University of Minnesota Linux Ban Prompts Întrebări despre Open Source

Există, în general, două tipuri de hackeri: cei care intră în sistemele informatice pentru a găsi vulnerabilități pentru a le remedia și infractorii care exploatează punctele slabe pentru a fura date și a ține ostatice organizațiile.

Apoi este Kangjie Lu, un profesor asistent la Universitatea din Minnesota, care este specializat în securitatea computerelor. El și-a câștigat notorietatea recent pentru crearea intenționată a vulnerabilităților în cel mai proeminent sistem software open-source din lume, nucleul Linux. După ce a publicat o lucrare academică despre exploatările sale, echipa de kernel Linux a interzis universitatea și a revenit la soluțiile anterioare.

Vulnerabilități intenționate ale kernelului Linux

Dezvăluirile au generat întrebări despre securitatea open-source și kernel-ul sistemului de operare, o componentă de bază a nenumărate dispozitive și servere. Lu a îngropat vulnerabilități în unele remedieri minore pe care el și un student absolvent le-au trimis în vastul depozit de cod software al Linux, subminând o metodă de colaborare care este esențială pentru a menține programul în siguranță.

„Au avut un succes îngrozitor”, spune Alexander Sereda, un manager de proiect cu sediul în Toronto, care s-a alăturat rețelei Toptal în 2020. „Codul lor rău intenționat a trecut de supravegherea comunității care ar trebui să elimine aceste tipuri de trimiteri.”

În timp ce Windows și macOS domină desktopurile, sistemele de operare bazate pe Linux sunt de departe cele mai populare pentru servere și supercomputere, iar Google folosește o versiune modificată a nucleului pentru Android. Giganții tehnologici precum Red Hat și-au construit afacerile de software de întreprindere în jurul open source și chiar și Microsoft, care ani de zile a fost văzut ca un oponent principal al ecosistemului open-source, a apărut: în 2018 a cumpărat GitHub, cea mai mare gazdă de open-source. proiecte sursă; astăzi, distribuțiile Linux pot fi găsite în Microsoft Store.

Este greu de exagerat caracterul omniprezent al kernel-ului Linux și al software-ului open-source, evoluând de la pasionați și idealiști într-o piatră de temelie a pieței software de astăzi. Există literalmente milioane de proiecte open-source pe care dezvoltatorii le pot examina și, deoarece sunt gratuite și în cea mai mare parte fiabile, peste 90% dintre aplicațiile comerciale conțin astfel de componente. Această cifră continuă să crească, potrivit unui studiu anual al companiei de design și securitate software de siliciu Synopsys.

A fi de încredere este la fel de important ca și a fi gratuit, iar comunitatea open-source se mândrește cu furnizarea de programe care sunt egale, dacă nu mai bune, decât software-ul proprietar. Mișcarea a apărut în anii 1990 cu un principiu central, inventat de dezvoltatorul și autorul Eric Raymond, potrivit căruia „cu destui ochi, toate bug-urile sunt superficiale”. Această sursă deschisă a supraviețuit până acum relativ nevătămată – chiar dacă lumea se confruntă cu o epidemie fără precedent de hacking și ransomware – este doar o afirmație suplimentară că o astfel de colaborare deschisă poate fi încă eficientă.

Dar, după cum a arătat Lu în cercetările sale, nicio securitate nu este perfectă, chiar și în ceva la fel de critic și monitorizat îndeaproape precum nucleul Linux. În timp ce scrierea codului securizat poate fi simplă, găsirea unor vulnerabilități în cod poate fi incredibil de dificilă, „cum ar fi îndepărtarea laptelui din ceai după ce a fost amestecat”, spune Sereda. În timp ce open source a avut, în general, performanțe admirabile, în afară de câteva sughițuri semnificative, cum ar fi eroarea Heartbleed care a apărut în 2014, există un număr tot mai mare de dovezi că dezvoltatorii, la rândul lor, iau prea multe comenzi rapide atunci când încorporează software gratuit în programul lor. produse.

Riscuri de securitate open-source

În raportul său anual pentru 2021, Synopsys dezvăluie că fiecare companie din industria tehnologiei de marketing pe care a auditat-o ​​avea sursă deschisă în baza de cod și 95% dintre acele baze de cod conțineau vulnerabilități. Ea a găsit rezultate similare când se analizează sectorul asistenței medicale, sectorul serviciilor financiare și industriile de retail și comerțul electronic. Există o serie de motive pentru rezultatele slabe, dar principalul dintre ele este că software-ul continuă să devină mai complicat și, pe măsură ce se întâmplă, devine mai greu de urmărit și monitorizat componentele.

Open Source are un record de securitate mult mai bun decât produsele proprietare, dar asta nu garantează că va fi întotdeauna de cea mai bună calitate, spune Sam Watkins, un dezvoltator freelance full-stack care s-a alăturat rețelei Toptal în 2021. „Avem un program mult mai mare. problemă, care sunt programe prea complicate. Este nesigur, deși nu din intenție rău intenționată.”

Problema nu este neapărat că sursa deschisă este prea deschisă. În schimb, este decalajul care persistă, deoarece nu există niciun furnizor care să scoată patch-uri pentru comunitate, chiar dacă ciclurile software continuă să se micșoreze, spune Timothy Mackey, strateg principal de securitate la Synopsys. Bugetele strânse îi obligă pe programatori să folosească comenzi rapide imperfecte, cum ar fi sistemele de evaluare simpliste, pentru a-și alege componentele, mai degrabă după popularitate decât după calitate. Există mai multe servicii care oferă programatorilor astfel de comenzi rapide, inclusiv Openbase, Stack Builder și Open Source Index, care evidențiază cele mai populare proiecte de pe GitHub.

