#
img
img17 января 2025 в 13:03

Открытый код, закрытые глаза: подводные камни open-source ПО

С уходом западных разработчиков из России использование программного обеспечения с открытым исходным кодом выросло. Выбор бизнеса всё чаще падает на такой софт, а за последние несколько месяцев скачивание open-source с GitHub набирает популярность даже среди пользователей, несвязанных с разработкой и ИТ. Пользоваться привычными сервисами становится труднее: одни компании ушли с рынка, другие сервисы подвергаются замедлению. Вместе с корпоративными системами в список популярных репозиториев на GitHub попадают средства обхода блокировок и аналоги ушедших продуктов. Редактор «Телеспутника» вместе с экспертами по кибербезопасности попытался разобраться, насколько безопасен открытый исходный код для личных и корпоративных целей.

img
Андрей Кондратьев

img
Андрей Кондратьев

С уходом западных разработчиков из России использование программного обеспечения с открытым исходным кодом выросло. Выбор бизнеса всё чаще падает на такой софт, а за последние несколько месяцев скачивание open-source с GitHub набирает популярность даже среди пользователей, несвязанных с разработкой и ИТ. Пользоваться привычными сервисами становится труднее: одни компании ушли с рынка, другие сервисы подвергаются замедлению. Вместе с корпоративными системами в список популярных репозиториев на GitHub попадают средства обхода блокировок и аналоги ушедших продуктов. Редактор «Телеспутника» вместе с экспертами по кибербезопасности попытался разобраться, насколько безопасен открытый исходный код для личных и корпоративных целей.

Рост популярности open-source ПО в России

GitHub – самый известный сервис для хостинга open-source проектов и совместной разработки. Система контроля версий ПО в прочтении создателей превратилась в полноценную социальную сеть для программистов, где можно продемонстрировать проект коллегам. Кроме размещения кода, пользователи могут общаться, комментировать правки друг друга, а также следить за новостями знакомых.

img
Владимир Алтухов
Руководитель технического центра «АйТи Бастион»
«Нужно понимать, что GitHub – это не магазин приложений, а скорее файлообменник, где каждый может выложить что угодно. Скачивая код с платформы, всегда помните, что вы не можете быть уверены в его содержании. Поэтому запускать чужие скрипты и приложения на своём компьютере нужно с осторожностью. Нет никакой гарантии, что при запуске VPN-клиента приложение просто будет перенаправлять трафик, и все сохраненные пароли не окажутся на сервере разработчика»

Где могут скрываться угрозы

Есть разные схемы распространения вредоносного ПО через платформу. Некоторые репозитории изначально создаются для распространения «вредоносов»: на платформе размещается взломанная версия платного софта (в странах СНГ пиратство особенно актуально). В репозитории оформляется привлекательный Readme-файл со ссылкой для скачивания, которая ведёт на сторонний ресурс. Но вместо взломанного софта на компьютер загружается стиллер RisePro. Стиллер — это вирус-троян, целью которого является кража логинов и паролей от аккаунтов пользователя.

Такая схема работала на протяжении несколько месяцев в 2024 году. Сам вирус не был размещён на платформе и не провоцировал системы проверок GitHub, но ссылка вызывала меньше подозрений у пользователей из-за высокого рейтинга платформы.

Другой вариант распространения – встраивание вредоносного кода в обычное приложение для массового использования. В отличие от первого примера, здесь не нужно переходить на сторонний сайт. Злоумышленники пользуются тем, что пользователь, который скачивает программу для решения понятной прикладной задачи, зачастую не обладает необходимыми навыками. То есть жертва даже не предполагает, что скаченный код может нести вредоносную активность.

«Любой софт, который не скачивается с доверенных ресурсов, должен проверяться. Но если такой возможности нет, стоит как минимум обратить внимание на сам репозиторий и его автора: сколько пользователей добавили проект в избранное, какая репутация у разработчика, какие другие проекты есть в его профиле. Особое внимание стоит уделить вкладке «Issues» и комментариям других пользователей», — добавляет Владимир Алтухов.

Однако даже репозитории, пользующиеся популярностью и обладающие высоким рейтингом доверия, можно заразить. Этой осенью стало известно о новом способе распространения вредоносных программ через GitHub. Злоумышленники вместо неизвестных проектов с низкими рейтингами использовали репозитории крупных компаний, распространяющих свои продукты как open-source. Под удар попали репозитории нескольких американских приложений для подачи налоговых деклараций.

img
Константин Родин
Руководитель отдела развития продуктов «АйТи Бастион»
«Суть техники заключается в том, что злоумышленники создают новую ветку в комментариях или во вкладке «Issues» в известных репозиториях. Они загружают туда свои файлы, а затем закрывают ветку без сохранения. При этом файлы остаются доступными, и получается красивая ссылка, которую можно рассылать на корпоративные электронные адреса под видом «важного обновления». Создаётся впечатление, что ПО действительно находится в легитимном репозитории, а никаких следов его присутствия, кроме самой ссылки, на платформе не остаётся»

Выгоды и риски для бизнеса

Рост популярности open-source в бизнес-среде — актуальная тенденция. GitHub остаётся удобным инструментом для поиска и интеграции готовых решений. Компании всё чаще используют его для замены ушедших с рынка утилит, скриптов автоматизации и других ресурсов, упрощающих управление IT-процессами. Однако без внимания к безопасности такой подход несёт серьёзные риски.

«Проекты с открытым исходным кодом разрабатывает огромное число энтузиастов по всему миру и зачастую они никак друг с другом не связаны, и детально разобраться, что, когда и кем было написано — почти невозможно. Популярный репозиторий — не всегда безопасный. Важно понимать, что даже разработчик, активно работавший над проектом длительное время и уже зарекомендовавший себя, может быть однажды скомпрометирован», — поясняет Константин Родин.

Возможно, ваш бизнес и не относится к критически важным объектам, и вы просто хотите скачать прошивку для световой панели на входе в кофейню. Однако никто не гарантирует, что ПО с GitHub не устроит вам вечер экстремистских лозунгов, уверяют эксперты.

«Мы неоднократно слышали от коллег истории, когда вредоносная активность проявлялась только при определённых условиях, например, если запуск происходил из России. Любое внешнее ПО должно проходить аудит безопасности, а после этого переноситься в локальные репозитории, где оно будет использоваться до появления новых обновлений. Это долгий и сложный процесс, но без него невозможно гарантировать безопасность», — объясняет Владимир Алтухов.

Напомним, ранее руководитель отдела развития продуктов «АйТи Бастион» Константин Родин поделился с «Телеспутником» примерами угроз для обычных пользователей и бизнеса, а также рассказал о решениях, которые помогают выстроить надежную киберзащиту.

Чтобы оставить комментарий необходимо авторизоваться.

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий