Самое важное ПО по мнению военных США
technologyreview.com Гуглопереовод в первом
Сброс контроллера USB 2.0 echo -n "0000:00:1a.0" | /usr/bin/sudo /usr/bin/tee /sys/bus/pci/drivers/ehci-pci/unbind && \ echo -n "0000:00:1a.0" | /usr/bin/sudo /usr/bin/tee /sys/bus/pci/drivers/ehci-pci/bind echo -n "0000:00:1d.0" | /usr/bin/sudo /usr/bin/tee /sys/bus/pci/drivers/ehci-pci/unbind && \ echo -n "0000:00:1d.0" | /usr/bin/sudo /usr/bin/tee /sys/bus/pci/drivers/ehci-pci/bind Сброс контроллера USB 3.0 echo -n "0000:03:00.0" | /usr/bin/sudo /usr/bin/tee /sys/bus/pci/drivers/xhci_hcd/unbind && \ echo -n "0000:03:00.0" | /usr/bin/sudo /usr/bin/tee /sys/bus/pci/drivers/xhci_hcd/bind
Военные США хотят разобраться в самом важном программном обеспечении на Земле
Открытый исходный код работает на каждом компьютере на планете и обеспечивает работу критической инфраструктуры Америки. DARPA беспокоится о том, насколько ему можно доверять
Не будет большим преувеличением сказать, что весь мир построен на основе ядра Linux, хотя большинство людей никогда о нем не слышали.
Это одна из самых первых программ, которая загружается при включении большинства компьютеров. Он позволяет оборудованию, на котором работает машина, взаимодействовать с программным обеспечением, регулирует использование ресурсов и выступает в качестве основы операционной системы.
Это основной строительный блок почти всех облачных вычислений, практически каждого суперкомпьютера, всего Интернета вещей, миллиардов смартфонов и многого другого.
Но ядро также имеет открытый исходный код, что означает, что любой может писать, читать и использовать его код. И это серьезно обеспокоило экспертов по кибербезопасности в вооруженных силах США. Его природа с открытым исходным кодом означает, что ядро Linux — наряду с множеством других частей критически важного программного обеспечения с открытым исходным кодом — подвергается враждебным манипуляциям способами, которые мы до сих пор едва понимаем.
«Теперь люди понимают: подождите минутку, буквально все, что мы делаем, основано на Linux», — говорит Дэйв Эйтел, исследователь кибербезопасности и бывший специалист по компьютерной безопасности АНБ. «Это основная технология для нашего общества. Непонимание безопасности ядра означает, что мы не можем защитить критически важную инфраструктуру».
Связанная история
Интернет работает на бесплатном программном обеспечении с открытым исходным кодом. Кто платит за ремонт?
Волонтерские проекты, такие как Log4J, поддерживают работу Интернета. Результатом является неустойчивое выгорание и риск для национальной безопасности, когда что-то идет не так.
Теперь DARPA, исследовательское подразделение вооруженных сил США, хочет понять конфликт кода и сообщества, который заставляет эти проекты с открытым исходным кодом работать, чтобы лучше понять риски, с которыми они сталкиваются. Цель состоит в том, чтобы иметь возможность эффективно распознавать злоумышленников и предотвращать их нарушение или повреждение критически важного открытого исходного кода, пока не стало слишком поздно.
Программа DARPA «SocialCyber» — это 18-месячный многомиллионный проект, который объединит социологию с последними технологическими достижениями в области искусственного интеллекта для картирования, понимания и защиты этих огромных сообществ с открытым исходным кодом и кода, который они создают. Оно отличается от большинства предыдущих исследований, поскольку сочетает в себе автоматизированный анализ как кода, так и социальных аспектов программного обеспечения с открытым исходным кодом.
«Экосистема с открытым исходным кодом — одно из величайших предприятий в истории человечества, — говорит Сергей Братусь, руководитель программы DARPA, стоящий за проектом.
«Теперь он вырос из энтузиастов в глобальную инициативу, формирующую основу глобальной инфраструктуры, самого Интернета, критически важных отраслей и критически важных систем практически повсюду», — говорит он. «Системы, которые управляют нашей промышленностью, электросетями, судоходством, транспортом».
Угрозы открытому исходному коду
Большая часть современной цивилизации сейчас зависит от постоянно расширяющегося корпуса открытого исходного кода, потому что он экономит деньги, привлекает таланты и упрощает работу.
Но хотя движение за открытый исходный код породило колоссальную экосистему, от которой мы все зависим, мы не до конца ее понимаем, утверждают такие эксперты, как Айтель. Существует бесчисленное множество программных проектов, миллионы строк кода, многочисленные списки рассылки и форумы, а также океан участников, чьи личности и мотивация часто неясны, что затрудняет их привлечение к ответственности.
Это может быть опасно. Например, в последние годы хакеры неоднократно незаметно внедряли вредоносный код в проекты с открытым исходным кодом. Бэкдоры могут долго оставаться незамеченными, и, в худшем случае, целые проекты были переданы злоумышленникам, которые пользуются доверием людей к сообществам с открытым исходным кодом и коду. Иногда происходят сбои или даже захваты тех самых социальных сетей, от которых зависят эти проекты. Отслеживание всего этого было в основном — хотя и не полностью — ручным усилием, что означает, что это не соответствует астрономическим масштабам проблемы.
