Le vulnerabilità del software open source che affliggono le aziende

La codifica open source offre molti vantaggi alle aziende che creano il software e alle aziende in attesa che devono utilizzarlo per operazioni aziendali senza intoppi. Il software open source è semplicemente un software codificato utilizzando la codifica open source. Ciò significa che la codifica è aperta alle persone per visualizzarla e manipolarla in modo relativamente semplice. Il suo ethos principale è che decentralizza e democratizza – in una certa misura – chi ha accesso a determinati codici.

È una codifica altamente versatile ma anche volatile che è la scelta dominante per gli sviluppatori di Web, app e software. Le vulnerabilità di un codice open source così versatile e facilmente manipolabile possono causare tempi di inattività del software e problemi di sicurezza che affliggono le aziende. Esploriamo.

Che cos'è il codice open source?

Open source è originariamente un termine che si riferiva al software open source. La composizione di quel software sarebbe una codifica aperta. Ciò significa che è pubblicamente accessibile in modo che chiunque possa vederlo, modificare e distribuire il codice come desidera. L'alternativa è la codifica closed-source, che, come il software open-source, si riferisce al software closed-source. Dietro quel software closed-source c'era un codice chiuso, il che significa che non è liberamente accessibile.

La differenza più notevole, esclusa la possibilità di modificare la codifica, è il modo in cui viene sviluppato il software open e closed source. Il software a sorgente chiuso in genere si realizza grazie al lavoro di uno o di un piccolo team di sviluppatori di software che avranno ciascuno l'accesso principale alla codifica del software. Determinano come e quando continuare a sviluppare il software.

Il software open source vede la collaborazione di massa per creare il software. La collaborazione di massa è la ragione per cui l'open source è aperto. Deve essere facilmente accessibile per un grande team di persone. Un gruppo di sviluppatori potrebbe lavorare in modo collaborativo in più paesi diversi, il che crea di per sé un problema. Più persone che lavorano allo stesso progetto nella stessa stanza facilitano la collaborazione. Ma gli sviluppatori che lavorano in paesi diversi possono ostacolare lo sviluppo, gli aggiornamenti e le patch.

Consigliato per te: Network Security 101: 15 modi migliori per proteggere la tua rete aziendale dalle minacce online.

Quali problemi può creare per le imprese?

Il software closed-source presenta vulnerabilità, ma non così tante come il software open-source. Il principale punto debole del software open source è che la codifica consente a quasi chiunque di manipolarlo. Questo è uno dei motivi per cui nel 2021 si è registrato un aumento del 650% degli attacchi al software open source. Le best practice per la sicurezza delle applicazioni, come l'esecuzione di valutazioni delle minacce e la crittografia del codice, possono creare software più sicuri. Ma il rischio intrinseco che la codifica open source sia così accessibile esiste ancora.

Un altro problema riguarda l'usabilità. Il software open source in genere si adatta alle esigenze degli sviluppatori senza considerare le esigenze dell'utente. Le aziende devono essere coinvolte nella progettazione e nel test dell'app per garantire che soddisfi le esigenze dell'utente. Un altro problema legato all'usabilità è la mancanza di supporto disponibile se qualcosa dovesse andare storto. Problemi come la compatibilità possono essere un grosso problema con il software open source. Non c'è necessariamente supporto di follow-up da parte degli sviluppatori perché più sviluppatori da località diverse avranno completato il lavoro sul software.

Le aziende che si affidano a software open source e alla codifica dietro di esso potrebbero anche dover affrontare pratiche di sviluppo scadenti e sviste rilassate delle integrazioni. L'esempio perfetto è l'hack di SolarWinds del 2021. Si ritiene che sia l'hack più dannoso su una catena di approvvigionamento nella storia.

Oltre 250 aziende e organizzazioni governative sono state colpite dall'infiltrazione nel sistema Orion, che operava utilizzando software open source. Durante due aggiornamenti software, gli hacker hanno rilasciato malware in tutta la rete, causando il crash di centinaia di aziende. L'intera catena di approvvigionamento ha quasi smesso di funzionare. Gli effetti dell'hacking si fanno ancora sentire dalle imprese e dalle organizzazioni governative. Molti dicono che ci vorranno anni per riprendersi.

Esempi di vulnerabilità del software open source

Esistono molti esempi di attacchi informatici alle aziende che utilizzano software open source. Ciò è legato al fatto che così tante aziende utilizzano software open-source, diventando così semplici papere. Di seguito sono riportati due degli eventi più importanti e ciò che le aziende hanno appreso da essi.

2017 Violazione dei dati Equifax

La violazione dei dati di Equifax del 2017 ha portato alla luce le vere vulnerabilità del software open source. Le molteplici falle nella sicurezza che hanno portato all'attacco informatico hanno portato molti sviluppatori Web e aziende a rafforzare il proprio software per prevenire un simile attacco. Perché sia ​​​​l'azienda che lo sviluppatore? Perché entrambi erano colpevoli. Gli hacker hanno sfruttato vulnerabilità ampiamente note e sono entrati attraverso un portale Web per i reclami dei consumatori. Quelle vulnerabilità avrebbero dovuto essere risolte da Equifax, ma non lo erano.

Una volta attraverso il portale web, gli hacker potrebbero spostarsi attraverso il sistema e riuscire a rubare milioni di dati personali dei clienti. Giorni prima, è stata rilasciata una patch per una vulnerabilità nota all'interno del software. Ma Equifax ha scelto di non implementare la patch in tempo utile.

