С февраля на порядок увеличилось количество выявляемых вредоносных элементов открытого программного обеспечения (ПО). Только «Лаборатория Касперского» нашла как минимум 100 подобных вложений в иностранном ПО с открытым кодом на разных платформах. В качестве закладок программисты, выступающие против военных действий РФ на Украине, стали оставлять скрипты, выводящие, например, баннеры с политическими призывами или вирусы-шифровальщики, парализующие работу продуктов. Однако подобные действия уже встретили протест в самом профильном международном сообществе.
Рисунок: Виктор Чумачев, Коммерсантъ
Количество закладок в открытых программных кодах (Open Source), то есть умышленно созданных вредоносных частей, увеличилось в 20 раз с февраля, рассказали “Ъ” в одной из крупных компаний, специализирующихся на кибербезопасности. Рост такой угрозы можно отсчитывать с нулевой базы, потому что раньше этот инструмент у хакеров не был популярен, уточняет источник “Ъ”. В «Лаборатории Касперского» рассказали, что с февраля выявили 100 вредоносных элементов в иностранном ПО с открытым кодом, опубликованных в различных репозитариях (хранилище для разработки): закладки «в том числе содержат провокационный контент или призывы к каким-либо действиям». Как правило, закладки связаны с политическими мотивами.
Действия варьируются от простого хулиганства (скриптов, выводящих пропагандистские баннеры) до внедрения вирусов-шифровальщиков, уточнил ведущий эксперт по импортозамещению ПО «Крок» Александр Донин.
В частности, по его словам, угрозы были замечены в программных пакетах Ctx, phppass и Winbox, распространяемых с различных репозиториев. Недавно автор популярной библиотеки node-ipc добавил вирус-шифровальщик для ip России и Белоруссии, который портит всю файловую систему пользователям, говорит ведущий инженер CorpSoft24 Михаил Сергеев. Число инцидентов, по мнению экспертов, будет расти.
Ключевой риск закладок заключается в том, что если в Open Source проект был интегрирован вредоносный код, то угроза появляется и в решениях тех разработчиков, кто использовал более ранние версии, объясняет руководитель подразделения безопасности программного обеспечения «Лаборатории Касперского» Дмитрий Шмойлов: «Если вендор постоянно не проверяет используемый открытый код, то пострадать могут все пользователи его продукта». Поэтому если в более 100 Open Source решений заложена угроза, то заражено может оказаться огромное количество программ во всех компаниях, использующих их элементы в своей работе, подчеркивает он.
В конце февраля, после начала военных действий РФ на Украине, стало известно о других рисках для российских программистов, работающих с открытым кодом.
В частности, они потеряли доступ к некоторым проектам Open Source, размещенным на международной площадке GitHub (см. “Ъ” от 28 февраля). Еще одной проблемой, по словам экспертов, может стать отсутствие обновлений и поддержки проектов из-за санкций. Такой случай произошел в 2017 году с открытой ОС Fedora Linux: ее разработчики внесли изменения в пользовательское соглашение, по которым ПО не может передаваться «в запрещенные экспортным контролем США страны, в том числе Крымский регион Украины».
Между тем российские власти и компании в условиях ограничения доступа к лицензионному западному софту делают большую ставку на развитие Open Source. Минцифры в этом году планирует провести эксперимент под открытой лицензией исходных кодов принадлежащего государству ПО. Open Source начали использовать и в кибербезопасности: в мае на рынок вышла платформа Cyberok, которая собирает из открытых компонентов готовые продукты для заказчиков.
Важно, что Open Source сообщество саморегулируемое и после первых же инцидентов, как с отказом в работе, так и с вредоносной закладкой в ПО, выступило против подобных действий в своей среде, говорит руководитель направления исследований и специальных проектов ГК «Астра» Роман Мылицын: «Такие изменения в коде несут вред всем пользователям, а не только работающим на конкретных территориях». Еще хуже, по его мнению, что дискредитируется все Open Source сообщество. Поэтому, утверждает эксперт, с угрозами «уже борются разработчики открытых решений по всему миру, независимо от политических взглядов».