OpenSSL переходит на новую лицензию, совместимую с GPL

Александр Панасенко 24 Марта 2017 - 12:29

Средства криптографической защиты информации

...

OpenSSL переходит на новую лицензию, совместимую с GPL

Разработчики криптографической библиотеки OpenSSL объявили о запуске финальной стадии инициативы по смене лицензии на исходные тексты проекта. Вместо собственной лицензии OpenSSL, основанной на тексте устаревшей лицензии Apache 1.0, код предлагается распространять под типовой лицензией Apache 2.0.

Всем разработчикам отправлено уведомление с просьбой утвердить предстоящее изменение.

Ключевой причиной смены лицензии является несовместимость старой лицензии с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL и требует включения явных исключений в лицензионное соглашение GPL-продуктов. В частности, старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта.

Подобные требования вызывают несовместимость с GPL и усложняют жизнь GPL-проектам, использующим OpenSSL. Такие проекты вынуждены применять специфичные лицензионные соглашения, в которых основной текст GPL дополняется пунктом, в котором владельцы имущественных прав на код явно разрешают связывание приложения с библиотекой OpenSSL, указывая, что требования GPL не распространяется на связывание с OpenSSL. Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL, пишет opennet.ru.

Так как имущественные права на код OpenSSL не были переданы одной организации и остались в руках конечных разработчиков, для изменения лицензии потребовалось провести огромную работу по определению всех участников разработки. В итоге было выявлено около 400 индивидуальных разработчиков, внёсших более 31 тысячи изменений. Спустя около полутора лет, ушедших на подготовку к перелицензированию, проект перешёл на стадию согласования изменений с каждым из разработчиков.

Чтобы избежать подобных согласований в будущем проект ввёл в практику подписание лицензионного соглашения CLA (Contributor License Agreement), которое подготовлено в двух вариантах - для индивидуальных разработчиков и для компаний, работники которых занимались улучшением OpenSSL в рамках основной работы. Подписание соглашение обязательно для добавления нового кода в OpenSSL, но при приёме тривиальных патчей сделано исключение - простые патчи принимаются без CLA.

Тем временем, разработчики OpenBSD начали обсуждение возможных проблем с переносом кода из OpenSSL в LibreSSL, в случае смены лицензии. Многие из разработчиков LibreSSL не намерены передавать свои права.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Татьяна Никитина 17 Декабря 2025 - 16:38

Windows Бэкдоры Трояны Общее Лаборатория Касперского

Российских специалистов вновь атакует Форумный тролль

В «Лаборатории Касперского» зафиксировали новые атаки APT-группы «Форумный тролль» на территории России. Разосланные в октябре поддельные письма были адресованы политологам и экономистам, работающим в вузах и НИИ.

Весной в интервью Anti-Malware.ru Игорь Кузнецов, директор Kaspersky GReAT, рассказал, как им удалось поймать «Форумного тролля» и найти 0-day в Google Chrome.

Целью «Форумного тролля», как и прежде, являлось получение доступа к Windows-компьютерам российских специалистов. Чтобы заставить получателя перейти по вредоносной ссылке, его обвиняли в плагиате.

«Учёные часто становятся мишенью для злоумышленников, особенно если указывают контакты для связи в открытых источниках, — отметил эксперт Kaspersky GReAT Георгий Кучерин. — Фишинговые письма с обвинениями в плагиате могут вызвать тревогу у получателей из академической среды, поэтому риск угодить в такую ловушку высок».

Провокационные рассылки проводились от имени научной библиотеки eLibrary с поддельного адреса @e-library[.]wiki. Как оказалось, вводящее в заблуждение имя было зарегистрировано в марте 2025 года, а копия главной страницы elibrary.ru для фейкового сайта (уже заблокирован) была сделана еще в декабре 2024-го.

Поддельные письма предлагали ознакомиться с результатами проверки на плагиат, указанными ссылкой. При переходе по ней на машину загружался ZIP-файл, названный по фамилии получателя (отдавался только пользователям Windows, в противном случае визитера просили повторить попытку с правильного устройства).

Содержимым архива оказались папка .Thumbs с сотней безобидных картинок (видимо, для отвода глаз) и вредоносный LNK с ФИО адресата.

Клик по ярлыку запускал выполнение PowerShell-сценария. Скачанный скриптом пейлоад, в свою очередь, загружал DLL с сайта e-library[.]wiki, сохранял ее в папке %localappdata% и для закрепления в системе вносил изменения в реестр. Одновременно на машину загружался некий PDF-отчет с размытым текстом, якобы со свидетельствами плагиата.

Финальная полезная нагрузка (DLL) обеспечивала установку и запуск Tuoni — легитимного инструмента, обычно используемого для оценки защищенности инфраструктур по методу Red Teaming. В рамках октябрьских атак он открывал злоумышленникам доступ к устройствам жертв и позволял развить атаку в целевой сети.

Для хостинга C2 «тролли» по-прежнему использовали облачный сервис Fastly.net.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »