IT-рынок
IT-рынок
Почему миллиардные инвестиции не сделают открытые ОС безопаснее
Андрей Васильков
Опубликовано 18 сентября 2013
Компания IBM вложит ещё один миллиард долларов в развитие Linux. Подробнее о структуре инвестиций будет объявлено на конференции LinuxCon в Новом Орлеане на этой неделе. Ожидается, что IBM в течение ближайших пяти лет будет софинансировать разработку приложений для серверов Power Systems, расширит облачные сервисы и привлечёт внимание к отрытым разработкам для архитектуры Power.
Генеральный менеджер IBM Power Systems Дуг Балог (Doug Balog) пояснил, что компания не будет отказываться от развития других операционных систем в пользу Linux:
Linux — операционная система выбора для облачных сервисов, обработки Big Data и развертывания центров обработки данных. Мы надеемся, что Linux сделает новый Power8 более привлекательным, чем популярные сегодня x86-серверы. Однако мы не откажемся и от развития инфраструктуры Power-AIX. Это слишком важная стратегия, в которую мы вложили ещё больше. Linux и AIX — два параллельных и сближающихся направления. Они уже кросс-совместимы на уровне виртуализации и систем управления.
Нашумевшая история с программой разведки PRISM породила новую волну интереса к Linux и свободному программному обеспечению. Поэтому такие вложения выглядят особенно логично. На этот раз камни летят не только в сторону Windows, но и других программных продуктов с закрытым исходным кодом.
Linux как универсальная альтернатива
Исполнительный директор Фонда свободного программного обеспечения Джон Салливан (John Sullivan) призывает отказаться от покупки новых iPhone 5S и 5C, мотивируя это явной угрозой приватности:
Мы не можем представить более враждебной реакции на волну обеспокоенности о приватности, нарастающей в мире прямо сейчас, чем представление проприетарного сканера отпечатков пальцев с сетевым доступом как новой функции.
Теперь у Apple будут ваши отпечатки пальцев (фото: John Russell).
Заявление было написано вскоре после скандала, который породил эксперимент криптографа Мэтью Грина (Matthew Green), показавший, что Apple может читать зашифрованную переписку в iMessage: «В Apple могут призывать “думать иначе”, но правила безопасности касаются их тоже», — пишет он в заключение.
Сегодня достаётся даже основанной на ядре Linux ОС Android. Независимый консультант по вопросам информационной безопасности Майкл Хоровиц (Michael Horowitz) написал в своём блоге, что начиная с версии 2.2 все устройства под управлением Android по умолчанию отправляют сохранённые пароли от сетей Wi-Fi и другие приватные данные в дата-центры компании:
Google давно имеет техническую возможность получать пароли от домашних и корпоративных Wi-Fi-сетей. Вряд ли компания желает причинить таким образом вред своим клиентам. Скорее у руководителей просто не было выбора. Они утверждают, что хранят все данные в защищённых дата-центрах и удаляют их со временем, но наверняка прежде их передают АНБ, ЦРУ и ФБР. Если вы хоть раз подключались к беспроводной сети со смартфона или планшета под управлением ОС Android, то спецслужбам даже не потребуются эксплойты, чтобы проникнуть в неё.
Скриншот настроек в Android v.4.2.
В качестве альтернативы Хоровиц упоминает проект Replicant, в рамках которого уже четвёртый год создаётся свободно распространяемая версия Android с открытым исходным кодом.
Открытость ? безопасность
Действительно, в свете последних известий о размахе деятельности АНБ многие видят в открытом ПО средство спасения от протрояненных систем и основу доверенных платформ. Однако скептики в очередной раз предостерегают от ложных надежд.
Открытость ещё ничего не значит сама по себе. Порой опытные программисты с трудом читают свои же листинги старых проектов. Эффективный анализ чужого кода и вовсе под силу единицам. Причём совсем не факт, что эти специалисты высокого уровня захотят тратить на это неблагодарное занятие своё время.
