Atvērtais pirmkods varētu nozīmēt atvērtas durvis hakeriem

Iespēja piekļūt atvērtā pirmkoda lietojumprogrammu kodam var dot uzbrucējiem priekšrocības programmatūras ekspluatācijas izstrādē, liecina dokuments, kurā analizēti divu gadu uzbrukuma dati.





Rakstā, kas tiks prezentēts šonedēļ Informācijas drošības ekonomikas seminārā, tika korelēti 400 miljoni brīdinājumu no ielaušanās atklāšanas sistēmām ar zināmiem mērķa programmatūras atribūtiem un ievainojamībām. Dati apstiprina apgalvojumu, ka atklātā pirmkoda programmatūras trūkumiem ir tendence uzbrūk ātrāk un biežāk nekā slēgtā koda programmatūras ievainojamībām, saka Sems Ransbotams, Bostonas koledžas Kerola vadības skolas docents un darba autors.

Izmantojot nelineāro regresiju un citus modeļus, Ransbotham atklāja, ka uzbrukumi atvērtā pirmkoda programmatūras ievainojamībām notika trīs dienas ātrāk un gandrīz par 50 procentiem biežāk. Ransbotham apgalvo, ka zināšanas par to, kā izmantot noteiktu ievainojamību, izplatās līdzīgi tehnoloģisko jauninājumu izplatībai.

Ja jūs domājat par visu šo lietu kā spēli starp labajiem puišiem un sliktajiem puišiem, samazinot slikto puišu piepūli, viņiem ir daudz lielāks stimuls agrāk izmantot mērķus un uzbrukt vairāk firmām, saka Ransbotams.



Raksts, iespējams, atsāks debates starp atvērtā koda un slēgtā koda izstrādes modeļu aizstāvjiem, kuri strīdas, vai atvērtā koda operētājsistēma Linux ir drošāka par Windows vai Mozilla atvērtā koda pārlūkprogramma Firefox ir drošāka par Microsoft Internet Explorer. . Atvērtā koda atbalstītāji apgalvo, ka koda pieejamība ļauj labajiem puišiem ātrāk atrast kļūdas, savukārt kritiķi apgalvo, ka vairāk uzbrucēju nekā aizstāvji izurbjas caur kodu, tāpēc neto efekts ir sliktāka drošība.

Pētījumā tika izmantoti brīdinājumu dati, kas iegūti no ielaušanās atklāšanas sistēmām, kuras 960 uzņēmumu vārdā pārvalda drošības pakalpojumu sniedzējs SecureWorks. Ransbotham brīdinājumus korelēja ar īpašām ievainojamībām Nacionālajā ievainojamību datubāzē (NVD), kas ir liela informācijas kolekcija par programmatūras trūkumiem, ko pārvalda Nacionālais standartu un tehnoloģiju institūts. Lai gan NVD uzskaita ievainojamības vairāk nekā 13 000 programmatūras produktu 2006. un 2007. gadam, divus gadus, no kuriem tika izmantoti brīdinājumu dati, tikai pusi produktu varēja klasificēt kā atvērtā vai slēgtā pirmkoda produktus, saka Ransbotams.

Saistot šos datus ar ielaušanās atklāšanas sistēmu spēju atpazīt uzbrukumu neaizsargātai sistēmai, Ransbotham izveidoja sarakstu ar 883 ievainojamībām apstiprinātā atvērtā vai slēgtā koda programmatūrā, kurām var atpazīt uzbrukumus. Viņš arī klasificēja ievainojamības pēc citiem atribūtiem, piemēram, cik sarežģīti būtu uzbrucējiem izmantot šo trūkumu un vai brīdī, kad tika ziņots par ievainojamību, ielaušanās noteikšanas sistēmām bija pieejams paraksts.



Galu galā tikai 97 no 883 ievainojamībām divu gadu laikā bija uzbrucēju mērķis. Tomēr tas veido 111 miljonus jeb aptuveni ceturto daļu no brīdinājumiem. Atlikušos brīdinājumus var attiecināt uz uzbrukumiem programmatūrai, ko nevar klasificēt kā atvērtā vai slēgtā koda, uzbrukumiem ievainojamībām, kurām nebija identificējoša atribūta, vai viltus pozitīviem rezultātiem.

Savā analīzē Ransbotams atklāja, ka uzbrukumi atvērtā pirmkoda programmatūras ievainojamībām notika ātrāk nekā uzbrukumi slēgtā pirmkoda programmatūrai, kā noteikts katra uzņēmuma pirmajā ziņojumā par ievainojamību. Turklāt vidēji lielāks skaits uzņēmumu tika vērsti pret uzbrukumiem katrai ievainojamībai. Tomēr abos gadījumos uzbrukumu skaits galu galā bija piesātināts.

