В качестве альтернативы Хоровиц упоминает проект Replicant, в рамках которого уже четвёртый год создаётся свободно распространяемая версия Android с открытым исходным кодом.

Действительно, в свете последних известий о размахе деятельности АНБ многие видят в открытом ПО средство спасения от протрояненных систем и основу доверенных платформ. Однако скептики в очередной раз предостерегают от ложных надежд.

Открытость ещё ничего не значит сама по себе. Порой опытные программисты с трудом читают свои же листинги старых проектов. Эффективный анализ чужого кода и вовсе под силу единицам. Причём совсем не факт, что эти специалисты высокого уровня захотят тратить на это неблагодарное занятие своё время.

Внедрить программную закладку в Linux или *BSD сегодня так же просто, как и в проприетарные ОС. При существующем объёме открытого кода они будут оставаться незамеченными месяцами, если не годами. Истории с переходившими от версии к версии критическими уязвимостями — наглядное тому подтверждение.

К примеру, уязвимость нулевого дня, вызывающая несанкционированное повышение привилегий, существовала в ядрах Linux версий с 2.6.37 до 3.8.8. Иными словами, серьёзную ошибку не замечали около двух с половиной лет.

«Зачем я буду проверять код, если до меня его уже досконально изучили тысячи более опытных волонтёров?» — примерно так думает большинство сторонников open source.

В самом деле, кто из вас лично проверял исходники хотя бы десятка популярных программ? Драйверов? Сколько пользователей вообще загрузили их для ознакомления? Единицы, и уровень их далёк от экспертного.

Впрочем, и специалистам приходится нелегко. Например, в коде хост-контроллера Intel xHCI (hub.c) целых восемь лет существовала ошибка с указанием тайм-аута, приводящая к внезапному отключению многих USB-устройств после выхода из режима ожидания. Баг не просто не замечали так долго. Его прицельно искали программисты Intel и многие члены Linux-сообщества, но не могли найти.

Серьёзный анализ кода часто становится невозможным или неоправданным из-за темпов разработки и разветвлённости направлений оптимизации. Пока вы будете изучать один релиз, напишут два новых.

Казалось бы, ладно — Linux. Там чёрт ногу сломит, в этом обилии дистрибутивов и их специфике. Есть же более узкоспециализированные операционные системы и защищённые программно-аппаратные решения от уважаемых компаний. Почему бы не довериться им?

Да хотя бы потому, что и в этих продуктах по-прежнему выявляются ошибки, выглядящие как явные программные закладки. Например, не так давно компания Hewlett-Packard подтвердила наличие бэкдоров в своих системах резервного копирования StoreOnce D2D Backup и хранения данных StoreVirtual Storage. Уязвимости, которые невозможно было устранить путём любых изменений конфигурации, существовали на протяжении четырёх лет.

Последний гвоздь в крышку гроба приватности забивает технический эксперт Роберт Погсон (Robert Pogson) из Университета Манитобы. Он сам сторонник концепции open source и считает это направление верным, но при этом спрашивает коллег: «С чего вы вообще взяли, что основные угрозы приватности реализованы на уровне бэкдоров в ОС и приложениях? Есть более удобные и универсальные способы контролировать всех на более низком уровне».

Речь идёт о низкоуровневых функциях современного «умного» железа — сетевых картах с изменяемыми настройками, маршрутизаторах с прошивками на базе полноценной ОС, UEFI с браузером и кучей встроенных утилит, независимой от платформы среды драйверов EBC, технологии Intel vPro, наконец.

Уже давно не удивляет возможность получить удалённый доступ к компьютерам без установки на них не только сетевых драйверов, но и самой операционной системы. Даже удалённое включение «выключенного» компьютера и изменение его BIOS по сети не выглядит чудом. И это только известные штатные функции, верхушка айсберга.

К оглавлению