Alarm u zajednici programera: Napadi na otvoreni kod sve učestaliji, evo kako hakeri to rade
Ovi napadi mogu imati dalekosežne posledice za bezbednost i integritet mnogobrojnih projekata koji čine osnovu digitalne infrastrukture.
Zajednica programera koji rade na projektima otvorenog koda (engl. open source) suočava se sa novim izazovima zbog porasta sofisticiranih napada socijalnog inženjeringa. Ovi napadi mogu imati dalekosežne posledice za bezbednost i integritet mnogobrojnih projekata koji čine osnovu digitalne infrastrukture.
Fondacija za bezbednost otvorenog koda (OpenSSF) i Fondacija OpenJS nedavno su izdale upozorenje nakon što su otkrili pokušaje kompromitovanja popularnog alata koji se koristi na Linux platformama. Incident sa alatom XZ Utils, koji je otkrio istraživač iz Microsofta, Andres Frojnd, mogao je da izazove ozbiljne sigurnosne probleme da nije identifikovan pre široke distribucije poslednje verzije.
Otkriće ovog problema ukazuje na ranjivosti koje mogu nastati kada pojedinci ili male grupe održavaju važne projekte. Las Kolin, koji je godinama samostalno ažurirao XZ Utils, primio je ponudu za pomoć od korisnika poznatog kao Đija Tan. Tan je, kako se sumnja, bio deo organizovane grupe koja je godinama neprimetno unosila štetne izmene u kod.
Poverenje, koje je temelj zajednice otvorenog koda, sada je ozbiljno narušeno. Napadi socijalnog inženjeringa pokazuju da ni altruistički motivi nisu imuni na zloupotrebe, posebno u okruženju gde je kontrola pristupa često decentralizovana i zavisi od međusobnog poverenja.
Ova situacija postavlja pitanja o tome kako zajednica može efikasnije da se brani od sličnih pretnji u budućnosti. Razmatra se uvođenje centralizovanijeg sistema za praćenje i upozoravanje na sigurnosne ranjivosti, što bi moglo pomoći u bržem reagovanju i boljoj koordinaciji unutar zajednice.