ปัจจุบันการเคลื่อนไหวของ Open Source ทำให้เกิดระบบนิเวศขนาดมหึมาที่เราทุกคนพึ่งพา แต่เราไม่เข้าใจมันอย่างถ่องแท้ มีโครงการซอฟต์แวร์มากมายนับไม่ถ้วน โค้ดหลายล้านบรรทัด รายชื่อส่งเมล์และ Forum จำนวนมาก และโลกของผู้ร่วมให้ข้อมูลซึ่งตัวตนและแรงจูงใจมักจะคลุมเครือ ทำให้ยากต่อการจัดการ
ขอบคุณภาพประกอบจาก องค์ความรู้
นั่นอาจเป็นอันตรายได้ ตัวอย่างเช่น แฮกเกอร์ได้แทรกโค้ดที่เป็นอันตรายอย่างเงียบๆ ในโครงการ Open Source หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา Back Door สามารถหลบหนีการตรวจจับได้เป็นเวลานาน และในกรณีที่เลวร้ายที่สุด โครงการทั้งหมดได้ถูกส่งไปยังผู้ไม่หวังดีที่ใช้ประโยชน์จากความไว้วางใจที่ผู้คนมีให้ต่อชุมชน Open Source และโค้ด
Sergey Bratus ผู้จัดการโปรแกรม DARPA ให้เหตุผลว่าเราต้องการใช้ Machine Learning เพื่อแยกแยะและเข้าใจจักรวาลของโค้ดที่กำลังขยายตัว
เป้าหมายสูงสุดคือการตรวจจับและต่อต้านแคมเปญที่เป็นอันตรายเพื่อส่งโค้ดที่มีข้อบกพร่อง เรียกใช้อิทธิพล, ทำลายการพัฒนา หรือแม้แต่ควบคุมโครงการ Open Source นั้น
นักวิจัยต้องการข้อมูลเชิงลึกว่าเหตุการณ์และพฤติกรรมประเภทใดที่สามารถขัดขวางหรือทำร้ายชุมชน Open Source ซึ่งสมาชิกเชื่อถือได้ และมีกลุ่มใดกลุ่มหนึ่งที่ให้ความสำคัญกับการเฝ้าระวังเป็นพิเศษหรือไม่ คำตอบเหล่านี้จำเป็นต้องมีคำอธิบาย
ขอบคุณภาพประกอบจาก Tech Target
ผู้เชี่ยวชาญกังวลว่าจุดบอดของผู้ที่ใช้ซอฟต์แวร์ Open Source จะทำให้ทั้งองคาพยพพร้อมสำหรับการจัดการและการโจมตีที่อาจเกิดขึ้น สำหรับ Bratus ภัยคุกคามหลักคือโอกาสของ “รหัสที่ไม่น่าไว้วางใจ” ที่ใช้ในงานโครงสร้างพื้นฐานที่สำคัญของอเมริกา ซึ่งเป็นสถานการณ์ที่อาจก่อให้เกิดความกังวลใจที่ไม่พึงประสงค์
คำถามเกี่ยวกับ Open Source ที่ยังไม่มีคำตอบ
นี่คือวิธีการทำงานของโปรแกรม SocialCyber ของ DARPA ซึ่งได้ทำสัญญากับทีมงานต่างๆ ซึ่งรวมถึงผู้วิจัยความปลอดภัยทางไซเบอร์ขนาดเล็กที่มีความชำนาญด้านเทคนิค
หนึ่งในผู้มีส่วนร่วมดังกล่าวคือ Margin Research ซึ่งตั้งอยู่ในนิวยอร์ก ซึ่งได้รวบรวมทีมนักวิจัยที่ได้รับความนับถืออย่างดีสำหรับงาน
“มีความจำเป็นอย่างยิ่งที่จะต้องปฏิบัติต่อชุมชน Open Source และโครงการต่างๆ ด้วยความเอาใจใส่และความเคารพในระดับที่สูงขึ้น” Sophia d’Antoine ผู้ก่อตั้งบริษัท Margin Research กล่าว “โครงสร้างพื้นฐานที่มีอยู่จำนวนมากมีความเปราะบางมาก เพราะมันขึ้นอยู่กับ Open Source ซึ่งเราคิดว่ามันจะอยู่ที่นั่นเสมอ นี่คือการย้อนกลับจากความไว้วางใจโดยปริยายที่เรามีในฐานรหัส Open Source และซอฟต์แวร์”
