|
|
Интернет, компьютеры, софт и прочий Hi-Tech
Избранные доки
Метки (все метки)
internet, it, интернет, интернет сеть, информационные технологии, ит, по, программное обеспечение, сайт, софтДополнительно
оптимизация, сайт, мониторы, движок, Битрикс, хостинг, сайты, мобильные, электроника, видеокартаLinux. Почему нужно пользоваться СПО
Действительно, почему нужно пользоваться именно свободным ПО (СПО), а не проприетарным, даже если софт бесплатный? Многие наверняка насмехаются над чудаками, которые стараются не устанавливать на свои компьютеры ничего, что не относится к категории «православных» программ с открытым исходным кодом, Open Source.
Ну, если не насмехаются, то, по крайней мере, говорят о «религиозных убеждениях» с изрядной долей иронии, крутя пальцем у виска. Но ведь эти чудаки, в большинстве своём, люди вовсе не глупые. Программисты и опытные пользователи (преимущественно операционной системы Linux в разных её вариантах), повидавшие на своём веку всякого. Попытаемся разобраться, в чём тут дело.
Знаете ли вы, что браузер Opera регулярно тайком соединяется с Норвегией, городом Осло, через порт 443? Не знаете? Можете проверить, посмотрев журнал брандмауэра. Иногда такое подключение происходит даже несколько раз в день. Уж точно как минимум в течение каждого сеанса работы.
Какие данные передаются или принимаются, сказать невозможно: код программы является закрытым, а данные шифруются. Собирает статистику? Обновляет базу со списком фишинговых сайтов? Или попросту шпионит за пользователями?
Человек имеет право знать, что поступает в его компьютер или что оттуда выкачивается. Вы же не позволяете незнакомым людям свободно входить в ваш дом, заносить и выносить что им вздумается, не ставя вас в известность о подобных действиях.
А ведь в браузере Opera есть и почтовый клиент — где гарантия, что личные письма не переправляются в Норвегию? Конечно, они там наверняка никому не нужны, но теоретически это вполне возможно, что само по себе очень плохо.
Теперь сравним ситуацию со случаем использования браузера, имеющего открытый исходный код. Конечно, откомпилированный бинарный файл и текст кода — это вовсе не одно и то же.
При компиляции можно впихнуть в программу что угодно. Но, как говорится, есть одно «но». Если вы подозреваете, что кто-то переделал, допустим, браузер Firefox, вставив в него то, чего там быть не должно, то можете взять исходные коды и скомпилировать себе программу самостоятельно. Тогда уж точно ничего лишнего не будет, и ваша паранойя прекратит вас мучить, позволит вам спать спокойно.
Если говорить о продукции компании Mozilla, то, к примеру, почтовая программа Thunderbird тоже иногда соединяется с неким городом в США. Однако IP-адрес принадлежит центру сертификации. Из чего становится ясно, что софт попросту проверяет сертификаты, никаким шпионажем не занимается. А вот вот с какой целью Opera связывается со своими создателями, даже догадки строить трудно.
Впрочем, догадаться всё же попытаемся. Браузер Opera бесплатен потому, что Opera Software получает доход от размещаемых по умолчанию закладок на разные сервисы и поисковые системы. Вы их можете видеть сразу после установки программы.
Следовательно, разработчикам очень интересно знать, на каких именно закладках можно заработать. То есть, им выгодно собирать статистику о посещаемых страницах и предпочтениях пользователей. Это самый настоящий шпионаж, подглядывание в замочную скважину, хотя и в сугубо коммерческих целях.
Людей, озабоченных сохранением приватности, называют параноиками. Однако нежелание выставлять свою жизнь напоказ не является паранойей или ещё каким-либо отклонением от нормы. Это вполне естественно. Мы не живём в домах с прозрачными стенами.
Следовательно, убеждённые сторонники СПО вовсе не так безумны, какими их малюют. Образно говоря, когда выбирают замок для почтового ящика, смотрят на его устройство — не заложена ли возможность для посторонних с лёгкостью отпереть механизм отмычкой.
