Açık Kaynaklı Yazılımların İşletmelere Saldıran Güvenlik Açıkları

Açık kaynak kodlama, yazılımı oluşturan işletmelere ve sorunsuz iş operasyonları için onu kullanması gereken bekleyen işletmelere birçok fayda sağlar. Açık kaynaklı yazılım, basitçe açık kaynaklı kodlama kullanılarak kodlanmış yazılımdır. Bu, kodlamanın insanların nispeten kolay bir şekilde görüntülemesi ve değiştirmesi için açık olduğu anlamına gelir. Ana ahlakı, belirli kodlara erişimi olan kişileri - bir dereceye kadar - ademi merkezileştirmesi ve demokratikleştirmesidir.

Web, uygulama ve yazılım geliştiricileri için baskın seçim olan çok yönlü ama aynı zamanda uçucu bir kodlamadır. Bu kadar çok yönlü ve kolayca manipüle edilebilen bir açık kaynak kodunun güvenlik açıkları, işletmeleri rahatsız eden yazılım kesintilerine ve güvenlik sorunlarına neden olabilir. Hadi keşfedelim.

Açık kaynak kodu nedir?

Açık kaynak, orijinal olarak açık kaynaklı yazılıma atıfta bulunan bir terimdir. Bu yazılımın yapısı açık kodlama olacaktır. Bu, herkesin görebileceği, değiştirebileceği ve kodlamayı dilediği gibi dağıtabileceği şekilde herkese açık olduğu anlamına gelir. Alternatif, açık kaynaklı yazılım gibi kapalı kaynaklı yazılıma atıfta bulunan kapalı kaynaklı kodlamadır. Bu kapalı kaynaklı yazılımın arkasında kapalı kodlama vardı, bu da özgürce erişilebilir olmadığı anlamına geliyor.

Kodlamayı değiştirme yeteneği hariç en önemli fark, açık ve kapalı kaynaklı yazılımların nasıl geliştirildiğidir. Kapalı kaynaklı yazılım, tipik olarak, her biri yazılımın kodlamasına ana erişime sahip olacak bir veya küçük bir yazılım geliştirici ekibinin çalışmasıyla ortaya çıkar. Yazılımı nasıl ve ne zaman geliştirmeye devam edeceklerini belirlerler.

Açık kaynaklı yazılım, yazılımı oluşturmak için toplu işbirliği görür. Açık kaynağın açık olmasının nedeni kitlesel işbirliğidir. Büyük bir ekip için kolayca erişilebilir olması gerekir. Bir grup geliştirici, birden fazla farklı ülkede ortaklaşa çalışabilir ve bu da kendi içinde bir sorun yaratır. Aynı odada aynı proje üzerinde çalışan birden fazla kişi, kolay işbirliği sağlar. Ancak farklı ülkelerde çalışan geliştiriciler, geliştirmeyi, güncellemeleri ve yamaları engelleyebilir.

Sizin için önerilenler: Ağ Güvenliği 101: Ofis Ağınızı Çevrimiçi Tehditlerden Korumanın En İyi 15 Yolu.

İşletmeler için ne gibi sorunlar yaratabilir?

Kapalı kaynaklı yazılımların güvenlik açıkları vardır, ancak hiçbir yerde açık kaynaklı yazılımlar kadar fazla değildir. Açık kaynaklı yazılımın temel zayıflığı, kodlamanın neredeyse herkesin onu manipüle etmesine izin vermesidir. 2021'de açık kaynaklı yazılımlara yönelik saldırılarda %650'lik bir artışın olmasının nedenlerinden biri de budur. Tehdit değerlendirmeleri yapmak ve kodu şifrelemek gibi uygulama güvenliği en iyi uygulamaları daha güvenli yazılımlar oluşturabilir. Ancak açık kaynak kodlamanın bu kadar erişilebilir olmasının doğal riski hala mevcuttur.

Başka bir konu da kullanılabilirlik etrafında toplanıyor. Açık kaynaklı yazılım, genellikle, kullanıcının ihtiyaçlarını göz önünde bulundurmadan geliştiricilerin ihtiyaçlarına uygundur. Şirketler, kullanıcının ihtiyaçlarını karşıladığından emin olmak için uygulamanın tasarımına ve test edilmesine dahil olmalıdır. Kullanılabilirliğe bağlı bir diğer sorun, bir şeyler ters giderse mevcut desteğin olmamasıdır. Uyumluluk gibi sorunlar, açık kaynaklı yazılımlarda büyük bir sorun olabilir. Farklı konumlardan birden fazla geliştirici yazılım üzerinde çalışmayı tamamlamış olacağından, geliştiricilerin takip desteği olması gerekmez.

