В минувшее воскресенье автор популярного FTP-сервера vsftpd Крис Эванс (Chris Evans) был уведомлен о том, что у архива с последним релизом vsftpd была неправильная GPG-подпись, что говорило о его модификации.
В архиве с vfstpd, который считается одним из самых безопасных FTP-серверов для UNIX-подобных систем, содержится бэкдор — специальная лазейка, которая при запуске демона vsftpd начинала принимать подключения на порту 6200 от пользователя с логином в виде смайлика «:)». При подключении этого пользователя она запускала шелл на сервере, предоставляя удаленный доступ к системе. Этот модифицированный архив с последним релизом распространялся через центральный FTP-сервер проекта vfstpd.
Известный российский специалист по безопасности Александр Песляк («Solar Designer») проанализировал содержимое архива и пришел к выводу, что он был создан в системе Ubuntu 11.04, а в онлайне находился всего в течение 2—3,5 дней, в связи с чем «есть шанс, что ни один из дистрибутивов не пострадал».
Сам автор vsftpd утверждает, что устройство бэкдора вызывает большие сомнения насчет того, чтобы авторы дистрибутивов допустили включения этого архива в состав своих систем: «Наверное, кто-то просто хотел развлечься, а вовсе не навредить».
P.S. После взлома хостинг проекта vsftpd переехал на Google App Engine.
Организация AGIMO (Australian Government Information Management Office), входящая в состав Правительства Австралии, обнародовала финальную версию «Гида по программному обеспечению с открытым кодом» (Guide to Open Source Software).
67-страничный документ рассказывает о том, что такое Open Source и на что следует обратить внимание при использовании такого ПО в государственных ведомствах. Причем речь идет как о плюсах, так и минусах. К отрицательным моментам, например, авторы документа относят следующие:
несмотря на то, что Open Source позволяет ведомствам следовать инновациям, это может привести к увеличению совокупной стоимости владения (TCO);
«базарная» модель разработки Open Source не гарантирует продолжительной поддержки развития того или иного продукта, поэтому агентствам рекомендуется заранее подумать о возможных проблемах, если интерес сообщества к проекту угаснет;
некоторые Open Source-лицензии требуют определенных обязательств от пользователей и разработчиков соответствующих продуктов.
Стоит также напомнить, что полтора года назад представитель AGIMO уже выступал с речью о совокупной стоимости владения Open Source-продуктов. Тогда он предупреждал Комитет по сметам расходования средств Сената Австралии, что переход на новую (открытую) платформу может привести к большим затратам, чем экономии. При этом его подход был довольно взвешенным: «Open Source необязательно ничего не стоит. Мы не можем пообещать, что сэкономим, если перейдем на ПО с открытым кодом».