Cosa hanno imparato dall'attacco? Equifax ha scoperto che se una patch necessita di implementazione, deve essere implementata quando viene rilasciata. In particolare, sono le grandi organizzazioni le più vulnerabili. Le piccole e medie imprese non si troveranno l'obiettivo tanto quanto le organizzazioni con un'enorme base di clienti. Ecco perché Equifax, un'azienda che detiene i dati finanziari di milioni di clienti, avrebbe dovuto lavorare per implementare prima i cambiamenti.

Servizi Web Amazon

Questo non è ancora successo. Ma gli hacker stanno lavorando silenziosamente in background nel tentativo di diventare l'ultimo attacco software della supply chain. Gli sviluppatori Python e PHP stanno lentamente diventando compromessi da alcuni hack di successo segnalati. Ma gli hacker devono ancora raggiungere il loro obiettivo. I pacchetti che stanno attaccando sono Python CTX e PHP's phpass. Entrambi sono vecchi pacchetti software che servono le aziende da molti anni.

Attualmente, sono gli sviluppatori di software che utilizzano i pacchetti interessati, ma il notevole aumento delle infiltrazioni ha portato a avvisi lanciati nei confronti delle aziende che utilizzano anche i pacchetti software.

Potrebbe piacerti: 12 tipi di sicurezza degli endpoint che ogni azienda dovrebbe conoscere.

Il diffuso aumento degli attacchi informatici alle imprese

Non c'è solo un problema con gli attacchi software open source. C'è un notevole e diffuso aumento degli attacchi informatici alle imprese su tutta la linea. Nel Regno Unito, ad esempio, il governo ha recentemente pubblicato un rapporto che esorta le aziende e gli enti di beneficenza a rafforzare le loro pratiche di sicurezza informatica in mezzo a un forte aumento degli attacchi.

Molti lo credono alla pandemia, che ha visto molte aziende investire in software che hanno permesso loro di continuare ad operare virtualmente. Uno studio ha rilevato un aumento del 300% degli attacchi durante e nei mesi successivi alla pandemia. Ma la colpa non è solo della pandemia: anche il 5G, ad esempio, sta contribuendo all'aumento degli attacchi. Il mondo era in corsa per una larghezza di banda più veloce. Ma aumentando la larghezza di banda, i dispositivi IoT saranno più vulnerabili agli attacchi.

Anche il divario di competenze in materia di sicurezza informatica all'interno delle organizzazioni sembra avere un ruolo nell'aumento degli attacchi. Molti dipendenti semplicemente non comprendono i rischi e le conseguenze di pratiche informatiche non sicure. Inoltre, molte aziende non avranno nemmeno un team dedicato alla sicurezza informatica. Spetta al management educare su questioni come le e-mail di phishing e incoraggiare pratiche informatiche sicure.

Qual'è la soluzione?

La soluzione non è smettere di utilizzare il software open source. Considera le vulnerabilità e i rischi associati e determina quale software open source ne mitiga il maggior numero possibile. Le aziende dovranno scegliere il software più adatto alle loro esigenze. Ad esempio, il software open source potrebbe essere migliore per i marchi che cercano alternative più economiche. Il software open source in genere non ha lo stesso prezzo del software closed source.

Il software closed-source è dotato di maggiore stabilità e sicurezza che il software non subirà attacchi da parte di hacker. Come accennato in precedenza, il software open source presenta un grave difetto di sicurezza che ha causato un aumento degli attacchi informatici del 650% nel 2021. Anche se le aziende lo volessero, non sono loro a eseguire controlli di sicurezza e crittografare la codifica. Sarebbe la collaborazione di massa degli sviluppatori che deve farlo.

I marchi dovrebbero anche dedicare del tempo alla collaborazione con gli sviluppatori. Dovrebbero identificare i punti deboli nel software e implementare le patch man mano che vengono rilasciate. Come per l'hacking di Equifax, gli sviluppatori del software hanno rilasciato la patch giorni prima dell'attacco. Poiché avevano applicato il cerotto, l'attacco non sarebbe avvenuto. Allo stesso modo, l'implementazione di aggiornamenti regolari è essenziale, ma ciò comporta anche la collaborazione con gli sviluppatori per garantire che gli aggiornamenti vengano rilasciati in modo sicuro. Come con l'esempio di SolarWinds, i due aggiornamenti sul sistema Orion hanno messo in luce punti deboli che gli hacker hanno immediatamente sfruttato.

Il software closed-source non è un'opzione praticabile per molti marchi. L'alternativa migliore potrebbe essere quella di investire in un team di sicurezza informatica dedicato o dedicare più tempo alla formazione dei dipendenti. Numerosi attacchi informatici di alto profilo sono iniziati con pratiche di password scadenti, ad esempio, ma sono un problema relativamente facile da risolvere. L'attacco a Ticketmaster nel 2021 è l'esempio perfetto di cosa può accadere quando i dipendenti non hanno password sicure.

Ti potrebbe piacere anche: 17 fantastici suggerimenti per scrivere una politica di sicurezza informatica che non faccia schifo.

Parole finali

Tecnicamente parlando, anche il software closed-source presenta le stesse vulnerabilità del software open-source; semplicemente non sono così importanti. Le aziende possono mitigare i rischi da sole selezionando attentamente il software, aperto o chiuso, creato da sviluppatori rispettabili.

Ciò che è evidente, tuttavia, è ciò che deve essere fatto per proteggere le aziende di tutto il mondo, in particolare le catene di approvvigionamento che utilizzano software open source. Il forte aumento degli attacchi informatici dimostra quanto le aziende e i consumatori siano vulnerabili agli attacchi informatici. I criminali informatici ora hanno accesso a software sofisticati. Gli sviluppatori e i marchi devono diventare più esperti di sicurezza informatica per prevenire gli attacchi.