Luki w oprogramowaniu Open Source, które nękają firmy

Kodowanie typu open source zapewnia wiele korzyści przedsiębiorstwom tworzącym oprogramowanie i oczekującym firmom, które muszą go wykorzystać do sprawnego działania biznesowego. Oprogramowanie typu open source to po prostu oprogramowanie kodowane przy użyciu kodowania typu open source. Oznacza to, że kodowanie jest otwarte dla ludzi do przeglądania i manipulowania nim stosunkowo łatwo. Jej głównym etosem jest to, że decentralizuje i demokratyzuje – do pewnego stopnia – kto ma dostęp do pewnych kodów.

Jest to bardzo wszechstronne, ale także niestabilne kodowanie, które jest dominującym wyborem dla twórców stron internetowych, aplikacji i oprogramowania. Luki takiego wszechstronnego i łatwego do manipulowania kodu open source mogą powodować przestoje oprogramowania i problemy z bezpieczeństwem, które nękają firmy. Odkryjmy.

Co to jest kod open source?

Open source to pierwotnie termin odnoszący się do oprogramowania typu open source. Budowa tego oprogramowania będzie polegała na otwartym kodowaniu. Oznacza to, że jest publicznie dostępny, więc każdy może go zobaczyć, modyfikować i rozpowszechniać według własnego uznania. Alternatywą jest kodowanie o zamkniętym kodzie źródłowym, które podobnie jak oprogramowanie o otwartym kodzie źródłowym odnosi się do oprogramowania o zamkniętym kodzie źródłowym. Za tym oprogramowaniem o zamkniętym kodzie kryło się kodowanie zamknięte, co oznacza, że ​​nie jest ono swobodnie dostępne.

Najbardziej zauważalną różnicą, nie obejmującą możliwości modyfikowania kodowania, jest sposób, w jaki rozwijane jest oprogramowanie o otwartym i zamkniętym kodzie źródłowym. Oprogramowanie o zamkniętym kodzie źródłowym zazwyczaj powstaje dzięki pracy jednego lub małego zespołu programistów, z których każdy będzie miał główny dostęp do kodowania oprogramowania. Określają, w jaki sposób i kiedy nadal rozwijają oprogramowanie.

Oprogramowanie open source widzi masową współpracę przy tworzeniu oprogramowania. Współpraca masowa jest powodem, dla którego open-source jest otwarte. Musi być łatwo dostępny dla dużego zespołu ludzi. Jedna grupa programistów może współpracować w wielu różnych krajach, co samo w sobie stwarza problem. Wiele osób pracujących nad tym samym projektem w tym samym pomieszczeniu ułatwia współpracę. Ale programiści pracujący w różnych krajach mogą utrudniać rozwój, aktualizacje i łatki.

Zalecane dla Ciebie: Bezpieczeństwo sieci 101: 15 najlepszych sposobów zabezpieczenia sieci biurowej przed zagrożeniami internetowymi.

Jakie problemy może stwarzać dla firm?

Oprogramowanie o zamkniętym kodzie źródłowym ma luki w zabezpieczeniach, ale nie jest tak wiele, jak oprogramowanie o otwartym kodzie źródłowym. Główną słabością oprogramowania open source jest to, że kodowanie pozwala prawie każdemu na manipulowanie nim. Jest to jeden z powodów, dla których w 2021 r. liczba ataków na oprogramowanie typu open source wzrosła o 650%. Najlepsze praktyki w zakresie bezpieczeństwa aplikacji, takie jak przeprowadzanie oceny zagrożeń i szyfrowanie kodu, mogą stworzyć bezpieczniejsze oprogramowanie. Ale nieodłączne ryzyko, że kodowanie open-source jest tak dostępne, nadal istnieje.

Kolejna kwestia dotyczy użyteczności. Oprogramowanie typu open source zazwyczaj odpowiada potrzebom programistów bez uwzględniania potrzeb użytkownika. Firmy muszą być zaangażowane w projektowanie i testowanie aplikacji, aby upewnić się, że spełnia ona potrzeby użytkowników. Kolejnym problemem związanym z użytecznością jest brak dostępnego wsparcia, jeśli coś pójdzie nie tak. Problemy takie jak kompatybilność mogą być dużym problemem w przypadku oprogramowania o otwartym kodzie źródłowym. Niekonieczne jest dalsze wsparcie ze strony programistów, ponieważ wielu programistów z różnych lokalizacji ukończyło pracę nad oprogramowaniem.