Справедливости ради, нужно сказать, что ситуация с СПО вовсе не такая уж безоблачная.
К примеру, летом 2010-го с официального сайта разработчиков свободного линейного видеоредактора Avidemux раздавалась версия для Windows, заражённая трояном и клавиатурным шпионом. Причём, если троян находился среди дополнительных компонентов (dll-библиотек и т.п.), то keylogger сидел в теле основного файла программы, о чём поведала проактивная защита.
Или взять, например, словарь StarDict. В версии для Windows лежали аж три клавиатурных шпиона. В Linux процесс программы оставался висеть в памяти даже после её закрытия, и убить его не представлялось возможным, спасала лишь перезагрузка.
В первом случае программа была скачана с официального сайта, во втором — из репозиториев Ubuntu 9.10 для основанного на этой ОС Linux Mint 8. Такие вот дела.
Да, как говорится, в семье не без урода. Вероятно, кто-то из разработчиков решил, что пожертвований от благодарных пользователей поступает очень мало, и потому попытался заработать нечестным способом.
Однако, опять же, в сомнительных случаях можно взять исходный код, тщательно его проверить и произвести компиляцию самостоятельно. То есть, принцип «доверяй, но проверяй» является реально осуществимым.
Вот потому-то сторонники «православного» софта, как правило, не становятся жертвами взломов. У них не воруют платёжные реквизиты, их компьютеры не включаются в сети заражённых зомби-машин, их личные данные не собираются посторонними людьми, пусть всего лишь в коммерческих целях, для выяснения предпочтений и последующей разработки рекламной стратегии.
Вы больше не склонны насмехаться над чудаками, которые воротят нос от проприетарных программ? Вот и правильно. Ведь ещё никто не смог опровергнуть тезис о том, что по-настоящему хорошо смеётся последний.
Автор: vanilinkin, 13.12.2010
P.S. от редактора. Согласен с автором в том, что нужно пользоваться СПО. Но некоторые факты в статье нуждаются в перепроверке. Сам активно пользуюсь словарем StarDict в качестве замены проприетарному ABBYY Lingvo. Не знаю, как он ведет себя под Windows, но под Debian — вполне прилично. Да, после закрытия окна программы, она не исчезает из процессов. Она продолжает работать, а ее иконка помещается в трей.
Это позволяет мне из любой программы перевести выделенное слово с помощью горячей клавиши (настраиваемой). Это очень удобно. Собственно окно словаря StarDict мне для этого ненужно. Если мне нужно прекратить работу программы, то я вызываю контекстное меню на иконке в трее, и выбираю "Выйти". Тогда работа программы прекращается, и она исчезает из списка запущенных процессов.
Может быть, автор снес у себя трей (апплет "Переключатель окон") и по этой причине не понял логику работы StarDict, посчитал, что после закрытия окна она не исчезает из процессов в силу какого-то злого умысла. Это не так. Возможно, вы тоже заметили какие-то несоответствия?
Предыдущие публикации:
Последнее редактирование: 2010-12-13 10:56:36
Метки материала: linux, спо, по, софт, программы для компьютера, soft, программное обеспечение, software
53 комментария
| 16.01.2011 19:16:42 | # |
Гость Гость
Однако, опять же, в сомнительных случаях можно взять исходный код, тщательно его проверить и произвести компиляцию самостоятельно. То есть, принцип «доверяй, но проверяй» является реально осуществимым.
Весьма сомнительное утверждение. Лично сталкивался недавно со случаем, хакером был взломан сайт одного популярного серверного ПО, и в сорцах дистриба изменен код, была создана ошибка в обработке параметров и получился бэкдор. Сорцы оригинального и зараженного дистра (ок 4 мб) различались всего на 15 байт. Кому под силу это обнаружить? Этот дистр пролежал на сервере 8(!) месяцев и никто это не заметил. За это время его скачали больше 100 000 человек. Хакеру оставалось лишь сканить диапазоны по дефолтному порту и иметь халявные шеллы
К чему я это? К тому что открытость или закрытость кода ПО мало влияет на его безопасность. Коды сейчас слишком большие, анализировать их ой как непросто.
| 17.01.2011 09:14:39 | # |
dima
Такие вещи проверяются очень легко. Даже 1 байта достаточно, чтобы у архива с сорцами изменилась сумма MD5. Совсем немного бдительности (в автоматическом режиме) и такое вредительство будет обнаружено.
Но в общем я согласен, что анализировать исходные коды одинокому пользователю не под силу. Поэтому, в случае популярных программ на помощь каждому отдельному пользователю приходит сообщество пользователей.
Открытый исходный код делает анализ исходников практически возможным. Закрытый исходный код - нет.
В описанном вами случае бэкдор удалось обнаружить. Но я не уверен, что, например, в Винде нет бэкдоров, сознательно созданных разработчиков. Ее закрытый код и лицензионные ограничения делают проверку практически невозможной.
| 20.01.2011 04:45:37 | # |
Гость Гость
Такие вещи проверяются очень легко. Даже 1 байта достаточно, чтобы у архива с сорцами изменилась сумма MD5. Совсем немного бдительности (в автоматическом режиме) и такое вредительство будет обнаружено.
Ну если у кого-то есть возможность встроить бэкдор, то следовательно поменять md5 дистриба тоже не проблема ;)
Вот недавно была новость, что мол возможно в OpenBSD в какой-то там сетевой стек ФБР встроила бэкдор. И даже разработчики не сумели сразу это опровергнуть
Так что даже для неодинокого пользователя это серьезная задача.
Ну а сообщество... не думаю что кто-то сидит и мониторит весь код
оно наверное поможет, когда о проблеме уже известно. Так сказать, уже на этапе расследования. Только толку-то с этого Когда о проблеме известно, то и винда и яблочники начинают суетица и делать патчи. Так что опять-таки весьма спорно.
Открытый исходный код делает анализ исходников практически возможным. Закрытый исходный код - нет.
Это да... согласен целиком и полностью. Открытость придает некую уверенность... вот только ложную. Что опаснее, трудно сказать.
| 20.01.2011 04:57:54 | # |
Гость Гость
Но я не уверен, что, например, в Винде нет бэкдоров, сознательно созданных разработчиков. Ее закрытый код и лицензионные ограничения делают проверку практически невозможной.
Это точно, уверенности нет. Но по моему ИМХО умышленных бэкдоров там нет. Все-таки репутация дороже. Если что-то вскроется, Майкрософт потеряет все разом, и репутацию и рынок. А уж о судебных исках к ней и говорить не надо
Да и нафига им самим встраивать бэкдоры? Смысл?
| 20.01.2011 09:52:23 | # |
dima
Майкрософту может и нет смысла, а вот для ФБР смысл вполне определенный. Захотят - смогут. А в случае обнаружения Майкрософт их еще и покрывать будет. Ради собственной репутации.
Ну если у кого-то есть возможность встроить бэкдор, то следовательно поменять md5 дистриба тоже не проблема ;)
Поэтому MD5 надо публиковать одновременно с релизом
Нормальные доунлоадеры позволяют этот хэш вручную указывать перед загрузкой. Другое дело, что никто этим не запаривается 
Ну а сообщество... не думаю что кто-то сидит и мониторит весь код Very we! оно наверное поможет, когда о проблеме уже известно. Так сказать, уже на этапе расследования. Только толку-то с этого Well
При достаточно большом сообществе находятся и такие, которые мониторят
И найденные ими дыры закрываются еще до того как ими кто-то воспользуется.
| 20.01.2011 17:23:05 | # |
Гость Гость
а вот для ФБР смысл вполне определенный. Захотят - смогут.
Думаете? Мне кажется что у них там в заокеании все не так - прямо надавить на Майкрософт никто не сможет. Ведущая софтовая корпорация страны все-таки. Майкрософт их порвет как тузик грелку
Вон за гугл даже госдеп вступился, когда у них был конфликт с китаем.
