Dyrektor Mozilli przekonuje: możesz zaufać tylko przeglądarce o otwartym kodzie

Dla wielu użytkowników komputerów osobistych przeglądarkistały się najważniejszym typem oprogramowania, z któregokorzystają na co dzień. Nierzadko przejmują funkcje systemówoperacyjnych, a co za tym idzie, stają się bardzo atrakcyjnym celemdla wszystkich tych, którzy by chcieli wejrzeć w nasze cyfroweżycie – czy to cyberprzestępców, czy może ciekawskichurzędników państwowych. Nie dziwi więc, że po tym jak kwestiainwigilacji internautów stała się jednym z wiodących tematów wmediach, niektórzy próbują wykorzystać ją w swojej komunikacjirynkowej. Tym razem za straszenie wzięła się Mozilla, którejdyrektor techniczny Brendon Eich daje jasno do zrozumienia: niemożecie ufać przeglądarkom o zamkniętym kodzie źródłowym.Obecnie każda z wiodących przeglądarekinternetowych jest rozpowszechniana przez organizację będącą wzasięgu praw legalizujących inwigilację –piszą na łamach oficjalnego bloga Mozilli Brandon Eich i wiceprezesds programowania Andreas Gal. Według nich władze mogą zmusićfirmy software'owe do umieszczenia w ich oprogramowaniu kodusłużącego inwigilacji internautów, a co gorsze, mogą teżzabronić im o tym mówić, dzięki nakazom zachowania tajemnicy(tzw. gag orders). [img=firefox-security]Chroni przed tymryzykiem jedynie oprogramowanie o otwartym kodzie źródłowym:użytkownicy mogą przejrzeć kod pod kątem ewentualnych furtek,możliwe jest też samodzielne skompilowanie oprogramowania zeźródeł, a następnie porównanie uzyskanych wersji binarnych ztym, co rozprowadzają sami producenci. W najgorszejsytuacji stoją więc użytkownicy Internet Explorera, którego kod wcałości jest zamknięty przed użytkownikami – ale zdaniem Eichai Gala, na IE zagrożenia się nie kończą. Przeglądarki takie jakChrome czy Safari, choć korzystają z wielu otwartoźródłowychkomponentów, są własnościowym oprogramowaniem, zawierającymwiele nieujawnionego kodu. Nie ma sposobu, by stwierdzić, czy w tychzamkniętych fragmentach władzenie umieściły swoich wstawek.Jedyną bezpiecznąprzeglądarką (spośród popularnych aplikacji tego typu) miałbywięc być Firefox. Choć przeglądarka Mozilli ma swoje problemy zbezpieczeństwem i zdarzało się, że zawierała błędy mogącezagrozić prywatności internautów (jak to było choćby zwyjawianiem adresów MAC kart sieciowych w wersji Firefoksarozpowszechnianej w pakiecie z oprogramowaniem Tora), to tylko w jejwypadku takie incydenty można odpowiednio szybko rozpoznać, i wproaktywny sposób im zapobiegać.Eich chce, byeksperci od bezpieczeństwa bardziej się teraz zainteresowaliFirefoksem, zarówno jego kodem jak i kompilacjami, przeprowadzającregularne, zautomatyzowane audyty, i wszczynali alarm w raziewykrycia jakichś nieprawidłowości. Taki zaufany Firefox mógłbystać się bazową platformą do testowania wiarygodności usługinternetowych, również podatnych na implementację szpiegowskiegokodu – tym bardziej, że proces audytu odbywałby się publicznie,w międzynarodowej społeczności, której zinfiltrowanie przezsłużby jednego państwa jest niemożliwe.Jakkolwiek takiestwierdzenia nie byłyby dla Mozilli korzystne z marketingowegopunktu widzenia, trudno odmówić im racji – audyty bezpieczeństwaoprogramowania, do którego badacze nie mają kodu źródłowego,choć są możliwe, to nie są łatwe. Co gorsza, większa jest teżmożliwość przeoczenia w nich niechcianych funkcji czy celowowprowadzonych furtek. Na pewno zaś nie jest już możliwaautomatyzacja takiego procesu, do jakiego nawołuje Eich. Jak bowiemsłusznie zauważa dyrektor Mozilli, bezpieczeństwo to proces, a niejakiś stan finalny, który można raz a dobrze osiągnąć.