Błędy w artykule na łamach Chip.pl

Błędy w artykule na łamach Chip.pl
Autor: Redakcja
Data publikacji: 8 grudnia 2012
http://www.fwioo.pl/article/odpowiedz-na-bledy-w-artykule-jana-glowacza-w-chip
W dniu 04.12.2012 na stronie portalu CHIP.pl ukazał się artykuł Jana Głowacza, zatytułowany "Hakerzy coraz częściej atakują
za pośrednictwem programów typu open source". Informacje w artykule wprowadzają Czytelników w błąd.
Jakkolwiek cieszymy się, że redakcja CHIP.pl zaczyna dostrzegać tematykę open-source, z ubolewaniem odnotowujemy zawarte w artykule
informacje jaskrawo niezgodnie z prawdą, wprowadzające w błąd czytelników portalu, tym samym działające na szkodę ruchu wolnego i
otwartego oprogramowania oraz ruchu hakerskiego. W tej sytuacji Fundacja Wolnego i Otwartego Oprogramowania zmuszona jest
zdecydowanie zaprotestować.
Ruch wolnego i otwartego oprogramowania oraz samo wytworzone w jego ramach oprogramowanie są w tej chwili jedną z podstawowych sił
napędzających informatykę. Dzięki dostępności kodu źródłowego oprogramowania open-source oraz możliwości jego dowolnego użycia i
wprowadzania modyfikacji, wolne i otwarte oprogramowanie stosowane jest w pełnym spektrum zastosowań - od największych klastrów
obliczeniowych (90% superkomputerów z listy TOP500 działa pod kontrolą otwartego systemu Linux) przez laptopy i komputery domowe
(Ubuntu - najpopularniejsza obecnie dystrybucja Linuksa - szacuje ilość swych użytkowników na ok. 20 milionów), aż po smartfony (Android,
Tizen, Sailfish bazują na Linuksie; iOS oparty jest na otwartoźródłowych systemach z rodziny BSD) czy urządzenia elektroniczne w naszych
domach (jak access-pointy, routery).
Z oprogramowania open-source korzystają NASA (m.in. na potrzeby łazika Curiosity, badającego samodzielnie Czerwoną Planetę), Biały Dom
(otwarty system CMS Drupal jest podstawą jego strony internetowej), czy szereg polskich ministerstw (strony Ministerstwa Gospodarki oraz
Ministerstwa Administracji i Cyfryzacji wykorzystują oprogramowanie open-source). Infrastruktura Wikipedii, Google czy Facebooka bazuje
przede wszystkim na wolnym i otwartym oprogramowaniu.
Opublikowany artykuł zdaje się kompletnie nie zauważać skali implementacji oprogramowania opensource, oraz mechanizmów nim
rządzących.
Poruszona w artykule kwestia bezpieczeństwa jest rzecz jasna bardzo istotna - jednakże nie dotyczy jedynie (ani nawet przede wszystkim!)
wolnego i otwartego oprogramowania. Jak dowodzi doświadczenie wielu instytucji na całym świecie, częstokroć wolne oprogramowanie jest
bezpieczniejsze właśnie dzięki dostępności do kodu źródłowego i możliwości szybkiego naprawienia znalezionych błędów. Niestety artykuł
zdaje się zrównywać oprogramowanie opensource z oprogramowaniem pochodzącym z niesprawdzonego źródła. Zdaje się wręcz sugerować
że oprogramowanie opensource nie ma mechanizmów zabezpieczających przed dopisaniem złośliwego kodu, co jest niezgodne z prawdą i
szkodliwe.
Również wykorzystanie słowa "haker" w tym kontekście budzi nasz zdecydowany sprzeciw. Haker to osoba o ogromnej wiedzy technicznej i
praktycznej, kierująca się jednak pewnym etosem. W kontekście, w jakim użyty jest w artykule, na miejscu wydaje się termin "cracker",
oznaczający pospolitego przestępce komputerowego (który często nie posiada szerokiej wiedzy technicznej, w swym procederze wykorzystuje
metody ataku przygotowane przez kogo innego i w innych celach).
Zalecamy gorąco uzupełnienie wiedzy autora artykułu oraz redakcji CHIP.pl w tym zakresie, jako źródła polecić możemy polską Wikipedię
oraz dwa reportaże Katarzyny Błaszczyk w Programie Trzecim Polskiego Radia, dopełnione być może wizytą w jednym z polskich
hakerspejsów (np. Hakerspejsie Warszawskim).
Podsumowywanie osiągnięć ruchu wolnego i otwartego oprogramowania, problemu bezpieczeństwa źródeł oprogramowania oraz tematyki
ruchu hakerskiego jednym zdaniem tytułowym artykułu ("Hakerzy coraz częściej atakują za pośrednictwem programów typu open source")
jest niezwykle krzywdzące; w obecnej formie, artykuł przedstawia informacje rażąco niezgodne ze stanem faktycznym, co wynikać może
jedynie z fundamentalnego, głębokiego niezrozumienia materii - czym w przypadku CHIP.pl jesteśmy niezmiernie zasmuceni. W opisie
artykułu zawarta jest również nazwa firmy antywirusowej, cytowana jako źródło informacji. To nasuwa przypuszczenie, że przedmiotowy
artykuł jest artykułem sponsorowanym - czyli materiałem reklamowym.
