OpenSource затаил обиду
Стоит отметить, что подобного рода случаи отмечались и раньше. Так, еще в начале года имел место инцидент, связанный с деятельностью известного разработчика Марака Сквайрса, который обновил ряд библиотек так, что код, где они использовались, потерял работоспособность (см. новость ComNews от 10 февраля 2022 г.). Причиной этого демарша стало нежелание "бесплатно помогать коммерческим проектам".
Также еще в начале февраля выявлены серьезные проблемы в разных компонентах, используемых в основных дистрибутивах операционной системы Linux. Причем некоторые из них оставались незамеченными много лет. Это очень опасная уязвимость нулевого дня (см. новость ComNews от 1 февраля 2022 г.) и средство удаленного управления, за которым, с большой долей вероятности, стоит одна из зарубежных спецслужб (см. новость ComNews от 28 февраля 2022 г.). Надо отметить, что это далеко не все уязвимости, которые обнаружены в Linux и его компонентах за текущий год. Да и активность разработчиков вредоносного ПО для данных систем также нарастает.
Еще в сентябре прошлого года появилось открытое письмо президента группы компаний InfoWatch, председателя правления АРПП "Отечественный софт" Натальи Касперской и управляющего партнера, генерального директора компании "Ашманов и партнёры" Игоря Ашманова "Открытая халява и бесплатный сыр". Его появление стало реакцией на инициативу распространить привилегии, которые имеют продукты, входящие в Реестр российского ПО, на решения, созданные на основе проектов с открытым исходным кодом. Авторы данного открытого письма назвали такой подход вредным и опасным, мотивируя это тем, что большая часть проектов с открытым кодом фактически находятся под полным контролем, как организационным, так и финансовым, зарубежных, прежде всего американских, корпораций, которые участвуют в деятельности своих правительств по "технологическому удушению" "плохих" стран, в том числе и России. Типичным примером такой политики стало, по мнению авторов письма, внезапное прекращение поддержки дистрибутива CentOS, на котором базировались и некоторые отечественные системы для корпоративных применений.
С 24 февраля вредоносная активность существенно выросла. Так, 8 марта текущего года Брэндон Нозаки Миллер (он же RIAEvangelist) выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test. Если этот код запускался на территории России или Белоруссии, то он удалял все данные, заменяя их эмодзи в виде сердца, а также выводя текст с "антивоенным" содержанием. Этот демарш вызвал резкую критику, и спустя 24 часа версии, содержащие деструктивные функции, были удалены из репозиториев.
Генеральный директор ISPsystem Павел Гуральник также встречался с такого рода инцидентами: "Да, мы сталкивались с такими проявлениями. Пока это единичные случаи, и хочется верить, что скорее это исключения, но в ряде OpenSource-решений в последних релизах появлялись уязвимости, нацеленные на российских пользователей, - от антивоенных призывов до конкретных уязвимостей, через которые можно взломать инфраструктуру. О мотивах судить сложно - это может быть продиктовано как идеологической составляющей, так и являться способом наживы. Для пользователей ПО с открытым кодом это огромные риски, но также это удар по репутации сообщества, когда угрозы распространяются на конкретные нации".
"Безусловно, мы многое слышали о случаях содержания определенных рестрикций или вредоносных действий, встроенных в последнее время в популярных OpenSource-приложениях. Необходимо понимать, что мировые сообщества разработчиков, а также само учреждение, финансово поддерживающие и регулярно обновляющие свои OpenSource-приложения, выступают категорически против массового внедрения каких-либо ограничений для российских разработчиков из частного сектора экономики. Это само по себе противоречит духу и смыслу понятия открытого программного обеспечения", - уверен генеральный директор iPavlov Лоран Акопян.
Также Лоран Акопян призывает различать проекты с открытым кодом, которые работают по разным принципам. "В этой связи необходимо различать ПО с открытым исходным кодом, распространяемое в рамках открытых лицензий от приложений, разработанных на базе OpenSource. Цепочка поставок софта - разработки, доработки, развертывания и передачи, техническая и гарантийная поддержка - от нас к нашим клиентам происходит исключительно в замкнутом и жестко конфиденциальном контуре без дополнительных доступов третьих лиц к третьим лицам. Современный мир ИТ невозможно представить без огромного количества высококачественных OpenSource-фреймворков, библиотек и другого ПО. Этот мир неделим по каким-либо национальным признакам, границам, и любые попытки массового таргетирования и/или дискриминации определенных крупных групп пользователей могут привести к полной дискредитации самих OpenSource-сообществ. Другой вопрос, что на фоне сверхинформатизации мирового населения теми или иными острыми новостями повышается степень ответственности перед нашими конечными потребителями. Думаю, что, с другой стороны, такие "страхи" приведут к еще большему росту ПО с открытым кодом, ведь именно такие софтверные продукты позволяют убедить пользователя в отсутствии уязвимостей и неприемлемых функций, таких как слежение за пользователями", - говорит он.
"Это является выражением личного мнения разработчиков и, в некоторых случаях, мнения компаний - правообладателей открытого ПО. Отмечу, что многие из OpenSource-сообществ не одобряют такое поведение, поскольку это нарушает определенные сложившиеся правила, предполагающие, что свободное ПО распространяется без дискриминации людей, компаний и сфер для применения продуктов с открытым исходным кодом. Раньше встречались случаи, когда продукт с открытым кодом мог содержать ошибки, но вредоносных закладок практически не было", - так описал возможные мотивы тех, кто включает вредоносные фрагменты в открытый код, заместитель генерального директора компании Postgres Professional, глава комитета по интеграции отечественного ПО АРПП "Отечественный софт" Иван Панченко.
Также, по мнению эксперта, не является существенной сложностью организовать атаку исключительно на российских пользователей. "Часть вредоносного кода активируется по таймзоне, настройкам часового пояса, а также по используемому языку пользователя, в более редких случаях - по геолокации. Сегодня очевидно, что используемый код надо проверять более тщательно, особенно если речь идет о его свежих изменениях. Нужно отметить, что российские разработчики не раз предупреждали, что безопасно использовать продукты с открытым кодом можно только при условии, что в России есть специалисты, хорошо понимающие продукт и непосредственно участвующие в его разработке в рамках международных OpenSource-сообществ", - говорит он.
"Обновление отдельных компонентов или библиотек целиком у нас проходит всегда через особый контроль, а режим "автообновления" у нас запрещен. Существуют понятные методы компьютерной безопасности, которые, в нашем случае, позволяют пресечь наиболее опасные угрозы, связанные с использованием программных пакетов, с открытым исходным кодом", - рекомендует Лоран Акопян.