Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Эксперты назвали небезопасный софт с открытым кодом

Пять из десяти популярных приложений с открытым кодом включают критические уязвимости, выяснили в «Ростелеком-Солар». Те же уязвимости могут содержаться и в отечественном пользовательском софте, предполагают эксперты
«Ростелеком» RTKM ₽97,5 +1,01% Купить
Фото: АГН «Москва»
Фото: АГН «Москва»

Несколько наиболее популярных компьютерных программ, созданных при помощи открытого кода (open source — программы, чей код доступен для изучения, просмотра и даже изменения; разработчики могут приспосабливать и заимствовать код для создания новой программы), содержат уязвимости, которые злоумышленники могут использовать для получения доступа к личным данным пользователей. К такому выводу пришли аналитики компании в сфере кибербезопасности «Ростелеком-Солар» в своем исследовании (есть у РБК).

Для сравнения уровня защищенности компания проверила приложения с открытым кодом в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера», «эмуляторы видеоигр», которые оказались в топе по количеству скачиваний мобильных версий в Google Play. Часть исследуемых программ также есть в рейтинге лучшего софта с открытым кодом, составленном британским изданием Techradar.

Касперский заявил о росте киберпреступности на четверть во время пандемии
Бизнес
Евгений Касперский

В каком софте нашли больше всего уязвимостей и что из этого следует, разбирался РБК.

Лидеры антирейтинга

Критические уязвимости — пустые ключи шифрования, пустые пароли или конфиденциальные данные, размещенные в самом исходном коде, «Ростелеком-Солар» обнаружил в пяти из десяти проанализированных программ: Krita, Search Everything, Libre Office, Brave Browser и RetroArch. Эти уязвимости могут облегчить злоумышленникам доступ к конфиденциальным данным, хранящимся на компьютере пользователя в незашифрованном виде.

Наиболее слабые результаты показал эмулятор видеоигр RetroArch (0,8 балла из пяти возможных), у программы больше всего критических уязвимостей — 24. RetroArch позволяет запускать на платформе Android старые игры, которые были предназначены, например, для консолей PlayStation 1, Nintendo Entertainment System, GameBoy и др. Число пользователей этой программы не раскрывается, но по числу поисковых запросов за последние 12 месяцев она опережала другие аналогичные разработки, следует из данных Google Trends.

Эксперты спрогнозировали дефицит специалистов по кибербезопасности
Технологии и медиа
Фото:Рамиль Ситдиков / РИА Новости

«Неожиданно слабыми» авторы исследования назвали результаты браузера с открытым кодом Brave Browser, созданного соучредителем компании Mozilla Project и создателем JavaScript Бренданом Эйхом. Как заявлено на сайте Brave Browser, он ориентирован на конфиденциальность и позволяет пользователям получать оплату в токенах Basic Attention (BAT) за просмотр рекламы. Аудитория браузера по состоянию на начало ноября этого года равнялась 20 млн активных пользователей в месяц и до 7 млн в день. В исследовании «Ростелеком-Солар» эта программа получила 1,3 балла: в просканированном ядре Brave Browser критические уязвимости в коде встречаются 15 раз, такой уровень защищенности считается ниже среднего по рынку. Подобное обстоятельство не позволяет считать это приложение безопасным для использования, резюмировали в «Ростелеком-Солар».

В чем конкретно заключаются уязвимости, в исследовании не уточняется из соображений безопасности. По словам представителя компании, ее технические специалисты направили результаты исследования в сообщество пользователей и разработчиков открытого ПО.

Лидером рейтинга защищенности приложений open source для компьютера стала программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть больше уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop приложение GIMP. Уровень защищенности обеих программ аналитики оценили в 4,2 балла. На третьем месте оказалось ПО для создания диаграмм Dia (аналог Microsoft Visio) с уровнем защищенности 4,1 балла. Приложение для очистки операционной системы BleachBit и блокнот для разработчиков Notepad++ также показали достаточный уровень защищенности — 3,9 и 3,7 балла соответственно.