Açık kaynaklı yazılıma ve bunun arkasındaki kodlamaya güvenen işletmeler, aynı zamanda zayıf geliştirici uygulamaları ve rahat entegrasyon gözetimleri ile karşı karşıya kalabilir. Mükemmel bir örnek, 2021 SolarWinds hack'idir. Bunun, tarihte bir tedarik zincirine en çok zarar veren hack olduğu düşünülüyor.

Açık kaynaklı yazılım kullanarak çalışan Orion sistemine sızan 250'den fazla işletme ve devlet kuruluşu etkilendi. İki yazılım güncellemesi sırasında bilgisayar korsanları ağ genelinde kötü amaçlı yazılımlar yayarak yüzlerce işletmenin çökmesine neden oldu. Tüm tedarik zinciri neredeyse çalışmayı durdurdu. Saldırının etkileri işletmeler ve devlet kurumları tarafından hala hissediliyor. Pek çoğu, iyileşmesinin yıllar alacağını söylüyor.

Açık kaynaklı yazılım güvenlik açıklarına örnekler

Açık kaynaklı yazılım kullanan işletmelere yönelik birçok siber saldırı örneği vardır. Bu, pek çok şirketin açık kaynaklı yazılım kullanması ve böylece oturan ördekler haline gelmesiyle bağlantılı. Aşağıda en dikkate değer olaylardan ikisi ve şirketlerin onlardan öğrendikleri yer almaktadır.

2017 Equifax veri ihlali

2017 Equifax veri ihlali, açık kaynaklı yazılımın gerçek güvenlik açıklarını ortaya çıkardı. Siber saldırıya yol açan birden fazla güvenlik açığı, birçok web geliştiricisinin ve şirketin benzer bir saldırıyı önlemek için yazılımlarını güçlendirmesine yol açtı. Neden hem şirket hem de geliştirici? Çünkü ikisi de suçluydu. Bilgisayar korsanları, yaygın olarak anlaşılan güvenlik açıklarından yararlandı ve bir tüketici şikayeti web portalı aracılığıyla girdi. Bu güvenlik açıkları Equifax tarafından kapatılmalıydı, ama değildi.

Bilgisayar korsanları web portalı üzerinden bir kez sistem genelinde hareket edebilir ve milyonlarca müşterinin kişisel verilerini çalmayı başarabilir. Bundan günler önce, yazılımdaki bilinen bir güvenlik açığı için bir yama yayınlandı. Ancak Equifax, yamayı yeterli sürede uygulamamayı seçti.

Saldırıdan ne öğrendiler? Equifax, bir yamanın uygulanması gerekiyorsa, yayınlandığında uygulanması gerektiğini buldu. Özellikle, en savunmasız olanlar büyük kuruluşlardır. Küçük ve orta ölçekli işletmeler, kendilerini büyük bir müşteri tabanına sahip kuruluşlar kadar hedef bulmayacaklardır. Bu nedenle, milyonlarca müşterinin finansal verilerini elinde tutan bir şirket olan Equifax, değişiklikleri daha erken uygulamak için çalışmalıydı.

Amazon Web Hizmetleri

Bu henüz olmadı. Ancak bilgisayar korsanları, en son tedarik zinciri yazılımı saldırısı olmak için arka planda sessizce çalışıyor. Python ve PHP geliştiricileri, bildirilen birkaç başarılı hack tarafından yavaş yavaş tehlikeye giriyor. Ancak bilgisayar korsanları henüz hedeflerine ulaşamadı. Saldırdıkları paketler Python CTX ve PHP'nin phpass'ıdır. Her ikisi de uzun yıllardır işletmelere hizmet eden eski yazılım paketleridir.

Şu anda, etkilenen paketleri kullanan yazılım geliştiricileri, ancak sızıntılardaki dikkate değer artış, yazılım paketlerini de kullanan şirketlere yönelik uyarıların ateşlenmesine neden oldu.

İlginizi çekebilir: Her İşletmenin Bilmesi Gereken 12 Uç Nokta Güvenliği Türü.

İşletmelere yönelik siber saldırılardaki yaygın artış

Sadece açık kaynaklı yazılım saldırılarıyla ilgili bir sorun yoktur. Her yerde işletmelere yönelik siber saldırılarda kayda değer ve yaygın bir artış var. Örneğin Birleşik Krallık'ta hükümet kısa süre önce, işletmeleri ve hayır kurumlarını saldırılardaki keskin artış karşısında siber güvenlik uygulamalarını güçlendirmeye çağıran bir rapor yayınladı.

