IT-компании объединяются в борьбе с угрозами безопасности

   Игроки IT-рынка, включая Intel, Google, Microsoft, Facebook, Dell и IBM, совместными усилиями стремятся предотвратить появление новой критической уязвимости, наподобие Heartbleed. В рамках нового проекта с ласкающим слух названием «Си-ай-ай» (CII – Core Infrastructure Initiative), который решили передать в ведение организации Linux Foundation, планируется осуществлять финансирование open source проектов, «имеющих критически важное значение в плане выполнения основных функций компьютерных систем» – проще говоря, снабжать деньгами важную программную инфраструктуру, испытывающую потребность в этих деньгах.

   Linux Foundation приводит следующее описание: «проект с многомиллионным бюджетом, необходимость которого обусловлена недавним кризисом, вызванным OpenSSL-уязвимостью Heartbleed». Предполагается выделение денежных средств Фондом совместно с административной группой в составе участников проекта и ключевых разработчиков проектов c открытым исходным кодом.

   «Административная группа совместно с консультативным органом с участием уважаемых разработчиков open source проектов будет принимать решения относительно выбора объектов финансирования и выделения средств для open source проектов, нуждающихся в таком финансировании. Помощь в рамках CII предполагает, в числе прочего, оказание финансовой поддержки с целью создания условий для осуществления ключевыми разработчиками open source проектов в режиме полного рабочего дня деятельности по координации таких аспектов, как аудит безопасности, компьютерная и тесовая инфраструктура, командировки, личные встречи и иные вопросы».

   

   В числе первых участников проекта Google, Facebook, IBM, Intel, Dell, Cisco Amazon Web Services, Microsoft, Qualcomm, Rackspace, VMWare, Netapp и Fujitsu. Члены организации Linux Foundation, ожидающей пополнения своих рядов в ближайшие недели и месяцы, получат право оценки open source проектов, значимых с точки зрения глобальной компьютерной инфраструктуры и испытывающих недостаток финансирования. «Данные компании признают необходимость целевого финансирования критически важных open source проектов в сфере программного обеспечения, потребителями которых все они являются и которые играют важную роль в современном обществе», – говорится в заявлении Linux Foundation

   Уязвимость, получившую название Heartbleed, обнаружили недавно в программной библиотеке, используемой в серверах, операционных системах, системах обмена электронными письмами и мгновенными сообщениями. Данный баг позволяет любому считать данные в памяти систем, использующих подверженные уязвимостям версии OpenSSL – криптографического пакета с открытым исходным кодом для работы с протоколами Secure Sockets Layer (SSL) и Transport Layer Security (TLS), которые обеспечивают безопасность при обмене электронными письмами и мгновенными сообщениями, а в некоторых случаях также и в VPN-соединениях. При использовании данной уязвимости возможны утечки данных из памяти в направлении «клиент-сервер» и «сервер-клиент». По мнению специалистов компании Codenomicon, работающей в сфере национальной безопасности, атакующий может использовать уязвимость с целью перехвата сообщений, хищения данных напрямую с сервера/клиента, а также для того, чтобы выдать себя за другое лицо на стороне и клиента, и сервера.