Błędy w artykule na łamach Chip.pl
Transkrypt
Błędy w artykule na łamach Chip.pl
Błędy w artykule na łamach Chip.pl Autor: Redakcja Data publikacji: 8 grudnia 2012 http://www.fwioo.pl/article/odpowiedz-na-bledy-w-artykule-jana-glowacza-w-chip W dniu 04.12.2012 na stronie portalu CHIP.pl ukazał się artykuł Jana Głowacza, zatytułowany "Hakerzy coraz częściej atakują za pośrednictwem programów typu open source". Informacje w artykule wprowadzają Czytelników w błąd. Jakkolwiek cieszymy się, że redakcja CHIP.pl zaczyna dostrzegać tematykę open-source, z ubolewaniem odnotowujemy zawarte w artykule informacje jaskrawo niezgodnie z prawdą, wprowadzające w błąd czytelników portalu, tym samym działające na szkodę ruchu wolnego i otwartego oprogramowania oraz ruchu hakerskiego. W tej sytuacji Fundacja Wolnego i Otwartego Oprogramowania zmuszona jest zdecydowanie zaprotestować. Ruch wolnego i otwartego oprogramowania oraz samo wytworzone w jego ramach oprogramowanie są w tej chwili jedną z podstawowych sił napędzających informatykę. Dzięki dostępności kodu źródłowego oprogramowania open-source oraz możliwości jego dowolnego użycia i wprowadzania modyfikacji, wolne i otwarte oprogramowanie stosowane jest w pełnym spektrum zastosowań - od największych klastrów obliczeniowych (90% superkomputerów z listy TOP500 działa pod kontrolą otwartego systemu Linux) przez laptopy i komputery domowe (Ubuntu - najpopularniejsza obecnie dystrybucja Linuksa - szacuje ilość swych użytkowników na ok. 20 milionów), aż po smartfony (Android, Tizen, Sailfish bazują na Linuksie; iOS oparty jest na otwartoźródłowych systemach z rodziny BSD) czy urządzenia elektroniczne w naszych domach (jak access-pointy, routery). Z oprogramowania open-source korzystają NASA (m.in. na potrzeby łazika Curiosity, badającego samodzielnie Czerwoną Planetę), Biały Dom (otwarty system CMS Drupal jest podstawą jego strony internetowej), czy szereg polskich ministerstw (strony Ministerstwa Gospodarki oraz Ministerstwa Administracji i Cyfryzacji wykorzystują oprogramowanie open-source). Infrastruktura Wikipedii, Google czy Facebooka bazuje przede wszystkim na wolnym i otwartym oprogramowaniu. Opublikowany artykuł zdaje się kompletnie nie zauważać skali implementacji oprogramowania opensource, oraz mechanizmów nim rządzących. Poruszona w artykule kwestia bezpieczeństwa jest rzecz jasna bardzo istotna - jednakże nie dotyczy jedynie (ani nawet przede wszystkim!) wolnego i otwartego oprogramowania. Jak dowodzi doświadczenie wielu instytucji na całym świecie, częstokroć wolne oprogramowanie jest bezpieczniejsze właśnie dzięki dostępności do kodu źródłowego i możliwości szybkiego naprawienia znalezionych błędów. Niestety artykuł zdaje się zrównywać oprogramowanie opensource z oprogramowaniem pochodzącym z niesprawdzonego źródła. Zdaje się wręcz sugerować że oprogramowanie opensource nie ma mechanizmów zabezpieczających przed dopisaniem złośliwego kodu, co jest niezgodne z prawdą i szkodliwe. Również wykorzystanie słowa "haker" w tym kontekście budzi nasz zdecydowany sprzeciw. Haker to osoba o ogromnej wiedzy technicznej i praktycznej, kierująca się jednak pewnym etosem. W kontekście, w jakim użyty jest w artykule, na miejscu wydaje się termin "cracker", oznaczający pospolitego przestępce komputerowego (który często nie posiada szerokiej wiedzy technicznej, w swym procederze wykorzystuje metody ataku przygotowane przez kogo innego i w innych celach). Zalecamy gorąco uzupełnienie wiedzy autora artykułu oraz redakcji CHIP.pl w tym zakresie, jako źródła polecić możemy polską Wikipedię oraz dwa reportaże Katarzyny Błaszczyk w Programie Trzecim Polskiego Radia, dopełnione być może wizytą w jednym z polskich hakerspejsów (np. Hakerspejsie Warszawskim). Podsumowywanie osiągnięć ruchu wolnego i otwartego oprogramowania, problemu bezpieczeństwa źródeł oprogramowania oraz tematyki ruchu hakerskiego jednym zdaniem tytułowym artykułu ("Hakerzy coraz częściej atakują za pośrednictwem programów typu open source") jest niezwykle krzywdzące; w obecnej formie, artykuł przedstawia informacje rażąco niezgodne ze stanem faktycznym, co wynikać może jedynie z fundamentalnego, głębokiego niezrozumienia materii - czym w przypadku CHIP.pl jesteśmy niezmiernie zasmuceni. W opisie artykułu zawarta jest również nazwa firmy antywirusowej, cytowana jako źródło informacji. To nasuwa przypuszczenie, że przedmiotowy artykuł jest artykułem sponsorowanym - czyli materiałem reklamowym. Jeżeli w istocie był to materiał reklamowy, powinno to było zostać jednoznacznie i jasno zaznaczone. Zaskakujące jest w takim wypadku również to, że materiały sponsorowane nie są wnikliwie analizowane pod kątem błędów merytorycznych. Jeżeli nie był to materiał reklamowy, możemy jedynie głęboko ubolewać nad fundamentalnymi błędami rzeczowymi, które pozwalamy sobie dokładniej omówić poniżej. 