Ну а если вы о "шпионском" варианте... фбр или анб внедряет агента в ряды мягких и встраивает бэкдор... Как в кино прям... но процент вероятности есть канеш. Но тогда в опенсорс проекты внедрять бэкдоры еще проще
причем сразу пачками.
А майкрософт если обнаружит такое, то попросту пропатчит уязвимое место с очередным обновлением и все. Разглашать может и не станет... но пожаловаться на самый верх сумеет. Скок они там интересно налогов платят в бюджет США? Демократия все-таки
| 20.01.2011 17:41:49 | # |
Гость Гость
При достаточно большом сообществе находятся и такие, которые мониторят Well И найденные ими дыры закрываются еще до того как ими кто-то воспользуется.
Ну да, какие-то гики может и мониторят. Ток как я слышал, в сорцах одного только ядра линя уже сами разрабы плохо ориентируются
И это понятно, сколько там строк уже в коде ядра линя? 10 миллионов? Или уже больше? И это только ядро, а остальное ПО?
Вон опять-таки случай недавний. Была уязвимость в ядре, уж не помню какая. Была она аж в 2008г, в том же году ее успешно пропатчили. А в 2010 она опять появилась. В ядро вернули поддержку чего-то там, которую раньше убирали. И вместе с тем опять вставили уязвимый код
Не иначе как тупым копипастом вставляли строки
Смеху-то было Один редхат кажется остался пушистеньким, и то потому что ведет свою версию ядра.
А вы опенсорс опенсорс...
| 21.01.2011 06:10:59 | # |
dima
Ну а если вы о "шпионском" варианте... фбр или анб внедряет агента в ряды мягких и встраивает бэкдор... Как в кино прям... но процент вероятности есть канеш. Но тогда в опенсорс проекты внедрять бэкдоры еще проще Well причем сразу пачками.
Сами же выше упоминали о бэкдоре в OpenBSD, устроенном ФБР. Собственно, этот факт так и не был опровергнут, если не считать опровержением следующее:
Что же касается официальной реакции на историю со стороны ФБР, то там, как это часто бывает в деятельности спецслужб, полностью проигнорировали публикацию и уклонились от каких-либо комментариев. Прозвучали, правда, высказывания некоего агента Хилберта, бывшего сотрудника ФБР и следователя по компьютерным преступлениям, но сколь-нибудь серьёзными его аргументы назвать затруднительно. Первым делом он обозвал Грегори Перри "шизиком", а по существу дела выразился так: "Открытое программное обеспечение со встроенными бэкдорами - это полный идиотизм просто потому, что здесь открытые исходные коды… Кто угодно их будет искать и тут же найдёт"…
http://www.computerra.ru/ow...iwi/587263/
Заметьте, Хилберт ничего не говорит о демократии, законопослушности или благородстве ФБР. Он всего лишь указывает на нецелесообразность таких действий по отношению к Open Source. По отношению к Windows этот довод снимается, так как исходные коды этой ОС закрыты.
Что же касается разработчиков OpenBSD, то им по сути сказать нечего, кроме того что исходный код их IPSec за прошедшие 10 лет был многократно пофиксен, и что поэтому дыры там даже если и были, то уже закрыты. Вот Вам и плюсы открытого кода. Концепция "много глаз" все таки работает.
Ток как я слышал, в сорцах одного только ядра линя уже сами разрабы плохо ориентируются Well И это понятно, сколько там строк уже в коде ядра линя? 10 миллионов?
Для того, чтобы проверять код на уязвимость, необязательно держать в голове все 10 млн. строк. Для работы с правильно спроектированной системой достаточно знать общие концепции и видеть перед глазами конкретный кусок (или два/три куска) исходного кода.
Мне самому довелось создавать и поддерживать довольно большую систему. Сейчас ее уже без меня развивают несколько программистов. Когда я вижу их код, я уже не могу сходу сказать, что он делает. Да и свой уже плохо помню. Но иногда ко мне обращаются за консультацией. Зная общие принципы работы системы, покопавшись в своем и чужом коде, я начинаю его понимать без особых проблем.
Не иначе как тупым копипастом вставляли строки Well Смеху-то было Very we!
