ВАШ ЛИНУКС МОЖЕ ДА БУДЕ ОПАСАН Расте број малвера у пројектима ОТВОРЕНОГ КОДА
До краја 2024. године, компанија Kaspersky забележила је укупно 14.000 злонамерних пакета у пројектима отвореног кода, што представља пораст од 50% у односу на 2023. годину. Тим GReAT ове компаније анализирао је чак 42 милиона верзија различитих пакета у потрази за безбедносним рањивостима, а резултати указују на озбиљну претњу по развојне и производне системе широм света.
Софтвер отвореног кода (енг. open-source software) представља тип програма чији је изворни код јавно доступан. То значи да га свако може прегледати, изменити и дистрибуирати. Међу најпопуларнијим пакетима и библиотекама отвореног кода су npm (за JavaScript), PyPI (за Python), GoMod (за Go), Maven (за Java), NuGet (за .NET), као и XZ Utils, алат за компресију фајлова на Линукс системима.
Ови пакети омогућавају програмерима да брже и лакше граде апликације користећи већ постојеће, проверене делове кода. То значајно убрзава развој и смањује трошкове, што их чини веома привлачним и у комерцијалном и у академском окружењу. Апликације отвореног кода често користе стартапи, едукативне институције, али и велике корпорације попут Гугла, Мете, и Мајкрософта.
На опште добро не сме да буде на општу штету
Софтвер отвореног кода (open-source software) је програм чији је изворни код јавно доступан. То значи да сваки корисник – било да је појединац, програмер, или организација – може да прегледа, прилагоди или побољша програм у складу са сопственим потребама. За разлику од комерцијалног (затвореног) софтвера, код овде није власништво једне компаније, већ је резултат заједничког рада и сарадње широм света.
Најчешће се развија кроз јавне платформе као што су GitHub или GitLab. Програмери широм света могу доприносити пројектима, предлагати измене, исправљати грешке и унапређивати безбедност. У неким случајевима, одржавање таквог софтвера воде добровољци, а у другим случајевима тимови унутар компанија као што су Google, Red Hat или IBM.
Предности софтвера отвореног кода јесу потпуна транспарентност и могућност контроле кода, брже отклањање грешака захваљујући заједници, флексибилност и могућност прилагођавања, као и бесплатна употреба у већини случајева.
С друге стране, његове мане су недовољна или непоуздана провера кода од стране трећих лица, могућност убацивања злонамерног кода од стране сарадника, чему управо сведочимо, изостанак званичне подршке, али и ослањање на заједницу, која није увек активна или координисана.
Током 2024. године, група Lazarus поставила је више злонамерних npm пакета који су преузети хиљадама пута пре него што су уклоњени.
Ти пакети садржали су код за крађу акредитива, података из крипто новчаника и постављање бекдор приступа, угрожавајући системе засноване на Windows, macOS и Linux платформама. Један од трикова био је коришћење GitHub репозиторијума како би се створио утисак легитимности.
Још један критичан инцидент односи се на библиотеку XZ Utils, у којој је у верзијама 5.6.0 и 5.6.1 откривена бекдор рањивост. Код је поставио један од поузданих сарадника, а омогућавао је тајни удаљени приступ преко SSH сервера. Ова библиотека се користи у хиљадама Линукс дистрибуција, на серверима у облаку и у IoT уређајима, па је претња била глобална.
Додатно, на платформи PyPI откривени су злонамерни Python пакети попут chatgpt-python и chatgpt-wrapper који су опонашали легитимне алате за рад са ChatGPT API. Њихова сврха била је крађа акредитива и инсталирање бекдор кода, угрожавајући безбедност у пројектима вештачке интелигенције и машинског учења.
„Отворени код је темељ многих савремених ИТ решења, али отвореност може бити и слабост ако се не контролише. Један злонамерни пакет може угрозити цео ланац снабдевања и довести до глобалне кризе. Због тога је кључно увести ригорозне безбедносне механизме и стално надгледање“, упозорава Дмитриј Галов из компаније Kaspersky.
|
Назив апликације |
Опис |
Тип/Намена |
|
Firefox |
Интернет прегледач који развија Mozilla Foundation |
Прегледање интернета |
|
LibreOffice |
Комплетан пакет канцеларијских алата (алтернатива MS Office-у) |
Обрада текста, табела, презентација |
|
GIMP |
Моћан графички уређивач, сличан Photoshop-у |
Обрада слика |
|
VLC Media Player |
Универзални плејер за аудио и видео формате |
Мултимедија |
|
Audacity |
Алат за снимање и едитовање звука |
Аудио продукција |
|
Blender |
3D моделовање, анимација и видео обрада |
Дизајн, филм, игрице |
|
WordPress |
Најпопуларнији CMS за креирање веб-сајтова |
Веб развој |
|
Linux (разне дистрибуције) |
Оперативни систем отвореног кода |
Радне станице, сервери, IoT |
|
Apache |
Веб-сервер који покреће велики део интернета |
Серверска инфраструктура |
|
Git |
Систем за контролу верзија, који користе програмери широм света |
Развој софтвера |
Ко их највише користи?
Наравно, они који их стварају, или креативци који не желе или немају новца да плаћају свуда коришћене апликације: фриленсери, студенти, ИТ ентузијасти. Такође, ови пакети сјајан су алат за едукативне установе (школе и универзитете), као и за стартапе и мала предузећа, којима се не исплати да улажу велики новац у пакете које ће користити повремено или врло ограничено. И поједине државе (Немачка, Француска, Индија) подстичу своје институције да користе пакете отвореног кода, а најчешћи је линукс. На тај начин шире заједницу и доприносе одржавању ове идеје.
Занимљиво је и да велике корпорације (Google, IBM, Microsoft) доприносе њиховом развоју коришћењем апликација отвореног кода, јер одатле црпу идеје и проблемска решења.
Ивана Радоичић