Luki w zabezpieczeniach oprogramowania typu open source, które nękają firmy

Opublikowany: 2022-06-30

Kodowanie open source zapewnia wiele korzyści przedsiębiorstwom tworzącym oprogramowanie i oczekującym firmom, które muszą je wykorzystać do sprawnego funkcjonowania biznesu. Oprogramowanie open source to po prostu oprogramowanie zakodowane przy użyciu kodowania open source. Oznacza to, że kodowanie jest stosunkowo łatwe do przeglądania i manipulowania nim. Jej głównym etosem jest decentralizacja i demokratyzacja – do pewnego stopnia – kto ma dostęp do pewnych kodów.

Jest to bardzo wszechstronne, ale także niestabilne kodowanie, które jest dominującym wyborem dla twórców stron internetowych, aplikacji i oprogramowania. Luki w zabezpieczeniach tak wszechstronnego i łatwego do manipulowania kodu open source mogą powodować przestoje oprogramowania i problemy z bezpieczeństwem, które nękają firmy. Odkryjmy.

Pokaż spis treści
  • Co to jest kod open source?
  • Jakie problemy może stwarzać dla firm?
  • Przykłady luk w oprogramowaniu typu open source
    • Naruszenie danych Equifax w 2017 r
    • Usługi sieciowe Amazona
  • Powszechny wzrost cyberataków na firmy
  • Jakie jest rozwiązanie?
  • Ostatnie słowa

Co to jest kod open source?

atak-kod-cyber-dane-hack-bezpieczeństwo

Open source to pierwotnie termin odnoszący się do oprogramowania open source. Makijaż tego oprogramowania byłby otwartym kodowaniem. Oznacza to, że jest publicznie dostępny, więc każdy może go zobaczyć, zmodyfikować i rozpowszechniać kodowanie według własnego uznania. Alternatywą jest kodowanie o zamkniętym kodzie źródłowym, które podobnie jak oprogramowanie o otwartym kodzie źródłowym odnosi się do oprogramowania o zamkniętym kodzie źródłowym. Za tym oprogramowaniem o zamkniętym kodzie źródłowym kryło się zamknięte kodowanie, co oznacza, że ​​nie jest ono ogólnodostępne.

Najbardziej zauważalną różnicą, nie licząc możliwości modyfikacji kodowania, jest sposób tworzenia oprogramowania o otwartym i zamkniętym kodzie źródłowym. Oprogramowanie o zamkniętym kodzie źródłowym zwykle powstaje dzięki pracy jednego lub małego zespołu programistów, z których każdy będzie miał główny dostęp do kodowania oprogramowania. Określają, w jaki sposób i kiedy kontynuują rozwój oprogramowania.

Oprogramowanie typu open source przewiduje masową współpracę w celu stworzenia oprogramowania. Masowa współpraca jest powodem, dla którego open source jest otwarte. Musi być łatwo dostępny dla dużego zespołu ludzi. Jedna grupa programistów mogłaby współpracować w wielu różnych krajach, co samo w sobie stwarza problem. Wiele osób pracujących nad tym samym projektem w tym samym pomieszczeniu ułatwia współpracę. Ale programiści pracujący w różnych krajach mogą utrudniać rozwój, aktualizacje i poprawki.

Zalecane dla Ciebie: Bezpieczeństwo sieci 101: 15 najlepszych sposobów zabezpieczenia sieci biurowej przed zagrożeniami internetowymi.

Jakie problemy może stwarzać dla firm?

projektant-oprogramowania-biurowego-programista-koder-programista-praca zespołowa

Oprogramowanie o zamkniętym kodzie źródłowym ma luki w zabezpieczeniach, ale nie tak wiele, jak oprogramowanie o otwartym kodzie źródłowym. Główną słabością oprogramowania open source jest to, że kodowanie pozwala prawie każdemu na manipulowanie nim. Jest to jeden z powodów, dla których w 2021 roku nastąpił wzrost liczby ataków na oprogramowanie typu open source o 650%. Najlepsze praktyki w zakresie bezpieczeństwa aplikacji, takie jak przeprowadzanie oceny zagrożeń i szyfrowanie kodu, mogą zapewnić bezpieczniejsze oprogramowanie. Jednak nieodłączne ryzyko, że kodowanie open source jest tak dostępne, nadal istnieje.

Kolejna kwestia dotyczy użyteczności. Oprogramowanie typu open source zazwyczaj odpowiada potrzebom programistów bez uwzględniania potrzeb użytkownika. Firmy muszą być zaangażowane w projektowanie i testowanie aplikacji, aby upewnić się, że spełnia ona potrzeby użytkowników. Kolejnym problemem związanym z użytecznością jest brak dostępnego wsparcia, gdyby coś poszło nie tak. Kwestie takie jak kompatybilność mogą stanowić duży problem w przypadku oprogramowania typu open source. Niekonieczne jest dodatkowe wsparcie ze strony programistów, ponieważ wielu programistów z różnych lokalizacji zakończyło prace nad oprogramowaniem.

Firmy, które opierają się na oprogramowaniu typu open source i kodują za nim, mogą również napotkać złe praktyki programistów i luźny nadzór nad integracjami. Doskonałym przykładem jest włamanie do SolarWinds z 2021 r. Uważa się, że jest to najbardziej szkodliwe włamanie do łańcucha dostaw w historii.

Infiltracja systemu Orion, który działał przy użyciu oprogramowania open source, dotknęło ponad 250 firm i organizacji rządowych. Podczas dwóch aktualizacji oprogramowania hakerzy rozpowszechnili złośliwe oprogramowanie w całej sieci, powodując awarie setek firm. Cały łańcuch dostaw prawie przestał działać. Skutki włamania są nadal odczuwane przez firmy i organizacje rządowe. Wielu twierdzi, że powrót do zdrowia zajmie lata.

Przykłady luk w oprogramowaniu typu open source

kod-programowanie-deweloper-projektor-prezentacja-dane

Istnieje wiele przykładów cyberataków na firmy korzystające z oprogramowania typu open source. Jest to związane z faktem, że tak wiele firm korzysta z oprogramowania open source, stając się w ten sposób siedzącymi kaczkami. Poniżej znajdują się dwa najbardziej znaczące wydarzenia i czego firmy się z nich nauczyły.

Naruszenie danych Equifax w 2017 r

luki-oprogramowanie-open-source-1

Naruszenie danych Equifax w 2017 r. ujawniło prawdziwe słabości oprogramowania open source. Liczne luki w zabezpieczeniach, które doprowadziły do ​​cyberataku, skłoniły wielu twórców stron internetowych i firmy do wzmocnienia swojego oprogramowania, aby zapobiec takiemu atakowi. Dlaczego zarówno firma, jak i deweloper? Bo zawinili obaj. Hakerzy wykorzystali szeroko rozumiane luki w zabezpieczeniach i weszli za pośrednictwem internetowego portalu skarg konsumenckich. Te luki powinny zostać załatane przez Equifax, ale tak się nie stało.

Po przejściu przez portal internetowy hakerzy mogą przemieszczać się po systemie i kraść dane osobowe milionów klientów. Kilka dni wcześniej opublikowano łatkę usuwającą znaną lukę w oprogramowaniu. Ale Equifax zdecydował się nie wdrażać łatki w odpowiednim czasie.

Czego dowiedzieli się z ataku? Firma Equifax stwierdziła, że ​​jeśli łatka wymaga implementacji, wymaga ona implementacji po wydaniu. Warto zauważyć, że najbardziej narażone są duże organizacje. Małe i średnie firmy nie staną się celem tak często, jak organizacje z ogromną bazą klientów. Dlatego Equifax, firma przechowująca miliony danych finansowych klientów, powinna była wcześniej pracować nad wdrożeniem zmian.

Usługi sieciowe Amazona

luki w zabezpieczeniach-oprogramowanie-open source-2

Ta jeszcze się nie wydarzyła. Ale hakerzy cicho pracują w tle, próbując stać się najnowszym atakiem na oprogramowanie łańcucha dostaw. Programiści Pythona i PHP powoli stają się zagrożeni przez kilka zgłoszonych udanych hacków. Ale hakerzy jeszcze nie osiągnęli swojego celu. Pakiety, które atakują, to Python CTX i PHP phpass. Oba są starymi pakietami oprogramowania, które służyły firmom przez wiele lat.

Obecnie to programiści korzystają z pakietów, których to dotyczy, ale zauważalny wzrost liczby infekcji zaowocował ostrzeżeniami skierowanymi do firm, które również wykorzystują pakiety oprogramowania.

Może Ci się spodobać: 12 rodzajów zabezpieczeń punktów końcowych, które każda firma powinna znać.

Powszechny wzrost cyberataków na firmy

Kod-Byte-Digital-Cryptography-Cyber-Electronic-Encryption-Algorithm-Data

Problem dotyczy nie tylko ataków na oprogramowanie typu open source. Odnotowuje się zauważalny i powszechny wzrost liczby cyberataków na firmy na całym świecie. Na przykład w Wielkiej Brytanii rząd opublikował niedawno raport, w którym wezwano firmy i organizacje charytatywne do wzmocnienia praktyk w zakresie bezpieczeństwa cybernetycznego w obliczu gwałtownego wzrostu liczby ataków.

Wielu uważa to za pandemię, w której wiele firm zainwestowało w oprogramowanie, które pozwoliło im dalej działać wirtualnie. Jedno z badań wykazało, że liczba ataków wzrosła o 300% w trakcie i w miesiącach po pandemii. Ale nie tylko pandemia jest winna – na przykład 5G również przyczynia się do wzrostu liczby ataków. Świat śpieszył się do szybszej przepustowości. Ale zwiększając przepustowość, urządzenia IoT będą bardziej podatne na ataki.

Luka w umiejętnościach cyberbezpieczeństwa w organizacjach również wydaje się odgrywać rolę we wzroście ataków. Wielu pracowników po prostu nie rozumie zagrożeń i konsekwencji niebezpiecznych praktyk cybernetycznych. Ponadto wiele firm nie ma nawet dedykowanego zespołu ds. cyberbezpieczeństwa. Do kierownictwa należy edukowanie w kwestiach takich jak e-maile phishingowe i zachęcanie do bezpiecznych praktyk cybernetycznych.

Jakie jest rozwiązanie?

programiści-programiści-programiści-zespołowi-pracy-biuro

Rozwiązaniem nie jest zaprzestanie korzystania z oprogramowania open source. Rozważ luki w zabezpieczeniach i związane z nimi zagrożenia oraz określ, które oprogramowanie typu open source ogranicza jak najwięcej z nich. Firmy będą musiały wybrać oprogramowanie najbardziej odpowiednie dla ich potrzeb. Na przykład oprogramowanie typu open source może być lepsze dla marek poszukujących tańszych alternatyw. Oprogramowanie typu open source zwykle nie ma takiej samej ceny jak oprogramowanie o zamkniętym kodzie źródłowym.

Oprogramowanie o zamkniętym kodzie źródłowym zapewnia większą stabilność i bezpieczeństwo, dzięki czemu nie będzie atakowane przez hakerów. Jak wspomniano powyżej, oprogramowanie typu open source ma poważną lukę w zabezpieczeniach, która spowodowała wzrost cyberataków o 650% w 2021 r. Nawet gdyby firmy chciały, to nie one przeprowadzają kontrole bezpieczeństwa i szyfrują kodowanie. Potrzebna byłaby do tego masowa współpraca programistów.

Marki powinny również poświęcić czas na współpracę z programistami. Powinni identyfikować słabe punkty w oprogramowaniu i wdrażać poprawki w miarę ich wydawania. Podobnie jak w przypadku włamania do Equifax, twórcy oprogramowania opublikowali łatkę na kilka dni przed atakiem. Ponieważ zastosowali łatkę, atak by się nie wydarzył. Podobnie, wdrażanie regularnych aktualizacji jest niezbędne, ale wiąże się to również ze współpracą z programistami w celu zapewnienia bezpiecznego wydawania aktualizacji. Podobnie jak w przypadku SolarWinds, dwie aktualizacje systemu Orion ujawniły słabości, które hakerzy natychmiast wykorzystali.

Oprogramowanie o zamkniętym kodzie źródłowym nie jest realną opcją dla wielu marek. Lepszą alternatywą może być zainwestowanie w dedykowany zespół ds. bezpieczeństwa cybernetycznego lub poświęcenie więcej czasu na edukację pracowników. Liczne głośne cyberataki rozpoczęły się na przykład od złych praktyk związanych z hasłami, ale są stosunkowo łatwym problemem do rozwiązania. Atak na Ticketmaster w 2021 roku jest doskonałym przykładem tego, co może się stać, gdy pracownicy nie mają bezpiecznych haseł.

Może ci się również spodobać: 17 fajnych wskazówek dotyczących pisania polityki bezpieczeństwa cybernetycznego, która nie jest do niczego.

Ostatnie słowa

luki w zabezpieczeniach-oprogramowanie-open source-plaga-biznesy-wnioski

Technicznie rzecz biorąc, nawet oprogramowanie o zamkniętym kodzie źródłowym ma te same luki w zabezpieczeniach, co oprogramowanie o otwartym kodzie źródłowym; po prostu nie są tak wybitni. Firmy mogą samodzielnie ograniczać ryzyko, starannie wybierając oprogramowanie, zarówno otwarte, jak i zamknięte, stworzone przez renomowanych programistów.

Oczywiste jest jednak, co należy zrobić, aby chronić firmy na całym świecie, zwłaszcza łańcuchy dostaw korzystające z oprogramowania open source. Gwałtowny wzrost liczby cyberataków dowodzi, jak podatne na nie są firmy i konsumenci. Cyberprzestępcy mają teraz dostęp do zaawansowanego oprogramowania. Deweloperzy i marki muszą być bardziej świadomi cyberbezpieczeństwa, aby zapobiegać atakom.