أنا لست مبرمجا محترفا و لا مطور مجتهد بل شخص لديه شغف لفهم ما يقرأ, و لكن لدي بعض الأطلاع على حركة البرمجيات المفتوحة المصدر من مصادر عربية و أجنبية و أثار أنتباهي مقال مترجم قرأته عن ثغرة "القلب النازف" أو (openSSL heart bleed) و أسباب ظهورها و تأخر أكتشافها و سؤالي هو : هل تعتبر هذه الثغرة كبوة (أو ربما طعنة) لحركة البرمجيات المفتوحة المصدر ؟ أرجو مشاركتي بكل معلومة لكي تتضح لدي الصورة..
رابط المقال :
كثر الجدل حول هذه الثغرة و حتى قانون لينوس
هل سقط قانون لينوس ؟ حتى نعرف يجب أن نقيسه على المنطق (الذي يدرس في الجامعات في مقرر الرياضيات المتقطعة أو الهياكل المنفصلة)
قانون لينوس باختصار : إن توفر عدد كافٍ من العيون فإن الثغرات تكون مكشوفة
قانون لينوس هذا جملة شرطية و في المنطق الجملة الشرطية كاذبة و غير صحيحة في حالة واحدة
هي حالة تحقق الشرط (السبب) و عدم تحقق جواب الشرط (النتيجة)
و كما علمنا من هذه الثغرة أن عدد مطوري OpenSSL قليل لذلك فإن الشرط ينتفي
في هذه الحالة سواء تحقق جواب الشرط أم لم يتحقق فإن العبارة صحيحة
بالتالي هل سقط قانون لينوس ؟ لا لم يسقط
المشكلة في هكذا برامج هي نقص التمويل و المشكلة الأكبر أن شركات مثل أبل و گوگل تسستخدم OpenSSL
و لم نرى أياً من هذه الشركات تتبرع أو تدعم OpenSSL
و هنا تأتي المشكلة أي استفادة الشركات من هذه البرامج دون المساهمة فيها
گوگل حالياً تطور BoringSSL و هي نسخة مشتقة من OpenSSL
أي أنها اشتقت البرنامج بدل دعمه و المساهمة في تطويره
للعلم الكثير من البرامج التجارية تستخدم مكتبة openssl فهي مرخصة برخصة apache والتي لا تشترط أن تكون البرامج التي تستعملها مفتوحة المصر ولا حتى التعديلات فيها مفتوحة المصدر.
شكرا لك أخي مقال بسيط يوضح الفكرة و كما قال الأخ "محمد سرحان" في تعليقه في الأعلى أنه لم يسقط قانون لينوس لأن الشرط لم يتحقق بسبب قلة المطورين و عملهم بشكل تطوعي..
في الحقيقة أنا استخدمت قانون التضمين المنطقي
p الشرط أو السبب q جواب الشرط أو النتيجة T تعني صحيح True و F تعني خاطئ False
افترضت أن p هي عدد العيون الكثير و q انكشاف الثغرات
قيمة p في القاعدة هي F أي أن عدد العيون ليس كثير
بالتالي فإن q سواء كانت T أو F فإن النتيجة واحدة هي T
أي سواء انكشفت الثغرات أم لا النتيجة صحيحة
لذلك استنتجت أن القانون لم يسقط و أنه صحيح
في رأيي هذه ليست طعنة، لكن ربما كبوة. والدليل على ذلك أن الموضوع انتهي، وبالنسبة لنا كمستخدمين لمخدمات لينكس فقد كلفنا ذلك تحديث عدد من المخدمات حتى نتجاوز النُسخة من openssl التي تحتوي على هذه الثغرة. لكن لم نسمع عن أي جهة تضررت من تلك الثغرة أو قررت ترك نظام لينكس بسبب هذه المشكلة. اعتقد أنها كانت فقط فرصة للحاقدين على المصادر المفتوحة أن يشمتوا، لكن هذا كله لا يؤثر مهما تطاول كلامهم وكثرت مقالاتهم، في النهاية يبقى مجرد كلام نظري لا يقدم ولا يؤخر ولا يهم، والعمل الحقيقي مستمر ومبرمجي المصادر المفتوحة ليس لديهم وقت لقراءة هذا اللاشيء، فوقتهم أثمن في التطوير والمساهمة في البرمجيات المختلفة ولا يلتفتوا ورائهم. وربما نرى ثغرات أخرى في المستقبل لكن اعتقد أننا سوف نرى استمرار للدعم والتطور والنجاح في المصادر المفتوحة بالرغم من كل هذا
يبدو أن هُناك ثغرة جديدة تم اكتشافها وهي shellsock ايضاً تم إصدار تحديث لها
يبدو أن اليوم لدينا عمل جديد في تحديث المخدمات بعد فحصها باﻷمر التالي:
env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
هذا حافز للذهاب باكراً للعمل
حسب معلوماتي المتواضعة و بعد أطلاع بسيط على هذه الثغرة يبدو أنها ليست ثغرة بالمعنى الدقيق و أنما خاصية موجودة في ال Shell و أكتشافها الان لا يعني أنها كانت مستغلة "بشكل سيء" منذ 20 عاما كما يدعي بعض مناصري البرمجيات المغلقة..!