На что влияет уязвимость open source

Аудитория софта с открытым кодом не раскрывается. Однако эксперты венчурной компании Accel прогнозировали, что в 2021 году объем использования подобных продуктов в компаниях вырастет на 77%. «В целом около 80% кода в мире не пишется разработчиками самостоятельно, а заимствуется из сторонних открытых библиотек, — объяснил директор центра решений безопасности ПО «Ростелеком-Солар» Даниил Чернов. — Соответственно, и уязвимости кочуют из приложения в приложение. В России, как и в других странах, сообщество любителей свободного ПО многочисленно, это настоящая философия». Он напомнил, что много отечественных программ для десктопов разрабатывается с открытым исходным кодом, уровень безопасности этого ПО разный. «Те же самые уязвимости могут содержаться и в отечественном пользовательском ПО для компьютеров», — сделал вывод эксперт.

Сеть постаматов PickPoint пожаловалась на хакерскую атаку
Технологии и медиа

Руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин отметил, что наличие уязвимостей в классических приложениях open source — одна из ключевых проблем информационной безопасности. Значительная их часть появляется за счет использования открытых библиотек кода. Однако Заикин уточнил, что, если в «открытом» коде есть, например, десять уязвимостей, это не значит, что они будут присутствовать в отечественных программах, созданных на его базе. Это возможно, только если разработчик использует изначальный код полностью в неизменном виде.

Эксперты назвали новые виды мошенничества киберпреступников в пандемию
Технологии и медиа
Фото:Martin Meissner / AP

По словам заместителя директора по продуктам «Новых облачных технологий» (разработчик «МойОфис») Петра Щеглова, чтобы программный продукт был безопасным, требуется наличие в компании-разработчике центра компетенций, который целенаправленно занимается вопросами кибербезопасности. В ПО с открытым кодом критические уязвимости могут не устранять годами, а перечисленные в исследовании типы ошибок подходят для внедрения зловредных приложений в компьютеры пользователей, перехвата и/или передачи конфиденциальных данных злоумышленникам, указал он.

Гендиректор «Базальт СПО» (разработчик отечественных операционных систем на базе Linux) Алексей Смирнов говорит, что чаще всего пользователи подобных программ не знают, что используют «открытый» софт: «Люди просто используют программу, будь то Firefox или LibreOffice, а не изучают ее лицензию. Тем более что есть много бесплатно распространяемых, но вовсе не свободных программ, например Adobe Acrobat Reader». При этом он не согласен с мнением, что открытые исходные коды приложений увеличивают уязвимость свободного софта. «Свободность программы не означает, что вы можете поправить код программы, установленной на чужом компьютере. Более того, уязвимости совместными усилиями быстрее находятся и исправляются», — считает Смирнов.

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 12 октября
EUR ЦБ: 105,11 (-1,4)
Инвестиции, 11 окт, 17:26
Курс доллара на 12 октября
USD ЦБ: 96,07 (-1,17)
Инвестиции, 11 окт, 17:26
Бетербиев назвал Рамзана Кадырова «болельщиком номер один»Спорт, 03:39
Синоптик предсказал москвичам «глубокую осень» из-за циклона «Хельма»Общество, 03:33
Актер Чабан рассказал о своем состоянии после потери сознания на сценеОбщество, 03:23
Кремлев назвал лучшим боем года поединок Бетербриева и БиволаСпорт, 03:13
Бетербиев отреагировал на победу над Биволом в титульном боюСпорт, 03:12
Bild рассказала о просьбах Зеленского к Шольцу о Taurus и приеме в НАТОПолитика, 03:04
Путин пообещал аграриям приграничья восстановить все, что было разрушеноПолитика, 03:01
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Times of Israel узнала, что США обсуждают передачу Израилю ПРО THAADПолитика, 02:43
Bild узнал, что Берлин больше не поставит Украине крупную военную техникуПолитика, 02:31
Путин призвал внедрять в АПК отечественные технологии и оборудованиеПолитика, 01:57
Бетербиев победил Бивола и стал первым абсолютным чемпионом в новой эреСпорт, 01:52
Дмитрий Бивол — Артур Бетербиев. Онлайн главного боя годаСпорт, 01:48
DM узнала позицию Карла III о выходе Австралии из-под британской короныПолитика, 01:34
Захарова прокомментировала видео МИД Испании, на которое попала МоскваПолитика, 01:23