Братус утверждает, что нам нужно машинное обучение, чтобы переваривать и понимать расширяющуюся вселенную кода — имея в виду полезные приемы, такие как автоматическое обнаружение уязвимостей, — а также инструменты для понимания сообщества людей, которые пишут, исправляют, реализуют этот код и влияют на него.
Конечной целью является обнаружение и противодействие любым вредоносным кампаниям, направленным на отправку ошибочного кода, запуск операций влияния, саботаж разработки или даже получение контроля над проектами с открытым исходным кодом.
Для этого исследователи будут использовать такие инструменты, как анализ настроений для анализа социальных взаимодействий в сообществах с открытым исходным кодом, таких как список рассылки ядра Linux, который должен помочь определить, кто настроен позитивно или конструктивно, а кто негативно и деструктивно.
Исследователи хотят получить представление о том, какие события и поведение могут разрушить или навредить сообществам с открытым исходным кодом, какие члены заслуживают доверия и существуют ли определенные группы, которые оправдывают повышенную бдительность. Эти ответы обязательно субъективны. Но прямо сейчас есть несколько способов найти их вообще.
Эксперты обеспокоены тем, что слепые пятна в отношении людей, использующих программное обеспечение с открытым исходным кодом, делают все здание готовым для потенциальных манипуляций и атак. Для Братуса главная угроза — это перспектива «ненадежного кода», управляющего критически важной инфраструктурой Америки, — ситуация, которая может преподнести неприятные сюрпризы.
Вопросы без ответов
Вот как работает программа SocialCyber. DARPA заключило контракты с несколькими командами, которых оно называет «исполнителями», в том числе с небольшими специализированными исследовательскими центрами кибербезопасности с глубокими техническими знаниями.
Одним из таких исполнителей является нью-йоркская компания Margin Research, которая собрала для этой задачи команду уважаемых исследователей.
«Существует острая необходимость относиться к сообществам и проектам с открытым исходным кодом с более высоким уровнем заботы и уважения», — сказала София д'Антуан, основатель фирмы. «Большая часть существующей инфраструктуры очень хрупкая, потому что она зависит от открытого исходного кода, который, как мы полагаем, всегда будет существовать, потому что он всегда был там. Это отказ от безоговорочного доверия, которое мы питаем к базам кода и программному обеспечению с открытым исходным кодом».
Margin Research сосредоточена на ядре Linux отчасти потому, что оно настолько большое и критичное, что успех здесь, в таком масштабе, означает, что вы можете добиться успеха где угодно. План состоит в том, чтобы проанализировать как код, так и сообщество, чтобы визуализировать и, наконец, понять всю экосистему.
Работа Margin показывает, кто и над какими частями проектов с открытым исходным кодом работает. Например, Huawei в настоящее время является крупнейшим поставщиком ядра Linux. Другой участник работает в Positive Technologies, российской фирме по кибербезопасности, которая, как и Huawei, попала под санкции правительства США, говорит Аитель. Margin также сопоставил код, написанный сотрудниками АНБ, многие из которых участвуют в различных проектах с открытым исходным кодом.
«Эта тема убивает меня, — говорит д’Антуан о стремлении лучше понять движение за открытый исходный код, — потому что, честно говоря, даже самые простые вещи кажутся столь новыми стольким важным людям. Правительство только сейчас осознало, что в нашей критической инфраструктуре работает код, который может быть написан в буквальном смысле лицами, находящимися под санкциями. Прямо сейчас."
Этот вид исследования также направлен на выявление недоинвестирования — критически важного программного обеспечения, которым полностью управляют один или два добровольца. Это более распространено, чем вы думаете, — настолько распространено, что одним из распространенных способов измерения риска в настоящее время в проектах программного обеспечения является «фактор автобуса»: не развалится ли весь этот проект, если хотя бы один человек попадет под автобус?
Хотя важность ядра Linux для мировых компьютерных систем может быть самой насущной проблемой для SocialCyber, оно также будет решать другие проекты с открытым исходным кодом. Некоторые исполнители сосредоточатся на таких проектах, как Python, язык программирования с открытым исходным кодом, используемый в огромном количестве проектов искусственного интеллекта и машинного обучения.
Есть надежда, что большее понимание облегчит предотвращение будущих катастроф, независимо от того, вызваны они злонамеренными действиями или нет.
«Практически куда бы вы ни посмотрели, вы найдете программное обеспечение с открытым исходным кодом, — говорит Братусь. — Даже когда вы смотрите на проприетарное программное обеспечение, недавнее исследование показало, что на 70% или более оно имеет открытый исходный код».
«Это критическая инфраструктурная проблема, — говорит Айтель. «У нас нет контроля над этим. Нам нужно взять себя в руки. Потенциальное воздействие заключается в том, что злоумышленники всегда будут иметь доступ к компьютерам Linux. Это включает в себя ваш телефон. Это так просто."