Gestionarea vulnerabilității open-source

Potrivit programatorilor și cercetătorilor, deși există valoare în aceste sisteme de rating open-source, trebuie să existe mai multă validare și luare în considerare atunci când cântăriți opțiunile, mai degrabă decât să luați doar componente care par a fi cea mai bună potrivire. Fiecare organizație ar trebui să stabilească un set de bune practici care să includă principii pentru alegerea cu atenție a software-ului care ia în considerare cantitatea de suport necesară și riscurile cu care se confruntă. De asemenea, companiile ar trebui să urmărească și să actualizeze frecvent toate componentele lor open source.

Alte bune practici pe care experții noștri le-au identificat pentru a fi luate în considerare includ:

• Utilizarea automatizării, verificarea proceselor, documentarea totul și utilizarea Git pentru a urmări modificările bazei de cod.
• Crearea unei comunități pozitive, inclusiv ajutând oamenii care au început să utilizeze sursa deschisă care ar putea deveni colaboratori importanți.
• Păstrarea tuturor lanțurilor de aprovizionare open-source auditabile.
• Folosind containere open-source care partajează nucleul sistemului de operare gazdă.
• Identificarea celor mai critice componente open-source, apoi urmărirea problemelor de securitate ale acestora, interacțiunea cu dezvoltatorii lor și contribuția înapoi la proiectele din amonte atât cu corecții, cât și cu finanțare.

Ann Barcomb, profesor asistent la Școala de Inginerie Schulich de la Universitatea din Calgary, adaugă că, în mod ideal, organizațiile ar trebui să folosească un set de bune practici pentru a construi biblioteci de produse pre-aprobate, astfel încât software-ul să nu fie selectat în mod arbitrar. Cu toate acestea, ea recunoaște că acest proces este consumator de timp, costisitor și nu este practicat pe scară largă.

„Vrei mai multă securitate, dar această securitate are un preț uriaș”, spune Ayush Poddar, un dezvoltator back-end independent care s-a alăturat Toptal în 2021.

Platforme precum Black Duck, Sonatype, Snyk și WhiteSource oferă automatizare pentru a ajuta la găsirea de componente open-source în stiva unui program de calculator și la identificarea vulnerabilităților. Cu toate acestea, aceste instrumente sunt limitate și ținerea pasului cu patch-urile de cod este o altă problemă care doar se înrăutățește - Agenția de securitate cibernetică și infrastructură din SUA raportează adesea sute de noi vulnerabilități software pe săptămână.

„Nu puteți testa fiecare combinație a modului în care fiecare bit de cod poate fi executat”, spune Aidan McManus, un director de tehnologie pensionat care a supravegheat arhitectura și inginerie IT la CA Technologies. „Ar fi nevoie de ani.”

Mats Heimdahl, șeful Departamentului de Informatică și Inginerie al Universității din Minnesota, notează că Kangjie și cercetătorii săi au găsit, de asemenea, numeroase petice proaste în nucleu, care erau separate de erorile pe care le-au trimis. „Din punctul meu de vedere, este destul de clar că un proces de revizuire manuală de către voluntari suprasolicitați și subapreciați (chiar și de către menținători extrem de calificați și dedicați) va fi inevitabil imperfect”, a scris Heimdahl într-un e-mail.

Faptul că vulnerabilitățile cresc ridică întrebări fundamentale cu privire la modul în care va fi gestionat open source. Deși accelerează inovația, este în esență o resursă comună, o bibliotecă vastă de software gratuit care economisește consumatorii 60 de miliarde de dolari pe an și, de asemenea, crește profiturile companiilor prin reducerea costurilor de dezvoltare. S-ar putea să fie pur și simplu prea mulți free riders, cu resurse insuficiente pentru întreținere și securitate.

Interdicția kernelului Linux de la Universitatea din Minnesota: limitele învățate

Deși nu există nimic care să indice că verificarea corecțiilor s-a schimbat, Fundația Linux stabilește un set de bune practici pentru cercetătorii care lucrează cu nucleul și a recomandat Universității din Minnesota să numească un evaluator pentru trimiterile sale. Nu există într-adevăr o alternativă la revizuirea codului, iar comunitatea existentă acum face o treabă rezonabilă de a păstra codul rău intenționat, spune Barcomb. Având în vedere autonomia necesară pentru lucrul cu cunoștințe, spune ea, „cel mai bun pe care îl puteți face este să aveți procese în vigoare pentru a identifica încălcările încrederii și a răspunde în consecință, în cel mai bun caz înainte ca modificările să fie încorporate”.

Heimdahl notează că instituția sa organizează un comitet care să ofere consiliere cu privire la depunerea de patch-uri, în timp ce așteaptă ridicarea interdicției.

Linux a fost odată ideea unui străin, un contrapunct îndrăzneț al gândirii tradiționale despre software-ul proprietar, dar a evoluat în ceva care seamănă mult mai mult cu un proiect comercial. Huawei, Intel și Red Hat conduc sutele de companii care contribuie în mod regulat cu cod la kernel-ul Linux. În timp ce multe dintre aceste companii donează, de asemenea, bani Fundației Linux și afiliaților Open Source Initiative, ar putea fi timpul pentru o abordare mai sistematică pentru a susține software-ul pentru a ajuta la îmbunătățirea securității în viitor - una care apreciază mai bine beneficiile unui astfel de software. sisteme open-source cruciale.

„Oamenii iau de la sine înțeles că open source funcționează”, spune Christopher Tozzi, lector superior la Institutul Politehnic Rensselaer. „Există o nouă generație de oameni care nu s-au gândit cu adevărat la aceste probleme.”