1 WERSJA DO WYDRUKU Termin Code Injection, którego używa autor, nie ma nic wspólnego z przypadkami "dodawania złośliwego kodu do oprogramowania typu open source". Code Injection polega na wykorzystywaniu błędu obecnego w oprogramowaniu bez ingerencji w kod źródłowy. Pozwala atakującemu na wprowadzenie własnych instrukcji do programu z wykorzystaniem jednej z wielu możliwych luk potencjalnie istniejących w danym oprogramowaniu. Jest bardzo wiele rodzajów ataków tego typu. To, czy atakowany system jest czy nie jest oparty o oprogramowanie otwartoźródłowe nie jest kluczowe; fakt dostępności kodu źródłowego wręcz utrudnia ataki typu Code Injection, jako że błędy je umożliwiające są szybciej zauważane i naprawiane (często w przeciągu godzin lub dni, bez konieczności oczekiwania na poprawkę od producenta oprogramowania, jak w przypadku oprogramowania zamkniętego). Pobieranie oprogramowania z nieznanego czy niesprawdzonego źródła nie jest w żaden sposób związane z atakiem typu Code Injection. Pobieranie oprogramowania z nieznanego, niesprawdzonego źródła jest zawsze obarczone ryzykiem, i zawsze użytkownik powinien w takiej sytuacji być ostrożny. Również i tu otwartość kodu danego programu raczej zmniejsza niebezpieczeństwo - osoby mające odpowiednie umiejętności techniczne są w stanie sprawdzić kod programu otwartoźródłowego. Niezrozumiały jest termin "plik open source". Otwartoźródłowe mogą być jedynie programy, nie istnieje typ pliku "open source". Samo korzystanie z tego terminu wskazuje na fundamentalne niezrozumienie tematyki. Możliwość wprowadzenia złośliwego kodu istnieje zawsze, również w przypadku oprogramowania zamkniętego. W przypadku oprogramowania otwartego mamy możliwość zobaczenia i zweryfikowania kodu. Rzecz jasna skorzystać z niej mogą tylko osoby z odpowiednią wiedzą - i to właśnie czynią. Dla zwykłego użytkownika oznacza to, że używa tego samego oprogramowania co wiele osób taką wiedzę posiadających. W przypadku oprogramowania zamkniętego takiej pewności nie mamy. Ze względu na algorytmikę formatów audio/video, odtwarzacze multimediów należą do najbardziej skomplikowanych programów. Niezrozumiałe jest zatem, co znaczy w tym kontekście programy "bardziej zaawansowane" (...od "playerów do odtwarzania filmów czy muzyki"). Niezmiernie niefortunne jest, że na temat tych zagrożeń, którymi w sposób słabo zawoalowany straszeni są czytelnicy artykułu, wypowiada się dyrektor firmy oferującej rozwiązania antywirusowe - i jako rozwiązanie podaje korzystanie z oprogramowania oferowanego przez reprezentowaną przez niego firmę. Nie wydaje się to spełniać wymogów rzetelności dziennikarskiej, nie mówiąc już o tym, że nie ma słowa o otwartych i wolnych rozwiązaniach antywirusowych (np. ClamAV czy ClamWin), dostępnych za darmo w Internecie (sprawdzonych i stosowanych również w dużych, profesjonalnych wdrożeniach serwerowych). W ostatnim zdaniu autor przedmiotowego artykułu nie dość, że myli ze sobą szereg organizacji związanych z ruchem wolnego i otwartego oprogramowania (Linux Foundation, Free Software Foundation, Apache Software Foundation), to jeszcze podejmuje dość siermiężną próbę pomówienia projektów tych organizacji poprzez zasugerowanie, że są one mało bezpieczne. W istocie jednak oprogramowanie tworzone przez osoby związane z tymi organizacjami (jak jądro Linux czy serwer WWW Apache) zasila największe farmy serwerów, bazy danych, giełdy papierów wartościowych i inne krytyczne z punktu widzenia bezpieczeństwa, stabilności i wydajności wdrożenia na świecie, zarówno w sektorze prywatnym, jak i dla administracji publicznej. Niebezpieczeństwo związane z pobieraniem oprogramowania z niesprawdzonego źródła nie zwiększa się w przypadku otwartości kodu często wręcz przeciwnie. Brak informacji o tym fakcie traktujemy jako w najwyższym stopniu pożałowania godny i w zdecydowanych słowach oczekujemy sprostowania na łamach CHIP.pl. 2 WERSJA DO WYDRUKU