Cyberbezpieczeństwo open source to tykająca bomba zegarowa

May 08 2024
Zdecydowana większość oprogramowania na świecie działa w oparciu o kod open source. Czy można to zabezpieczyć?

W marcu błąd oprogramowania groził wykolejeniem dużych obszarów sieci. Stwierdzono, że XZ utils , narzędzie do kompresji o otwartym kodzie źródłowym, wbudowane w niezliczone produkty programowe i systemy operacyjne, zostało wyposażone w backdoora.

Backdoor — ukryty punkt wejścia do oprogramowania — umożliwiłby osobie dysponującej wymaganym kodem przejęcie maszyn, na których działa, i wydanie poleceń jako administrator. Gdyby backdoor był szeroko rozpowszechniony, byłaby to potencjalna katastrofa dla milionów ludzi.

Na szczęście, zanim szkodliwa aktualizacja mogła zostać wypuszczona do szerszego obiegu, inżynier oprogramowania z firmy Microsoft zauważył nieprawidłowości w kodzie i zgłosił je. Projekt został następnie przejęty przez odpowiedzialne strony i od tego czasu został naprawiony.

Choć katastrofie udało się ledwo zażegnać, odcinek uwypuklił bieżące zobowiązania w modelu rozwoju oprogramowania typu open source, które są długotrwałe i niełatwe do naprawienia. Odcinek XZ nie jest pierwszym przypadkiem, w którym błąd open source grozi wykolejeniem dużych obszarów sieci. Z pewnością nie będzie to ostatnie. Zrozumienie irytujących dylematów związanych z cyberbezpieczeństwem, jakie stwarza oprogramowanie typu open source, wymaga wycieczki po jego bizantyjskim i niezbyt intuicyjnym ekosystemie. Tutaj, dla niewtajemniczonych, jest nasza próba zorganizowania tej wycieczki.

Sieć działa na FOSS

Obecnie zdecydowana większość baz kodów opiera się na kodzie open source. Szacuje się, że składa się z niego od 70 do 90 procent wszystkich „ stosów ” oprogramowania. Najprawdopodobniej zdecydowana większość aplikacji w Twoim telefonie została z nim zaprojektowana, a jeśli jesteś jedną z 2,5 miliarda ludzi na świecie korzystających z Androida, system operacyjny Twojego urządzenia to zmodyfikowana wersja oprogramowania, która wywodzi się z jądra Linuksa — największego projektu open source na świecie.

Kiedy ludzie mówią o „ łańcuchach dostaw ” oprogramowania — cyfrowym rusztowaniu obsługującym nasze ulubione produkty i usługi internetowe — znaczna część tego kodu składa się z komponentów typu open source. Jego wszechobecność sprawiła, że ​​obserwatorzy nazywają otwarte oprogramowanie „ infrastrukturą krytyczną ” Internetu – proteastyczną substancją, która jest zarówno niezbędna, jak i niezwykle potężna.

Jednak niezależnie od tego, jak ważne jest, oprogramowanie typu open source pozostaje tematem, który nie jest szeroko rozumiany przez większość ludzi spoza branży technologicznej. Większość ludzi nawet o tym nie słyszała.

Dlaczego warto korzystać z otwartego oprogramowania?

Dla niewtajemniczonych krótkie wyjaśnienie może wyglądać mniej więcej tak: W przeciwieństwie do oprogramowania „zamkniętego” lub zastrzeżonego, oprogramowanie bezpłatne i otwarte, w skrócie FOSS, jest publicznie dostępne i może być używane lub modyfikowane przez każdego. Jego użycie zależy od różnych umów licencyjnych i, co jest dość wyjątkowe, komponenty są często utrzymywane przez wolontariuszy — nieopłacanych programistów, którzy spędzają wolny czas na utrzymywaniu aktualności i dobrym stanie oprogramowania.

Projekty open source mogą rozpocząć się praktycznie od wszystkiego. Często są to małe projekty dla cyfrowych majsterkowiczów, którzy po prostu chcą zbudować coś nowego. W końcu niektóre projekty zyskują popularność i prywatne firmy zaczną włączać je do swoich komercyjnych baz kodów. W wielu przypadkach, gdy korporacyjny zespół programistów decyduje się na utworzenie nowej aplikacji, skonstruuje ją przy użyciu szeregu mniejszych, już istniejących komponentów oprogramowania, które składają się z setek, a nawet tysięcy linii kodu. Obecnie większość tych komponentów pochodzi od społeczności open source.

Może być trudno wyobrazić sobie, jak działa ta dziwna relacja pomiędzy oprogramowaniem komercyjnym a ekosystemem open source. Na szczęście kilka lat temu twórca komiksów internetowych Randall Munroe stworzył dobrze znany obecnie mem, który pomaga zwizualizować tę sprzeczną z intuicją dynamikę:

Istnieje wiele powodów, dla których firmy sięgają po oprogramowanie open source w ramach swoich potrzeb rozwojowych. Oprócz tego, że jest bezpłatny, FOSS umożliwia także wydajne i szybkie tworzenie oprogramowania. Jeśli programista nie musi się martwić o podstawowe elementy składowe kodu aplikacji, może skupić się na elementach oprogramowania, które są bardziej rynkowe. W konkurencyjnym środowisku, takim jak Dolina Krzemowa – gdzie szybki czas wprowadzenia produktu na rynek jest kluczową zaletą – oprogramowanie open source jest w dużej mierze koniecznością DevOps.

Ale wraz z szybkością i zwinnością pojawia się wrażliwość. Jeśli FOSS jest wszechobecnym elementem nowoczesnego oprogramowania, istnieją również problemy strukturalne w ekosystemie, które zagrażają ogromnym ilościom oprogramowania. Problemy te mogą dość szybko się nasilić – często z katastrofalnymi skutkami.

Błędy z piekła rodem

Odcinek XZ nie zakończył się katastrofą, ale z łatwością mógł to zrobić. Jednym z przypadków, w którym użytkownicy sieci nie mieli tyle szczęścia, był słynny incydent z „log4shell”. Trzy lata temu, w listopadzie 2021 r., w popularnym wówczas programie open source log4j odkryto lukę w kodzie. Biblioteka rejestrowania . Programy takie jak log4j są regularnie integrowane z aplikacjami, gdzie programiści używają ich do rejestrowania i oceniania wewnętrznych procesów programu. Log4j, utrzymywany przez organizację open source Apache , był szeroko stosowany w momencie odkrycia błędu i został osadzony w milionach aplikacji na całym świecie.

Niestety, błąd log4j – nazwany „ log4shell ” – był dość poważny . Podobnie jak błąd XZ, wymagał on zdalnego wykonania kodu. Oznaczało to, że haker mógł z łatwością wstrzyknąć swój własny „dowolny” kod do programu, którego dotyczy luka, umożliwiając mu przejęcie kontroli nad maszyną, na której działa. Ze względu na popularność log4j zakres błędu był ogromny. Dotknęło to duże, wielomiliardowe firmy. Setki milionów urządzeń było podatnych na ataki. Kilka dni po ujawnieniu luki eksperci oszacowali , że luki te stanowią tykającą bombę zegarową i cyberprzestępcy już próbowali je wykorzystać.

Odkrycie błędu wprawiło korporacyjną Amerykę w pełną panikę i przestraszyło najwyższe szczeble rządu federalnego. Niektóre z największych firm na świecie były zagrożone , co czyniło to kwestią bezpieczeństwa narodowego. Kilka tygodni po odkryciu błędu Anne Neuberger, czołowa doradczyni prezydenta Joe Bidena ds. cyberbezpieczeństwa, zwołała w Białym Domu szczyt poświęcony bezpieczeństwu open source, zapraszając dyrektorów z Microsoft, Meta, Google, Amazon, IBM i innych wielkich nazwisk, a także wpływowe organizacje zajmujące się open source, takie jak Apache, Linux Foundation i Linux Open Source Security Foundation lub OSSF. Spotkanie mniej skupiało się na tym , jak zaradzić tej piekielnej bezbronności, a raczej na zastanawianiu się, jak zapobiec ponownemu wystąpieniu takich rzeczy.

Niedługo po spotkaniu kadra kierownicza Linux Foundation, w tym ówczesny dyrektor generalny OSSF Brian Behlendorf, rozpoczęli formułowanie tak zwanego „planu mobilizacji”, aby lepiej zabezpieczyć cały ekosystem FOSS. W międzyczasie rząd federalny zaczął opracowywać własne strategie dalszej regulacji branży technologicznej. Co najważniejsze, w opublikowanym w zeszłym roku planie cyberbezpieczeństwa prezydenta Bidena starano się nadać priorytet szeregowi nowych zabezpieczeń, aby zapobiec pojawianiu się nowych, wysoce destrukcyjnych błędów.

Jednak niebezpieczeństwa związane z luką XZ pokazują, że FOSS jest nadal środowiskiem, które w najwyższym stopniu jest podatne na błędy, które mogą mieć katastrofalne, ogólnosystemowe konsekwencje dla Internetu. Zrozumienie ryzyka w FOSS nie jest jednak łatwe. Wymaga to odwiedzenia wyjątkowego ekosystemu, w którym powstaje tak duża część światowego oprogramowania.

