Для программного обеспечения с открытым исходным кодом действительно ли возможно иметь вирусы/шпионское ПО/вредоносное программное обеспечение? [закрытый]
SELECT CBS.ClientName, CBS.ScheduleName, VPC.BackupStatus
FROM CommCellBkSchedule CBS FULL OUTER JOIN VMProtectionCoverage VPC ON CBS.ClientName = VPC.VMName
WHERE CBS.ClientName LIKE 'KI%' AND VPC.BackupStatus LIKE 'Currently protected'
ORDER BY CBS.ClientName
17 ответов
Это, конечно, возможно, но это более сложно. Я не знаю ни о каком фактическом вредоносном распространяться вокруг, но люди сделали ошибки с подобными эффектами. (Я знаю об ошибках, которые были найдены; очевидно, я не знаю, сколько не было.)
Если Вы помещаете вредоносное программное обеспечение в программное обеспечение с закрытым исходным кодом, единственный способ найти, что это должно обнаружить эффекты и проанализировать двоичный файл. Существуют люди, которые очень хороши в анализе двоичного файла.
В программном обеспечении с открытым исходным кодом кто-либо может посмотреть на исходный код. Не многие будут для большинства пакетов, но существует намного более высокий шанс того, чтобы быть узнанным. После того, как узнанный, кто-либо может исправить программное обеспечение, чтобы сделать хорошие вещи без плохого. Кроме того, большая часть программного обеспечения с открытым исходным кодом имеет общедоступные репозитории, что означает, что кто-либо может разыскать историю кода, и (по крайней мере, к псевдониму), кто сделал что. Существует также тенденция произвести больше читаемого кода в открытом исходном коде, так, чтобы изменения выделились больше.
Протест, конечно, состоит в том, что большинство из нас действительно не знает, что искать в безопасности программного обеспечения. Если я запускаю программу сжатия, и она сжимает мой файл до более короткой версии, которая похожа на мусор, и я могу вернуть оригинал, я знаю, что это работает. Если это изменяет его на мусор, которого это требует, шифруется, я не знаю априорно, как сказать, шифруется ли это хорошо.
Другим примером, где безопасность с открытым исходным кодом превосходит безопасность закрытого исходного кода является межосновной бэкдор.
От регистра:
Тайный пароль был скрыт в популярном программном обеспечении базы данных Interbase Borland/Inprise в течение по крайней мере семи лет, потенциально выставив десятки тысяч частных баз данных в корпорациях и правительственных учреждениях к несанкционированному доступу и управлению по Интернету, говорят эксперты.
Пароль был обнаружен, когда Межоснова была сделана открытым исходным кодом.
Который не означает, что безопасность программного обеспечения с открытым исходным кодом прекрасна, или даже хороша. Кто должен вставить вредоносное программное обеспечение в исходное программное обеспечение, когда существуют тысячи удаленно годных для использования дыр в системе безопасности повсеместно?
Это, вероятно, что более зловещие функции превращают свой путь в программное обеспечение с открытым исходным кодом?
Официально не относительно маловероятно, что вредоносные функции войдут и долгое время оставаться незамеченными. Но:
серверы, содержащие источники распределения, могут быть (и были), поставленный под угрозу так, чтобы то, что Вы загружаете, не соответствовало технической разработке с открытым исходным кодом;
в случае двоичных дистрибутивов (обычно для Windows), установщик для программного обеспечения может быть упакован с вредоносным программным обеспечением. Снова, официально это происходит вполне редко; одним примером являются ранние версии LimeWire, который установил ‘делающего покупки помощника’ affiliate-fee-stealer BHO для “поддержки проекта” и потерял большую доброжелательность, делающую так;
но, существуют также некоторые мошенники, которые сидят на корточках результаты поиска для известных проектов с открытым исходным кодом (снова, обычно с программным обеспечением совместного доступа к файлам) и поставляют их собственные настроенные установщики, связанные вредоносным программным обеспечением. Всегда находите официальный сайт проекта перед загрузкой.
Подобный, как программное обеспечение с закрытым исходным кодом может быть вирусами/шпионским ПО/вредоносным программным обеспечением, открытый исходный код может быть также. А также как существуют тонны ужасного программного обеспечения с открытым исходным кодом.
Настолько далеко каждое программное обеспечение Windows с закрытым исходным кодом, которое я видел, было своего рода вредоносным программным обеспечением, хотя, таким образом, предвзятость является приложениями с закрытым исходным кодом, имеют более высокие возможности, являющиеся дерьмом в в целом.
Кто предотвращает его? Даже если программное обеспечение было бы с открытым исходным кодом, Только плохое программное обеспечение позволяет любому, касаются репозитория выпуска без авторизации. Обычно существует специалист (специалисты) по обслуживанию, кто рассматривает все входящие патчи.
99% всего программного обеспечения, произведенного и используемого, являются низким качеством и ошибкой, на которой поехали.
Это возможно, но не очень вероятно.
Нет ничего специального об открытом исходном коде, который делает его волшебно стойким к содержанию плохих вещей, но открытый исходный код, который активно разрабатывается группой людей, очень вряд ли будет содержать вредоносный код, потому что кто-то заметил бы и унес бы свист.
Кроме того, в большинстве проектов с открытым исходным кодом возможно проследить историю какой-то конкретной части кода путем просмотра исходного репозитория проекта, что означает, что автор злонамеренной части кода может быть идентифицирован.
Если в сомнении, можно всегда рассматривать код сами или нанимать кого-то для рассмотрения его для Вас. Обзор кода обычно не будет ловить тонкие ошибки или ошибки, конечно, но вредоносный код, вероятно, будет более очевидным.
