tôi đã công bố tin tức về một báo cáo đã được phát hành về mối quan tâm của nhiều công ty phoặc độ tin cậy của mã nguồn mở và bây giờ DARPA, chi nhánh nghiên cứu của quân đội Hoa Kỳ, đã cho biết rằng họ "lo ngại về độ tin cậy của nguồn mở" và nói rằng họ muốn hiểu hệ sinh thái công nghệ quan trọng nhất trên hành tinh, điều mà một số nhà phân tích cho là xa- được tìm nạp nói rằng mã nguồn mở chạy trên mọi máy tính trên hành tinh và giữ cho cơ sở hạ tầng quan trọng hoạt động.
Qua một báo cáo mới từ công ty bảo mật cho các nhà phát triển Snyk và Linux Foundation, 41% công ty không có mức độ tin tưởng cao vào tính bảo mật của phần mềm nguồn mở của họ và việc sử dụng rộng rãi mang lại những rủi ro đáng kể. Phần lớn nền văn minh hiện đại ngày nay dựa vào nguồn mở ngày càng mở rộng vì nó tiết kiệm tiền, thu hút nhân tài và thực hiện nhiều nhiệm vụ dễ dàng hơn.
Dave Aitel, một nhà nghiên cứu an ninh mạng và cựu nhà khoa học bảo mật máy tính của NSA cho biết: “Chờ một chút, theo nghĩa đen, mọi thứ chúng tôi làm đều chạy trên Linux. "Mọi người đang nhận ra bây giờ," ông nói. “Không quá lời khi nói rằng tất cả mọi người đều dựa trên nhân Linux, ngay cả khi hầu hết mọi người chưa bao giờ nghe nói về nó. »
“Các nhà phát triển phần mềm ngày nay có chuỗi cung ứng của riêng họ. Thay vì lắp ráp các bộ phận xe hơi, họ lắp ráp mã bằng cách hợp nhất các thành phần mã nguồn mở hiện có với mã duy nhất của chúng. Trong khi điều này dẫn đến tăng năng suất và đổi mới, nó cũng tạo ra các vấn đề bảo mật đáng kể, ”Matt Jarvis, Giám đốc Quan hệ Nhà phát triển tại Snyk cho biết.
Nhân Linux là một trong những chương trình đầu tiên được tải khi hầu hết các máy tính được bật. Nó cho phép phần cứng của máy tương tác với phần mềm, chi phối việc sử dụng tài nguyên và tạo nền tảng cho hệ điều hành. Nó là nền tảng của hầu hết tất cả điện toán đám mây, hầu hết tất cả các siêu máy tính, toàn bộ Internet of Things, hàng tỷ điện thoại thông minh và hơn thế nữa.
Nhưng cốt lõi cũng là mã nguồn mở, như nó có nghĩa là bất kỳ ai cũng có thể viết, đọc và sử dụng mã của bạn. Và điều đó khiến một số chuyên gia an ninh mạng lo lắng nghiêm trọng. Bản chất mã nguồn mở của nó có nghĩa là nhân Linux, cùng với một loạt phần mềm mã nguồn mở quan trọng khác, sẵn sàng cho sự thao túng thù địch theo những cách mà chúng ta vẫn chưa hiểu rõ.
Mặc dù đúng là nó là một công nghệ thiết yếu cho xã hội của chúng ta, nhưng không kém phần đúng rằng, với những điều trên, việc không hiểu về bảo mật hạt nhân có nghĩa là chúng ta không thể bảo mật các cơ sở hạ tầng quan trọng. Hôm nay, DARPA muốn hiểu sự va chạm của mã và cộng đồng khiến các dự án nguồn mở này hoạt động, để hiểu rõ hơn về những rủi ro mà họ phải đối mặt.
Mục đích là có thể nhận ra các tác nhân độc hại một cách hiệu quả và ngăn chúng làm gián đoạn hoặc làm hỏng mã nguồn mở. cực kỳ quan trọng trước khi quá muộn. Chương trình SocialCyber của DARPA là một dự án trị giá hàng triệu đô la kéo dài 18 tháng sẽ kết hợp xã hội học với những tiến bộ công nghệ gần đây trong trí tuệ nhân tạo để lập bản đồ, hiểu và bảo vệ cộng đồng phần mềm miễn phí rộng lớn và mã mà họ tạo ra.