Zamknięte źródło nie oznacza bezpieczniejszego

Zanim przejdziemy dalej, warto wyjaśnić jedną rzecz: to, że oprogramowanie ma „zamknięte źródło” lub jest zastrzeżone, nie oznacza, że ​​jest bezpieczniejsze. Rzeczywiście, eksperci ds. bezpieczeństwa i zwolennicy FOSS twierdzą, że jest odwrotnie. Powrócimy do tego problemu później, ale na razie zwrócę waszą uwagę na małą firmę o nazwie Microsoft. Mimo że firma ta jest znaczącym gigantem korporacyjnym o zamkniętym kodzie źródłowym, jej baza produktów została zhakowana niezliczoną ilość razy — czasami z katastrofalnym skutkiem. Wiele firm, które zamykają swoje produkty, ma podobne osiągnięcia i, w przeciwieństwie do oprogramowania typu open source, ich problemy związane z bezpieczeństwem są często utrzymywane w tajemnicy, ponieważ nikt poza firmą nie ma dostępu do kodu.

Opiekunowie

Jeśli chcesz porozmawiać o zagrożeniach bezpieczeństwa w oprogramowaniu typu open source, musisz zacząć od rozmowy o ludziach stojących za kodem. W ekosystemie open source osoby te nazywane są „ opiekunami ” i, jak można się spodziewać, są odpowiedzialni za utrzymanie jakości oprogramowania.

Wyjaśnienie roli opiekuna jest nieco skomplikowane. Konserwatorów można trafnie porównać do pracowników budowlanych, którzy w prawdziwym świecie budują nasze drogi i mosty. Albo inżynierowie, którzy je projektują. Lub oba. Krótko mówiąc, opiekun jest opiekunem (i często twórcą) konkretnego projektu open source, ale w wielu przypadkach współpracuje z „współautorami” — użytkownikami oprogramowania, którzy chcą wprowadzić ulepszenia w kodzie.

Opiekunowie hostują swoje projekty open source w publicznych repozytoriach, z których najpopularniejszym jest Github . Repozytoria te zawierają interaktywne mechanizmy, które ostatecznie są kontrolowane przez opiekuna. Na przykład, gdy współautor chce dodać coś do projektu, może przesłać „ prośbę ściągnięcia ” w GitHub, która zawiera nowy kod, który ma nadzieję dodać. Opiekun ma następnie za zadanie podpisać „scalanie”, które zaktualizuje projekt w celu odzwierciedlenia zmian wprowadzonych przez kontrybutora. To dzięki temu wspólnemu procesowi projekty open source stale się rozwijają i przekształcają.

Jako główny kontroler tych żywych, iteracyjnych projektów, praca opiekuna często wymaga ogromnej ilości pracy — od bieżącej korespondencji z użytkownikami i współpracownikami, przez podpisywanie zatwierdzeń kodu, po tworzenie przewodników „ dokumentacji ”, które pokazują, jak wszystko wewnątrz oprogramowanie faktycznie działa. Jednak za całą tę pracę wielu opiekunów nie zarabia szczególnie dobrze. Większość nie jest w ogóle opłacana . Open source ma być darmowe, pamiętasz? W świecie FOSS ciężka praca jest nagradzana niczym więcej niż świadomością, że Twój kod jest dobrze wykorzystywany.

Los opiekuna jest specyficzny i jest w dużym stopniu powiązany ze skomplikowaną historią open source, a także jego niezupełnie prostymi relacjami z korporacjami korzystającymi z jego kodu.

Błyskawiczna historia FOSS

Warto wziąć pod uwagę, że na początku open source nie miało wiele wspólnego z korporacjonizmem i pieniędzmi. W rzeczywistości było zupełnie odwrotnie.

FOSS wyrósł z idealistycznego ruchu hakerskiego z lat 80. XX wieku, zwanego ruchem „wolnego oprogramowania” . Ogólnie rzecz biorąc, ruch ten rozpoczął się od Richarda Stallmana – ekscentrycznego informatyka, który wygląda trochę jak Jerry Garcia i od dawna jest zwolennikiem śmiałej formy cybernetycznego idealizmu. W 1983 roku, pracując w laboratorium sztucznej inteligencji MIT, Stallman założył GNU , repozytorium wolnego oprogramowania. Ideą kolekcji była kontrola użytkownika. Stallman wzbraniał się przed myślą, że prywatne firmy mogłyby przechowywać oprogramowanie za otoczonym murem ogrodem. Uważał, że użytkownicy oprogramowania potrzebują możliwości kontrolowania używanych programów — sprawdzania, jak działają, a także zmieniania ich lub modyfikowania, jeśli chcą. W związku z tym Stallman postulował ideę „wolnego” oprogramowania – słynnie komentując, że miał na myśli wolność „jak wolność słowa, a nie darmowe piwo”. Oznacza to, że Stallman nie jest przeciwny zarabianiu przez programistów, ale ich kod powinien być otwarty i widoczny dla wszystkich w celu przyszłego ulepszenia.

W 1991 roku 21-letni fiński student programowania komputerowego, Linus Torvalds, zapoczątkował kolejną wielką innowację w historii open source. Podobno z nudów Torvalds stworzył nowy system operacyjny i nazwał go swoim imieniem, nazywając go „Linux”. Co najważniejsze, Torvalds stworzył „jądro” Linuksa, istotny komponent każdego systemu operacyjnego, który zarządza interfejsem pomiędzy sprzętem komputera a jego procesami cyfrowymi. Nie było to wtedy jasne, ale Linux stał się największym i najpopularniejszym projektem open source na świecie . Obecnie istnieją setki dystrybucji Linuksa (lub „dystrybucji”) korzystających z jądra stworzonego przez Torvaldsa.

W 1998 roku mała, ale wpływowa grupa społeczności wolnego oprogramowania zdecydowała, że ​​chce zerwać z idealistycznymi korzeniami ruchu i zająć się oprogramowaniem głównego nurtu. W Mountain View w Kalifornii odbył się szczyt , którego uczestnicy starali się omówić sposoby „przebrandowania” wolnego oprogramowania na coś, co „świat korporacji pośpieszyłby kupić” – pisze Eric Raymond, znany programista i jeden z uczestnicy spotkania. „Open source” zostało zaprezentowane jako „termin marketingowy” wymyślony w celu uchwycenia wyobraźni amerykańskich tytanów technologii i odciągnięcia ich od bardziej niejasnej, bardziej komunistycznej terminologii słowa „wolny” – wyjaśnia Raymond. Miała nadzieję, że biznesmeni zapomną o hippisowskich bełkotach Stallmana i skupią się na bardziej pragmatycznie brzmiącym określeniu.

Okazuje się, że jednak to kupili. To była bańka internetowa , Dolina Krzemowa kwitła, a prywatne przedsiębiorstwa były głodne nowych sposobów uwalniania zysków. Dla wielu firm oprogramowanie typu open source – które zapewniało wspólną pulę darmowej siły roboczej i przemysłowy model innowacji – wydawało się dobrym pomysłem . W ten sposób ruch „open source” w dużej mierze oddzielił się od ruchu „wolnego”, stając się własnym organizmem napędzanym przez korporacje, który z czasem zajmował coraz większą przestrzeń w branży oprogramowania. Linux stał się wszechobecny , Torvalds stał się sławny , a Stallman w dużej mierze nadal robił to, co zawsze: opowiadał się za swoimi wolnościami cyfrowymi i dyskredytował korporacyjnych gigantów oprogramowania. Dziś świat opiera się na „open source”, chociaż Stallman nadal kategorycznie odrzuca to określenie . Nadal woli określenie „wolne” oprogramowanie.

Kod do niczego

Oprogramowanie typu open source stało się wszechobecnym zasobem dla korporacji, ale programiści odpowiedzialni za tworzenie i utrzymywanie tego istotnego materiału nie zawsze mogli liczyć na wsparcie – finansowe lub inne – na które zasługują. Rzeczywiście, wiele firm często zadowala się przechwytywaniem kodu i scatem, zasadniczo wykorzystując darmową pracę, nie oddając nic projektom ani ich twórcom.

Od kilku lat firma Tidelift publikuje ankietę opartą na wywiadach z setkami opiekunów open source. Co roku badanie pokazuje mniej więcej to samo: konserwatorzy są przepracowani, niedoceniani i wypaleni. Wyniki ankiety wykazały, że ponad połowa opiekunów oprogramowania open source w ogóle nie otrzymuje wynagrodzenia za swoją pracę. Podobnie ankieta przeprowadzona przez Linux Foundation 2020 wśród autorów wykazała , że ​​ponad połowa respondentów – czyli około 51,65 procent – ​​stwierdziła, że ​​nie otrzymuje wynagrodzenia.

Za incydent w XZ obwinia się wypalenie zawodowe konserwatora . Rzeczywiście, pierwotny opiekun projektu oprogramowania zgłosił, że czuje się „za” w stosunku do niego i ostatecznie przekazał odpowiedzialność użytkownikowi o imieniu „Jia Tan”. Ten użytkownik okazał się osobą, która wprowadziła backdoora do komponentu oprogramowania.

Od dawna wzywano sektor prywatny do większych wysiłków na rzecz wsparcia ekosystemu FOSS, ale w większości te apele pozostawały bez echa. Prawdą jest, że w ostatnich latach duże korporacje technologiczne inwestowały pieniądze w określone sektory ekosystemu open source – ale często tylko tam, gdzie jest to dla nich korzystne.