Вы действительно знаете то, что Вы используете? Вы проверяете? Типичный пользователь проверяет или заботится?
Например, Google для ключевых слов: repository compromised или gpg repository compromised или что-то вдоль этих строк.
Это возможно, действительно поскольку это - код как любое собственное программное обеспечение. Однако основное различие - то, что у Вас - и сообщества - есть доступ к коду, и этого факта достаточно, чтобы мешать ему произойти почти во всех случаях. Кроме того, огромное количество версий библиотек и ядра делает вредоносное программное обеспечение менее вероятно для следования.
Да это возможно, это зависит, как тщательно управляемый передают доступ к исходному коду, и как тщательно контролируемый те фиксации. Некоторые проекты имеют несколько ведущих разработчиков, которые запрашивают патчи от сообщества и передают это кодовой базе, другие проекты предоставят доступ значительно большему количеству разработчиков. Одинаково некоторые проекты имеют большое количество людей, рассматривающих исходный код, поскольку изменения внесены.
Это, но обычно ее замеченный и удаленный, прежде чем это станет проблемой. С любым хорошо сохраняемым программным обеспечением с открытым исходным кодом существуют многие люди, которые проверяют каждый пересмотр на любые изменения, которые были внесены.
Да это возможно, то же, что для программного обеспечения с закрытым исходным кодом возможно иметь то же, происходит (злонамеренный разработчик в команде, и т.д.)
Это - возможно меньше likly с открытым исходным кодом, хотя, как момент что-либо как этот замечено, любой другой пользователь может вытянуть проблемный код, и это больше не проблема.
Действительно ли это возможно в принципе? Конечно. Любое программное обеспечение может сделать вещи, которые не хотят люди.
Действительно ли это возможно на практике? Аргумент против, конечно, что программное обеспечение доступно, и что много глаз смотрят на него, таким образом, это будет обнаружено, прежде чем это сможет нанести слишком много ущерба.
С другой стороны, существует Закулисный Конкурс Кода C, http://www.underhanded-c.org/, в котором Вы отправляете программы, которые намеренно неправильно себя ведут, но где причина плохого поведения не очевидна из контроля источника.
Затем существует, конечно, ошибка SSL Debian, где ключи SSL генерировали с библиотекой OpenSSL по Debian, где довольно небезопасный. Это, по-видимому, было просто действием некомпетентности (Бритва Hanlon, все), но это показывает, как проблемы безопасности могут красться в открытый исходный код. Со слабыми ключами и доступом SSH, Вам не нужен вирус в коде, Вы просто используете слабый код, когда он работает на производственных системах.
Возьмите это в качестве yes/no/maybe :)
Я сказал бы, что это, очевидно, это возможно. Все, чего требуется, - то, что код принят без достаточного обзора. Не трудно придумать сценарии, разрешающие это, так как рецензенты - люди.
Более интересный вопрос затем становится, как, вероятно, случается так, что вредоносное программное обеспечение принято в некоторый пакет, где это может причинить вред. На это намного более трудно ответить, к сожалению. Мы, кажется, делаем хорошо до сих пор (удары по древесине), по крайней мере.
Я предполагаю закон Linus ("достаточным количеством глаз, все ошибки мелки"), сохраняется, но это легкий думать, что просто, потому что что-то - открытый исходный код, люди потратят большой визуальный контроль времени его код. Это не обычно верно, насколько я знаю.
Править: Измененный формулировка о законе Linus выше, приписали его неправильно.
Да это возможно, посмотрите разгром Debian OpenSLL для хорошего примера: http://www.metasploit.com/users/hdm/tools/debian-openssl/
Хотя это не вирус/шпионское ПО/вредоносное программное обеспечение, он ясно показывает то, что могло пойти не так, как надо в программном обеспечении с открытым исходным кодом.
Любое программное обеспечение может содержать злонамеренные части (намеренно или неумышленно). Преимущество открытого исходного кода состоит в том, что можно проверить его (если Вы любите и имеете время, чтобы сделать так).
Я еще не могу верить вирусу компилятора ничьего упомянутого Ken Thompson.
Наличие доступа к исходному коду предлагает разумный уровень гарантии, что программа не будет вести себя злонамеренно. Однако, если Вы не осмотрели один из:
- Двоичный выход компилятора
- Двоичный код самого компилятора
- Исходный код компилятора (и это - компилятор, и это - компилятор, и т.д.), и двоичный код компилятора раньше компилировал его.
Вы могли закончить с вредоносным кодом в скомпилированном двоичном файле, который никогда не появляется в источнике. По общему признанию это - очень маловероятная и чрезвычайно трудная форма нападения, но теоретически возможно ввести вредоносный код в проект с открытым исходным кодом способом, который не может быть обнаружен в исходном коде (или проекта или компилятора).
Если Вы не работаете на ЦРУ (или эквивалентное агентство другого правительства), безопасность компилятора, вероятно, не что-то, о чем необходимо волноваться. Но это - очень прохладное понятие для размышления о.
Это возможно, но вид тяжелее, потому что исходный код там. Автор не рассчитывал бы ни на какое беспокойство считать исходный код прежде, чем выполнить его, который верен для большого количества людей, которых я предполагаю. Я знаю, что не потрудился читать исходный код программ с открытым исходным кодом, которые я запускаю. В большем проекте это более твердо, потому что код часто рассматривается, но если существует всего один автор затем, это становится намного легче.
Просто напоминание,
- SSH Backdoored прежде
- Wordpress backdoored прежде
они оба произошли в результате нападения, таким образом, это не было установлено исходными разработчиками. Я думаю, что это отчасти доказывает, что может, но не, что, вероятно, и будет взят довольно скоро, если приложение будет достаточно распространено.