Базовый принцип безопасности ПО с открытым исходным кодом заключается в том, что каждый может рассмотреть код изнутри и убедиться, что в нем нет ничего постороннего. Эта идея действительно работает, и многие из нас, кто ежедневно пользуется свободным ПО (СПО), принимают ее на веру. Вот почему недавно появившиеся сообщения о трояне в популярной FTP-программе являются потенциальной причиной для беспокойства.
FileZilla является широко распространенной FTP-программой, но, как предупреждает производитель средств безопасности Avast, по миру гуляют вредоносные версии FileZilla. Это подложные модификации ПО, которые похищают учетные данные пользователей, а также могут использоваться для распространения других вредоносных программ. “При этом злоумышленники могут получать в свои руки исходный код целой веб-страницы с логином к базе данных, информацией для платежной системы, личными данными пользователя и т. п.”, — говорится в блоге Avast.
Однако важно отметить, что риски связаны отнюдь не с официальной версией FileZilla. Опасны фальшивые версии этого ПО. Запустите поиск в Google по слову FileZilla и вы легко найдете целый ряд сайтов, откуда можно скачать эту программу. ПО с открытым исходным кодом по определению можно распространять свободно, а потому в возможности загрузить FileZilla из многих мест нет ничего нового или необычного.
Разработчики проекта FileZilla сегодня также хорошо осведомлены о сложившейся ситуации. “Хотя наша версия программы в настоящее время является одной из самых распространенных, за последний десяток лет на сторонних веб-сайтах многократно появлялись модифицированные версии, распространяющие вредоносный код, — предупреждает сайт FileZilla. — Мы не миримся с этими действиями и принимаем меры, чтобы известные нам подделки удалялись с сайтов. Однако в целом мы не можем предотвратить стороннее распространение грязных версий или доказать аутентичность правильных, в частности потому, что проект FileZilla поддерживает полезную деятельность по распространению и доработке FileZilla в духе ПО с открытым исходным кодом и GNU General Public License.”
Отсюда следует простой, но крайне важный вывод и урок. Устанавливая или загружая свободное ПО, удостоверьтесь, что вы его получили из легитимного источника. В случае FileZilla это значит получить FTP-программу непосредственно со страницы самого проекта.
Возникает и более широкий вопрос — не существует ли аналогичная потенциальная проблема с другим свободным ПО. Это вполне возможно, и именно поэтому важно, чтобы пользователи загружали программы только из “правильного” места. По моему мнению, “правильным” местом является реальная страница проекта конкретного свободного приложения. Что касается пользователей Linux, то они могут чувствовать себя в безопасности, устанавливая приложения из репозиториев ПО соответствующих Linux-дистрибутивов, поскольку это ПО обычно формируется в пакеты для конкретных дистрибутивов вышестоящего проекта.
Итак, в следующий раз, когда вы захотите загрузить приложение с открытым исходным кодом, лишний раз проверьте, можно ли доверять его источнику.