Dla zdecydowanej większości programistów FOSS utrzymanie projektów nadal wiąże się z niewielkim wynagrodzeniem lub nie wiąże się z żadnym wynagrodzeniem i często jest mniej zabawnym hobby lub prawdziwą pracą niż niewdzięczną krzątaniną – pomyślmy o ekonomii twórców z kodem. Na Reddicie można znaleźć wątek po wątku , w którym programiści omawiają sposoby uruchomienia finansowania FOSS. Niektórzy sugerują zwrócenie się do Liberapay, platformy crowdfundingowej typu open source, znanej z przekazywania pieniędzy programistom borykającym się z problemem braku gotówki. Inni uważają, że Patreon to dobra opcja . Co najmniej jedna osoba zachęca ludzi do skontaktowania się z Gitcoin, startupem Web3, który wykorzystuje dotacje kryptowalutowe do sponsorowania projektów FOSS. Wielu programistów po prostu włącza portale darowizn na swoich stronach projektów w Githubie — z linkami do takich rzeczy jak Stripe, PayPal czy Kup mi kawę. Jak w przypadku większości kreatywnych przedsięwzięć, żebranie o pieniądze okazuje się najpewniejszym sposobem na zarobienie pieniędzy.

Krwawienie z serca

Prawdopodobnie możesz sobie wyobrazić problemy bezpieczeństwa, które mogą wyniknąć z utrzymywania niezwykle popularnego oprogramowania za pośrednictwem wkładów typu OnlyFans. Badania wykazały , że zdecydowana większość aplikacji komercyjnych zawiera komponenty typu open source, które nie są już aktualizowane lub zostały porzucone przez ich opiekunów.

Niebezpieczeństwa związane z budowaniem cyfrowej infrastruktury przedsiębiorstwa w oparciu o zdecentralizowaną, czasami niestabilną siłę roboczą są łatwo widoczne, jeśli znasz historię Heartbleed.

Odkryty w 2014 roku błąd Heartbleed stanowił krytyczną lukę w zabezpieczeniach OpenSSL , protokołu szyfrowania typu open source, który w tamtym czasie był odpowiedzialny za większość programów bezpiecznej komunikacji w Internecie. Używały go duże firmy, takie jak Google, Facebook, Netflix i Yahoo, podobnie jak szeroki asortyment innych aplikacji i usług, od VPN po komunikatory internetowe i platformy e-mail. Naturalnie odkrycie błędu, który pozwolił osobie atakującej nakłonić podatne serwery do przekazania poufnych danych, takich jak nazwy użytkowników i hasła, wywołało prawdziwą panikę w dużej części Internetu.

„Odkryliśmy, że coś, z czego wszyscy korzystali, było wspierane przez zaledwie kilka osób, którym tak naprawdę wcale nie płacono” – powiedział Jon Callas, ekspert w dziedzinie kryptografii i inżynier oprogramowania, wspominając chaos, który wtedy wybuchł . Callas nie pracował w zespole OpenSSL, ale znał ludzi, którzy to robili i pracował wówczas nad podobnym projektem.

Jak wspomina Callas, problem z OpenSSL zdawał się nieuchronnie wracać do opiekunów. Rzeczywiście, okazałoby się, że OpenSSL, odpowiedzialny za zabezpieczanie usług prywatności i bezpieczeństwa dla rzesz największych największych firm, był w rzeczywistości utrzymywany przez mały, 11-osobowy zespół, do którego zaliczał się „podstawowy” zespół składający się z czterech osób i tylko jeden pracownik na pełen etat.

„To prawdziwy problem” – stwierdził Callas, o problemach związanych z konserwacją oprogramowania open source. Callas ma w tym pewne doświadczenie, będąc jednym z kluczowych architektów OpenPGP , otwartego standardu szyfrowania PGP szeroko stosowanego w Internecie. „Ogromnym problemem jest ustalenie, w jaki sposób pakiety oprogramowania — które w zasadzie stanowią infrastrukturę [cyfrową] — są objęte wsparciem i konserwacją”.

Heartbleed ujawnił prawdziwy problem związany z dotychczasowym paradygmatem operacyjnym bezpieczeństwa open source. Przez lata światem FOSS kierowała się doktryna mówiąca, że ​​oprogramowanie typu open source jest bezpieczniejsze niż oprogramowanie komercyjne. Rozumowanie jest takie, że przejrzystość FOSS, z jego kodem otwartym dla całej sieci, umożliwiła lepszy wgląd w jego wady, a tym samym większe możliwości ich naprawienia. Jest to tak zwany argument „więcej oczu” . Tak więc rozumowano, oprogramowanie komercyjne miało tylko jeden zespół programistów, który wypatrywał błędów; open source miał cały Internet.

Argument ten ma elegancką logikę, ale ma też wady. Argument „więcej oczu” sprawdza się w idealnym świecie – takim, w którym projekty FOSS otrzymują wszystko, czego potrzebują. Oczywiście w prawdziwym świecie open source jest tak bezpieczne, jak zasoby i ludzie przydzieleni do jego utrzymania. Najczęściej projekty FOSS mają mniej oczu, niż potrzebują, a nie więcej. A może patrzą na nich niewłaściwe oczy — jak cyberprzestępca.

Nie można zaprzeczyć, że pewna liczba projektów FOSS jest niezwykle bezpieczna. Mówi się , że od 2005 roku nad jądrem Linuksa pracowało około 14 000 różnych autorów. Linux Foundation zatrudnia około 150 osób i osiągnęła w ubiegłym roku szacunkowe przychody na poziomie 262,6 miliona dolarów, z których większość pochodziła z wkładów przedsiębiorstw i osób prywatnych. Pod wieloma względami to właśnie dzięki temu wsparciu i przejrzystości obserwatorzy byli w stanie uchwycić Jia Tan, rzekomego twórcę luki XZ. Jednak problem związany z używaniem Linuksa jako przykładu bezpieczeństwa open source jest dość oczywisty: większość projektów open source nie jest oparta na Linuksie i nie zapewnia wsparcia na poziomie Linuksa.

Kolekcja noży Backstabbbera

Wydarzenie Heartbleed uznano za „ pobudkę ” dla społeczności programistów. Incydent ten po raz pierwszy zasadniczo skierował uwagę amerykańskich korporacji na kwestie bezpieczeństwa związane z oprogramowaniem open source. Zmusiło to także Fundację Linux do utworzenia inicjatywy Core Infrastructure Initiative , która miała na celu identyfikację projektów open source o kluczowym znaczeniu, które wymagały dodatkowego wsparcia (została zastąpiona przez OSSF w październiku 2021 r.).

Jeśli jednak Heartbleed był kanarekiem w cyfrowej kopalni węgla, ostatecznie nie wszyscy go zauważyli. W rzeczywistości krajobraz zagrożeń od 2014 r. stał się jeszcze bardziej złożony, w miarę jak FOSS stał się większą i bardziej integralną częścią sieci. Obecnie problemy nie ograniczają się do okazjonalnych, katastrofalnych błędów. W rzeczywistości są one o wiele bardziej skomplikowane.

We współczesnym świecie oprogramowanie komercyjne jest wszędzie. Nasze życie jest bardziej cyfrowe i połączone niż kiedykolwiek wcześniej, a prawie wszystko, co posiadasz – od odkurzacza, przez sprzęt do ćwiczeń, po szczoteczkę do zębów – ma aplikację. W rezultacie znacznie wzrosła możliwość naruszenia bezpieczeństwa oprogramowania, na którym działają wszystkie te aplikacje. Obecnie stosunkowo powszechne są tak zwane „ataki na łańcuch dostaw” na oprogramowanie . Celem takich ataków są szczególnie słabe komponenty oprogramowania, co czasami pozwala cyberprzestępcom wykorzystać jeden słaby element w celu przejęcia lub uszkodzenia całego produktu lub systemu. Najczęściej komponentami umożliwiającymi początkowy dostęp do łańcuchów dostaw są FOSS . Istnieje tak wiele sposobów włamywania się do komponentów open source w łańcuchach dostaw, że w jednym ze znaczących artykułów z 2020 roku katalog luk został nazwany „kolekcją noży wbijających w plecy” .

Jedną z osób, która dobrze zna ten złożony krajobraz zagrożeń, jest Dan Lorenc. Lorenc, doświadczony specjalista ds. bezpieczeństwa z doświadczeniem w FOSS, spędził prawie dziesięć lat pracując w Google i co najmniej trzy lata pracując nad szczegółami cyberbezpieczeństwa w Google Cloud. Lorenc jest obecnie właścicielem firmy Chainguard zajmującej się bezpieczeństwem łańcucha dostaw, która zajmuje się wieloma tymi samymi problemami, które pojawiły się podczas jego pracy w Google.

„Myślę, że open source stoi przed pewnymi wyjątkowymi wyzwaniami, głównie ze względu na zdecentralizowany charakter [jego rozwoju]. Nie zawsze można ufać każdemu, kto napisze kod” – powiedział Lorenc. „Każdy użytkownik Internetu może przyczynić się do powstania otwartego kodu źródłowego, ale nie każdy w Internecie jest miłą osobą”.

