Эксперты назвали небезопасный софт с открытым кодом
Несколько наиболее популярных компьютерных программ, созданных при помощи открытого кода (open source — программы, чей код доступен для изучения, просмотра и даже изменения; разработчики могут приспосабливать и заимствовать код для создания новой программы), содержат уязвимости, которые злоумышленники могут использовать для получения доступа к личным данным пользователей. К такому выводу пришли аналитики компании в сфере кибербезопасности «Ростелеком-Солар» в своем исследовании (есть у РБК).
Для сравнения уровня защищенности компания проверила приложения с открытым кодом в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера», «эмуляторы видеоигр», которые оказались в топе по количеству скачиваний мобильных версий в Google Play. Часть исследуемых программ также есть в рейтинге лучшего софта с открытым кодом, составленном британским изданием Techradar.
В каком софте нашли больше всего уязвимостей и что из этого следует, разбирался РБК.
Лидеры антирейтинга
Критические уязвимости — пустые ключи шифрования, пустые пароли или конфиденциальные данные, размещенные в самом исходном коде, «Ростелеком-Солар» обнаружил в пяти из десяти проанализированных программ: Krita, Search Everything, Libre Office, Brave Browser и RetroArch. Эти уязвимости могут облегчить злоумышленникам доступ к конфиденциальным данным, хранящимся на компьютере пользователя в незашифрованном виде.
Наиболее слабые результаты показал эмулятор видеоигр RetroArch (0,8 балла из пяти возможных), у программы больше всего критических уязвимостей — 24. RetroArch позволяет запускать на платформе Android старые игры, которые были предназначены, например, для консолей PlayStation 1, Nintendo Entertainment System, GameBoy и др. Число пользователей этой программы не раскрывается, но по числу поисковых запросов за последние 12 месяцев она опережала другие аналогичные разработки, следует из данных Google Trends.
«Неожиданно слабыми» авторы исследования назвали результаты браузера с открытым кодом Brave Browser, созданного соучредителем компании Mozilla Project и создателем JavaScript Бренданом Эйхом. Как заявлено на сайте Brave Browser, он ориентирован на конфиденциальность и позволяет пользователям получать оплату в токенах Basic Attention (BAT) за просмотр рекламы. Аудитория браузера по состоянию на начало ноября этого года равнялась 20 млн активных пользователей в месяц и до 7 млн в день. В исследовании «Ростелеком-Солар» эта программа получила 1,3 балла: в просканированном ядре Brave Browser критические уязвимости в коде встречаются 15 раз, такой уровень защищенности считается ниже среднего по рынку. Подобное обстоятельство не позволяет считать это приложение безопасным для использования, резюмировали в «Ростелеком-Солар».
В чем конкретно заключаются уязвимости, в исследовании не уточняется из соображений безопасности. По словам представителя компании, ее технические специалисты направили результаты исследования в сообщество пользователей и разработчиков открытого ПО.
Лидером рейтинга защищенности приложений open source для компьютера стала программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть больше уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop приложение GIMP. Уровень защищенности обеих программ аналитики оценили в 4,2 балла. На третьем месте оказалось ПО для создания диаграмм Dia (аналог Microsoft Visio) с уровнем защищенности 4,1 балла. Приложение для очистки операционной системы BleachBit и блокнот для разработчиков Notepad++ также показали достаточный уровень защищенности — 3,9 и 3,7 балла соответственно.
На что влияет уязвимость open source
Аудитория софта с открытым кодом не раскрывается. Однако эксперты венчурной компании Accel прогнозировали, что в 2021 году объем использования подобных продуктов в компаниях вырастет на 77%. «В целом около 80% кода в мире не пишется разработчиками самостоятельно, а заимствуется из сторонних открытых библиотек, — объяснил директор центра решений безопасности ПО «Ростелеком-Солар» Даниил Чернов. — Соответственно, и уязвимости кочуют из приложения в приложение. В России, как и в других странах, сообщество любителей свободного ПО многочисленно, это настоящая философия». Он напомнил, что много отечественных программ для десктопов разрабатывается с открытым исходным кодом, уровень безопасности этого ПО разный. «Те же самые уязвимости могут содержаться и в отечественном пользовательском ПО для компьютеров», — сделал вывод эксперт.
Руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин отметил, что наличие уязвимостей в классических приложениях open source — одна из ключевых проблем информационной безопасности. Значительная их часть появляется за счет использования открытых библиотек кода. Однако Заикин уточнил, что, если в «открытом» коде есть, например, десять уязвимостей, это не значит, что они будут присутствовать в отечественных программах, созданных на его базе. Это возможно, только если разработчик использует изначальный код полностью в неизменном виде.
По словам заместителя директора по продуктам «Новых облачных технологий» (разработчик «МойОфис») Петра Щеглова, чтобы программный продукт был безопасным, требуется наличие в компании-разработчике центра компетенций, который целенаправленно занимается вопросами кибербезопасности. В ПО с открытым кодом критические уязвимости могут не устранять годами, а перечисленные в исследовании типы ошибок подходят для внедрения зловредных приложений в компьютеры пользователей, перехвата и/или передачи конфиденциальных данных злоумышленникам, указал он.
Гендиректор «Базальт СПО» (разработчик отечественных операционных систем на базе Linux) Алексей Смирнов говорит, что чаще всего пользователи подобных программ не знают, что используют «открытый» софт: «Люди просто используют программу, будь то Firefox или LibreOffice, а не изучают ее лицензию. Тем более что есть много бесплатно распространяемых, но вовсе не свободных программ, например Adobe Acrobat Reader». При этом он не согласен с мнением, что открытые исходные коды приложений увеличивают уязвимость свободного софта. «Свободность программы не означает, что вы можете поправить код программы, установленной на чужом компьютере. Более того, уязвимости совместными усилиями быстрее находятся и исправляются», — считает Смирнов.