Kad aizsargi izņem savus ielāpus, uzbrucējiem ir lielāks stimuls pāriet uz citu izmantošanu, saka Ransbotams.



Iespēja piekļūt atvērtā pirmkoda kodam nav vienīgā priekšrocība, kas tiek piešķirta uzbrucējiem. Ransbotham analīze parādīja korelāciju starp parakstu esamību, ko izmantoja dažādi drošības produkti, lai saskaņotu zināmu modeli ar trūkumu, un agrākiem uzbrukumiem, kas liecina, ka atjauninājumi, ko aizstāvji izmantoja, lai uzlabotu savu aizsardzību, patiešām palīdz uzbrucējiem.

Tas man liecina, ka šis paraksts palīdz cilvēkiem… sniedzot viņiem norādes par to, kā izmantot ievainojamību, saka Ransbotams.

Citi pētījumi liecina, ka paraksti un citi aizsardzības pasākumi nopludina informāciju uzbrucējiem. 2007. gadā divi drošības konsultanti aprakstīja parakstu izmantošanu no populāras ielaušanās noteikšanas sistēmas, lai izveidotu uzbrukuma kodu. 2008. gadā akadēmiskie pētnieki izveidoja sistēmu potenciāla izmantošanas koda ģenerēšanai, pamatojoties uz programmatūras uzņēmumu izdoto ielāpu automātisku analīzi.



Tomēr drošības speciālisti brīdina pārāk daudz neiedziļināties Ransbotemas analīzē. Daudzi faktori var izkropļot datus, saka Deivids Aitels, drošības firmas Immunity galvenais tehnoloģiju speciālists, kas starp saviem pakalpojumiem rada ekspluatācijas iespējas, lai pārbaudītu korporatīvā tīkla aizsardzību. Saskaņā ar Ransbotham dokumentu tikai 30 no 97 ievainojamībām, uz kurām vērsās uzbrucēji, bija atvērtā pirmkoda programmatūrā, kas nozīmē, ka salīdzinoši nedaudzām ievainojamībām tika uzbrukts daudz biežāk, saka Aitels. Viņš apgalvo, ka uzbrucēji var bez izšķirības pārņemt uzņēmuma tīklu ar uzbrukumiem salīdzinoši nesvarīgai atvērtā pirmkoda programmatūrai, vienlaikus koncentrējoties uz nopietnākiem uzbrukumiem nozīmīgākām sistēmām, kurās darbojas slēgta pirmkoda programmatūra.

Tā kā Immunity klienti visvairāk uztraucas par sistēmām, kurās darbojas slēgta pirmkoda programmatūra, piemēram, Microsoft Windows, Internet Explorer, Adobe Acrobat un Sun's Java, Immunity pētnieki mēģina izmantot slēgtā pirmkoda programmatūras trūkumus 24 stundu laikā pēc tam, kad par tiem pirmo reizi ziņots. Atvērtā pirmkoda programmatūras ievainojamībām tiek piešķirta daudz zemāka prioritāte.

Viņš saka, ka vispārēja secinājuma izdarīšana, ka atvērtā pirmkoda programmatūru ir vieglāk izmantot, noteikti nav taisnība. Jūs varat izdarīt tieši pretēju secinājumu, izmantojot [izpētes vietnēs, piemēram,] Packetstorm pieejamos ekspluatācijas veidus.

Citi drošības speciālisti pauž plašāku skatījumu, ka runa ir mazāk par atvērto vai slēgto avotu, bet vairāk par to, kā uzņēmums izstrādā savu programmatūru. Uzbrucēji galu galā var iegūt informāciju, kas vajadzīga, lai izmantotu kļūdu, izmantojot automatizētu uzbrukuma programmatūru, reversās inženierijas ielāpus vai kaut kādā veidā iegūstot piekļuvi avota kodam, tāpēc uzņēmumiem tas būtu jārēķinās, saka Gerijs Makgrovs, Cigital galvenais tehnoloģiju speciālists. programmatūras drošības konsultācijas.

Tas ir mīts, ka jums ir jābūt pirmkodam, lai izmantotu ievainojamības, saka McGraw. Jums (programmatūras izstrādātājiem) ir jāapzinās, ka jūsu programmatūra ir pieejama, un jūs sniedzat uzbrucējam visu nepieciešamo, lai to izmantotu.

paslēpties