Tak, niefortunna prawda jest taka, że ​​odcinek XZ nie jest pierwszym przypadkiem, w którym opiekun lub współpracownik FOSS wprowadził do projektu złośliwe oprogramowanie. Z raportu z 2020 r. wynika, że ​​chociaż większość błędów w FOSS to po prostu błędy w kodowaniu, około 17 procent – ​​czyli około jednej piątej – to błędy wprowadzone złośliwie, czyli to, co badacze nazywają „bugdoorami”. Jeden z głośnych przykładów miał miejsce w 2018 r., kiedy twórca popularnego programu typu open source o nazwie event-stream był zmęczony utrzymywaniem projektu i zdecydował się przekazać kontrolę innemu programiście – pseudonimowemu użytkownikowi sieci o imieniu „Right9ctrl”. Jedynym problemem było to, że „Right9ctrl” okazał się cyberprzestępcą, który następnie wprowadził do oprogramowania złośliwą aktualizację. Aktualizacja umożliwiła przestępcy włamanie się do portfeli kryptowalut określonej marki i kradzież znajdujących się w nich środków. Szkodliwy kod, pobrany około 8 milionów razy, pozostawał niezauważony przez około dwa miesiące.

Trend sabotowania własnych projektów przez deweloperów FOSS również ma tendencję wzrostową. W październiku 2021 roku opiekun popularnego zestawu bibliotek npm, niejaki Marak Squires, w niewytłumaczalny sposób zniszczył je serią dziwacznych aktualizacji. Aktualizacje spowodowały, że oprogramowanie wyrzucało strumień niespójnego bełkotu, który skutecznie zrujnował projekt, w którym uruchomiono oprogramowanie. Szacuje się , że ten akt cyfrowego samospalenia doprowadził do zniszczenia „tysięcy” projektów oprogramowania, których sukces opierał się na bibliotekach kodowania.

Lorenc mówi również, że na rynku jest zdecydowanie więcej „log4j” — krytycznych projektów, którym po prostu nie poświęca się uwagi i nie poświęca się im tyle uwagi, na ile zasługują. Właściwie tego rodzaju sytuacje pojawiają się „zawsze” – stwierdził.

W przypadkach, gdy takie projekty wybuchają w twarz użytkownikom korporacyjnym, często winę zrzuca się na opiekunów. Ludzie sugerują, że „nie wykonują swojej pracy profesjonalnie lub nie poświęcają jej wystarczająco dużo czasu” – stwierdził Lorenc. „Ale tak naprawdę to skomplikowany problem. Oni [opiekunowie] udostępniają coś za darmo, a potem ludzie zaczną budować na tym gigantyczny element krytycznej infrastruktury produkcyjnej, a później będą narzekać, gdy zostaną znalezione błędy.

Dokonywanie inwentaryzacji

Co więc zrobić? Jak uregulować przestrzeń technologiczną, która ze swej natury jest głęboko zdecentralizowana, nękana anonimowością i strukturalnie odporna na jakąkolwiek ingerencję nadrzędnej władzy?

To pytanie nie dawało spać wielu osobom w nocy. Od czasu porażki log4j w różnych momentach kontaktowałem się z kadrą kierowniczą OpenSSF, spółki zależnej Linuksa zajmującej się bezpieczeństwem, aby omówić postępy w realizacji „planu mobilizacji”, który, jeśli pamiętacie, został opracowany w celu stworzenia nowych zabezpieczeń dla środowiska FOSS po wykryciu błędu log4shell. Plan, który początkowo zaproponowano, zawierał wiele ruchomych części i nie było do końca jasne, które z nich będą miały pierwszeństwo. W 2022 r. rozmawiałem z dyrektorem zarządzającym OpenSSF Brianem Behlendorfem, który powiedział mi, że w planie mobilizacji znajduje się co najmniej kilka propozycji przygotowanych do działania – określił je jako „gotowe z łopatą”. Jedno z najbardziej obiecujących rozwiązań jest również najbardziej oczywiste: zmuszanie firm do inwentaryzacji kodu, którego używają.

Choć może to zabrzmieć dziwnie, wiele firm tak nie robi. OSSF stwierdziło, że firmy często „nie mają spisu wdrażanego oprogramowania i często nie mają danych na temat komponentów nabytego oprogramowania”. Niezbyt atrakcyjne, prawda? To trochę jak firma budowlana budująca drapacz chmur, ale nie mająca pojęcia, z czego zbudowany jest fundament. Czy chciałbyś mieszkać lub pracować w takim budynku?

Brian Behlendorf przemawia na szczycie dotyczącym bezpieczeństwa oprogramowania Open Source w Waszyngtonie, 14 maja 2022 r.

Plan mobilizacji zakładał powszechne przyjęcie audytów kodu przeprowadzanych przez strony trzecie, znanych w branży jako „zestawienie materiałów oprogramowania” (SBOM). Narzędzia takie zapewniają inwentaryzację konkretnego oprogramowania, zebraną za pomocą algorytmu. Informując użytkownika, co znajduje się w jego własnym programie, SBOM umożliwiają dostawcom oprogramowania sprawdzenie, czy poszczególne komponenty są zagrożone, czy nie.

„Najlepiej spojrzeć na to jak na listę składników umieszczoną na boku opakowania żywności” – powiedział Tim Mackey, który współpracuje z firmą ochroniarską Synopsys, jedną z kilku firm oferujących usługi SBOM. „Zestawienie materiałów oprogramowania zawiera informacje o tym, co się w nim znajduje i skąd pochodzi”.

SBOM istnieją już od lat, ale używano ich głównie do eliminacji zagrożeń prawnych . Ponieważ korzystanie z FOSS opiera się na zawiłej różnorodności umów licencyjnych, firmy często korzystały z SBOM w celu określenia zawartości bazy kodu, a co za tym idzie, jakich umów prawnych należy przestrzegać, aby uniknąć pozwu . Teraz jednak obserwuje się adopcję w celu ograniczenia zupełnie innego rodzaju ryzyka.

W maju 2021 r. administracja Bidena wydała zarządzenie wykonawcze , które między innymi nakazywało wszystkim dostawcom oprogramowania współpracującym z rządem federalnym korzystanie z SBOM. Mackey powiedział, że od czasu realizacji zamówienia w jego branży nastąpił gwałtowny wzrost zainteresowania. „To był niesamowity impuls w biznesie” – powiedział. „Fantastyczny wzrost.”

Ale nawet jeśli SBOM są krokiem we właściwym kierunku, ostatecznie nie stanowią strukturalnego rozwiązania większych problemów związanych z bezpieczeństwem, jakie stwarza FOSS. W rzeczywistości nie robią nic, aby złagodzić ryzyko istniejące w kodzie. „Tak naprawdę to po prostu dokładny spis zasobów” – powiedział były programista Google, Dan Lorenc, zauważając, że „szaleniem” jest to, że większość firm jeszcze tego nie posiada. „One [SBOMy] nie naprawiają błędów, nie zapobiegają błędom, nie powstrzymują atakujących przed manipulowaniem przy czymś. Dają ci po prostu dobry punkt odniesienia”.

Cory Doctorow, wieloletni członek społeczności open source, twierdzi, że obecnie nie ma zachęt dla firm do tworzenia bezpiecznego oprogramowania. Kiedy dochodzi do ataków na łańcuch dostaw, obwinia się opiekunów oprogramowania open source, ale w rzeczywistości winne są firmy korzystające z kodu. „Znajdujemy się w tej strefie, w której nie tylko firmy nie mają żadnego pozytywnego obowiązku upewniania się, że ich oprogramowanie jest dobre i że ich opiekunowie czują się wspierani, ale ochotnicy, którzy ustawiają się w kolejce, aby ostrzec” te firmy i ich klientów „przed defektami” mogą zostać „uciszony przez firmę, jeśli uzna, że ​​szkodzisz jej publicznemu wizerunkowi”. Doctorow twierdzi, że nierzadko firmy technologiczne pozywają badaczy bezpieczeństwa, którzy próbują ujawnić błędy w ich produktach.

Całkowity brak działań ze strony firm pozostawia dużą część ciężkiej pracy związanej z bezpieczeństwem oprogramowania indywidualnym opiekunom i organizacjom open source, takim jak Linux Foundation. Trzeba przyznać, że organizacje te ciężko pracowały, aby znaleźć nowe rozwiązania problemów związanych z bezpieczeństwem stwarzanych przez FOSS. Oprócz zachęcania do przyjęcia SBOM, OpenSSF w ciągu ostatnich kilku lat podjął szereg innych inicjatyw związanych z bezpieczeństwem. Programy te obejmują tworzenie bezpłatnych aplikacji zabezpieczających, takich jak GUAC — bezpłatny mechanizm śledzenia oprogramowania, który pozwala programistom wyszukiwać problematyczne elementy w kodzie — oraz Sigstore — podpis kryptograficzny służący do weryfikowania ważności oprogramowania dewelopera.

Jeśli wysiłki te brzmią obiecująco, należy zauważyć, że mają one miejsce w kontekście rosnącej liczby ataków na łańcuch dostaw , ciągłego wypalenia się opiekunów i ogólnego poczucia, że ​​stan bezpieczeństwa środowiska open source nie zmienił się zbytnio od czasów log4j . Niektórzy argumentowali, że Internet nie jest w stanie zabezpieczyć niczego poza gruntowną przebudową całego systemu. Matthew Hodgson, współzałożyciel szyfrowanego protokołu Matrix, niedawno argumentował , że FOSS powinna być usługą finansowaną ze środków publicznych, która – podobnie jak prawdziwa fizyczna infrastruktura Ameryki – otrzymuje ciągłe fundusze i wsparcie federalne.

