Globalni napad na Linux, ki je spodletel

Pred mesecem dni je eden izmed razvijalcev orodja xz za Linux vanj vstavil zlonamerno kodo, ki je v SSH vgradila stranska vrata. Ta so mu omogočala vstop v katerikoli sistem, ki je imel nameščeno to knjižnico. Pazljivemu inženirju iz Microsofta se lahko zahvalimo, da je napad odkril dovolj zgodaj, preden bi bila koda vključena v redne Linuxove distribucije za širšo rabo. To mu je uspelo, ker je bil zlonamerni akter nekoliko površen.

Ena izmed najpogosteje izpostavljenih prednosti odprtokodne programske opreme je varnost, saj lahko kodo vsakdo pogleda in se prepriča, kaj in kako počne, da se ne bi v njej znašli kakšni zlonamerni koščki. Pri uporabi Windows moramo Microsoftu zaupati, da operacijski sistem ne vsebuje kakšnih namernih ranljivosti ali stranskih vrat, pri Linuxu pa lahko to sami preverimo. Takšna idealistična slika je v resničnem svetu nekoliko bolj siva. Microsoft je že pred dvema desetletjema posameznim velikim strankam, denimo državnim službam, omogočil vpogled v izvorno kodo. Program Shared Source Initiative (SSI) so zagnali že maja 2001. Na drugi strani je Linux, ki sestoji iz jedra in celega kupa dodatnega programja. V teoriji lahko kodo vsakdo pogleda, a drugo vprašanje je, koliko ljudi to dejansko počne. Hkrati pa velika večina uporabnikov ne prevede izvorne kode, temveč uporabi že pripravljene paketke. Ti se prevajajo in preverjajo v skupnosti, a na koncu je zaključek vendarle enak – posameznik mora še vedno nekomu zaupati. Enako je tudi v življenju, ko verjamemo − deklaracijam.