VAŠ LINUKS MOŽE DA BUDE OPASAN Raste broj malvera u projektima OTVORENOG KODA
Do kraja 2024. godine, kompanija Kaspersky zabeležila je ukupno 14.000 zlonamernih paketa u projektima otvorenog koda, što predstavlja porast od 50% u odnosu na 2023. godinu. Tim GReAT ove kompanije analizirao je čak 42 miliona verzija različitih paketa u potrazi za bezbednosnim ranjivostima, a rezultati ukazuju na ozbiljnu pretnju po razvojne i proizvodne sisteme širom sveta.
Softver otvorenog koda (eng. open-source software) predstavlja tip programa čiji je izvorni kod javno dostupan. To znači da ga svako može pregledati, izmeniti i distribuirati. Među najpopularnijim paketima i bibliotekama otvorenog koda su npm (za JavaScript), PyPI (za Python), GoMod (za Go), Maven (za Java), NuGet (za .NET), kao i XZ Utils, alat za kompresiju fajlova na Linuks sistemima.
Ovi paketi omogućavaju programerima da brže i lakše grade aplikacije koristeći već postojeće, proverene delove koda. To značajno ubrzava razvoj i smanjuje troškove, što ih čini veoma privlačnim i u komercijalnom i u akademskom okruženju. Aplikacije otvorenog koda često koriste startapi, edukativne institucije, ali i velike korporacije poput Gugla, Mete, i Majkrosofta.
Na opšte dobro ne sme da bude na opštu štetu
Softver otvorenog koda (open-source software) je program čiji je izvorni kod javno dostupan. To znači da svaki korisnik – bilo da je pojedinac, programer, ili organizacija – može da pregleda, prilagodi ili poboljša program u skladu sa sopstvenim potrebama. Za razliku od komercijalnog (zatvorenog) softvera, kod ovde nije vlasništvo jedne kompanije, već je rezultat zajedničkog rada i saradnje širom sveta.
Najčešće se razvija kroz javne platforme kao što su GitHub ili GitLab. Programeri širom sveta mogu doprinositi projektima, predlagati izmene, ispravljati greške i unapređivati bezbednost. U nekim slučajevima, održavanje takvog softvera vode dobrovoljci, a u drugim slučajevima timovi unutar kompanija kao što su Google, Red Hat ili IBM.
Prednosti softvera otvorenog koda jesu potpuna transparentnost i mogućnost kontrole koda, brže otklanjanje grešaka zahvaljujući zajednici, fleksibilnost i mogućnost prilagođavanja, kao i besplatna upotreba u većini slučajeva.
S druge strane, njegove mane su nedovoljna ili nepouzdana provera koda od strane trećih lica, mogućnost ubacivanja zlonamernog koda od strane saradnika, čemu upravo svedočimo, izostanak zvanične podrške, ali i oslanjanje na zajednicu, koja nije uvek aktivna ili koordinisana.
Tokom 2024. godine, grupa Lazarus postavila je više zlonamernih npm paketa koji su preuzeti hiljadama puta pre nego što su uklonjeni.
Ti paketi sadržali su kod za krađu akreditiva, podataka iz kripto novčanika i postavljanje bekdor pristupa, ugrožavajući sisteme zasnovane na Windows, macOS i Linux platformama. Jedan od trikova bio je korišćenje GitHub repozitorijuma kako bi se stvorio utisak legitimnosti.
Još jedan kritičan incident odnosi se na biblioteku XZ Utils, u kojoj je u verzijama 5.6.0 i 5.6.1 otkrivena bekdor ranjivost. Kod je postavio jedan od pouzdanih saradnika, a omogućavao je tajni udaljeni pristup preko SSH servera. Ova biblioteka se koristi u hiljadama Linuks distribucija, na serverima u oblaku i u IoT uređajima, pa je pretnja bila globalna.
Dodatno, na platformi PyPI otkriveni su zlonamerni Python paketi poput chatgpt-python i chatgpt-wrapper koji su oponašali legitimne alate za rad sa ChatGPT API. Njihova svrha bila je krađa akreditiva i instaliranje bekdor koda, ugrožavajući bezbednost u projektima veštačke inteligencije i mašinskog učenja.
„Otvoreni kod je temelj mnogih savremenih IT rešenja, ali otvorenost može biti i slabost ako se ne kontroliše. Jedan zlonamerni paket može ugroziti ceo lanac snabdevanja i dovesti do globalne krize. Zbog toga je ključno uvesti rigorozne bezbednosne mehanizme i stalno nadgledanje“, upozorava Dmitrij Galov iz kompanije Kaspersky.
|
Naziv aplikacije |
Opis |
Tip/Namena |
|
Firefox |
Internet pregledač koji razvija Mozilla Foundation |
Pregledanje interneta |
|
LibreOffice |
Kompletan paket kancelarijskih alata (alternativa MS Office-u) |
Obrada teksta, tabela, prezentacija |
|
GIMP |
Moćan grafički uređivač, sličan Photoshop-u |
Obrada slika |
|
VLC Media Player |
Univerzalni plejer za audio i video formate |
Multimedija |
|
Audacity |
Alat za snimanje i editovanje zvuka |
Audio produkcija |
|
Blender |
3D modelovanje, animacija i video obrada |
Dizajn, film, igrice |
|
WordPress |
Najpopularniji CMS za kreiranje veb-sajtova |
Veb razvoj |
|
Linux (razne distribucije) |
Operativni sistem otvorenog koda |
Radne stanice, serveri, IoT |
|
Apache |
Veb-server koji pokreće veliki deo interneta |
Serverska infrastruktura |
|
Git |
Sistem za kontrolu verzija, koji koriste programeri širom sveta |
Razvoj softvera |
Ko ih najviše koristi?
Naravno, oni koji ih stvaraju, ili kreativci koji ne žele ili nemaju novca da plaćaju svuda korišćene aplikacije: frilenseri, studenti, IT entuzijasti. Takođe, ovi paketi sjajan su alat za edukativne ustanove (škole i univerzitete), kao i za startape i mala preduzeća, kojima se ne isplati da ulažu veliki novac u pakete koje će koristiti povremeno ili vrlo ograničeno. I pojedine države (Nemačka, Francuska, Indija) podstiču svoje institucije da koriste pakete otvorenog koda, a najčešći je linuks. Na taj način šire zajednicu i doprinose održavanju ove ideje.
Zanimljivo je i da velike korporacije (Google, IBM, Microsoft) doprinose njihovom razvoju korišćenjem aplikacija otvorenog koda, jer odatle crpu ideje i problemska rešenja.
Ivana Radoičić