Oczywiście prawdopodobieństwo, że tak drastyczna transformacja faktycznie nastąpi, wydaje się marginalne, co stawia przed twórcami ekosystemu open source syzyfowe zadanie. Latem ubiegłego roku Brian Behlendorf przeszedł na inne stanowisko w Linux Foundation, przekazując pałeczkę bezpieczeństwa byłemu inżynierowi Google Cloud Omkharowi Arasaratnamowi, który obecnie pełni funkcję dyrektora generalnego OpenSSF. Arasaratnam opisuje swoją pracę jako „zabezpieczanie Internetu” i, jak przyznaje, jest to „niezwykle trudne”. Lepszym deskryptorem mogłoby być „niemożliwe”. Mimo to przyznaje, że choć nie ma złotego środka, nie może powstrzymać się od nadziei, bo stawka jest wysoka. „Jeśli dobrze to zrobimy, pomożemy 8 miliardom ludzi” – mówi.

Obecny sezon The Walking Dead zostanie skrócony
Obecny sezon The Walking Dead zostanie skrócony
Oczywiście Mike Tyson mógł kupić swoje tygrysy od Joe Exotic
Oczywiście Mike Tyson mógł kupić swoje tygrysy od Joe Exotic
Co to jest trądzik grzybiczy i dlaczego tak wiele osób nagle myśli, że je ma?
Co to jest trądzik grzybiczy i dlaczego tak wiele osób nagle myśli, że je ma?
Jak pozbyć się blizn potrądzikowych
Jak pozbyć się blizn potrądzikowych
Jak i kiedy możesz uzyskać dostęp do największych nadchodzących funkcji Asystenta Google
Jak i kiedy możesz uzyskać dostęp do największych nadchodzących funkcji Asystenta Google
Nowe szczątki znalezione w Pompejach pokazują agonię ofiar Wezuwiusza
Nowe szczątki znalezione w Pompejach pokazują agonię ofiar Wezuwiusza
Jak korzystać z trybu nowych układów Instagrama
Jak korzystać z trybu nowych układów Instagrama
Wskazówki, jak zacząć i zarabiać w GTA Online
Wskazówki, jak zacząć i zarabiać w GTA Online
Snapchat Spotlight to TikTok, z wyjątkiem tego, że jest na Snapchacie
Snapchat Spotlight to TikTok, z wyjątkiem tego, że jest na Snapchacie
NAACP LDF pozywa Trumpa w imieniu czarnych mieszkańców Detroit, naruszenie ustawy o prawach głosowania Allege za próby zablokowania certyfikacji głosów stanu Michigan
NAACP LDF pozywa Trumpa w imieniu czarnych mieszkańców Detroit, naruszenie ustawy o prawach głosowania Allege za próby zablokowania certyfikacji głosów stanu Michigan
Jak naprawa nawet najmniejszej usterki może sprawić, że Twój stary samochód będzie wyglądał jak nowy
Jak naprawa nawet najmniejszej usterki może sprawić, że Twój stary samochód będzie wyglądał jak nowy
Ta suka
Ta suka
Niepokojący przypadek kanibalistycznego seryjnego mordercy Alberta Fisha
Niepokojący przypadek kanibalistycznego seryjnego mordercy Alberta Fisha
Gorączkowe poszukiwanie syna przez matkę doprowadziło do dzikiego farmera z upodobaniem do krwi
Gorączkowe poszukiwanie syna przez matkę doprowadziło do dzikiego farmera z upodobaniem do krwi
Undying Love: Zmumifikowana dziewczyna ze snu Carla Tanzlera
Undying Love: Zmumifikowana dziewczyna ze snu Carla Tanzlera
Przerażająca masowa rzeź z 1922 roku, która wstrząsnęła narodem (i może nigdy nie zostać rozwiązana)
Przerażająca masowa rzeź z 1922 roku, która wstrząsnęła narodem (i może nigdy nie zostać rozwiązana)
Upiornie prawdziwa (i wciąż nierozwiązana!) opowieść o mordercy tułowia z Cleveland
Upiornie prawdziwa (i wciąż nierozwiązana!) opowieść o mordercy tułowia z Cleveland
Spojrzenie z przerażeniem lub nudą na transmisję na żywo „Nawiedzonej” lalki siedzącej w biurze
Spojrzenie z przerażeniem lub nudą na transmisję na żywo „Nawiedzonej” lalki siedzącej w biurze
Pani zniknęła: tajemnicze zniknięcie Agathy Christie w 1926 r.
Pani zniknęła: tajemnicze zniknięcie Agathy Christie w 1926 r.
Kiedy wszyscy obserwują huragan Florence, znacznie silniejszy super tajfun uderzy w Chiny i Filipiny
Kiedy wszyscy obserwują huragan Florence, znacznie silniejszy super tajfun uderzy w Chiny i Filipiny
Potrzebuję egzotycznego samochodu dla Beverly Hills, który nie pasuje! Co powinienem kupić?
Potrzebuję egzotycznego samochodu dla Beverly Hills, który nie pasuje! Co powinienem kupić?
Jak i dlaczego rozpocząć tworzenie dziennika
Jak i dlaczego rozpocząć tworzenie dziennika
Dlaczego wszyscy mówią o VPN?
Dlaczego wszyscy mówią o VPN?
To są samochody, które ludzie trzymają przez 15 lat
To są samochody, które ludzie trzymają przez 15 lat
zaimki są bardzo przerażające
Niedzielne S'mores
BARD VS ChatGPT: Testowanie problemów analitycznych
Czy sztuka jest kiedykolwiek apolityczna?
Dwa lata projektowania – dobre, złe i brzydkie…
Dziennik Ouvert
Rewolucja w miejscu pracy: najlepsi eksperci omawiają pracę hybrydową i zdalną
Najczęstsze przyczyny błędów danych w globalnej liście płac
Zbieranie OSINT na potrzeby polowania na zagrożenia
Śledź każdego, kto ma tylko numer telefonu | Śledztwo OSINT
Wyszukiwanie informacji o nazwach domen
Pomocna wskazówka właściciela psa: dlaczego ważne jest, aby pies wąchał na spacerze
Zawsze zagrożenie: dlaczego osoby brązowe i czarne nie mogą czuć się komfortowo w Stanach Zjednoczonych
Koniec z hasłami — w jaki sposób klucze dostępu zastąpią Twoje hasło
Pierwsza książka dla dzieci o tym, jak się naćpać
Ponowne przemyślenie mediów: pięć prawd McChesneya i przyszłość komunikacji
Suwerenność językowa w Walii
Nauka w tygodniu pracy ma większe znaczenie niż myślisz
Żona zaprosiła nieznajomych, by zjednoczyli się z nią podczas podróży służbowej
Co wpływa na podcast?
Jak Robert F. Kennedy Jr. wykorzystuje strategię Birther Trumpa
Faryzeusz z misją
Pakt samobójczy
Oglądanie telewizji z kotami: więź między przyjaciółmi
Co możesz zrobić w swoim okresie oczekiwania (czekając na wylądowanie Twoja pierwsza praca w technologii)
Powolna erozja: ujawnianie sposobów, w jakie ludzie marnują swoje kariery
Czym jest efektywny altruizm?
Uczeń staje się nauczycielem
Mężczyzna traci pracę po tym, jak „delikatny” pies biega za biegaczami i rowerzystami z sąsiedztwa
Zabójstwo Jordana Neely'ego i problem „patriotycznego” rasizmu
NIEOGRANICZONE ŻYCIE
Archiwum tego zagrożenia: tom 7 Black Basta
Finansowanie usuwania dwutlenku węgla w RO24
Integralność bycia reaktorem muzycznym?
Medytacje o Mamie
Tworzenie bezpiecznego środowiska pracy
3 sprawdzone sposoby na poprawę umiejętności pisania
Dlaczego niektórzy freelancerzy udają swoje życie
Kłamstwo kowbojskie
Prześladowania chrześcijan: przestępstwo z nienawiści, o którym nie mówimy
Występ solowy rudowłosej dziewczyny
Wskazówki dotyczące przejścia na cyberbezpieczeństwo bez zaplecza technicznego.
„Odsłonięty Rów Mariański: Odsłonięcie przerażających ukrytych prawd otchłani”
Jak uratować planetę i zarabiać pieniądze
Telewizja sieciowa Twitter
„Robienie w San Francisco”
Wyzwanie czytelnicze Goodreads jest toksyczne
Teorie pamięci: jak zapamiętujemy rzeczy — część 2
Gene Simmons mówi, że komiksy KISS mogą potencjalnie „odtworzyć ludzkość”.
Quentin Tarantino podzielił się kiedyś najciekawszą postacią, jaką kiedykolwiek napisał, w „Pulp Fiction”
Piosenka wczesnych Beatlesów, która była jednym z „najbardziej ekscytujących występów” zespołu, według Insidera Fab Four
Porady Jimmy'ego Page'a dla młodych muzyków pochodzą prosto z Podręcznika mówcy motywacyjnego
Kariera aktorska Bradleya Coopera była zagrożona, kiedy pracował z Julią Roberts w tym projekcie
„Nie śpij w metrze” zdumiona Petula Clark
Donovan porównał jedną ze swoich piosenek do „Lucy in the Sky with Diamonds” The Beatles
Rolling Stones: Keith Richards został wkurzony przez 1 grupę fanów muzyki, którzy skrytykowali zespół
Paul McCartney wyobrażał sobie, jak jego mama zareagowałaby na jego sukces
