OPENSOURCE НЕ БЕЗОПАСЕН? (2024)

Многие из нас пользуются опенсорсными решениями и линуксом, но так-ли всё безопасно? Давайте разбираться! Приятного просмотра!

Пересказ текста:

Видео рассказывает об истории открытого и закрытого ПО, а также о безопасности Linux.

Основные моменты:

  • Открытый vs. закрытый исходный код:
    • Открытый: Исходный код доступен всем, его можно свободно модифицировать и распространять.
    • Закрытый: Исходный код скрыт, доступен только владельцу.
  • Фонд свободного ПО:
    • Создан Ричардом Столлманом в 1985 году.
    • Цель: создание свободной операционной системы и защита свободы пользователей.
    • GNU GPL – первая свободная лицензия.
  • Преимущества открытого ПО:
    • Прозрачность: любой может проверить код на наличие ошибок или вредоносных программ.
    • Сотрудничество: разработчики со всего мира могут работать над улучшением ПО.
    • Свобода: пользователи могут свободно модифицировать и распространять ПО.
  • Недостатки открытого ПО:
    • Сложность разработки: требуется больше времени и ресурсов.
    • Безопасность: открытый код может быть уязвим для атак.
  • Инцидент с XZ:
    • В 2021 году в пакет XZ был добавлен бэкдор, позволяющий хакерам получить доступ к серверам.
    • Бэкдор был обнаружен и устранен, но он мог затронуть миллионы серверов.
    • Этот инцидент подчеркивает важность тщательной проверки открытого ПО.
  • Советы по безопасности Linux:
    • Используйте дистрибутивы с LTS (Long Term Support).
    • Устанавливайте ПО только из официальных источников.
    • Регулярно обновляйте ПО.
    • Используйте антивирусное ПО.

Важно:

  • Linux, как и любое другое ПО, не является абсолютно безопасным.
  • Пользователи должны быть осведомлены о потенциальных рисках и принимать меры для их защиты.
  • Открытый код имеет много преимуществ, но его использование требует ответственности.

Дополнительные ресурсы:

Я надеюсь, что этот пересказ был вам полезен!

https://gemini.google.com

Промт. Перескажи текст. Вот текст

Расшифровка видео

0:00
[аплодисменты]
0:11
уже очень много лет в качестве домашней
0:13
операционной системы на своих Железяка я
0:16
так или иначе использую дистрибутивы
0:18
Linux Если вы на этом канале Достаточно
0:20
давно или подписаны на мой Telegram то
0:22
вы явно в курсе всех моих похождений и
0:25
экспериментов над операционными
0:26
системами построенных вокруг ядра Linux
0:29
и хорошо знакомы с различными утилитами
0:31
скриптами и полноценными программами
0:33
которыми мы все пользуемся каждый день
0:35
Ну а если ты хоть краем уха слышал про
0:38
Linux то несомненно слышал и про Open
0:40
Source открытый закрытый Исходный код
0:42
проприетарная лицензия ноф
0:46
гну орный софт довольно интересное
0:49
явление о котором знают далеко не все
0:51
сегодня если интересно послушать всю
0:53
историю из первых уст рекомендую
0:55
документальный фильм Revolution OS в
0:58
русской озвучке от Дмитрия чи Все мы
1:00
привыкли что у нужной нам программы
1:02
Сегодня Есть лицензия она может быть
1:04
платной или быть Триал версией быть
1:07
условно бесплатной Ну и тому подобное по
1:09
сути это стало давно стандартом рынка и
1:11
воспринимается в большинстве в своём как
1:13
должное положение вещей но так было не
1:16
всегда на заре становления всей этой it
1:18
индустрии всё могло пойти Иначе если бы
1:21
дядюшка Билл Гейтс был бы менее ушным
1:23
бизнесменом и не придумал такое понятие
1:25
как лицензионный софт молодой глава
1:28
Microsoft сделал нехитрый анализ пришёл
1:30
к заключению что так корпорации не
1:32
строится продавая один раз программу в
1:35
которую вкладывали сотни тысяч долларов
1:37
нечто не мешало покупателю её в
1:39
дальнейшем передавать по рукам третьим
1:41
лицам
1:43
компилирует код на своих компьютерах
1:45
само собой в рамках бизнеса это
1:47
действительно убыточное мышление и
1:50
ситуацию нужно было кардинально
1:51
пересмотреть таким образом программы
1:54
стали продуктом которые распространялись
1:56
уже в скомпилированный виде а для их
1:58
использования пользова должен был
2:00
согласиться со всеми условиями
2:02
обязательного лицензионного соглашения
2:05
тем самым и была придумана схема с
2:07
лицензированием где одну и ту же
2:09
программу можно было продавать
2:11
бессчётный
2:12
код стал называться проприетарный от
2:15
английского прото только вот юридически
2:18
не всё так просто фраза закрытый
2:20
Исходный код на самом деле немного
2:23
двусмысленно так как она может
2:25
подразумевать и лицензию в которой
2:28
исходный код программы Тем не недоступен
2:30
Однако если считать её антонимом понятия
2:34
открытого кода то она относится к
2:36
программному обеспечению не подходящему
2:39
под определение лицензии открытого по
2:42
что имеет немного другой юридический
2:44
смысл к примеру лицензия Microsoft
2:47
shared Source – Это пример лицензии при
2:49
которой доступен Исходный код но не под
2:52
открытой лицензией так или иначе тут
2:54
однозначно тема для целого отдельного
2:57
полноценного выпуска Так что давайте
2:59
упростят всё это дело до понятия что
3:01
изначально программное обеспечение
3:03
писалось непосредственно в
3:05
университетских лабораториях и обыденной
3:08
практикой было делиться собственными
3:10
наработками со своими коллегами Но со
3:12
временем персональные компьютеры
3:14
становились более популярными а там где
3:16
популярность начинают формироваться
3:18
большие корпорации с не менее большими
3:20
деньгами и бизнесом таким образом в
3:23
конце семидесятых всё стало радикально
3:25
меняться и открытый Исходный код
3:27
создаваемый в за стенках университета
3:30
лабораторий стал вытеснять этим самым
3:32
проприетарный софтом противовес этому
3:34
подходу рождается определённое движение
3:37
недовольных программистов которые
3:38
считали проприетарный подход неким
3:41
ограничением свободы и в
3:43
1985 году формируется фонд свободного по
3:47
во главе с молодым программистом
3:48
Ричардом столлмана Ричард стоуман
3:50
является основателем фонда и перед собой
3:53
он ставил ровно две задачи создать
3:56
собственную свободную операционную
3:57
систему и легальную базу для её
4:00
распространение так в восемьдесят
4:01
третьем рождается проект гну и
4:03
знаменитая открытая лицензия gpl А
4:06
благодаря наработка под эгидой самого
4:08
столлмана таких инструментов как гну gcc
4:11
компилятор и гну gdb дебар появляется
4:14
первая возможность формирования
4:16
операционной десктопной системы на базе
4:19
ядра Linux но на практике одной
4:21
операционной системы мало И самым важным
4:24
элементом любой OS является наличие того
4:27
или иного софта то есть обычных программ
4:29
который в этой операционной системе
4:31
можно будет спокойно запускать помня о
4:33
философии которая является базовым
4:35
тезисом самого факта зарождения
4:38
операционно на линуксе этот самый софт
4:40
конечно же должен был быть сугубо
4:43
открытым и распространяться под не менее
4:45
открытыми лицензиями Хотя в
4:47
действительности это было необязательно
4:49
на линуксе отлично Работают и полностью
4:51
проприетарные решения такие как например
4:54
D Vinci resf и чувствуют себя здесь
4:56
просто замечательно но в таких случаях
4:58
на Linux довольно мало Linux не так
5:01
популярен как Microsoft и macos от того
5:03
большие игроки профильного и
5:05
профессионального по не видят особой
5:07
нужды тратится на дополнительную
5:09
разработку К тому же очень часто
5:11
смешиваются понятия что свободное по –
5:13
это бесплатное И это тоже явно не
5:16
прибавляет популярности на рынке так Как
5:18
складывается впечатление что на этом
5:21
самом рынке будет трудно продать свой
5:23
продукт В общем знакомый замкнутый круг
5:25
а вот чего на Linux полным полно так это
5:28
различных проектов от Энтузиастов со
5:30
всего мира реализующих открытый Исходный
5:33
код поддержка этого открытого исходного
5:35
кода осуществляется непосредственно
5:37
самим разработчиком энтузиаста и
5:40
сообщества с которым данный код делится
5:42
публикуя в свободном доступе та самая
5:45
Свобода о которой и толковал Ричард
5:47
столлман у такого подхода есть
5:49
определённая проблема программист
5:51
разрабатывающий конкретное по под
5:54
определённую задачу За определённую ЗП
5:57
теоретически будет выполнять подобную
5:59
работу в перспективе более собрани
6:02
нежели Энтузиаст делающий это в
6:04
свободное от работы время на практике
6:07
конечно же лучше сравнивать каждый
6:09
отдельный случай и по факту может
6:11
сложиться впечатление что отдавая код
6:13
своей наработки на всеобщее обозрение Ну
6:16
свободный доступ недобросовестность или
6:19
скажем некачественно предоставленной
6:21
работы будет довольно легко выявить
6:23
сообщество э Тут есть конечно вопросы да
6:27
у больших компаний в разработке есть
6:29
команды тестировщиков но или по крайней
6:32
мере должны быть в опенсорс нах проектах
6:34
тестировщика являются все те кто
6:37
запустит предложенный код на своей
6:38
машине поиз
6:41
учаева необходимые правки если таковые
6:45
должны быть сделаны тут встаёт весьма
6:47
резонный вопрос А насколько хватит
6:50
компетентности сообщества для данной
6:53
процедуры и так ли было всё безопасно за
6:56
последние годы
6:58
[музыка]
7:00
частенько слышу от ярых сторонников он
7:03
сорса что открытый Исходный код легко
7:06
поддаётся так называемому аудиту и
7:09
ошибки или зловред можно довольно быстро
7:11
выявить отнюдь это далеко не так и с
7:14
каждым годом различные хакерские атаки и
7:16
зловред становятся всё более изощрённые
7:19
поэтому защита необходима буквально
7:21
каждому сервису а спрос на спецов
7:23
борющихся со всем этим растёт каждый
7:26
день по всему миру Ровно как и их
7:28
зарплаты Так что Если ты хочешь сделать
7:30
этот мир безопасней и хорошо
7:32
зарабатывать Тебе явно стоит пойти в
7:34
белые хакеры обучиться на белого хакера
7:37
можно с нуля на онлайн-курсе в школе
7:40
Skill Factory здесь Ты будешь решать
7:42
задачи реальных заказчиков на практике
7:44
устраняя уязвимости различных систем
7:47
отработаешь навыки взлома на виртуальных
7:49
машинах освоишь устройство Windows Linux
7:52
научишься программировать на питоне
7:54
писать скрипты на баш SQL и поучаствую в
7:57
соревнованиях по спортивному хакингу что
7:59
что станет явно плюсом при
8:00
трудоустройстве А под конец обучения
8:03
сформирует полноценное портфолио получив
8:05
диплом о профпереподготовки и с помощью
8:08
школы даже трудоустроился Skill Factory
8:10
настолько уверен в своём обучении что
8:12
вернут тебе деньги если после окончания
8:15
курса не найдёшь себе работу а ещё
8:17
только в мае Школа дарит в подарок ещё и
8:19
курс по софт скилам поэтому Если тебе
8:22
интересно бороться с преступностью в
8:24
сети то Пополняй ряды светлой стороны
8:26
интернета переходи по ссылке в описании
8:28
А по промокоду н тебя ждёт скидка аж на
8:31
50% И самое главное помни Skill Factory
8:34
учит тех кого берут на
8:36
работу казусы в опенсорс случаются если
8:40
не постоянно то достаточно часто чтобы
8:42
обращать на них внимание самым
8:44
масштабным инцидентом который случился
8:46
буквально недавно чуть не заразил 80%
8:49
мировых серверов это проблема с пакетом
8:51
XZ XZ – это набор программ для сжатия
8:54
или распаковки данных использующих
8:56
алгоритм azma в определённых ситуациях
8:59
этот алгоритм работает значительно
9:01
эффективнее чем другие методы сжатия
9:03
пользователям Windows может быть знакома
9:05
программа 7z так вот автор этой
9:07
программы Игорь Павлов И придумал
9:09
алгоритм lzma по сути XZ – это версия 7
9:13
Zip для операционных систем на базе идра