Margin Research มุ่งเน้นไปที่ Kernel ของ Linux ส่วนหนึ่งเพราะมันใหญ่และสำคัญมากที่ประสบความสำเร็จในระดับนี้ หมายความว่าคุณสามารถสร้างมันได้จากที่อื่น แผนคือการวิเคราะห์ทั้งรหัสและชุมชนเพื่อให้เห็นภาพและเข้าใจระบบนิเวศทั้งหมดในที่สุด
ขอบคุณภาพประกอบจาก Holistic Security
งานของ Margin Research ระบุว่าใครกำลังทำงานในส่วนใดของโครงการ Open Source โดยเฉพาะ “ตัวอย่างเช่น ปัจจุบัน Huawei เป็นผู้สนับสนุนหลักให้กับเคอร์เนล Linux ผู้ร่วมสมทบอีกรายทำงานให้กับ Positive Technologies ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียซึ่งเหมือนกับ Huawei ซึ่งถูกคว่ำบาตรจากรัฐบาลสหรัฐฯ” Dave Aitel นักวิจัยด้านความปลอดภัยทางไซเบอร์และอดีตนักวิทยาศาสตร์ด้านความปลอดภัยคอมพิวเตอร์ของ NSA กล่าว
d’Antoine กล่าวถึงภารกิจเพื่อทำความเข้าใจขบวนการ Open Source ให้ดีขึ้น “เพราะตามจริงแล้ว แม้แต่เรื่องที่เรียบง่ายที่สุดก็ยังดูแปลกใหม่สำหรับคนสำคัญๆ มากมาย รัฐบาลเพิ่งตระหนักว่าโครงสร้างพื้นฐานที่สำคัญของเรากำลังรันโค้ดที่สามารถเขียนได้อย่างแท้จริงโดยหน่วยงานที่ถูกคว่ำบาตรในตอนนี้.”
การวิจัยประเภทนี้ยังมีจุดมุ่งหมายเพื่อค้นหาการลงทุนต่ำ ซึ่งเป็นซอฟต์แวร์ที่สำคัญที่ดำเนินการโดยอาสาสมัครหนึ่งหรือสองคนทั้งหมด เป็นเรื่องปกติมากกว่าที่คุณคิด โดยทั่วไปแล้วโครงการซอฟต์แวร์ทั่วไปมีวิธีหนึ่งในปัจจุบันที่ใช้วัดความเสี่ยงคือโครงการทั้งหมดนี้จะกระจัดกระจายหรือไม่หากมีโครงการหนึ่งล่มสลาย
Kernel ของ Linux อาจเป็นปัญหาต่อ Open Source ที่เร่งด่วนที่สุด
แม้ว่าความสำคัญของ Kernel ของ Linux ที่มีต่อระบบคอมพิวเตอร์ของโลกอาจเป็นปัญหาเร่งด่วนที่สุด ด้วย ผู้เล่นบางคนจะเน้นไปที่โครงการ เช่น Python ซึ่งเป็นภาษาโปรแกรม Open Source ที่ใช้ในโครงการปัญญาประดิษฐ์และ Machine Learning จำนวนมาก
“ทุกที่ที่คุณมองไป คุณจะพบซอฟต์แวร์ Open Source ” Sergey Bratus ผู้จัดการโปรแกรม DARPA กล่าว “แม้ว่าคุณจะดูซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จากการศึกษาเมื่อเร็ว ๆ นี้พบว่าจริง ๆ แล้วซอฟต์แวร์ทั้งหมดเป็น Open Source 70% หรือมากกว่า”
“นี่เป็นปัญหาด้านโครงสร้างพื้นฐานที่สำคัญ” Aitel กล่าว “เราไม่มีมือจับมัน แต่เราต้องจับมันให้ได้ ผลกระทบที่อาจเกิดขึ้นคือแฮกเกอร์ที่ประสงค์ร้ายจะสามารถเข้าถึงเครื่อง Linux ได้เสมอ ซึ่งรวมถึงโทรศัพท์ของคุณ มันง่ายมาก”
#วงการไอที #โปรแกรมใหม่ #อัปเดตแอป #มือถือใหม่ #OpenSource