Dự án này khác với hầu hết các nghiên cứu trước đây vì nó kết hợp phân tích mã tự động và các khía cạnh xã hội của phần mềm miễn phí.
DARPA đã ký hợp đồng với một số nhóm, bao gồm các hội thảo nghiên cứu an ninh mạng nhỏ với các kỹ năng kỹ thuật chuyên sâu. Một trong những người triển khai như vậy là Nghiên cứu ký quỹ có trụ sở tại New York, đã tập hợp một nhóm các nhà nghiên cứu được kính trọng Đối với bài tập về nhà. Nghiên cứu Margin tập trung vào nhân Linux một phần vì nó quá lớn và rất quan trọng nên thành công ở quy mô này có nghĩa là thành công ở mọi nơi khác đều có thể xảy ra.
Mục tiêu là phân tích cả mã và cộng đồng để cuối cùng hình dung và hiểu toàn bộ hệ sinh thái.. Công việc ký quỹ giúp xác định ai làm việc trên những phần cụ thể của các dự án phần mềm miễn phí. Ví dụ, Huawei hiện là nhà đóng góp lớn nhất cho nhân Linux. Một cộng tác viên khác làm việc cho Công nghệ Tích cực, Aitel cho biết một công ty an ninh mạng của Nga, giống như Huawei, đã bị chính phủ Mỹ trừng phạt. Margin cũng đã ánh xạ mã được viết bởi các nhân viên NSA, nhiều người trong số họ tham gia vào các dự án mã nguồn mở khác nhau.
“Chủ đề này làm tôi phấn khích,” Antoine nói về nhiệm vụ hiểu rõ hơn về phong trào mã nguồn mở, “bởi vì thành thật mà nói, ngay cả những điều đơn giản nhất cũng có vẻ quá mới mẻ đối với rất nhiều người quan trọng. Chính phủ vừa nhận ra rằng cơ sở hạ tầng quan trọng của chúng tôi sử dụng mã có thể được viết bởi các thực thể bị trừng phạt. Ngay lập tức."
Để làm điều này, các nhà nghiên cứu sẽ sử dụng các công cụ như phân tích tình cảm để phân tích các tương tác xã hội trong các cộng đồng nguồn mở, chẳng hạn như danh sách gửi thư nhân Linux, giúp xác định ai tích cực hoặc xây dựng và ai tiêu cực và phá hoại.
Các nhà nghiên cứu họ muốn biết những loại sự kiện và hành vi nào có thể phá vỡ hoặc gây hại cộng đồng phần mềm miễn phí, những thành viên nào đáng tin cậy và liệu có những nhóm cụ thể nào đảm bảo tăng cường giám sát hay không. Những phản hồi này nhất thiết phải mang tính chủ quan. Nhưng hiện tại, có rất ít cách để tìm thấy chúng.
Fuente: https://www.darpa.mil
Khuất mắt…
Nó tạo ấn tượng rằng họ không được phép cài đặt backdoor của họ trong nhân Linux và đó là lý do tại sao họ nói với chúng tôi rằng Windows và OSX an toàn hơn vì chỉ có các công ty mới biết họ đang mang gì.
Họ đã muốn chính trị hóa mã nguồn mở bằng sự bẩn thỉu chính trị của họ, và sau đó nắm quyền xử phạt và làm hỏng mã bằng backdoor của họ ... hãy hy vọng cộng đồng không cho phép điều này.
Trong thực tế, máy tính chỉ có thể hiểu mã đóng, và mặc dù mã mở, con người không thể biết điều gì đang xảy ra mọi lúc bên trong bộ nhớ RAM, và vẫn có những phần của RAM không thể truy cập được, vì vậy nó sẽ vi phạm phân đoạn.
Mã nguồn mở trở thành mã nguồn đóng sau khi được biên dịch, và đó là thứ cuối cùng được thực thi ... Không thể tháo rời với độ chính xác hoàn toàn một thứ đã được biên dịch, chẳng hạn như nhân Linux ... Ngay cả khi nó có thể, điều khiển thực sự không nằm ở chỗ người dùng. hệ thống, nhưng BIOS.
Nếu họ không thể nhúng tay vào, họ nói rằng nó rất nguy hiểm.
Phỉ báng rằng một cái gì đó vẫn còn.