Внедрить программную закладку в Linux или *BSD сегодня так же просто, как и в проприетарные ОС. При существующем объёме открытого кода они будут оставаться незамеченными месяцами, если не годами. Истории с переходившими от версии к версии критическими уязвимостями — наглядное тому подтверждение.
К примеру, уязвимость нулевого дня, вызывающая несанкционированное повышение привилегий, существовала в ядрах Linux версий с 2.6.37 до 3.8.8. Иными словами, серьёзную ошибку не замечали около двух с половиной лет.
«Зачем я буду проверять код, если до меня его уже досконально изучили тысячи более опытных волонтёров?» — примерно так думает большинство сторонников open source.
В самом деле, кто из вас лично проверял исходники хотя бы десятка популярных программ? Драйверов? Сколько пользователей вообще загрузили их для ознакомления? Единицы, и уровень их далёк от экспертного.
Впрочем, и специалистам приходится нелегко. Например, в коде хост-контроллера Intel xHCI (hub.c) целых восемь лет существовала ошибка с указанием тайм-аута, приводящая к внезапному отключению многих USB-устройств после выхода из режима ожидания. Баг не просто не замечали так долго. Его прицельно искали программисты Intel и многие члены Linux-сообщества, но не могли найти.
Серьёзный анализ кода часто становится невозможным или неоправданным из-за темпов разработки и разветвлённости направлений оптимизации. Пока вы будете изучать один релиз, напишут два новых.
Доверять [,] нельзя [,] проверять!
Казалось бы, ладно — Linux. Там чёрт ногу сломит, в этом обилии дистрибутивов и их специфике. Есть же более узкоспециализированные операционные системы и защищённые программно-аппаратные решения от уважаемых компаний. Почему бы не довериться им?
Да хотя бы потому, что и в этих продуктах по-прежнему выявляются ошибки, выглядящие как явные программные закладки. Например, не так давно компания Hewlett-Packard подтвердила наличие бэкдоров в своих системах резервного копирования StoreOnce D2D Backup и хранения данных StoreVirtual Storage. Уязвимости, которые невозможно было устранить путём любых изменений конфигурации, существовали на протяжении четырёх лет.
Последний гвоздь в крышку гроба приватности забивает технический эксперт Роберт Погсон (Robert Pogson) из Университета Манитобы. Он сам сторонник концепции open source и считает это направление верным, но при этом спрашивает коллег: «С чего вы вообще взяли, что основные угрозы приватности реализованы на уровне бэкдоров в ОС и приложениях? Есть более удобные и универсальные способы контролировать всех на более низком уровне».
Речь идёт о низкоуровневых функциях современного «умного» железа — сетевых картах с изменяемыми настройками, маршрутизаторах с прошивками на базе полноценной ОС, UEFI с браузером и кучей встроенных утилит, независимой от платформы среды драйверов EBC, технологии Intel vPro, наконец.
Уже давно не удивляет возможность получить удалённый доступ к компьютерам без установки на них не только сетевых драйверов, но и самой операционной системы. Даже удалённое включение «выключенного» компьютера и изменение его BIOS по сети не выглядит чудом. И это только известные штатные функции, верхушка айсберга.