Jana Duggar: Wszystko, co powiedziała o miłości i jej 5-letnie okno na znalezienie „jednego”
Billy Crystal i Robin Williams zareklamowali całą swoją kameę „Przyjaciele”.
Ringo Starr odmawia grania z kliknięciami, co czyni go lepszym perkusistą
Sam Heughan dokładnie wie, co weźmie z zestawu „Outlander” - „Czuję się, jakbym był Jamiem, kiedy je zakładam”
„Sympathy for the Devil” The Rolling Stones pierwotnie brzmiało jak muzyka brazylijska
David Bowie prawie napisał musical składający się z fałszywych piosenek Boba Dylana
Christopher Nolan kiedyś żałował, że przeczytał scenariusz „Pulp Fiction” Quentina Tarantino
Brad Pitt i Harrison Ford musieli wymyślić „The Devil's Own” w locie, kiedy „scenariusz został wyrzucony”
Jak Paul McCartney zareagował na tytuł utworu The Beatles „Lucy in the Sky with Diamonds”
Piosenka Beatlesów, którą Peter Asher nazwał „najwspanialszą piosenką, jaką kiedykolwiek słyszałem”
Jak umarł John Ritter: spojrzenie wstecz na śmierć aktora „Three's Company”.
Paul McCartney podzielił się tym, co zrobiło na nim największe wrażenie w Johnie Lennonie, kiedy spotkali się po raz pierwszy
Paul McCartney: Cierpienie sprawiło, że 1 piosenka z „białego albumu” Beatlesów była dobra
Dolly Parton znalazła Boga w opuszczonym kościele Lokalni nastolatkowie wykorzystywani do seksu
Menedżer Led Zeppelin, Peter Grant, zobaczył fałszywy zespół, który zdobył nagrodę Grammy, zanim zrobił to Zep
Paul McCartney powiedział, że „Sierż. Pepper' Song nie jest o heroinie
Nicole Kidman pokochała tę 1 atrakcyjną funkcję, którą Michael Keaton i Val Kilmer udostępnili jako Batman
Dolly Parton pomogła swojej „inwalidzkiej” babci, gdy żadne inne wnuki by tego nie zrobiły - ona też zrobiła jej psikusa
MIA zaatakowała kiedyś utwór „Give Peace a Chance” Johna Lennona
Stevie Nicks „przyczepiła się” do 1 piosenki Joni Mitchell, kiedy poczuła, że ​​jej kariera muzyczna zawodzi
George Harrison zdenerwował się, że jego teksty do piosenki „Hurdy Gurdy Man” Donovana nie zostały użyte
Piosenka Paula Simona, która doskonale sparodiowała Boba Dylana 
Paul McCartney powiedział, że miał „szczęście”, że nigdy nie brał heroiny 
John Lennon powiedział, dlaczego „The Tonight Show” był „najbardziej żenującym” programem, w jakim kiedykolwiek był
Najlepszy czas na odwiedzenie miejsca kręcenia „Domku na prerii”.
Paul McCartney powiedział, że „When I'm Sixty-Four” The Beatles to żart
„Chłopiec poznaje świat”: dlaczego pan Turner zniknął z serialu?
Petula Clark powiedziała, że ​​„Downtown” ujawniła desperacką piosenkę
Judy Norton z „The Waltons” zdała sobie sprawę, że czasami była „bachorem” podczas kręcenia serialu
Spojrzenie wstecz na rolę Buddy'ego Ebsena w „The Andy Griffith Show”
John Lennon powiedział 1 linijkę w „Revolution” The Beatles skomentował policję
Mick Jagger powiedział, że „Their Satanic Majesties Request” The Rolling Stones zostało zainspirowane Acid, a nie The Beatles
Paul McCartney był tak zestresowany jedynym odwołanym koncertem The Beatles, że zwymiotował
Taylor Sheridan właśnie dodał jedną ze swoich ulubionych gwiazd „Yellowstone” do obsady „Lawmen: Bass Reeves”
Winona Ryder kiedyś udostępniła wszystkie swoje postacie jako „brzydką dziewczynę” na początku swojej kariery
„Ciekawy przypadek Natalii Grace”: gdzie są dziś Nataila, Kristine i Michael Barnett?
Dlaczego Paul McCartney był „strzeżony” przed mówieniem prawdy o The Beatles
„My Way” Franka Sinatry nie był tak duży jak jego „Old MacDonald”
John Lennon powiedział, że piosenka B-52 brzmiała „jak muzyka Yoko”
Czy zjadłbyś Casu Marzu, nielegalny ser z robakami?
Czy gotowanie indukcyjne jest lepsze niż gazowe czy elektryczne?
Niektórzy fizycy i filozofowie twierdzą, że czas może nie istnieć
Co to jest rozmazywanie i czy może oczyścić przestrzeń z negatywnej energii?
Dlaczego w USA nie ma „bezzwrotnego” systemu rozliczania podatków?
Hagfish: ta przypominająca węgorz śluzowa maszyna to koszmar drapieżnika
Może możesz być za chudy? Poznaj najchudszy drapacz chmur na świecie
Biennale w Wenecji to „Olimpiada Sztuki”
Anioł nr 222: Odsłonięcie symbolicznego znaczenia życia i miłości
Dlaczego duże firmy, takie jak Tesla i Amazon, dzielą akcje
Nie wyrzucaj tych kartonowych tub! 10 sposobów na ich ponowne wykorzystanie
1500 $ Dzisiaj kupuje przepustkę Yellowstone za 2172
Jaka jest różnica między demokracją a republiką?
Jak pozbyć się much drenażowych?
Ketanji Brown Jackson mianowany sędzią Sądu Najwyższego
Czy nowo zmierzony bozon W może złamać model standardowy?
Czym jest wilgotność i jak wpływa ona na temperaturę?
Czy musisz mieć pozytywne nastawienie, aby pokonać raka?
Przekaż swoje włosy, aby pomóc utrzymać naszą wodę w czystości
The Secrets of Airline Travel Quiz
Atlas Moth to Behe-moth, plus 5 innych faktów
Czym jest trucizna pigułka i czy Twitter utrzyma Elona Muska w Bay?
Spojrzenie na najbardziej niezapomniane wesela w Białym Domu
Czym jest ludobójstwo i czy Rosja popełnia je na Ukrainie?
Myślenie obiektywne i subiektywne oraz zastosowania
Wesele opiekunowie zwierząt przygotują psiaka na wspaniały dzień
Prypeć: ukraińskie miasto duchów w cieniu Czarnobyla
Inspirująca, tragiczna historia Sophie Scholl, studentki, która przeciwstawiła się Hitlerowi
Elon Musk jest właścicielem Twittera. Co może pójść nie tak?
Rycerz Mieczy: znaczenie i interpretacja karty Tarota
Czy wirtualne elektrownie mogą pomóc ustabilizować amerykańską sieć energetyczną?
Mała grupa Samarytan nadal praktykuje swoją starożytną religię
Który grejpfrut jest najsłodszy — biały, czerwony czy różowy?
Kim był Poncjusz Piłat przed i po ukrzyżowaniu Jezusa?
Ukraińscy uchodźcy mogą nigdy nie wrócić do domu, nawet po zakończeniu wojny
Susza, zmiany klimatyczne zagrażają przyszłości energetyki wodnej w USA
Skąd pochodzi fraza „On the Lam”?
Chief Plenty Coups: Wizjonerski przywódca i obrońca Narodu Wron
Modliszka z orchidei wygląda jak kwiat, „żądli” jak pszczoła
Papużki faliste są super towarzyskie i robią świetne zwierzęta
Jaka jest różnica między drożdżami błyskawicznymi a aktywnymi suchymi?
Jak przywrócić ustawienia fabryczne iPhone'a?
Znaczenie tatuaży ze średnikami: symbol odporności i solidarności
Wielkie Ucieczki! 5 dzikich zwierząt, które odpadły i poszły w biegu
Najwyższa góra w Układzie Słonecznym jest znacznie wyższa niż Everest
Dlaczego Sriracha jest ulubionym gorącym sosem wszystkich?
Czy powinieneś używać Facebooka czy Google do logowania się do innych witryn?
Martha Mitchell: Kobieta, która za dużo wiedziała o Watergate
Wszystko o relacjach Zoë Kravitz z rodzicami Lennym Kravitzem i Lisą Bonet
Kim jest żona Jaya Shetty’ego? Wszystko o Radhi Devlukii-Shetty
Muni Long mówi, że jeszcze nie „przetworzyła”, zdobywając 3 nominacje Grammy: „Wszystko idzie tak szybko”
Profesor Purdue University aresztowany za rzekomy handel metamfetaminą i proponowanie kobietom usług seksualnych
Córka Kevina Jonasa, Alena, wygląda na dorosłą na zdjęciu urodzinowym: „9 lat nie wydaje się prawdziwe”
Historia randek Avy Gardner: spojrzenie wstecz na małżeństwa i romanse ikony Hollywood
Kobieta, która zmarła 37 lat temu po tym, jak została znaleziona nieprzytomna na autostradzie w stanie Georgia, została zidentyfikowana jako zaginiona mama 4-latki
Dwayne Johnson mówi, że jego mama jest „w porządku” po nocnym wypadku samochodowym, „będzie nadal oceniana”
Znaleziono ciała prawdopodobnie należące do raperów zaginionych od czasu odwołania koncertu: „Nie zasłużyli na to”
