Открытое ПО становится не таким уж открытым

Российские специалисты в области кибербезопасности заявили о том, что с февраля количество так называемых «закладок» в приложениях с открытым кодом выросло в двадцать раз. В лучшем случае скрытый скрипт выводит на экран баннеры с призывами политического характера, в худшем — автоматически запускает вредоносное ПО вроде вирусов-шифровальщиков. Причём из-за политизированного характера саботажа такие вирусы не требуют перевода в биткоинах или какого-то другого вида выкупа, а сразу разрушают файловую систему или иным образом атакуют систему пользователя. Просто потому, что пользователь этот — россиянин.

Ранее атаки при помощи открытого программного кода считались чем-то вроде табу. Open Source уважали как мейнстримовые, «белые» программисты, так и борцы с мейнстримом — различные хакеры. Существовал негласный мораторий на атаки через открытое ПО. Но теперь, в рамках парадигмы тотального внешнего давления на Россию, все средства хороши. Программное обеспечение с открытым кодом публикуется в так называемых репозиториях — бесплатных онлайн-хранилищах, предназначенных специально для бескорыстного обмена такими массивами данных.

Специалисты «Лаборатории Касперского» утверждают: с февраля в программном обеспечении Open Source зарубежного авторства выявлено не менее ста скрытых вредоносных элементов. В «Касперском» также предупредили о том, в каких программных пакетах содержатся скрытые угрозы откровенно антироссийского характера: это Winbox, Ctx и phppass. В относительно известную библиотеку node-ipc был целенаправленно добавлен вирус-шифровальщик, который активируется, если по ip пользователь из России или Белоруссии. Так что в этом плане союзное государство не смогло избежать кибератак, несмотря на политику невмешательства в ход спецоперации.

Одна из основных угроз заражения Open Source состоит в том, что и приложения, сделанные при помощи предыдущей версии библиотеки, могут стать источниками опасности из-за особенностей работы механизма обновлений. Сам разработчик обязан постоянно мониторить свою библиотеку на предмет ошибок, но если с его стороны существует политическая воля (в том числе и заказного характера), некоторые огрехи могут закрасться в код намеренно. Проще говоря, если целая библиотека скомпрометирована, то заражено может быть огромное количество программ — в разы больше, чем выявлено на данный момент. При этом эксперты утверждают: на данном этапе интенсивность и вредоносность атак будет только нарастать.

Вместе с тем, в условиях санкций в стране делается ставка как раз на развитие Open Source, причём как на государственном, так и на корпоративном уровне. Логическое обоснование причин стало ещё более очевидным после того, как с российского рынка исключительно по политическим причинам ушёл ряд игроков в сфере IT — от производителей специализированного ПО до известных онлайн-магазинов видеоигр и приложений. На фоне же текущих событий сложности могут возникнуть и с Open Source.

Не так давно российские разработчики и пользователи потеряли доступ к популярной международной библиотеке GitHub. Открытая операционная система Fedora Lux перестала обновляться и поддерживаться в России ещё в 2017-м году. Подействовали американские санкции, запрещающие передачу подобного ПО в рамках экспортного контроля США.

Стоит отметить, что открытое ПО — это нечто вроде второго, альтернативного пути, который развивается практически во всех сферах в условиях глобального капитализма. Первый (и основной) — это проприетарный, когда код является интеллектуальной собственностью отдельно взятой компании. Конечно здесь есть свои минусы вроде стопроцентной монополизации отдельных сегментов рынка, однако большим компаниям приходится дорожить своей репутацией, и там бы никто не допустил в своих брендированных продуктах скрытых ссылок на незрелые призывы политического (а зачастую и откровенно экстремистского) характера.

По открытым данным, сейчас 85% программного обеспечения в реестре Минцифры — на открытом коде. Все крупнейшие российские ОС созданы на основе Linux. Вместе с тем, Open Source библиотеки хоть и бесплатны, но механизм лицензирования там действует. Так что при желании США и ЕС могут не только ограничить, но и полностью запретить доступ из России. Для этого достаточно отозвать лицензию. В моменте ПО продолжит работать, но про обновления и официальную поддержку можно будет забыть.

При этом программное обеспечение с открытым кодом в России используют крупнейшие ведомства, включая МВД. Одна из потенциально эффективных мер защиты — создание национального репозитория ПО с открытым кодом, но это чрезвычайно масштабный проект, который пока ещё далёк от стадии завершения. Таким образом самые популярные в российских ведомствах ОС — например, Astra Linux — могут оказаться замороженными во времени. А без обновлений количество критических уязвимостей вырастет.

Здесь на руку российским пользователям может сыграть практически безупречная репутация сообщества Open Source-разработчиков. Некоторые видные представители этой среды уже призывают к тому, чтобы прекратить выпады в сторону России. И дело здесь не в осуждении или поддержке её действий, а в том, каково отношение к Open Source в мире. Здесь можно провести параллели с долларом США, стоимость которого с момента отмены золотого стандарта в основном зависит только от уровня доверия. И если в следующий раз парией в глазах СМИ станет ещё-какая то страна после России, затем ещё и ещё, и их будут атаковать через Open Source, постепенно доверие к созданию ПО на основе открытых источников основательно снизится. Альтернатив не останется, а безраздельная власть IT-корпораций — это как раз ночной кошмар Open Sourcе-сообщества.