As vulnerabilidades do software de código aberto que afligem os negócios

A codificação de código aberto oferece muitos benefícios para as empresas que criam o software e para as empresas que precisam utilizá-lo para operações comerciais tranquilas. O software de código aberto é simplesmente um software codificado usando codificação de código aberto. Isso significa que a codificação está aberta para que as pessoas visualizem e manipulem com relativa facilidade. Seu principal ethos é descentralizar e democratizar – até certo ponto – quem tem acesso a determinados códigos.

É uma codificação altamente versátil, mas também volátil, que é a escolha dominante para web, aplicativos e desenvolvedores de software. As vulnerabilidades de um código-fonte aberto tão versátil e facilmente manipulável podem causar paralisações de software e problemas de segurança que afligem as empresas. Vamos explorar.

O que é código-fonte aberto?

Código aberto é originalmente um termo que se refere a software de código aberto. A composição desse software seria código aberto. Isso significa que é acessível publicamente para que qualquer pessoa possa vê-lo, modificar e distribuir a codificação como desejar. A alternativa é a codificação de código fechado, que, como o software de código aberto, refere-se ao software de código fechado. Por trás desse software de código fechado estava a codificação fechada, o que significa que não é de acesso livre.

A diferença mais notável, sem incluir a capacidade de modificar a codificação, é como o software de código aberto e fechado é desenvolvido. O software de código fechado normalmente se concretiza pelo trabalho de um ou de uma pequena equipe de desenvolvedores de software, cada um com acesso mestre à codificação do software. Eles determinam como e quando continuam a desenvolver o software.

Software de código aberto vê colaboração em massa para criar o software. A colaboração em massa é a razão pela qual o código aberto é aberto. Ele precisa ser facilmente acessível para uma grande equipe de pessoas. Um grupo de desenvolvedores pode trabalhar de forma colaborativa em vários países diferentes, o que cria um problema em si. Várias pessoas trabalhando no mesmo projeto na mesma sala facilitam a colaboração. Mas os desenvolvedores que trabalham em diferentes países podem atrapalhar o desenvolvimento, as atualizações e os patches.

Recomendado para você: Network Security 101: 15 melhores maneiras de proteger a rede do seu escritório contra ameaças online.

Que problemas pode criar para as empresas?

O software de código fechado tem vulnerabilidades, mas nem de longe tantas quanto o software de código aberto. A principal fraqueza do software de código aberto é que a codificação permite que quase qualquer pessoa o manipule. Essa é uma das razões pelas quais houve um aumento de 650% nos ataques a software de código aberto em 2021. As práticas recomendadas de segurança de aplicativos, como realizar avaliações de ameaças e criptografar o código, podem criar softwares mais seguros. Mas o risco inerente da codificação de código aberto ser tão acessível ainda existe.

Outra questão gira em torno da usabilidade. O software de código aberto normalmente atende às necessidades dos desenvolvedores sem considerar as necessidades do usuário. As empresas devem se envolver com o design e o teste do aplicativo para garantir que ele atenda às necessidades do usuário. Outro problema ligado à usabilidade é a falta de suporte disponível caso algo dê errado. Questões como compatibilidade podem ser um grande problema com software de código aberto. Não há necessariamente suporte de acompanhamento dos desenvolvedores porque vários desenvolvedores de diferentes locais terão concluído o trabalho no software.

As empresas que dependem de software de código aberto e da codificação por trás dele também podem enfrentar práticas de desenvolvimento insatisfatórias e supervisão relaxada das integrações. O exemplo perfeito é o hack da SolarWinds de 2021. Esse é considerado o hack mais prejudicial em uma cadeia de suprimentos da história.

Mais de 250 empresas e organizações governamentais foram afetadas pela infiltração no sistema Orion, que operava com software de código aberto. Durante duas atualizações de software, os hackers lançaram malware em toda a rede, causando a quebra de centenas de empresas. Toda a cadeia de suprimentos quase parou de funcionar. Os efeitos do hack ainda estão sendo sentidos por empresas e organizações governamentais. Muitos estão dizendo que levará anos para se recuperar.

Exemplos de vulnerabilidades de software de código aberto

Existem muitos exemplos de ataques cibernéticos em empresas que utilizam software de código aberto. Isso está ligado ao fato de que muitas empresas usam software de código aberto, tornando-se assim alvos fáceis. Abaixo estão dois dos eventos mais notáveis ​​e o que as empresas aprenderam com eles.

2017 violação de dados Equifax

A violação de dados da Equifax em 2017 trouxe à tona as verdadeiras vulnerabilidades do software de código aberto. As múltiplas falhas de segurança que levaram ao ataque cibernético levaram muitos desenvolvedores da Web e empresas a reforçar seu software para evitar tal ataque. Por que tanto a empresa quanto o desenvolvedor? Porque ambos foram culpados. Os hackers exploraram vulnerabilidades amplamente conhecidas e entraram por meio de um portal de reclamações de consumidores. Essas vulnerabilidades deveriam ter sido corrigidas pela Equifax, mas não foram.

Uma vez no portal da web, os hackers podem se mover pelo sistema e conseguir roubar milhões de dados pessoais dos clientes. Dias antes disso, um patch foi lançado para uma vulnerabilidade conhecida no software. Mas a Equifax optou por não implementar o patch a tempo.

