Ako je súčasná digitálna infraštruktúra Interntom zraniteľná. 29. marca osamelý bezpečnostný výskumník oznámil , že objavil, prevažne náhodou, tajné zadné vrátka v xz Utils. Tento nejasný, ale životne dôležitý softvér je súčasťou operačných systémov Linux, ktoré riadia svetové internetové servery. Ak by neboli zadné vrátka spozorované včas, všetko od kritickej národnej infraštruktúry až po webovú stránku, na ktorej sú umiestnené obrázky vašich mačiek, by bolo zraniteľné.

Ako je súčasná digitálna infraštruktúra zraniteľná

Zadné vrátka implantoval anonymný prispievateľ, ktorý si získal dôveru ostatných kóderov tým, že viac ako dva roky prispieval užitočnými príspevkami. Tá trpezlivosť a pracovitosť nesie odtlačky prstov štátnej spravodajskej služby. Takéto rozsiahle útoky „dodávateľského reťazca“ – ktoré sa necielia na jednotlivé zariadenia alebo siete, ale na základný softvér a hardvér, na ktorých sa spoliehajú – sú čoraz častejšie. V rokoch 2019-20 SVR, ruská zahraničná spravodajská služba, prenikla do sietí americkej vlády kompromitovaním platformy na správu siete s názvom SolarWinds Orion. Nedávno čínski štátni hackeri upravili firmvér smerovačov Cisco, aby získali prístup k ekonomickým, komerčným a vojenským cieľom v Amerike a Japonsku.

Internet je vo svojej podstate zraniteľný voči schémam ako zadné vrátka xz Utils. Rovnako ako mnohé iné, na ktoré sa spolieha, aj tento program je open-source — čo znamená, že jeho kód je verejne dostupný; skôr ako Wikipedia, zmeny v nej môže navrhnúť ktokoľvek. Ľudia, ktorí spravujú open-source kód, to často robia vo svojom voľnom čase. Absurdnosť situácie zachytával titulok z roku 2014, po odhalení katastrofálnej zraniteľnosti v nástroji Open ssl , ktorý je široko používaný na bezpečnú komunikáciu a ktorý mal rozpočet len ​​2 000 dolárov: „Internet chránia dvaja chlapi menom Steve.”

Je lákavé predpokladať, že riešenie spočíva v zavedení centrálnej kontroly, či už zo strany štátov alebo spoločností. História v skutočnosti naznačuje, že softvér s uzavretým zdrojom nie je o nič bezpečnejší ako softvér s otvoreným zdrojom. Americký federálny orgán Cyber ​​Safety Review Board len tento týždeň pokarhal Microsoft za žalostné bezpečnostné štandardy, ktoré Rusku umožnili ukradnúť podpisový kľúč – „kryptografický ekvivalent korunovačných klenotov pre každého poskytovateľa cloudových služieb“. To mu poskytlo rozsiahly prístup k údajom. Na porovnanie, softvér s otvoreným zdrojovým kódom má mnoho výhod, pretože umožňuje kolektívnu kontrolu a zodpovednosť.

Cestou vpred je preto maximálne využiť open source a zároveň zmierniť obrovské bremeno, ktoré to kladie na malý počet neplatených a často prenasledovaných jednotlivcov. Pomôcť môže aj technika. Nezisková organizácia Let’s Encrypt urobila internet bezpečnejším za posledné desaťročie pomocou šikovného softvéru, ktorý zjednodušuje šifrovanie pripojení používateľov k webovým stránkam.

Pokročilejšia umelá inteligencia by nakoniec mohla byť schopná naraz odhaliť anomálie v miliónoch riadkov kódu. Ostatné opravy sú regulačné. Americká kybernetická stratégia, zverejnená minulý rok, objasňuje, že zodpovednosť za zlyhania by nemali niesť vývojári open source, ale „zainteresované strany, ktoré sú najschopnejšie podniknúť kroky na zabránenie zlým výsledkom“.

V praxi to znamená vlády a technologických gigantov, ktorí majú obrovský prospech z knižníc slobodného softvéru. Obe by mali rozšíriť financovanie a spoluprácu s neziskovými inštitúciami, ako sú Open Source Initiative a Linux Foundation, ktoré podporujú open-source ekosystém. Nadácia New Responsibility Foundation, nemecký think-tank, navrhuje, aby vlády napríklad umožnili zamestnancom prispievať na softvér s otvoreným zdrojovým kódom vo svojom voľnom čase a zmiernili zákony, ktoré kriminalizujú „biely klobúk“ alebo etický hacking.

Mali by konať rýchlo. Zadné vrátka XZ Utils sa považujú za prvý verejne objavený útok dodávateľského reťazca na kľúčový softvér s otvoreným zdrojovým kódom . To však neznamená, že to bol prvý pokus. Pravdepodobne nebude ani posledný.

Elektrický bicykel GT E