Chelsea Houska z „Nastoletniej mamy” dzieli się płaczliwymi reakcjami na odnowienie 2. sezonu programu HGTV: „Tak wiele znaczy”
Zaginiona 17-letnia dziewczyna prawdopodobnie zamarzła na śmierć po wjechaniu do rowu w wiejskim stanie Wisconsin: urzędnicy
Danielle Moné Truitt z „Prawa i porządku” uważa, że ​​fani zostali „oszukani; Autorstwa Stablera i Bensona Kiss Tease
Matthew McConaughey ujawnia, że ​​wróżka kazała mu zagrać w filmie „Jak stracić faceta w 10 dni”
Animal Rescue ostrzega „Nigdy nie farbuj ptaka” po tym, jak „walczący” różowy gołąb został znaleziony błąkający się po Nowym Jorku
Kupujący zgadzają się, że ta zamiatarka Black + Decker jest „znacznie szybsza” niż tradycyjna miotła i jest w sprzedaży
Paul McCartney o byciu „romantycznym” z żoną Nancy Shevell: „Całkowicie przesadzam z walentynkami”
Olimpijka Jasmine Camacho-Quinn świętuje, że jej brat Robert Quinn zmierza na Super Bowl
Kim jest żona Jasona Kennedy'ego? Wszystko o Lauren Scruggs Kennedy
Marvel faktycznie publikuje fikcyjne wspomnienie Scotta Langa z „Ant-Man and the Wasp: Quantumania”
Bengals Running Back Joe Mixon poszukiwany nakazem aresztowania wydanym za rzekome wycelowanie broni palnej w kobietę
Kim jest mąż Lisy Vanderpump? Wszystko o Kenie Toddzie
Kim jest narzeczony JWoww? Wszystko o Zacku Claytonie Carpinello
Kalendarium związku Gartha Brooksa i Trishy Yearwood
Aktorzy serialu Laguna Beach: Gdzie są teraz?
Kobieta znaleziona żywa i „z trudem łapiąc powietrze” w worku na zwłoki w domu pogrzebowym w Iowa
Eric i Jessie James Decker zawsze „całują się nawzajem” - a dzieciom się to nie podoba
Kim jest żona Vince'a Vaughna? Wszystko o Kyli Weber
Kalendarium związku Suzanne Somers i Alana Hamela
Whoopi Goldberg pokazuje Kit Harington swoją „Grę o tron” - toaletę inspirowaną: „Prawdziwy żelazny tron”
Heather Rae i Tarek El Moussa witają swojego synka: „Nasze serca są takie szczęśliwe”
Rodzina Yary Shahidi: wszystko o rodzicach i rodzeństwie aktorki
Kalendarium związku Maggie Gyllenhaal i Petera Sarsgaarda
Chloe Cherry z „Euphorii” oskarżona o kradzież za rzekomą kradzież bluzki za 28 dolarów
Kim jest żona Johna Cleese'a? Wszystko o Jennifer Wade
Łyżwiarstwo figurowe w USA „sfrustrowane” brakiem ostatecznej decyzji w zawodach drużynowych, wzywa do sprawiedliwego orzeczenia
Posiadłość Kim Zolciak-Biermann i Kroy Biermann List w Gruzji na sprzedaż w Splicie
TJ Watt chce, aby Tom Brady i brat JJ zostali razem wprowadzeni do Galerii Sław NFL
Kupujący Amazon mówią, że śpią „jak rozpieszczone dziecko” dzięki tym jedwabnym poszewkom na poduszki, które kosztują zaledwie 10 USD
Susan Lucci ze łzami w oczach wspomina zmarłego męża, kiedy przyznaje, że „nie jest gotowa” na randki
Tom Girardi uczestniczy w rozprawie, aby określić, czy jest on uprawniony do stanięcia przed sądem pod zarzutem oszustwa
Jimmy Buffett, piosenkarz „Margaritaville”, nie żyje w wieku 76 lat
Bob Barker, wieloletni gospodarz programu „The Price Is Right”, zmarł w wieku 99 lat: „Najlepszy MC na świecie”
Gwyneth Paltrow ujawnia sukienkę na randkę, którą zachowała ze swojego związku z Bradem Pittem 
Lista posiadłości Kirstie Alley zawiera dom późnej gwiazdy na Florydzie za 6 milionów dolarów, który kupiła od Lisy Marie Presley
Charly Reynolds ujawnia niedawną operację strun głosowych: „Miałem problemy ze śpiewaniem”
Yasmin Vossoughian z MSNBC mówi, że lekarz zwolnił jej bóle w klatce piersiowej jako refluks, a potem zaczął się jej „koszmar”
Piosenkarka „Flashdance” Irene Cara zmarła z powodu nadciśnienia i wysokiego cholesterolu: raport
W tej tajnej sekcji wyprzedaży w szafie Nordstrom kryje się ponad 2500 stylów na zimną pogodę — od 6 USD
Jakie to uczucie, gdy rosną piersi podczas zmiany płci z męskiej na żeńską?
Twoim zdaniem, która zmiana płci jest trudniejsza, z kobiety na mężczyznę (KM) czy z mężczyzny na kobietę (MK)?
Czy możesz zacząć hormony MTF HRT w wieku 13 lat?
Czy spironolakton jest zły dla HTZ?
Jakie są niezbędne umiejętności życiowe, które mogę opanować podczas tego 3-miesięcznego lata? Mam 17 lat.
Jaki jest najlepszy sposób na naturalne przejście z mężczyzny w kobietę?
Mam 30 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Mam 19 lat. Czy nadal przechodzę okres dojrzewania?
Jako 13-latek, jak mogę oszczędzać i przechowywać pieniądze bez wiedzy moich rodziców?
Dlaczego nigdy nie widziałem osoby transpłciowej między kobietą a mężczyzną?
Czy operacja pośladków jest tego warta, aby przejść z mężczyzny w kobietę?
Co może zrobić 14-latek, aby uczynić swoje życie lepszym/łatwiejszym?
Jakie leki mogą zmienić mężczyznę w kobietę bez operacji?
Jak mogę otrzymać HTZ, nie mówiąc, że chcę HTZ?
W przyszłym miesiącu skończę 16 lat. Jak mam zatrudnić terapeutę, jeśli moja mama uważa, że ​​go nie potrzebuję?
Mam 21 lat. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Jak umówić się na wizytę u lekarza bez rodziców i bez znajomości powodu mojego wyjazdu? Mam 15 lat.
Czy dojrzewanie przebiega etapami? Czy może się zatrzymać, a potem zacząć od nowa?
Czy 18 lat to dobry wiek na rozpoczęcie przejścia na MTF?
Jak zatrzymać dojrzewanie bez blokerów dojrzewania?
Mam 17 lat i planuję przejść do HRT, kiedy skończę studia w tym roku jako 18-latek. Do tego czasu, co mogłem zrobić, aby poczuć się bardziej kobieco?
Jaka jest najważniejsza rzecz, o której 14-letni nastolatek powinien pamiętać?
Czy dobrym pomysłem jest rozpoczęcie HTZ w wieku 18 lat (transpłciowy)?
Mam 19 lat i jestem jedynakiem. Wpadam w depresję i martwię się, że coś się stanie moim rodzicom, ponieważ to wszystko, co mam. Nie mam żadnych przyjaciół i nie udało mi się ich zdobyć podczas pandemii. Boję się samotności, co mogę zrobić, aby sobie pomóc?
Przechodzę z kobiety na mężczyznę. Jakie powinno być moje nowe imię?
Co powinno się stać, jeśli nigdy nie przejdziesz przez okres dojrzewania?
Jakie są negatywne skutki okresu dojrzewania (zdrowie psychiczne itp.)?
Jakie są plusy i minusy dojrzewania?
Jeśli chcę dowiedzieć się, jak rozpocząć leczenie zmiany płci, jakiego lekarza powinienem odwiedzić?
Mam 14 lat, której hobby łatwo się nudzi. Jak odnajduję swoją pasję i talent?
Jaka jest najbardziej użyteczna rzecz, jaką mogę zrobić, gdy mam 14 lat?
W jakim wieku najlepiej rozpocząć przemianę z kobiety w mężczyznę?
Jak rozpocząć przejście z mężczyzny na kobietę? W środku zawsze byłam dziewczyną. Co muszę zrobić?
Mam 23 lata. Co mogę teraz zrobić, aby na zawsze zmienić moje życie?
Transgender: Jaka była najtrudniejsza część twojej przemiany z mężczyzny w kobietę?
Czy HTZ jest zalecane dla nastolatków transpłciowych?
Mam 13 lat w depresji i chcę iść z tym do lekarza, ale boję się tego i że moi rodzice uznają to za moje hormony i tak dalej. Co powinienem zrobić?
Jak żyć pełnią życia jako 19-latek?
Mam 13 lat, jestem osobą transpłciową (ftm) i od kilku miesięcy spotykam się z terapeutą. Jak mam jej powiedzieć, że jestem transseksualistą i dać jej radę, żeby wyszła?
Jak mogę zmienić swoje życie w wieku 17 lat?
Za miesiąc skończę 17 lat i myślałem, że tak naprawdę nie czuję się inaczej niż w wieku 11 lat, czy to normalne? Czy naprawdę zmienię się z wiekiem?
Mam dziś 19 lat. Jaka jest najważniejsza rzecz, której powinienem się nauczyć?
Mam 17 lat, co powinienem zrobić, aby zdobyć więcej wiedzy?
Mam 14 lat, jakie rady chciałbyś mi udzielić, co będzie pomocne do końca mojego życia?
Jutro skończę 16 lat. Jaką konkretną radę możesz dać 16-letniemu chłopcu?
Czy to w porządku, że mam 13 lat, ale w głębi serca wciąż jestem dzieckiem?
