Miliony stažení týdně, jeden člověk za klávesnicí
Denis Malinočkin, programátor pracující pro ruský technologický gigant Yandex, tento nástroj vyvíjí už od roku 2016. Jeho kód byl využit ve více než 27 milionech projektů na platformě GitHub a běží i v systémech americké armády. Přitom o něm nikdo neví téměř nic.
Na tento potenciálně bezpečnostní problém upozornili nedávno výzkumníci ze společnosti Hunted Labs. Když jeden člověk spravuje kód používaný v tak kritických systémech, může to představovat hrozbu. Zvláště když tento člověk žije v zemi, která není příliš přátelsky naladěná vůči Západu.
Výzkumníci ve zprávě uvádějí, že jejich vyšetřování odhalilo fast-glob ve více než třiceti kontejnerech v schválených systémech ministerstva obrany. Jejich obavy se týkají především možného vlivu, který by na vývojáře mohla mít ruská vláda.
Mohlo by vás zajímat
Nebezpečné obzvlášť pro vývojáře: probíhající útok hrozí infekcí milionů kódových úložišť
Bezpečnost
Polovina internetu funguje na vedlejších projektech
Jenže realita je taková, že podobných případů jsou tisíce. Bezpečnostní expert Josh Bressers přišel s překvapivými čísly: z téměř 12 milionů sledovaných open-source projektů spravuje asi 7 milionů jediný člověk.
Ještě dramatičtější je situace u nejpopulárnějších balíčků. Zhruba polovina z 13 tisíc nejstahovanějších NPM balíčků (modul nebo knihovna softwarového kódu v jazyce JavaScript) má pouze jednoho správce. To znamená, že polovina základní infrastruktury internetu závisí na jednotlivcích, kteří často pracují zadarmo nebo za minimální odměnu ve volném čase.
Mohlo by vás zajímat
Programátor se brání
Sám Denis Malinočkin se k obviněním vyjádřil. Zdůraznil, že fast-glob vyvíjel samostatně už roky předtím, než nastoupil do Yandexu. Nikdo ho nikdy nepožádal, aby do kódu zabudoval skryté funkce nebo sbíral data uživatelů. Celý projekt je otevřený a kdokoli si může prohlédnout každý řádek kódu.
Software pro celou planetu píše jeden člověk v nějaké zemi. Nevíme ani v které. Ale není to stále stejný člověk - téměř všechno v open source dělá doslova jeden člověk - argumentuje Bressers na obranu ruského vývojáře.
Mohlo by vás zajímat
Kde je skutečné riziko?
Podle mnoha expertů není problém v tom, ze které země vývojář pochází, ale spíš v tom, jak zranitelný systém open-source vývoje vlastně je. Přepracovaní a nedostatečně placení programátoři představují větší riziko než jejich národnost.
Bressers poukazuje na logickou chybu v uvažování: Rusové nejsou tak hloupí, aby podstrčili zadní vrátka do balíčku vlastněného někým, kdo žije v Rusku. Spíš by předstírali, že jsou z jiné země a jmenovali by se třeba Jia Tan, ne Boris Zloduch.
Řešení neexistuje
Problém je v tom, že rychlé řešení prakticky neexistuje. Výzkumníci z Hunted Labs navrhují, aby Malinočkin přibral další správce projektu, ideálně ze "demokratických společností". Jiné možnosti zahrnují přechod na alternativní nástroj nebo vytvoření vlastní verze kódu.
Ministerstvo obrany mezitím dostalo doporučení, aby fast-glob okamžitě odstranilo ze svých systémů. Pentagon už dříve vydal memorandum, které nařizuje ověřit bezpečnost všech technologií proti možným útokům ze strany Číny, Ruska a dalších protivníků.
Celá situace odhaluje paradox moderní digitální doby. Zatímco se svět stává stále propojenějším a závislejším na technologiích, základní infrastruktura často stojí na křehkých základech. Jeden unavený programátor v Moskvě, Šanghaji nebo kdekoliv jinde může mít v rukou kód, na kterém závisí miliony uživatelů po celém světě. Možná je čas začít více investovat do lidí, kteří drží internet pohromadě - ať už jsou odkudkoliv.
Zdroj: Denis Malinochkin, Github, Huntedlabs, The Register, Cybernews
5 foto
