Wirtualna Polska i bezpieczeństwo WiOO

Wirtualna Polska i bezpieczeństwo WiOO

Wirtualna Polska i bezpieczeństwo WiOO
Autor: Redakcja
Data publikacji: 9 kwietnia 2014
http://www.fwioo.pl/article/wirtualna-polska-i-bezpieczenstwo-wioo
Na stronach serwisu tech.wp.pl opublikowany został artykuł pt. "10 zasad jak bezpiecznie korzystać z routera" określający
wolne oprogramowanie jako mniej bezpieczne. Szereg organizacji pozarządowych związanych z ruchem hakerskim i promocją
wolnego oprogramowania w Polsce wezwało Wirtualną Polskę do usunięcia błędnych informacji.
Abstrahując od kuriozalnej sytuacji promowania oprogramowania na wolnych licencjach bezpośrednio pod rzeczonym artykułem, i
powoływania się na ekspertów firmy Netgear, znanej z szerokiego wykorzystywania otwartego oprogramowania w swoich produktach,
stwierdzenie to mija się z prawdą.
Szanowni Państwo,
czytając artykuł z dn. 07.04.2014 pt. "10 zasad jak bezpiecznie korzystać z routera" ze zdziwieniem dowiedzieliśmy się, że zdaniem Autora
rozwiązania otwartoźródłowe są rzekomo zdecydowanie mniej bezpieczne od swych zamkniętych odpowiedników:
"10. Unikaj urządzeń działających na "open source". Firma opierająca swoje rozwiązania na oprogramowaniu typu open source jest zobowiązana do udostępniania kodu źródłowego, przez co naraża swoje produkty na potencjalne wyłapywanie błędów w kodzie przez developerów."
Stwierdzenie takie można interpretować wyłącznie jako wskazujące na rażący brak wiedzy Autora w tym temacie.
Rozwiązania open source oferują wysokie bezpieczeństwo. Wskazują na to zarówno badania, jak i praktyka - rozwiązania bazujące na wolnych
i otwartych systemach operacyjnych z rodziny BSD czy Linux, jak i otwartoźródłowych serwerach WWW, są dominujące w całym serwerowym
segmencie rynku IT.
Na bezpieczeństwo tych rozwiązań wskazuje również wykorzystywanie ich w tak wymagających środowiskach, jak serwery pocztowe
Ministerstwa Obrony Narodowej, czy na większości najpopularniejszych serwisów internetowych (jak choćby Wikipedia).
Możliwość zweryfikowania kodu źródłowego i sprawdzenia jego jakości jest równie ważna dla bezpieczeństwa oprogramowania jak podawanie
składu produktu spożywczego na etykiecie dla zdrowia konsumenta. Jest to stanowisko szeroko akceptowane w społeczności ekspertów
bezpieczeństwa IT.
Jeśli kod źródłowy jest dostępny, większa liczba specjalistów może go przejrzeć i wychwycić ewentualne błędy, co przekłada się wprost na
bezpieczeństwo samych rozwiązań. Historie otwartego serwera WWW Apache, czy przeglądarki Mozilla Firefox, których nagła popularność
związana była m.in. z faktem oferowania lepszego bezpieczeństwa od konkurencji są doskonałą tego ilustracją.
Zgodnie z badaniami FWiOO, 90% instytucji publicznych w Polsce korzysta z otwartych rozwiązań.
Otwarte rozwiązania stanowią też lwią część rozwiązań używanych na routerach bezprzewodowych dostępnych w Polsce zarówno na wolnym
rynku, jak i w ramach ofert operatorskich. Stanowią też bazę dla niezliczonej liczby urządzeń typu set-top-box, smart TV i innych.
Co ciekawe, oprogramowanie z otwartym kodem źródłowym stanowi też bazę wielu produktów firmy Netgear, na której doświadczenie
powołujecie się Państwo w swoim artykule.
Poddawanie przez Państwa w wątpliwość bezpieczeństwa rozwiązań otwartoźródłowych jest tym bardziej zaskakujące, że sama Wirtualna
Polska (jak wiele innych firm technologicznych) zdaje się korzystać z rozwiązań na otwartych licencjach. Apache Lucene, używany przez WP
jako system wyszukiwania informacji w portalu, jest oprogramowaniem otwartoźródłowym. Podobnie wykorzystywane zarówno przez wp.pl,
jak i tech.wp.pl systemy serwerowe z rodziny GNU/Linux.
Trudno też nie zauważyć, że Wirtualna Polska sama promuje wolne oprogramowanie na swoich stronach. LibreOffice, Mozilla Firefox, Apache
OpenOffice, XBMC Media Center, VLC czy FileZilla (i wiele innych, umieszczonych m.in. w tabeli "Programy do pobrania" bezpośrednio pod
przedmiotowym artykułem) są oprogramowaniem dostępnym na wolnych licencjach, z dostępnym kodem źródłowym.
Być może fakt ten umknął uwadze Autora i Zespołu WP ze względu na to, że oprogramowanie na wolnych licencjach nie jest poprawnie
opisywane (kategoria "darmowe" dotyczy również oprogramowania na licencjach zamkniętych). Ten problem można jednak łatwo rozwiązać,
poprawnie opisując licencję, na której dostępne jest oprogramowanie.
Biorąc pod uwagę fakt, że rozpowszechnianie fałszywych informacji jest zgodnie z polskim prawem czynem nieuczciwej konkurencji, w
imieniu naszych organizacji, ich członków i osób przez nie reprezentowanych wzywamy do: zaniechania rozpowszechniania fałszywych
1
WERSJA DO WYDRUKU
informacji na temat bezpieczeństwa wolnego i otwartego oprogramowania; opublikowania sprostowania w dziale, w którym ukazał się
przedmiotowy artykuł, wraz z niniejszym listem otwartym; uzupełnienia informacji na temat oprogramowania dostępnego do pobrania w
dziale tech.wp.pl o dane dotyczące licencji (w formie nazwy licencji lub informacji o tym, że dany program dostępny jest na wolnej licencji).
Cieszymy się jednocześnie, że Wirtualna Polska była uprzejma zwrócić uwagę na temat bezpieczeństwa. Zapraszamy do rozważenia
wprowadzenia szyfrowania SSL/TLS dla sesji użytkowników poczty WP – o ile samo logowanie odbywa się przez połączenie szyfrowane, o tyle
cała następująca po nim sesja przesyłana jest czystym tekstem, co pozwala na jej przechwycenie, i co za tym idzie przejęcie konta
użytkownika.
Zapraszamy też do zweryfikowania konfiguracji SSL/TLS wykorzystywanej podczas logowania - nie wspiera ona preferowanego obecnie
protokołu TLS 1.2, co jest poważnym brakiem w konfiguracji.
Zwracamy też Państwa uwagę na fakt uporczywego błędnego użycia słowa "haker" w znaczeniu "cyberprzestępca". Zapraszamy do
zapoznania się listem otwartym członków i sympatyków polskiego ruchu hakerskiego do Ministra Obrony Narodowej w tej sprawie14, jak
również z artykułami red. Edwina Bendyka oraz reportażami p. Katarzyny Błaszczyk w Polskim Radiu.
Pismo podpisały, poza FWiOO:
• Hackerspace Silesia
• Polska Grupa Użytkowników Linuksa - PLUG
• Hackerspace Szczecin / Fundacja Aegis
• Hackerspace Kraków
2
WERSJA DO WYDRUKU