O que aprenderam com o ataque? A Equifax descobriu que, se um patch precisa de implementação, ele precisa de implementação quando lançado. Notavelmente, são as grandes organizações que são as mais vulneráveis. As pequenas e médias empresas não serão o alvo tanto quanto as organizações com uma enorme base de clientes. É por isso que a Equifax, uma empresa que detém milhões de dados financeiros de clientes, deveria ter trabalhado para implementar mudanças mais cedo.

Amazon Web Services

Este ainda não aconteceu. Mas os hackers estão trabalhando silenciosamente em segundo plano na tentativa de se tornar o mais recente ataque de software da cadeia de suprimentos. Os desenvolvedores de Python e PHP estão lentamente sendo comprometidos por alguns hacks bem-sucedidos relatados. Mas os hackers ainda não atingiram seu alvo. Os pacotes que eles estão atacando são o Python CTX e o phpass do PHP. Ambos são pacotes de software antigos que atendem às empresas há muitos anos.

Atualmente, são os desenvolvedores de software que usam os pacotes afetados, mas o notável aumento nas infiltrações resultou em alertas direcionados a empresas que também utilizam os pacotes de software.

Você pode gostar de: 12 tipos de segurança de endpoint que toda empresa deve conhecer.

O aumento generalizado de ataques cibernéticos a empresas

Não há apenas um problema com ataques de software de código aberto. Há um aumento notável e generalizado de ataques cibernéticos a empresas em todo o mundo. No Reino Unido, por exemplo, o governo divulgou recentemente um relatório que insta empresas e instituições de caridade a fortalecer suas práticas de segurança cibernética em meio a um aumento acentuado de ataques.

Muitos acreditam nisso para a pandemia, que viu muitas empresas investindo em software que lhes permitiu continuar operando virtualmente. Um estudo descobriu que houve um aumento de 300% nos ataques durante e nos meses após a pandemia. Mas a pandemia não é a única culpada – o 5G, por exemplo, também está contribuindo para o aumento dos ataques. O mundo estava com pressa para uma largura de banda mais rápida. Mas, ao aumentar a largura de banda, os dispositivos IoT ficarão mais vulneráveis ​​a ataques.

A lacuna de habilidades de segurança cibernética dentro das organizações também parece estar desempenhando um papel no aumento dos ataques. Muitos funcionários simplesmente não entendem os riscos e consequências de práticas cibernéticas inseguras. Além disso, muitas empresas nem mesmo têm uma equipe de segurança cibernética dedicada. Cabe à gerência educar sobre questões como e-mails de phishing e incentivar práticas cibernéticas seguras.

Qual é a solução?

A solução não é parar de usar software de código aberto. Considere as vulnerabilidades e os riscos associados e determine qual software de código aberto mitiga o maior número possível deles. As empresas precisarão escolher o software mais adequado às suas necessidades. Por exemplo, o software de código aberto pode ser melhor para marcas que procuram alternativas mais baratas. O software de código aberto normalmente não tem o mesmo preço do software de código fechado.

O software de código fechado vem com mais estabilidade e segurança para que o software não seja atacado por hackers. Como mencionado acima, o software de código aberto tem uma grande falha de segurança que causou um aumento de ataques cibernéticos em 650% em 2021. Mesmo que as empresas quisessem, não são elas que executam verificações de segurança e criptografam a codificação. Seria a colaboração em massa de desenvolvedores que precisa fazer isso.

As marcas também devem reservar um tempo para colaborar com os desenvolvedores. Eles devem identificar os pontos fracos do software e implementar os patches à medida que são lançados. Assim como no hack da Equifax, os desenvolvedores de software lançaram o patch dias antes do ataque. Como eles aplicaram o patch, o ataque não teria acontecido. Da mesma forma, a implementação de atualizações regulares é essencial, mas isso também envolve a colaboração com os desenvolvedores para garantir que as atualizações sejam lançadas com segurança. Assim como no exemplo da SolarWinds, as duas atualizações no sistema Orion expuseram pontos fracos que os hackers exploraram imediatamente.

O software de código fechado não é uma opção viável para muitas marcas. A melhor alternativa pode ser investir em uma equipe de segurança cibernética dedicada ou dedicar mais tempo para educar os funcionários. Vários ataques cibernéticos de alto perfil começaram com práticas de senha inadequadas, por exemplo, mas são um problema relativamente fácil de resolver. O ataque à Ticketmaster em 2021 é o exemplo perfeito do que pode acontecer quando os funcionários não têm senhas seguras.

Você também pode gostar de: 17 dicas legais para escrever uma política de segurança cibernética que não seja ruim.

palavras finais

Tecnicamente falando, mesmo o software de código fechado tem as mesmas vulnerabilidades do software de código aberto; eles simplesmente não são tão proeminentes. As próprias empresas podem mitigar os riscos selecionando cuidadosamente o software, aberto ou fechado, criado por desenvolvedores respeitáveis.

O que é evidente, no entanto, é o que precisa ser feito para proteger as empresas em todo o mundo, especialmente as cadeias de suprimentos que usam software de código aberto. O aumento acentuado de ataques cibernéticos prova como as empresas e os consumidores são vulneráveis ​​a ataques cibernéticos. Os cibercriminosos agora têm acesso a softwares sofisticados. Desenvolvedores e marcas precisam se tornar mais experientes em segurança cibernética para evitar ataques.