IT fenomén: Může se open source ubránit supply chain útokům?
Vložit
- čas přidán 1. 04. 2024
- Před pár dny byl odhalen zajímavý útok na projekt XZ - komprimační knihovnu, kterou využívá mnoho linuxových distribucí. Neznámý útočník do ní vložil záměrnou zranitelnost. Není to naposled a obávám se, že ani ne poprvé. A open source v současné podobě nemá mechanismy, jak se tomuto druhu útoků bránit.
Obsáhlejší pojednání na toto téma jako článek pro HN: tech.hn.cz/c7-67310650-hdq8q-...
- - -
Producentem tohoto projektu je Zásilkovna. Česká technologická společnost, která je lídrem v doručování zásilek v ČR. Už dávno ale nejde jen o přepravní společnost - tato digitální platforma dnes díky svým technologickým řešením udává trendy v e-commerce a logistice, a to nejen v Česku, ale pod hlavičkou globální skupiny Packeta i v celém světě. V Zásilkovně používáme celou řadu zajímavých a unikátních technologických řešení. Milujeme technologie. A proto jsme se rozhodli spojit s Michalem Altairem Valáškem a tvořit skvělý technologický obsah pro poučení i pobavení.
Více o Zásilkovně:
Web: www.zasilkovna.cz
Facebook: / zasilkovna
Twitter: / zasilkovna
IG: / zasilkovna.cz
LinkedIn: / 5280145
Vaším průvodcem technologiemi bude Michal Altair Valášek, zkušený lektor, programátor, odborník na kybernetickou bezpečnost a také bastlíř a maker. Spojení se Zásilkovnou mu pro kanál Z-TECH umožňuje vytvářet dvakrát týdně zajímavé video na některé z výše zmíněných témat.
Více o Altairovi:
Blog: www.altair.blog
Web: www.rider.cz
Facebook: www.faceboom.com/rider.cz
Twitter: / ridercz
Tady je slíbený článek, který téma rozebírá do větší hloubky: tech.hn.cz/c7-67310650-hdq8q-0e4a7b109415da5
Myslím si, že by mohlo pomoci nasazení, nějakým způsobem plošného, security řešení, které bude skenovat SW v různých fázích CI/CD procesu. V podstatě mluvím o DevSecOps nad vývojem Linuxových distribucí.
Mám obavy, že ani closed-source se nemá jak takovému útoku bránit. Není to OSS vs CSS problém, ale je to o znalosti vývojářů, kteří dodávají kód a o těch co to po nich kontrolují. Pokud najmete na účetní prorgam programátory z Novosibirsku, taky nevíte co vám tam dají za dárek a kdo vlastně vůbec jsou.
Vyšší zranitelnost OSS je v tom, že je extrémně snadné se dostat mezi vývojáře a případně maintainery, zejména u malých projektů. Kdokoliv schopný je (logicky) přivítán s otevřenou náručí a nikdo neřeší co je zač a jestli ho třeba neplatí nějaká nepřátelská tajná služba. Dostat člověka na to správné místo v komerční firmě je podstatně komplikovanější.
Ta XZ knihovna ani není používaná tou kryptografickou, ale různé distribuce (RedHat, Fedora, Debian...) ji tam přidali :) Proto třeba Arch Linux nebyl postižen.
Tohle se označuje jako "Supply chain backdoor", ale i hromada komerčního SW (a nejspíš i knihoven) má backdoor. Včetně věcí pro armádu (např. různé úrovně šifrování pro vysílačky).
Ono hlavne Altair tady chybne spojuje moznost existence backdooru s OSS. Vlastnostmi, ktere mu prisuzuje v souvislosti s touto chybou, totiz ma i uzavreny proprietarni software. I komercni firma, ktera vyviji uzavreny sw, muze najmout trojskeho kone. A myli se, ze tato situace nema reseni. (Samozrejme nema ho v absolutni rovine tak, jako zadny sw z principu neni bez chyb a neni "bezpecny".) Jak spravne uvedl, problem jsou knihovny a male sw, ktere vyvijeji male skupiny lidi, ktere nemaji prostredky na testovani. A jak spravne uvedl, nema smysl primo do techto knihoven lit tuny penez, protoze je to neefektivni. Ma ale smysl zvysit prostredky na testovani tam, kde jsou tyto knihovny vyuzivany (ostatne to, co nebylo uvedeno, byla i snaha o zamezeni fuzzingu teto knihovny - github.com/google/oss-fuzz/pull/10667). Microsoft nepochybne venuje velke usili o testovani sw, ktery vyuziva (a i sveho vlastniho sw) a delaji to i nektere velke na OSS zalozene firmy (treba Google, apod.). To, co tady pomuze, je vetsi duslednost v testovani prave v pripade vetsich celku, ktere tento maly sw vyuzivaji. Samozrejme - jak jiz jsem psal - neni to samospasitelne ani u Microsoftu, ani u Google ani u jine vetsi firmy, protoze z principu kazdy backdoor odhalit nelze.
Byl bych nerad, kdyby vznikl dojem, ze tento problem je mozny pouze u OSS a ze closed source je tohoto prosty a toto video, ac mam jinak Altaira rad a mam rad jeho uvahy (a jsem mu velice vdecny, ze dela osvetu laicke verejnosti (nejen) spolu se Zasilkovnou - btw doufam, ze bude dal pokracovat i po zmene vedeni), tomu napomaha.
Já jsem to hodně zjednodušil, pro účely videa. Napsal jsem celkem obsáhlé pojednání, které by mělo vyjít v Hospodářkách, kde jdu víc do hloubky.
Vyšší zranitelnost OSS je v tom, že je extrémně snadné se dostat mezi vývojáře a případně maintainery, zejména u malých projektů. Kdokoliv schopný je (logicky) přivítán s otevřenou náručí a nikdo neřeší co je zač a jestli ho třeba neplatí nějaká nepřátelská tajná služba. Dostat člověka na to správné místo v komerční firmě je podstatně komplikovanější.
Další rovina je zejména u Linuxu a dalších starších projektů, což je sbírka tisíců malých knihoven a utilit, které často visí na jednom nebo několika maintainerech. A to podle mne praktické řešení nemá.