Jeżeli w istocie był to materiał reklamowy, powinno to było zostać jednoznacznie i jasno zaznaczone. Zaskakujące jest w takim wypadku
również to, że materiały sponsorowane nie są wnikliwie analizowane pod kątem błędów merytorycznych.
Jeżeli nie był to materiał reklamowy, możemy jedynie głęboko ubolewać nad fundamentalnymi błędami rzeczowymi, które pozwalamy sobie
dokładniej omówić poniżej.
1
WERSJA DO WYDRUKU
Termin Code Injection, którego używa autor, nie ma nic wspólnego z przypadkami "dodawania złośliwego kodu do oprogramowania typu open
source". Code Injection polega na wykorzystywaniu błędu obecnego w oprogramowaniu bez ingerencji w kod źródłowy. Pozwala atakującemu
na wprowadzenie własnych instrukcji do programu z wykorzystaniem jednej z wielu możliwych luk potencjalnie istniejących w danym
oprogramowaniu. Jest bardzo wiele rodzajów ataków tego typu. To, czy atakowany system jest czy nie jest oparty o oprogramowanie
otwartoźródłowe nie jest kluczowe; fakt dostępności kodu źródłowego wręcz utrudnia ataki typu Code Injection, jako że błędy je umożliwiające
są szybciej zauważane i naprawiane (często w przeciągu godzin lub dni, bez konieczności oczekiwania na poprawkę od producenta
oprogramowania, jak w przypadku oprogramowania zamkniętego).
Pobieranie oprogramowania z nieznanego czy niesprawdzonego źródła nie jest w żaden sposób związane z atakiem typu Code Injection.
Pobieranie oprogramowania z nieznanego, niesprawdzonego źródła jest zawsze obarczone ryzykiem, i zawsze użytkownik powinien w takiej
sytuacji być ostrożny. Również i tu otwartość kodu danego programu raczej zmniejsza niebezpieczeństwo - osoby mające odpowiednie
umiejętności techniczne są w stanie sprawdzić kod programu otwartoźródłowego.
Niezrozumiały jest termin "plik open source". Otwartoźródłowe mogą być jedynie programy, nie istnieje typ pliku "open source". Samo
korzystanie z tego terminu wskazuje na fundamentalne niezrozumienie tematyki.
Możliwość wprowadzenia złośliwego kodu istnieje zawsze, również w przypadku oprogramowania zamkniętego. W przypadku oprogramowania
otwartego mamy możliwość zobaczenia i zweryfikowania kodu. Rzecz jasna skorzystać z niej mogą tylko osoby z odpowiednią wiedzą - i to
właśnie czynią. Dla zwykłego użytkownika oznacza to, że używa tego samego oprogramowania co wiele osób taką wiedzę posiadających. W
przypadku oprogramowania zamkniętego takiej pewności nie mamy.
Ze względu na algorytmikę formatów audio/video, odtwarzacze multimediów należą do najbardziej skomplikowanych programów.
Niezrozumiałe jest zatem, co znaczy w tym kontekście programy "bardziej zaawansowane" (...od "playerów do odtwarzania filmów czy
muzyki").
Niezmiernie niefortunne jest, że na temat tych zagrożeń, którymi w sposób słabo zawoalowany straszeni są czytelnicy artykułu, wypowiada
się dyrektor firmy oferującej rozwiązania antywirusowe - i jako rozwiązanie podaje korzystanie z oprogramowania oferowanego przez
reprezentowaną przez niego firmę. Nie wydaje się to spełniać wymogów rzetelności dziennikarskiej, nie mówiąc już o tym, że nie ma słowa o
otwartych i wolnych rozwiązaniach antywirusowych (np. ClamAV czy ClamWin), dostępnych za darmo w Internecie (sprawdzonych i
stosowanych również w dużych, profesjonalnych wdrożeniach serwerowych).
W ostatnim zdaniu autor przedmiotowego artykułu nie dość, że myli ze sobą szereg organizacji związanych z ruchem wolnego i otwartego
oprogramowania (Linux Foundation, Free Software Foundation, Apache Software Foundation), to jeszcze podejmuje dość siermiężną próbę
pomówienia projektów tych organizacji poprzez zasugerowanie, że są one mało bezpieczne.
W istocie jednak oprogramowanie tworzone przez osoby związane z tymi organizacjami (jak jądro Linux czy serwer WWW Apache) zasila
największe farmy serwerów, bazy danych, giełdy papierów wartościowych i inne krytyczne z punktu widzenia bezpieczeństwa, stabilności i
wydajności wdrożenia na świecie, zarówno w sektorze prywatnym, jak i dla administracji publicznej.
Niebezpieczeństwo związane z pobieraniem oprogramowania z niesprawdzonego źródła nie zwiększa się w przypadku otwartości kodu często wręcz przeciwnie. Brak informacji o tym fakcie traktujemy jako w najwyższym stopniu pożałowania godny i w zdecydowanych słowach
oczekujemy sprostowania na łamach CHIP.pl.
2
WERSJA DO WYDRUKU