Линукс

Хакери или „куки“ посегнаха на „Линукс“?*

Божидар Божанов

В технологичния свят има една важна новина тези дни: неуспешният опит на нечии служби да поставят „задна врата“ в „Линукс“ и така да могат да подслушват криптиран трафик.

Тъй като всеки сървър има стотици парчета софтуер (библиотеки/пакети), всички от които с отворен код (в случая на „Линукс“ дистрибуциите), е таргетиран именно такъв пакет – xz, използван за компресиране и декомпресиране на данни. Този пакет е използван директно или индиректно от почти всичко в „Линукс“, но най-вероятната целта е бил софтуерът за сигурна връзка за администриране на сървърите (sshd).

Откриването на вратичката е станало преди основните дистрибуции на „Линукс“ да ползват компрометираната версия, поради което няма реални щети. Но откриването е станало случайно, заради ползването на повече процесорно време от обикновено. И то от човек, който не се занимава с информационна сигурност и откриване на уязвимости.

Злонамереният код е бил имплантиран търпеливо, след година работа по библиотеката от страна на „хакера“. В един момент той спечелил доверието на основния програмист и получил права да публикува нови версии. Систематична работа на нечии служби по идентифициране на подходящ пакет и внимателно проникване в процеса на неговото обновяване.

Важно е да си зададем въпроса как да не се случват такива инциденти и как да не разчитаме на късмета някой да намери проблема случайно. Има две мерки, които ЕС и САЩ трябва да вземат, според мен.

Първата е осигуряване на публично финансиране за отворен код. Тези пробиви стават отчасти защото малките, но важни проекти/пакети нямат финансиране и се поддържат от доброволци, които може и да не са достатъчно внимателни, имайки друга постоянна работа. Финансирането може да е по различни методи и да включва финансиране за регулярен преглед за уязвимости.

Втората е въвеждането на анализ на риска от службите за сигурност с по-голям капацитет (нашите не са такива). Щом някой е могъл да идентифицира пакетът xz като средство за проникване, то всяка служба трябва да има такъв анализ. И да наблюдава активността по такива нишови, но високорискови проекти.

Важно е да се отбележи и че отвореният код дава повече сигурност. Ако в софтуер със затворен код беше добавена такава съзнателна уязвимост, може би щяхме да разберем прекалено късно (както е ставало с други т.нар. supply chain атаки в миналото).

Киберсигурността е сложна и многопластова и изисква много човешки ресурс и внимание към детайла.

____________________

* Текстът е публикуван във Фейсбук-профила на автора. Заглавието е на редакцията. Още по темата – ТУК