Kriticky dôležitý segment kódu, ktorý využíva Ministerstvo obrany Spojených štátov amerických a milióny ďalších subjektov, spravuje jediný ruský vývojár. Hoci niektorí argumentujú, že táto situácia nie je ojedinelá, nárast obáv v komunite kybernetickej bezpečnosti poukazuje na možný vplyv štátnych aktérov na jednotlivých správcov softvéru. Bezpečnostní výskumníci zo spoločnosti Hunted Labs nedávno upozornili na utilitu fast-glob, ktorá sa masívne používa v prostredí Node.js na vyhľadávanie súborov a priečinkov. Podľa ich správy „existencia jediného správcu predstavuje riziko pre dodávateľský reťazec viac ako 5 000 softvérových balíkov, vrátane kontajnerových obrazov v Node.js a systémoch Ministerstva obrany USA.“ Výskum navyše odhalil, že tento kód sa nachádza vo viac ako 30 kontajneroch v schválených systémoch amerického ministerstva. Píše o tom stránka cybernews.com.
Čítajte viac Jedna z piatich malých firiem nemá žiadne kybernetické zabezpečenie
Analýza závislostí na platforme GitHub ukazuje, že kód je súčasťou 27 miliónov repozitárov a týždenne sa stiahne 75 miliónov krát prostredníctvom NPM (Node Package Manager). Správca fast-glob, známy pod pseudonymom mrmInc (Denis Malinočkin), žije v Moskve a pracuje pre ruskú technologickú spoločnosť Yandex, ktorá je známa spoluprácou s ruskou vládou pri sledovaní, cenzúre a represiách voči občanom. Táto skutočnosť predstavuje riziko vzhľadom na tendenciu komunity open-source slepo prijímať projekty s minimom informácií o ich prispievateľoch. Zatiaľ však neboli zistené žiadne dôkazy o nekalom konaní zo strany vývojára. Sám Malinočkin v rozhovore pre The Register uviedol, že ho nikto nikdy nepožiadal o manipuláciu nástroja, vkladanie skrytých zmien do projektu ani o zhromažďovanie a zdieľanie údajov. Potvrdil, že fast-glob vyvíja sám od roku 2016, dlho pred nástupom do Yandexu. Projekt je plne otvorený, beží lokálne a jeho kód je verejne dostupný na kontrolu.
Čítajte viac Umelá inteligencia umožňuje sofistikovanejšie formy ransomvéru
Riziká spojené s jedným správcom projektu
Josh Bressers, viceprezident pre bezpečnosť v spoločnosti Anchore, obhajuje ruského vývojára. Vo svojom blogovom príspevku tvrdí, že „softvér, na ktorom beží celá planéta, je napísaný jedinou osobou. Takmer celý open-source softvér je dielom jedného človeka.“ Svoje tvrdenie podložil štatistikami z platformy ecosyste.ms, ktoré ukazujú, že zo sledovaných 11,8 milióna open-source projektov je 7 miliónov spravovaných jedinou osobou. Skutočný počet je pravdepodobne ešte vyšší, keďže pri 4 miliónoch projektov nie je počet správcov známy. Z približne 13 000 najsťahovanejších balíkov na NPM je takmer polovica spravovaná jedinou osobou. Bressers ďalej argumentuje, že skutočné riziká pre dodávateľský reťazec predstavujú nedostatočne platení a prepracovaní správcovia, a nie ich krajina pôvodu. Podotýka, že je nepravdepodobné, aby sa ruská vláda pokúsila zneužiť balík spravovaný vývojárom žijúcim v Rusku. Pravdepodobnejšie by bolo, že by sa pokúsili vystupovať pod inou identitou, ako je napríklad meno „Jia Tan“.
Čítajte viac Kybernetické veliteľstvo US Army si vybralo spoločnosť Peraton na zefektívnenie operácií pomocou umelej inteligencie
Možné riešenia a pretrvávajúce riziká
Diskusia o tejto téme naberá na intenzite aj na fóre Lobste.rs. Počítačový vedec Kornel Lesinski tvrdí, že počet správcov nie je správnym ukazovateľom spolupráce, keďže priemerný reťazec závislostí na NPM zahŕňa množstvo rôznych ľudí. Na druhej strane, iní vyjadrujú obavy, že akýkoľvek kód, ktorý je prístupný štátnym aktérom, môže byť zneužitý. Výskumníci z Hunted Labs priznávajú, že neexistuje jednoduché riešenie na nahradenie alebo opravu fast-glob. Odporúčajú, aby mrmInc pridal do projektu ďalších správcov, ktorí sú známi v open-source komunite a žijú v demokratických spoločnostiach. Toto riešenie by okamžite ochránilo milióny projektov, ktoré fast-glob používajú. Medzi ďalšie alternatívy patrí výber iného nástroja alebo vytvorenie a údržba samostatnej verzie. Výskumníci takisto naliehavo žiadajú okamžité odstránenie fast-glob z produktov používaných Ministerstvom obrany USA a spravodajskými službami. Ministerstvo obrany predtým vydalo memorandum, ktoré nariaďuje, aby bol všetok softvér overený ako bezpečný proti potenciálnym útokom na dodávateľský reťazec zo strany Číny, Ruska a ďalších protivníkov.
