Преди десетилетие става ясно, че кодовете, поддържащи сигурността на част от интернет инфраструктурата, не работят.

Инструментът OpenSSL, използван за криптиране на всичко - от пароли за социални мрежи до онлайн покупки, се оказва уязвим заради фатален пропуск. Информацията, която трябва да защитава, става видима за потенциални хакери. 

Откритието не е особено изненадващо за хората, които са наясно с възможностите на екипа зад OpenSSL. Софтуерът, използван от почти 20% от уебсайтовете, включително и технологични компании, реализиращи милиарди долари годишни печалби, до голяма степен се управлява от двама мъже на име Стив, които работят по него в свободното си време. 

Дори коментарите в кода на приложението съдържаха признания за потенциални слабости, като например „Упс! Експерименталният код започва".

След като е открит пропускът, който става известен като Heartbleed, технологичните компании инвестират милиони долари за разширяването на екипа на OpenSSL. Любителите се превръщат в платен персонал, способен да защитава мрежата по-добре. 

Преди месец обаче беше открита още една пробойна в инфраструктурата на интернет. Доброволец, който в продължение на две години помагал за работата на XZ Utils (част от софтуера, използван за компресиране и декомпресиране на данни в операционната система Linux,използвана в ключови части от инфраструктурата на интернет), успява да вкара злонамерен софтуер в кода, позволявайки на хакерите да изпращат неоторизирани команди, които иначе биха били предотвратени. 

Така за пореден път проект, ръководен от доброволци, е пробит - този път умишлено. През 2021 г. Log4j - инструмент, който записва компютърни грешки, е изправен пред подобна уязвимост. 

Могат ли любителите да гарантират сигурността на мрежата?

Като се има предвид честотата, с която се случват тези пробиви, въпросът защо толкова голяма част от критичния софтуер се поддържа от любители става съвсем логичен, пише The Economist. 

Отчасти това се дължи на специфичната история на интернет, казва историкът Мар Хикс от Университета на Вирджиния. Интернет е децентрализиран от основаването си, а фирмите споделят контрола с академичните среди и любителите.

"Този баланс се дължи на крехкото "примирие" между държавните и корпоративните интереси, финансиращи проектите, с които стартира интернет, както и на доброволците ентусиасти, които поддържат голяма част от технологията", добавя Сиаран Мартин, бивш главен изпълнителен директор на Британския национален център за киберсигурност.

Софтуерните аматьори и любители формират голяма част от движението за т. нар. отворен код - общност от интернет потребители, които разработват безплатен за използване софтуер и правят основния код публично достъпен. Такъв софтуер обикновено се внедрява в големи части от интернет инфраструктурата поради ниската си цена.

Въпреки че един човек може да поддържа малък софтуерен проект, натискът се увеличава, когато технологията стане широко разпространена. Животът, включително и основната платена работа, може да попречи на страничните занимания.

А любителите просто могат да се отегчат, или още по-лошо, както в случая с разработчика на XZ Utils Ласе Колин, който предупредил две години преди неотдавнашния пробив на приложението, че поддръжката на софтуера вреди на психичното му здраве.

Това води до опасности за всички интернет потребители. Компанията за киберсигурност Synopsys анализира софтуерни продукти в 17 индустрии и установява, че три четвърти от прегледания код има слаби места, за които или е доказано, че го правят уязвим, или преди това е бил експлоатиран от хакери. Това е тревожна статистика, но трудно поправима. 

"Инфраструктурата, която е в основата на нашия дигитален свят, е твърде дълбоко вградена, за да бъде разрушена и изградена наново, така че да бъде подходяща за целта. Нито една компания няма търговски стимул да го направи", казва Мартин. 

Според Омкар Арасаратнам от Open Source Security Foundation (OpenSSF), наследник на проекта, създаден с голямо технологично финансиране след Heartbleed, казва, че технологичната индустрия иска да строи все повече "небостъргачи", но оставя "водопровода и канализацията" на доброволци.

Но дори и ако технологичните компании не изградят сами по-добра инфраструктура, все още има начин да се подобри интернет сигурността - да се плати на организации, като OpenSSF, достатъчно, за да наемат други хора да го направят.

Но за да проработи този модел, технологичните компании ще трябва да се обединят (принудени от правителствата, ако е необходимо), за да осигурят постоянно финансиране, вместо да прахосват големи суми, когато нещо се обърка, и да забравят за проблема, когато вниманието отшуми.

Новините на Darik Business Review във Facebook , Instagram , LinkedIn и Twitter !