Pek çok kişi bunu, pek çok şirketin sanal olarak çalışmaya devam etmelerini sağlayan yazılımlara yatırım yaptığı pandemiye inanıyor. Bir çalışma, pandemi sırasında ve pandemiden sonraki aylarda saldırılarda %300 artış olduğunu buldu. Ancak tek suçlu pandemi değil – örneğin 5G de saldırıların artmasına katkıda bulunuyor. Dünya daha hızlı bant genişliği için acele ediyordu. Ancak bant genişliğini artırarak IoT cihazları saldırılara karşı daha savunmasız olacaktır.

Kuruluşlardaki siber güvenlik becerileri açığı da saldırıların artmasında rol oynuyor gibi görünüyor. Birçok çalışan, güvenli olmayan siber uygulamaların risklerini ve sonuçlarını anlamıyor. Ek olarak, birçok şirketin özel bir siber güvenlik ekibi bile olmayacak. Kimlik avı e-postaları gibi konularda eğitim vermek ve güvenli siber uygulamaları teşvik etmek yönetime bağlıdır.

Çözüm nedir?

Çözüm, açık kaynaklı yazılım kullanmayı bırakmamaktır. Güvenlik açıklarını ve ilişkili riskleri göz önünde bulundurun ve hangi açık kaynaklı yazılımın mümkün olduğunca çoğunu azaltacağını belirleyin. İşletmelerin ihtiyaçlarına en uygun yazılımı seçmeleri gerekecektir. Örneğin, daha ucuz alternatifler arayan markalar için açık kaynaklı yazılımlar daha iyi olabilir. Açık kaynaklı yazılım, genellikle kapalı kaynaklı yazılım ile aynı fiyat etiketine sahip değildir.

Kapalı kaynaklı yazılımlar, yazılımın bilgisayar korsanlarının saldırısına uğramaması için daha fazla kararlılık ve güvenlikle birlikte gelir. Yukarıda bahsedildiği gibi, açık kaynaklı yazılım, 2021'de siber saldırılarda %650 artışa neden olan büyük bir güvenlik açığına sahiptir. İşletmeler isteseler bile, güvenlik kontrollerini yürüten ve kodlamayı şifreleyenler onlar değildir. Bunu yapması gereken geliştiricilerin toplu işbirliği olacaktır.

Markalar ayrıca geliştiricilerle işbirliği yapmak için zaman ayırmalıdır. Yazılımdaki zayıflıkları belirlemeli ve yamaları yayınlandıkça uygulamalıdırlar. Equifax hackinde olduğu gibi, yazılım geliştiriciler yamayı saldırıdan günler önce yayınladı. Yamayı uyguladıkları için saldırı olmayacaktı. Benzer şekilde, düzenli güncellemelerin uygulanması önemlidir, ancak bu, güncellemelerin güvenli bir şekilde yayınlanmasını sağlamak için geliştiricilerle işbirliği yapmayı da içerir. SolarWinds örneğinde olduğu gibi, Orion sistemindeki iki güncelleme, bilgisayar korsanlarının hemen yararlandığı zayıflıkları ortaya çıkardı.

Kapalı kaynaklı yazılım, birçok marka için geçerli bir seçenek değildir. Daha iyi bir alternatif, özel bir siber güvenlik ekibine yatırım yapmak veya çalışanları eğitmek için daha fazla zaman ayırmak olabilir. Örneğin, zayıf parola uygulamalarıyla başlayan çok sayıda yüksek profilli siber saldırı, ancak çözülmesi nispeten kolay bir sorundur. 2021'de Ticketmaster'a yapılan saldırı, çalışanların güvenli parolaları olmadığında neler olabileceğinin mükemmel bir örneğidir.

Şunlar da hoşunuza gidebilir: Berbat Olmayan Bir Siber Güvenlik Politikası Yazmak İçin 17 Harika İpucu.

Son sözler

Teknik olarak konuşursak, kapalı kaynaklı yazılımlar bile açık kaynaklı yazılımlarla aynı güvenlik açıklarına sahiptir; onlar kadar belirgin değiller. İşletmeler, saygın geliştiricilerin oluşturduğu açık veya kapalı yazılımları dikkatli bir şekilde seçerek riskleri kendileri azaltabilir.

Ancak bariz olan şey, dünya çapındaki işletmeleri, özellikle de açık kaynaklı yazılım kullanan tedarik zincirlerini korumak için yapılması gerekenler. Siber saldırılardaki keskin artış, şirketlerin ve tüketicilerin siber saldırılara karşı ne kadar savunmasız olduğunu kanıtlıyor. Siber suçluların artık gelişmiş yazılımlara erişimi var. Geliştiricilerin ve markaların saldırıları önlemek için daha fazla siber güvenlik konusunda bilgili olmaları gerekiyor.