بالطبع كانت طعنة كبيرة للمصادر المفتوحة من عدة جهات :
مكتبة openssl هى الاوسع انتشارا و الاكثر استخداما فى البرمجيات مفتوحة المصدر.
الثغرة بقيت لوقت طويل قبل اكتشافها, فأين هى تلك العيون, بل و من اكتشفها هى شركة متخصصة بالاختبارات الأمنية اسمها كودنوميكون باستخدام ادوات اختبار امنية "مغلقة المصدر".
كشفت الثغرة عن مشاكل تطوير البرامج مفتوحة المصدر, و عدم صلاحية نموذج الاعمال القائم على التبرعات لانتاج برمجيات ذات جودة مقبولة.
نتيجة لتضليل اعلام المصادر المفتوحة, الذى صور للجميع ان اى برنامج مفتوح المصدر هو أمن لمجرد كونه مفتوح المصدر, فقد تجاهل الجميع فحص تلك البرامج و اختبارها جيدا, كما أن هناك تعاطف "يسارى" معها, ما يجعل الجميع يرغب فى التغطية و التعمية على ثغرات و عيوب اى برنامج مفتوح المصدر. و عندما تدخل السياسة فى مجال تقنى و علمى, فهذا بداية الانهيار.
Steven J. Vaughan و هو احدى أشهر الكتاب التقنيين المتحمسين للمصادر المفتوحة كتب أن هذا هو أسوأ يوم فى تاريخ المصادر المفتوحة كلها!
و لم يكن محقا,
لأن اليوم الأسوأ لم يأتى بعد,
فمنذ أيام قليلة اكتشفت ثغرة أخرى فى نظم جنو/لينكس هى ثغرة Bash, و هى ثغرة فى برنامج الterminal المستخدم فى معظم انظمة يونيكس و لينكس تتيح للهاكر التجكم فى النظام عبر اكواد قصيرة و بسيطة,
هذه الثغرة وصفت بكونها أسوأ من الheartbleed, و هى ثغرة قاتلة ليس لها مثيل فى اى نظام تشغيل عرفناه. فمعظم انظمة التشغيل يتم اختراقها فيزيائيا عبر وضع برمجية ضارة, و ليس من الخارج دون وضع اى برمجيات و لا حتى الوصول الفيزيائى للجهاز.
و الأسوأ ان الثغرة عمرها 20 عاما دون ان يتحرك أحد لسدها!
و لماذا نسدها و لماذا نبذل الجهد طالما لينوس توريفالدى قال لنا ان الأعين الكثيرة تجعل الثغرات سطحية!
راجع اللينك :
يبدو ان يوم Steven J Vaughan الأسوأ لم يأتى بعد! فنحن فى انتظار كارثة أخرى طالما أن لا احد يتعلم او يتحرك.
انا امقت جهلكم الغبية المقيت الفارغ البغيض (هل تكفي هذه اللعنات )
التعليق ما هو الا حقائق + راي الكاتب
وتعليقاتكم ما هي الا حقائق + رايكم
تعليقه يأخذ -10 وتعليقكم +7
يعني ان الراي خاطئ
اين يا ترى احترام الرأي الاخر
هل كنت تقصد تعليقي ؟ إن كنت كذلك فاعلم أني لم أذكر رأيي على الإطلاق
إنما ذكرت استنتاجي بناءً على قاعدة علمية ذكرتها في تعليق سابق
هذه القاعدة تدرس في مقررات الرياضيات و علوم الحاسوب في المؤسسات الأكاديمية حول العالم
و أنا قست قانون لينوس على هذه القاعدة العلمية (ليس بناءً على رأي أو هوى)
التعليقات