Czy nadal jestem osobą transpłciową (FTM), jeśli objawy zaczęły pojawiać się dopiero w okresie dojrzewania?
Czy wszyscy przechodzą okres dojrzewania?
Czy muszę otwierać źródło mojej aplikacji, jeśli używam niezmodyfikowanych danych API na licencji CC-BY-SA 4.0?
Księżyc ma odpowiednią prędkość, aby nie rozbić się o Ziemię ani nie uciec w kosmos. Jakie są szanse?
Kubernetes - czy można połączyć Pod.yaml i Service.yaml w jednym pliku yaml (ale bez wdrożenia)
Czy można scharakteryzować maksymalne antychainy w kategoriach sieci dystrybucyjnych?
Najczystszy sposób korzystania z BeginTransaction przy użyciu try catch
Przystąp do testów alfa dla nowego edytora stosów
„Czterdzieści dni i czterdzieści nocy”
Grupuj listę według elementów listy zagnieżdżonej [duplikat]
Jak duży musiałby być kod QR na moim dachu, aby satelita mógł go zeskanować przy dzisiejszej dopuszczalnej rozdzielczości?
Dlaczego samoloty nie lecą wcześniej w kierunku ścieżki podejścia do lądowania?
Joomla Wybierz z grupowania DB AND / OR
Zasada odbicia a wszechświaty
O odrzuceniu studenta ze względu na problemy zdrowotne przez promotora doktoratu
Jeśli marynowanie niszczy witaminę C, w jaki sposób kapusta kiszona jest bogata w witaminę C?
Jaka jest macierz logarytmu operatora pochodnej ( $\ln D$)? Jaka jest rola tego operatora w różnych dziedzinach matematycznych?
Czy można zastosować drzewo Sterna-Brocota, aby uzyskać lepszą zbieżność plików $2^m/3^n$?
Jak sprawdzić, czy tablica ma 2 lub więcej takich samych elementów? [duplikować]
Jaka jest decyzja o toczeniu wojny w miastach?
Jak wyświetlić listę moich zadań K8s za pomocą złożonego LabelSelectora przez client-go?
Czy istnieje podwójnie wymuszona pozycja matowa?
Puzzle przesuwne 3 x 2
MOC: pytanie o używanie znaku towarowego LEGO
winforms C # .NET - Jak poprawić wydajność mojego kodu podczas korzystania z pętli (for, foreach, etc…) [zamknięte]
Usuń obramowanie wewnętrzne w type = color
Jak przymocować kryształy do ​​szamana bez użycia kleju?
Studium przypadku: co trzeba zrobić, aby sformułować i udowodnić argument małego obiektu Quillena w ZFC?
Mojżesz pierwsza grupa przywódców Wyjścia 18:21
Pobieranie wartości href pola Link elementu Link w scriban [duplikat]
Czy zabicie mojej homoseksualnej postaci na końcu mojej książki jest obraźliwe?
Czym są bomby Ellermana i jak możemy je zidentyfikować?
Jak usunąć pierścienie Saturna?
Dlaczego marynowane owoce i warzywa nie były częścią (europejskich) racji żywnościowych w Erze Żagli?
Nginx proxy do Tomcat z SSL
Historia mody wilkołaków, część 1: lata 2000
Jakie są największe przeszkody w uzyskaniu RL w produkcji?
Efekt Wilsona: Jak „głębokie” są plamy słoneczne?
Regex_search c++
Zapytaj o pozwolenie [przedrostek] [wrostek] [przyrostek]. Co [w całości]?
Udowodnij, że sekwencja $\{a_n\}_n$zdefiniowany przez $a_1=-\frac14$oraz $-a_{n+1}=\frac{a_na_{n+1}+4}4$jest zbieżny i znajdź jego granicę.
java: pobierz liczbę wszystkich odrębnych kluczy i wartości w Map <String, Set <String>> [duplicate]
Jak uzyskać określony tekst należący do klasy DIV
„ $\Sigma_1^1$-Arytmetyka Peano ”- czy to jest sprecyzowane $\mathbb{N}$?
Czy możemy wytwarzać energię elektryczną z marsjańskich burz piaskowych? Jeśli tak, czy można go użyć do zasilania kolonii?
„Nie ponoszą winy i nie umierają”
Jak monitorować ograniczenia prędkości na drogach w średniowieczu? [duplikować]
Bardziej szczegółowe omówienie incydentu związanego z bezpieczeństwem z maja 2019 r .: opinie na blogu
Czy Sąd Najwyższy może uznać, że oskarżenie jest niezgodne z Konstytucją? [duplikować]
Jaki jest właściwy sposób zamknięcia gniazda C # w .NET Core 3.1?
Jak wypożyczyć samochód, jeśli nie masz karty kredytowej
Jak wypożyczyć samochód, jeśli nie masz karty kredytowej
Jak działa medyczna marihuana i jej skomplikowany status prawny
Jak działa medyczna marihuana i jej skomplikowany status prawny
Poszukiwana praca: nowy współprowadzący podcast Heather Dubrow
Poszukiwana praca: nowy współprowadzący podcast Heather Dubrow
Ten film wideo twierdzi, że Gwiezdne Wojny są nieco bardziej naukowe, niż można sobie wyobrazić
Ten film wideo twierdzi, że Gwiezdne Wojny są nieco bardziej naukowe, niż można sobie wyobrazić
Zalety pisania ręcznego w porównaniu z pisaniem na klawiaturze
Zalety pisania ręcznego w porównaniu z pisaniem na klawiaturze
Nowy nikczemny plan Mandalorianina poszerzył historię wszechświata
Nowy nikczemny plan Mandalorianina poszerzył historię wszechświata
24-godzinny dziennik produktu Phoebe: To moje jedyne hobby
24-godzinny dziennik produktu Phoebe: To moje jedyne hobby
Biała kobieta opowiada o swoim przejściu na „czarną kobietę” na Maury
Biała kobieta opowiada o swoim przejściu na „czarną kobietę” na Maury
Co pojawi się w Disney + w grudniu 2020 r
Co pojawi się w Disney + w grudniu 2020 r
Jak naprawić „błąd temperatury procesora”, gdy komputer jest zbyt gorący
Jak naprawić „błąd temperatury procesora”, gdy komputer jest zbyt gorący
W rzeczywistości Bentley sprzeda Ci długopis za 700 USD
W rzeczywistości Bentley sprzeda Ci długopis za 700 USD
„Niebezpieczny hazard”: gubernator stanu Alabama Kay Ivey odmawia zamówienia „schronienia na miejscu” dla mieszkańców, pozostawiając szczególnie zagrożonych czarnych Alabamanów
„Niebezpieczny hazard”: gubernator stanu Alabama Kay Ivey odmawia zamówienia „schronienia na miejscu” dla mieszkańców, pozostawiając szczególnie zagrożonych czarnych Alabamanów
Projektanci samochodów wciąż są zaskoczeni tym, jak radzić sobie z przednimi tablicami rejestracyjnymi
Projektanci samochodów wciąż są zaskoczeni tym, jak radzić sobie z przednimi tablicami rejestracyjnymi
Ska Tune Network zamienia piękną piosenkę Steven Universe w hymn autoafirmacji
Ska Tune Network zamienia piękną piosenkę Steven Universe w hymn autoafirmacji
Najlepszy czas na zakupy w ciągu roku
Najlepszy czas na zakupy w ciągu roku
Zaskakująca śmierć przenosi dramat do Z Nation
Zaskakująca śmierć przenosi dramat do Z Nation
Widzimy cię, COVID-19. Widzimy Cię
Widzimy cię, COVID-19. Widzimy Cię
Pierwsza farma słoneczna w Dakocie Północnej zostaje otwarta na Ziemi plemiennej Stojącej Skały
Pierwsza farma słoneczna w Dakocie Północnej zostaje otwarta na Ziemi plemiennej Stojącej Skały
Rise of the Resistance to zarówno historia z Gwiezdnych wojen, jak i przejażdżka po parku rozrywki
Rise of the Resistance to zarówno historia z Gwiezdnych wojen, jak i przejażdżka po parku rozrywki
Te kostiumy z oryginalnego filmu Power Rangers są na aukcji
Te kostiumy z oryginalnego filmu Power Rangers są na aukcji
Tragiczne zadania poboczne z wioski maszyn Nier Automata
Tragiczne zadania poboczne z wioski maszyn Nier Automata
Marvel's Vision i Scarlet Witch Series wybrały swojego showrunnera z MCU
Marvel's Vision i Scarlet Witch Series wybrały swojego showrunnera z MCU
Powstanie Skywalkera to święto starego rozszerzonego wszechświata Gwiezdnych Wojen - i jego największego odrzucenia
Powstanie Skywalkera to święto starego rozszerzonego wszechświata Gwiezdnych Wojen - i jego największego odrzucenia
Bohaterowie najlepszych nowych komiksów tego tygodnia szukają odpowiedzi ... i Zemsty na morzu
Bohaterowie najlepszych nowych komiksów tego tygodnia szukają odpowiedzi ... i Zemsty na morzu
ja/posts
es/posts
de/posts
fr/posts
th/posts
pt/posts
ru/posts
vi/posts
it/posts
ko/posts
tr/posts
id/posts
pl/posts
hi/posts
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2025 | All Rights Reserved