Wirtualna Polska i bezpieczeństwo WiOO
Transkrypt
Wirtualna Polska i bezpieczeństwo WiOO
Wirtualna Polska i bezpieczeństwo WiOO Autor: Redakcja Data publikacji: 9 kwietnia 2014 http://www.fwioo.pl/article/wirtualna-polska-i-bezpieczenstwo-wioo Na stronach serwisu tech.wp.pl opublikowany został artykuł pt. "10 zasad jak bezpiecznie korzystać z routera" określający wolne oprogramowanie jako mniej bezpieczne. Szereg organizacji pozarządowych związanych z ruchem hakerskim i promocją wolnego oprogramowania w Polsce wezwało Wirtualną Polskę do usunięcia błędnych informacji. Abstrahując od kuriozalnej sytuacji promowania oprogramowania na wolnych licencjach bezpośrednio pod rzeczonym artykułem, i powoływania się na ekspertów firmy Netgear, znanej z szerokiego wykorzystywania otwartego oprogramowania w swoich produktach, stwierdzenie to mija się z prawdą. Szanowni Państwo, czytając artykuł z dn. 07.04.2014 pt. "10 zasad jak bezpiecznie korzystać z routera" ze zdziwieniem dowiedzieliśmy się, że zdaniem Autora rozwiązania otwartoźródłowe są rzekomo zdecydowanie mniej bezpieczne od swych zamkniętych odpowiedników: "10. Unikaj urządzeń działających na "open source". Firma opierająca swoje rozwiązania na oprogramowaniu typu open source jest zobowiązana do udostępniania kodu źródłowego, przez co naraża swoje produkty na potencjalne wyłapywanie błędów w kodzie przez developerów." Stwierdzenie takie można interpretować wyłącznie jako wskazujące na rażący brak wiedzy Autora w tym temacie. Rozwiązania open source oferują wysokie bezpieczeństwo. Wskazują na to zarówno badania, jak i praktyka - rozwiązania bazujące na wolnych i otwartych systemach operacyjnych z rodziny BSD czy Linux, jak i otwartoźródłowych serwerach WWW, są dominujące w całym serwerowym segmencie rynku IT. Na bezpieczeństwo tych rozwiązań wskazuje również wykorzystywanie ich w tak wymagających środowiskach, jak serwery pocztowe Ministerstwa Obrony Narodowej, czy na większości najpopularniejszych serwisów internetowych (jak choćby Wikipedia). Możliwość zweryfikowania kodu źródłowego i sprawdzenia jego jakości jest równie ważna dla bezpieczeństwa oprogramowania jak podawanie składu produktu spożywczego na etykiecie dla zdrowia konsumenta. Jest to stanowisko szeroko akceptowane w społeczności ekspertów bezpieczeństwa IT. Jeśli kod źródłowy jest dostępny, większa liczba specjalistów może go przejrzeć i wychwycić ewentualne błędy, co przekłada się wprost na bezpieczeństwo samych rozwiązań. Historie otwartego serwera WWW Apache, czy przeglądarki Mozilla Firefox, których nagła popularność związana była m.in. z faktem oferowania lepszego bezpieczeństwa od konkurencji są doskonałą tego ilustracją. Zgodnie z badaniami FWiOO, 90% instytucji publicznych w Polsce korzysta z otwartych rozwiązań. Otwarte rozwiązania stanowią też lwią część rozwiązań używanych na routerach bezprzewodowych dostępnych w Polsce zarówno na wolnym rynku, jak i w ramach ofert operatorskich. Stanowią też bazę dla niezliczonej liczby urządzeń typu set-top-box, smart TV i innych. Co ciekawe, oprogramowanie z otwartym kodem źródłowym stanowi też bazę wielu produktów firmy Netgear, na której doświadczenie powołujecie się Państwo w swoim artykule. Poddawanie przez Państwa w wątpliwość bezpieczeństwa rozwiązań otwartoźródłowych jest tym bardziej zaskakujące, że sama Wirtualna Polska (jak wiele innych firm technologicznych) zdaje się korzystać z rozwiązań na otwartych licencjach. Apache Lucene, używany przez WP jako system wyszukiwania informacji w portalu, jest oprogramowaniem otwartoźródłowym. Podobnie wykorzystywane zarówno przez wp.pl, jak i tech.wp.pl systemy serwerowe z rodziny GNU/Linux. Trudno też nie zauważyć, że Wirtualna Polska sama promuje wolne oprogramowanie na swoich stronach. LibreOffice, Mozilla Firefox, Apache OpenOffice, XBMC Media Center, VLC czy FileZilla (i wiele innych, umieszczonych m.in. w tabeli "Programy do pobrania" bezpośrednio pod przedmiotowym artykułem) są oprogramowaniem dostępnym na wolnych licencjach, z dostępnym kodem źródłowym. Być może fakt ten umknął uwadze Autora i Zespołu WP ze względu na to, że oprogramowanie na wolnych licencjach nie jest poprawnie opisywane (kategoria "darmowe" dotyczy również oprogramowania na licencjach zamkniętych). Ten problem można jednak łatwo rozwiązać, poprawnie opisując licencję, na której dostępne jest oprogramowanie. Biorąc pod uwagę fakt, że rozpowszechnianie fałszywych informacji jest zgodnie z polskim prawem czynem nieuczciwej konkurencji, w imieniu naszych organizacji, ich członków i osób przez nie reprezentowanych wzywamy do: zaniechania rozpowszechniania fałszywych 1 WERSJA DO WYDRUKU informacji na temat bezpieczeństwa wolnego i otwartego oprogramowania; opublikowania sprostowania w dziale, w którym ukazał się przedmiotowy artykuł, wraz z niniejszym listem otwartym; uzupełnienia informacji na temat oprogramowania dostępnego do pobrania w dziale tech.wp.pl o dane dotyczące licencji (w formie nazwy licencji lub informacji o tym, że dany program dostępny jest na wolnej licencji). Cieszymy się jednocześnie, że Wirtualna Polska była uprzejma zwrócić uwagę na temat bezpieczeństwa. Zapraszamy do rozważenia wprowadzenia szyfrowania SSL/TLS dla sesji użytkowników poczty WP – o ile samo logowanie odbywa się przez połączenie szyfrowane, o tyle cała następująca po nim sesja przesyłana jest czystym tekstem, co pozwala na jej przechwycenie, i co za tym idzie przejęcie konta użytkownika. Zapraszamy też do zweryfikowania konfiguracji SSL/TLS wykorzystywanej podczas logowania - nie wspiera ona preferowanego obecnie protokołu TLS 1.2, co jest poważnym brakiem w konfiguracji. Zwracamy też Państwa uwagę na fakt uporczywego błędnego użycia słowa "haker" w znaczeniu "cyberprzestępca". Zapraszamy do zapoznania się listem otwartym członków i sympatyków polskiego ruchu hakerskiego do Ministra Obrony Narodowej w tej sprawie14, jak również z artykułami red. Edwina Bendyka oraz reportażami p. Katarzyny Błaszczyk w Polskim Radiu. Pismo podpisały, poza FWiOO: • Hackerspace Silesia • Polska Grupa Użytkowników Linuksa - PLUG • Hackerspace Szczecin / Fundacja Aegis • Hackerspace Kraków 2 WERSJA DO WYDRUKU