9:15
Linux разработал XZ программист ласе
9:17
Колин в 2025 году он хотел сделать свою
9:20
версию линкса которая могла бы
9:22
поместиться на компакт диски ёмкостью
9:24
700 Мб сборка не взлетела но в процессе
9:26
работы над ней Он создал набор удобных
9:29
инструментов для сжатия и распаковки
9:30
данных как раз на основе алгоритма Игоря
9:33
Павлова этот набор XZ utils оказался
9:36
настолько удачным что вошёл в
9:37
стандартную комплектацию большинства
9:39
популярных дистрибутивов Linux в том
9:41
числе Debian Fedora унту и нту Да что уж
9:43
там CDE XZ даже входит в само ядро Linux
9:46
а помимо дистрибутивов exet начали
9:48
использовать и в работе других ключевых
9:50
программ например в утилити для
9:51
подключения к серверам sshd само собой
9:54
код был опубликован на github потому что
9:57
это крупнейшее сообщество разработчиков
9:59
программ с открытым исходным кодом любой
10:01
желающий мог прислать лосе изменения или
10:04
улучшения для XZ которые он в итоге мог
10:07
одобрить и опубликовать после чего новая
10:09
версия попадала в состав операционных
10:11
систем стандартная на самом деле
10:13
практика В общем всё так и случилось
10:15
автору XZ другие пользователи стали
10:17
присылать правки заправками и полноценно
10:19
участвовать в жизни проекта будучи
10:20
разработчиком старой формации ласе
10:22
проверял каждую предложенную правку
10:24
лично и само собой в соло на это уходило
10:27
довольно много времени как следствие на
10:29
разработчика стали оказывать
10:30
определённое давление мол тот слишком
10:32
долго принимает правки И тем самым душит
10:34
свой проект который очень важен для
10:36
всего линус сообщества со временем автор
10:39
прогибается под давлением других
10:41
участников и в какой-то момент решается
10:43
передать разработку пакета одному из них
10:45
как выяснилось в будущем на самом деле
10:47
злоумышленники методом социальной
10:49
инженерии через травлю подталкивали
10:51
автора к нужным им действиям И вообще
10:53
существовали только в рамках данного
10:55
проекта Не оставив в сети Больше никаких
10:57
следов таким образом получив контроль
10:59
над проектом взломщики добавляют туда
11:01
первую версию бэкдора которая буквально
11:03
сразу столкнулась с проблемой перестали
11:05
выполняться автоматические тесты в двух
11:07
дистрибутива Linux Федора и нту это
11:10
привлекло внимание к изменениям и
11:12
вызвало обсуждение в сообществе
11:13
программистов тут стоит отметить что
11:15
Open Source проявил себя во всей красе и
11:17
среагировал практически безупречно
11:19
нестабильную версию X стали исключать из
11:21
популярных библиотек и дистрибутивов но
11:23
уязвимое обновление пакета всё-таки
11:25
успело просочиться в тестовые версии
11:27
Dean и edora и ча предполагалось что
11:30
backdoor встроенный в XZ позволяет
11:32
обойти аутентификацию в sshd И тем самым
11:34
получить доступ к системе более
11:36
детальный анализ через обратный
11:38
инжениринг вредоносного объектного файла
11:40
показал что это не так и backdoor
11:42
предоставляет возможность выполнить
11:44
произвольный код в системе не оставляя
11:46
вообще никаких следов в логах для логина
11:48
на сервер используется либо имя
11:49
пользователя и пароль либо что
11:51
происходит чаще за ранее известный
11:53
серверу сертификаты Или ключи клиента
11:55
которые практически невозможно подобрать
11:57
кдо же заставлял shd принимать не только
12:00
оригинальные сертификаты но и специально
12:02
подготовленные которые давали бы
12:04
взломщик неограниченный доступ к любой
12:06
системе где установлена его версия
12:08
пакета XZ по сути отправитель такого
12:10
сертификата становился полноценным
12:12
владельцем любого уязвимого сервера он
12:15
мог изменять копировать и удалять любые
12:17
данные на нём устанавливать и удалять
12:19
программы таким образом потенциально
12:21
хакеры могли получить неограниченный
12:23
доступ к миллионам серверов по всему
12:25
миру 80% всей мировой серверной инф
12:29
структуры работают на линуксе и все они
12:32
могли бы стать уязвимы для хакеров если
12:34
бы backdoor попал в основные ветки
12:36
обновлений по счастливой случайности
12:37
backdoor удалось обнаружить на раннем
12:40
этапе когда он попал лишь в самые ранние
12:42
тестовые версии нескольких крупных
12:44
дистрибутивов например в убунта не
12:46
успели его добавить Зато всё та же
12:48
убунта успела засветиться в двух других
12:50
инцидентах один был связан с релизом
12:53
23.10 который в срочном порядке отозвали
12:56
из-за некорректного украинского перевода
12:58
которые были добавлены непристойные
13:00
элементы разжигания ненависти по
13:02
отношению к пользователям из РФ не
13:04
совсем понятно что происходит с
13:05
контролем качества продуктов компании
13:07
Canonical которая и разрабатывает