Firmy polegające na oprogramowaniu typu open source i kodowaniu za nim mogą również napotkać słabe praktyki programistów i luźne przeoczenia integracji. Doskonałym przykładem jest hack SolarWinds z 2021 roku. Uważa się, że jest to najbardziej szkodliwe hackowanie w łańcuchu dostaw w historii.

Ponad 250 firm i organizacji rządowych zostało dotkniętych infiltracją systemu Orion, który działał przy użyciu oprogramowania o otwartym kodzie źródłowym. Podczas dwóch aktualizacji oprogramowania hakerzy uwolnili złośliwe oprogramowanie w całej sieci, powodując awarie setek firm. Cały łańcuch dostaw prawie przestał działać. Skutki włamania są nadal odczuwalne przez firmy i organizacje rządowe. Wielu twierdzi, że powrót do zdrowia zajmie lata.

Przykłady luk w oprogramowaniu open source

Istnieje wiele przykładów cyberataków na firmy wykorzystujące oprogramowanie typu open source. Wiąże się to z faktem, że tak wiele firm korzysta z oprogramowania open source, stając się w ten sposób siedzącymi kaczkami. Poniżej znajdują się dwa najbardziej znaczące wydarzenia i to, czego firmy się z nich nauczyły.

2017 Naruszenie danych Equifax

Naruszenie danych Equifax w 2017 r. ujawniło prawdziwe luki w zabezpieczeniach oprogramowania typu open source. Liczne luki w zabezpieczeniach, które doprowadziły do ​​cyberataku, skłoniły wielu twórców stron internetowych i firm do wzmocnienia swojego oprogramowania, aby zapobiec takiemu atakowi. Dlaczego zarówno firma, jak i deweloper? Ponieważ obaj byli winni. Hakerzy wykorzystywali szeroko rozumiane luki w zabezpieczeniach i wchodzili za pośrednictwem portalu internetowego ze skargami konsumenckimi. Te luki powinny zostać załatane przez Equifax, ale tak się nie stało.

Po przejściu przez portal internetowy hakerzy mogli poruszać się po systemie i ukraść miliony danych osobowych klientów. Kilka dni wcześniej opublikowano łatkę na znaną lukę w oprogramowaniu. Jednak Equifax zdecydował się nie wdrażać poprawki w odpowiednim czasie.

Czego nauczyli się po ataku? Firma Equifax odkryła, że ​​jeśli poprawka wymaga implementacji, wymaga implementacji po wydaniu. Warto zauważyć, że najbardziej narażone są duże organizacje. Małe i średnie firmy nie znajdą się w takim samym stopniu celem, jak organizacje z ogromną bazą klientów. Właśnie dlatego Equifax, firma, która przechowuje dane finansowe milionów klientów, powinna była wcześniej pracować nad wprowadzeniem zmian.

Usługi internetowe Amazon

To się jeszcze nie wydarzyło. Ale hakerzy po cichu pracują w tle, próbując stać się najnowszym atakiem oprogramowania łańcucha dostaw. Deweloperzy Pythona i PHP powoli stają się zagrożoni przez kilka zgłoszonych udanych hacków. Ale hakerzy nie osiągnęli jeszcze swojego celu. Pakiety, które atakują, to Python CTX i PHP phpass. Oba są starymi pakietami oprogramowania, które służą firmom od wielu lat.

Obecnie to programiści korzystają z tych pakietów, ale znaczny wzrost liczby infekcji spowodował ostrzeżenia skierowane do firm, które również korzystają z tych pakietów oprogramowania.

Możesz polubić: 12 rodzajów zabezpieczeń punktów końcowych, które każda firma powinna znać.

Powszechny wzrost cyberataków na firmy

Problem nie dotyczy tylko ataków na oprogramowanie typu open source. Na całym świecie obserwuje się znaczny i powszechny wzrost cyberataków na firmy. Na przykład w Wielkiej Brytanii rząd opublikował niedawno raport, w którym wezwał firmy i organizacje charytatywne do wzmocnienia swoich praktyk w zakresie bezpieczeństwa cybernetycznego w obliczu gwałtownego wzrostu ataków.

Wielu wierzy w to do pandemii, która spowodowała, że ​​wiele firm zainwestowało w oprogramowanie, które pozwoliło im dalej działać wirtualnie. Jedno z badań wykazało 300% wzrost liczby ataków podczas i w miesiącach po pandemii. Ale nie tylko pandemia jest winna – na przykład 5G również przyczynia się do wzrostu liczby ataków. Świat był w pośpiechu, aby uzyskać większą przepustowość. Jednak zwiększając przepustowość, urządzenia IoT będą bardziej podatne na ataki.

Wydaje się, że na wzrost liczby ataków przyczynia się również brak umiejętności w zakresie cyberbezpieczeństwa w organizacjach. Wielu pracowników po prostu nie rozumie zagrożeń i konsekwencji niebezpiecznych praktyk cybernetycznych. Ponadto wiele firm nie będzie nawet dysponować dedykowanym zespołem ds. cyberbezpieczeństwa. To do kierownictwa należy edukowanie w kwestiach takich jak wiadomości phishingowe i zachęcanie do bezpiecznych praktyk cybernetycznych.

Jakie jest rozwiązanie?

Rozwiązaniem nie jest zaprzestanie korzystania z oprogramowania typu open source. Rozważ luki w zabezpieczeniach i związane z nimi zagrożenia oraz określ, które oprogramowanie typu open source łagodzi jak najwięcej z nich. Firmy będą musiały wybrać oprogramowanie najbardziej odpowiadające ich potrzebom. Na przykład oprogramowanie typu open source może być lepsze dla marek szukających tańszych alternatyw. Oprogramowanie typu open source zazwyczaj nie ma takiej samej ceny, jak oprogramowanie o zamkniętym kodzie źródłowym.

Oprogramowanie o zamkniętym kodzie źródłowym zapewnia większą stabilność i bezpieczeństwo, że oprogramowanie nie zostanie zaatakowane przez hakerów. Jak wspomniano powyżej, oprogramowanie typu open source ma poważną lukę w zabezpieczeniach, która spowodowała wzrost cyberataków o 650% w 2021 r. Nawet gdyby firmy chciały, to nie one przeprowadzają kontrole bezpieczeństwa i szyfrują kod. Byłaby to masowa współpraca programistów, która musi to zrobić.

Marki powinny również poświęcić czas na współpracę z programistami. Powinni identyfikować słabe punkty w oprogramowaniu i wdrażać poprawki w miarę ich udostępniania. Podobnie jak w przypadku hacka Equifax, twórcy oprogramowania opublikowali łatkę na kilka dni przed atakiem. Ponieważ nałożyli łatkę, atak się nie wydarzył. Podobnie wdrażanie regularnych aktualizacji jest niezbędne, ale wiąże się to również ze współpracą z programistami, aby zapewnić bezpieczne publikowanie aktualizacji. Podobnie jak na przykładzie SolarWinds, dwie aktualizacje systemu Orion ujawniły słabości, które hakerzy natychmiast wykorzystali.

Oprogramowanie o zamkniętym kodzie źródłowym nie jest realną opcją dla wielu marek. Lepszą alternatywą może być zainwestowanie w dedykowany zespół ds. cyberbezpieczeństwa lub poświęcenie większej ilości czasu na edukację pracowników. Liczne głośne cyberataki rozpoczęły się na przykład od złych praktyk dotyczących haseł, ale są stosunkowo łatwym problemem do rozwiązania. Atak na Ticketmaster w 2021 r. jest doskonałym przykładem tego, co może się stać, gdy pracownicy nie mają bezpiecznych haseł.

Może ci się również spodobać: 17 fajnych wskazówek dotyczących pisania polityki bezpieczeństwa cybernetycznego, która nie jest do niczego.

Ostatnie słowa

Technicznie rzecz biorąc, nawet oprogramowanie o zamkniętym kodzie źródłowym ma te same luki w zabezpieczeniach, co oprogramowanie o otwartym kodzie źródłowym; po prostu nie są tak wybitne. Firmy mogą same złagodzić ryzyko, starannie dobierając oprogramowanie, niezależnie od tego, czy jest otwarte, czy zamknięte, stworzone przez renomowanych programistów.

Oczywiste jest jednak to, co należy zrobić, aby chronić firmy na całym świecie, zwłaszcza łańcuchy dostaw korzystające z oprogramowania open source. Gwałtowny wzrost liczby cyberataków dowodzi, jak podatne są firmy i konsumenci na cyberataki. Cyberprzestępcy mają teraz dostęp do zaawansowanego oprogramowania. Deweloperzy i marki muszą lepiej znać się na cyberbezpieczeństwie, aby zapobiegać atakom.