Думаете у мелкомягких без копипаста обходится? На них ведь не одна тысяча индусов работает
| 23.01.2011 19:06:29 | # |
Гость Гость
Ну да, в белизну и пушистость ФБР я и сам не верю, несмотря на демократию Но давайте-таки рассуждать логически - вы сказали об умышленных бэкдорах от самих разработчиков:
Но я не уверен, что, например, в Винде нет бэкдоров, сознательно созданных разработчиков. Ее закрытый код и лицензионные ограничения делают проверку практически невозможной.
Я привел аргументы, что умышленные бэкдоры маловероятны и вы согласились:
Майкрософту может и нет смысла, а вот для ФБР смысл вполне определенный.
А если речь о злоумышленном внедрении кода сторонними лицами, будь то хакеры или ФБР, то согласитесь, тут уже никто не застрахован. И если на то пошло, то внедрять агентов в открытое сообщество в разы проще, чем в закрытую софтверную компанию
Я смотрю с точки зрения меня, простого пользователя, не разработчика.
В примере с зараженным серверном ПО, меня спасло только то что я качал и ставил дистриб за два месяца до заражения. Красивые слова, мол код открыт, сообщество мониторит, это все теория. На практике 8 месяцев никто ничего не заметил. И не все читают багтрак как я. Даже после того как стало известно, у нас в Узбе оказалось два сервера провайдера с этим бэкдором, оба хостинги. Видать админы надеялись на хваленый опенсорс, не иначе
Один из них кстати до сих пор кажется не пропатчен.
Что такое сервер с бэкдором на протяжении 8 месяцев? Не просто с какой-то багой, а именно с бэкдором, о котором кто-то знает? Лично для меня это просто тихий ужас.
Вот и сложилось у меня мое ИМХО, что безопасность софта, только потому что он опенсорс - чушь. Красивая теория, не более. Для безопасности нужна и куча других вещей. А просто открытость кода ровным счетом ничего не гарантирует на практике.
| 24.01.2011 09:28:42 | # |
dima
Когда я говорил о бэкдорах, внедренных разработчиками, я имел в виду именно разработчиков а не корпорацию в целом. Независимо от их мотивов: приказ начальства, "просьба" спецслужб, личная неприязнь...
А если речь о злоумышленном внедрении кода сторонними лицами, будь то хакеры или ФБР, то согласитесь, тут уже никто не застрахован. И если на то пошло, то внедрять агентов в открытое сообщество в разы проще, чем в закрытую софтверную компанию Well
Пожалуй, не соглашусь. По двум причинам:
- У обсуждаемой закрытой компании множество разработчиков в Индии. Учитывая, что средняя зарплата индийского программиста составляет примерно 500$ и почти все они мечтают перебраться в Штаты, думаю, что спецслужбам не составит проблем найти исполнителей, а в случае необходимости и крайних.
- Открытость ПО вовсе не означает, что кто угодно может вносить свои правки в основную ветку этого ПО. Человек может править свою копию исходников, может предложить свой код основной команде разработчиков, но не может бесконтрольно вставлять его куда хочет. Весь сторонний код тщательно изучается основной командой, прежде чем попасть в транк.
Таким образом, чтобы внедрить бэкдор в открытое ПО, нужно завербовать кого-то из основной команды. А это сложнее чем с закрытыми компаниями, так как такие команды являются гораздо более компактными. Либо же нужно взломать сервер проекта, как это произошло в вашем случае. Но, согласитесь, от этого тоже никто не застрахован.
Вот и сложилось у меня мое ИМХО, что безопасность софта, только потому что он опенсорс - чушь. Красивая теория, не более. Для безопасности нужна и куча других вещей. А просто открытость кода ровным счетом ничего не гарантирует на практике.
100% безопасность не может гарантировать ничто. В том числе и опенсорс. Об этом, кстати, говорится и в обсуждаемой статье. Речь идет лишь о том, что опенсорс предоставляет пользователям больше возможностей позаботиться о своей безопасности. Но, как говорится, на бога надейся, а сам не плошай