К оглавлению
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
IT-рынок
IT-рынок Программист на 3 миллиона: к вопросу о недостатках работы за рубежом Евгений Золотов Опубликовано 24 января 2014 Мода на сравнение работы программиста в России и за рубежом (в частности в Соединённых Штатах) за последние годы незаметно
IT-рынок
IT-рынок Интернет-век наступил и в рекламе! Михаил Ваннах Опубликовано 16 апреля 2014 Технологические эпохи – которые и определяют жизнь человечества – не совпадают с календарными датами. «Настоящий ХХ век», с его крушением традиционных обществ, с
IT-рынок
IT-рынок BlackBerry всё Евгений Золотов Опубликовано 24 сентября 2013 «Когда умирают тираны, в первый момент наступает замешательство: возможно ли это, неужто и они состоят из смертных молекул?»Это сказано про человека, не про компанию. Но именно эти
IT-рынок
IT-рынок Intel уходит с рынка решений для бизнес-аналитики Андрей Васильков Опубликовано 28 марта 2014 Руководство компании Intel решило прекратить самостоятельную разработку программных средств для бизнес-аналитики. Вероятная причина в том, что,
IT-рынок
IT-рынок Почему цимес, который нашел Карл Икан в Apple, Тиму Куку совсем не нахес Сергей Голубицкий Опубликовано 28 января 2014 Карл Икан«Кое-кто богатеет на изучении искусственного интеллекта. Ну а я зарабатываю деньги на изучении природной тупости».
IT-рынок
IT-рынок Андроид как король десктопа: ваш следующий ПК будет с зелёным человечком на боку Евгений Золотов Опубликовано 19 июля 2013 На протяжении последних пятнадцати лет рынок персональных компьютеров был ареной борьбы всего трёх платформ.
IT-рынок
IT-рынок Насколько глупа шумиха вокруг «умных» часов? Андрей Письменный Опубликовано 30 апреля 2013 В шестнадцатом веке баварскими мастерами был изобретён первый настоящий персональный гаджет в истории человечества — наручные часы.
IT-рынок
IT-рынок Сатья Наделла: Microsoft станет облачной компанией Игорь Емельянов Опубликовано 18 февраля 2014 Есть на ИТ-рынке такие компании, чьи действия волей-неволей обсуждают все остальные. При этом компания может, как и доселе, продолжать продавать свой
IT-рынок
IT-рынок Что нашли в могильнике Atari, или Тридцать лет Великому краху видеоигр Евгений Золотов Опубликовано 28 апреля 2014 Начиная неделю, всегда стараешься отыскать тему яркую, резонансную. Но в этот раз такая тема была — буквально! — найдена на помойке. В минувшие выходные
IT-рынок
IT-рынок Любопытной Варваре… или Почему никто не даст по носу Gmail и Facebook, торгующим нашим исподним? Евгений Золотов Опубликовано 10 сентября 2013 Виной ли тому обострённая Эдвардом Сноуденом хроническая потребность оградить свою жизнь и имя от чужих
IT-рынок
IT-рынок Жизнь после Tor’а: неизбежность пришествия систем кибернаблюдения и возможные последствия для бизнеса Михаил Ваннах Опубликовано 19 августа 2013 В конце прошлой недели интересную вещь сообщила российская пресса – «ФСБ готовит закон против
IT-рынок
IT-рынок Две волны: Как можно, хотя бы приблизительно, разложить драматические процессы в ИТ-отрасли Михаил Ваннах Опубликовано 20 апреля 2013 С ИТ-рынка пачками – будто их выплёвывает заморская самозарядка M1 Garand – приходят скорбные вести. Рынок
IT-рынок
IT-рынок Российский стартап обещает покончить с роумингом и офлайном с помощью спутников Андрей Васильков Опубликовано 25 апреля 2014 Российско-гонконгская компания Yaliny обещает наладить для всех людей мобильную жизнь без роуминга и офлайна. На
IT-рынок
IT-рынок Как быть с корпоративным консерватизмом, если государство «принуждает» к инновациям Вадим Сухомлинов, руководитель направления стратегического развития бизнеса Intel в России и странах СНГ Опубликовано 14 февраля 2013 Инновационное
IT-рынок
IT-рынок Рекламные войны: как Google провоцирует пользователей Андрей Васильков Опубликовано 18 марта 2013Компания Google удалила из своего каталога приложений для ОС Android все программы, блокирующие рекламу. Среди самых известных перечисляются AdBlock Plus, AdAway и AdFree. Все они