13:09
дистрибутив унту и как в довольно
13:11
масштабный релиз мог попасть
13:13
непроверенный перевод вот прямо большой
13:14
вопрос не менее интересный вопрос
13:16
имеется и к магазину приложений Snap
13:18
Store всё от той же компании Canonical в
13:21
каталоге приложений который на минуточку
13:23
является полностью централи Зро им и
13:25
подчиняется только политике компании
13:27
Canonical нет в этом нет ничего плохого
13:29
и тем не менее вся ответственность таким
13:31
образом лежит на самой Canonical было
13:33
выявлено 10 приложений стилизованных под
13:35
официальные клиенты для популярных
13:37
криптовалютных кошельков но на деле не
13:39
имеющие отношения к разработчикам данных
13:42
проектов и выполняющие вредоносные
13:44
действия самое страшное и самое
13:46
неприятное что в каталоге данные
13:48
приложения были снабжены меткой сей
13:50
которые создают иллюзию того что пакеты
13:53
проверены и являются безопасными
13:57
[музыка]
14:03
в настоящее время указанные приложения
14:05
уже удалены из каталога Snap Store но
14:07
почти сразу после их удаления они были
14:09
размещены заново под новым пользователем
14:11
с немного изменёнными именами пакетов
14:14
похожая активность наблюдалась в феврале
14:16
и привела к краже около дев биткоинов
14:18
примерно 500.000 долларов У пользователя
14:20
установившего поддельный клиент exodus и
14:23
так как авторы этих вредоносных
14:24
приложений легко обходят автоматическую
14:26
систему проверки публикуемых пакетов
14:29
сторе было принято решение
14:30
верифицировать приложение вручную само
14:32
собой это увеличит время появления новых
14:34
приложений в сторе но существенно снизит
14:37
риск фейковых и заражённых пакетов в
14:39
общем Canonical явно стоит сосредоточить
14:41
своё внимание на таких мелочах как
14:43
безопасность своих пользователей будучи
14:45
одним из самых популярных десктопных
14:47
линуксом до сих
14:51
пор прежде чем вы забьёт панику о том
14:54
как всё плохо на этом вашем линуксе
14:56
хочется Вас немного успокоить здесь
14:58
ровным счётом всё так как и везде просто
15:00
есть определённые критерии которые стоит
15:02
учитывать лично для себя за годы
15:04
использования дома только линуса я
15:06
сделал определённые выводы Первое – это
15:09
не стоит постоянно гнаться за новизной
15:11
пакетов нам с вами некуда спешить и
15:13
зачастую необходимо определённое время
15:15
на выявление тех или иных бэк Доров или
15:17
попросту уязвимости поэтому лично для
15:19
меня в этом самом контексте дистрибутивы
15:21
по типу Arch Linux не совсем
15:23
предпочтительны в сравнении с теми же
15:25
версиями lts других популярных
15:27
дистрибутивов стоит конечно же отметить
15:29
что арч становится потенциально уязвимым
15:31
и менее безопасным в момент добавления
15:34
всем известного стороннего репозитория
15:36
аур сами же по себе официальные репы
15:38
арча довольно безопасны и проверены
15:40
временем и тем не менее я пришёл к тому
15:42
что лтс более выгоден домашнему
15:45
пользователю В долгосрочной перспективе
15:47
детальная проверка качества занимает
15:49
определённое время и с этим стоит
15:51
считаться да и потом если ваший Железяки
15:53
несколько лет и она прекрасно работает
15:55
уже сейчас то нет никакого смысла
15:57
гнаться за циферка версии ядра или
15:59
определённого пакета я говорю про
16:01
обычного пользователя разработчикам Да
16:04
могут понадобиться более новые версии
16:05
пакета тут уже Каждый решает сам второй
16:08
момент – это правильно выбирать
16:09
источники из которых устанавливать ваши
16:12
приложение в больших проектах таких как
16:14
deb а fidor бунту официальные
16:16
репозитории проверены временем и
16:17
являются залогом качества другим
16:19
источником являются современные версии
16:21
магазинов приложений это Snap Store
16:23
flathub Да казусы с верификации
16:25
приложений немного напрягают но у всех а
16:28
так и у уязвимости есть и положительный
16:31
Аспект по итогу они делают проекты более
16:33
защищёнными и стабильными о Source не
16:35
идеален Да и вряд ли таковым станет
16:37
когда-либо и тем не менее это постоянная
16:40
командная работа которая порой на голом
16:42
энтузиазме дарит нам потрясающий проекты
16:45
которые выливаются во что-то очень
16:46
масштабное и значимое для всего мира
16:49
любая OS безопасна если пользователь
16:51
относится к своей цифровой гигиене с
16:53
должной ответственностью Подбирайте с
16:54
умом дистрибутивы не гонитесь за
16:56
новизной пакетов если у вас всё работает
16:58
устанавливайте приложение только с
17:00
проверенных репозиториев и магазинов
17:02
трижды думайте перед выполнением
17:04
какого-либо скрипта с github или
17:05
присланного Не дай Боже вам в личку И
17:07
самое главное помните используйте только
17:10
годные технологии пока

Поделиться: