שבת, נובמבר 29, 2025

Nziv.net

מודיעין מהמקורות הגלויים

כתבות קצרות 

“רוסיה יכולה לדחוף לרשת שלכם קוד זדוני מתי שהיא רק תרצה”

Nziv ,

“רוסיה יכולה לדחוף לרשת שלכם קוד זדוני מתי שהיא רק תרצה”

נשמע לכם מופרך? אז אנסה להסביר למה זה המצב ומה אפשר לעשות.

ספריית הקוד הפתוח fast-glob היא ספריה סופר פופולרית עם כ-75 מיליון הורדות בשבוע (!) 
הספריה מספקת פתרון מהיר לביצוע חיפושים של קבצים והיא משולבת בהרבה פרויקטים וחברות מסביב לעולם, כולל גופים ביטחוניים, ממשלתיים ועוד.

מי שאחראי על הפיתוח והתחזוקה של הספריה הזו מאז פורסמה לראשונה ב-2016, הוא “דניס מלינושקין” – מפתח בודד, אזרח רוסיה, שעובד עבוד חברת Yandex הידועה בקשריה ההדוקים עם ממשלת רוסיה .

לא אכנס לכל הפרטים המקשרים בין ממשלת רוסיה לחברת Yandex אך משיטוט קצר ברשת תוכלו להבין שהחברה למעשה נשלטת באופן בלתי ישיר על ידי הממשל הרוסי, ובהינתן הצורך והלחץ המתאים, המפתח הבודד הנ”ל יוכל להכניס לספריה הזו קוד זדוני שימצא את דרכו לארגון שלכם בפעם הבאה שתמשכו גרסה עדכנית של הספריה (לגרסה האחרונה של הספריה היו 37.5 מיליון הורדות בשבוע האחרון….)

אז הספריה הזו זדונית או מסוכנת? ממש לא! וכרגע אין שום סיבה לדאגה!
המפתח של הספריה הגיב לאחרונה לנושא באחד מגופי התקשורת וטען כי אין קשר בין הפעילות שלו על fast-glob לבין העבודה שלו ב-Yandex וכי הקוד זמין לכולם לבדיקה (קוד פתוח וזה…).

אבל הנקודה הזו ממחישה את המורכבות של השימוש בספריות קוד פתוח, כאשר fast-glob היא רק דוגמה אחת לספריה המתוחזקת על ידי מפתח בודד .

ג’וש ברסרס, שמשמש כ-VP of Security בחברת Anchore מפרסם מאמר שעוסק בנושא, בו הוא מתנגד להפחדות, וטוען כי למעשה כמעט כל ספריות הקוד הפתוח מתוחזקות ע”י מפתחים שעובדים לבד .

🧨 Meet Fast-glob, the wildly popular package maintained by one developer in Russia. As Hayden Smith told Nextgov/FCW's David DiMolfetta about our latest research: “A project that is that popular… | Hunted

 

זה מרגיע אתכם או להפך?   אז מה עושים?

קודם כל צריך להכיר את הסיטואציה.
כן, יש מצב שהמונמון חתיכות קוד אצלכם בארגון מתוחזקות למעשה ע”י מפתחים בודדים, חלקם נמצאים במדינות עליהן אתם כנראה פחות סומכים.
במקרה והמפתחים האלו מתהפכים ומחליטים לגרום נזק, רוב ההגנות המוכרות שכבר יישמתם בתהליך הפיתוח לא תמיד יעזרו לכם. 

תכלס ברמה הטכנית יש כמה אופציות מרכזיות שמפחיתות או מנטרלות את הסיכון.

*- לא להגדיר שימוש בגרסה האחרונה שזמינה (latest) אלא בגרסה ספציפית (pinned/locked) שנבדקה על ידכם וידועה כגרסה נקיה ותקינה.

*-  ניטור ההתנהגות של הספריה בזמן ריצה (runtime) כך שאם הספריה חורגת מההתנהגות הנורמלית הפעילות תזוהה ותיחסם (לדוג’, ספריה שרק מסייעת בחיפוש קבצים לוקאלית פתאום מבצעת תקשורת לרשת האינטרנט).
יש הרבה סטארט-אפים בתחום, חלק גדול מהם בישראל.

Утиліту fast-glob, яку використовує Пентагон та ще понад 5000 проєктів, розробляє єдиний росіянин з Yandex Новини України

קרדיט: ערוץ הטלגרם  חדשות סייבר – ארז דסה     קרדיט לתמונות: רשתות חברתיות