Nul
Open-source technologieën zijn te vinden in populaire diensten aangeboden door de grootste technologie-en Internet-bedrijven over de hele wereld.
Een controle die is uitgevoerd door Zwarte Eend software schat dat 96 procent van de meest gebruikte toepassingen in de onderneming gebruik maken van open-source componenten.
Open-source projecten zijn essentieel om de stof van de moderne software en getalenteerde ontwikkelaars door de duizenden van hun tijd aan het maken van software en kritische componenten die we gebruiken vandaag de dag.
Echter, de aard van open-source software kunnen voor kwetsbaarheden en bugs onopgemerkt, soms voor tientallen jaren.
Diverse bug bounty ‘programma’ s zoals Google Patch Beloningen, loopt al jaren, maar problemen kunnen nog steeds door de mazen van het net.
Niet alle open-source fouten zijn gemaakt gelijk. Een sexy naam en beloften van doom tot enige software die is gebaseerd op open-source componenten, zoals bibliotheken — reeds gebruikt zijn gewoon voor publiciteit door een aantal bedrijven.
Zoals gerapporteerd door ZDNet ‘ s Steven J. Vaughan-Nichols, het geval van GoSecure en de “Chaos” bug kan worden opgenomen in de lijst, als de “kwetsbaarheid” vereist brute-forcing referenties in het begin, dat is alleen mogelijk als zwak of lax wachtwoorden zijn in gebruik.
Echter, er zijn nog zaken in die open-source systemen en de overlay-software afhankelijk van hen worden geplaatst op de werkelijke risico.
Equifax, bijvoorbeeld, is de schuld van het gebruik van open-source componenten, zoals de reden van het bedrijf werd het slachtoffer van een schending van de beveiliging die resulteert in de blootstelling van 145,5 miljoen US records.
Namen, sofi-nummers, geboortedata en adressen, alsmede de gedeeltelijke rijbewijs details, kan gestolen zijn.
Deze kwetsbaarheid geloofd te worden in de fout was in Apache Struts.
In reactie op Equifax de vorderingen, de Apache Struts, Project Management Committee zei dat de aanvallers “, ofwel een eerder aangekondigde kwetsbaarheid op een niet-gepatchte Equifax server of misbruik wordt gemaakt van een kwetsbaarheid niet bekend op dit punt in de tijd — een zogenaamde ‘ zero-day exploit.”
Het bleek de eerste. CVE-2017-5638 werd vastgesteld en bekendgemaakt door ONS CERT en gecorrigeerd twee maanden voordat de data overtreding plaatsvond.
Echter, Equifax niet een update van de systemen.
Als open-source kwetsbaarheden maken het nieuws, is het vaak het geval dat de software zelf is niet de schuld; maar organisaties zijn niet te handhaven patch processen die het oplossen van kritieke kwetsbaarheden in een redelijke termijn — of te wijten aan een gebrek aan begrip, ze kunnen niet weten welke open-source componenten zijn in gebruik.
Zie ook: Open-source kwetsbaarheden pest enterprise codebase systemen
De Equifax debacle is gewezen op het belang van het houden van systemen up-to-date, maar er zijn ook andere open-source bugs die worden onopgelost, ook ten nadele van de bedrijven wereldwijd.
HeartBleed, CVE-2014-0160, is een uiterst gevaarlijk gat in de beveiliging in OpenSSL. De kwetsbaarheid werd ontdekt in de OpenSSL 1.01 in 2014, in die tijd gebruikt werd door naar schatting twee derde van alle beveiligde websites.
OpenSSL gehandeld als een standaard open-source code bibliotheek voor Apache en NGINX web-servers. De HeartBleed lek kunnen aanvallers op afstand gevoelige gegevens, eventueel met inbegrip van gebruiker-verificatie van referenties en een geheime sleutel, door een onjuiste verwerking van het geheugen.
Een patch is uitgebracht op 7 April 2014. Met ingang van 2017, dit beveiligingslek was nog steeds aanwezig in bijna 200.000 servers wereldwijd.
Zie ook: Hoe om te herstellen van Heartbleed
Een andere speler van 2014 is ShellShock, CVE-2014-6271, een bug die aanwezig is geweest in Bash voor meer dan twee decennia en heeft het potentieel om Unix -, Linux-en Mac-servers tot ernstige aanvallen.
Succesvolle exploitatie van de bug — die scoorde een perfecte CVSS score van 10 — in het wild opgenomen verslagen van cybersecurity professionals die waargenomen voor de uitvoering van een nuttig laadvermogen inclusief malware droppers, reverse schelpen en backdoors, heimelijke gegevensverplaatsing, en distributed denial-of-service (DDoS) – aanvallen.
ShellShock wordt nog steeds beschouwd als een probleem, ook vandaag nog. De reden? Volgens IBM X-Force onderzoekers, het is een “zeer goedkope aanval” als het alleen vereist basic programmeren — en sommige servers zijn nog steeds kwetsbaar, ondanks een patch beschikbaar voor de jaren.
Het decoderen van RSA met Verouderd en Verzwakt encryptie (Verdrinken), voor het eerst openbaar gemaakt, in 2016, is een OpenSSL kwetsbaarheid die maakt gebruik van een verouderde security-protocol (Secure Sockets Layer SSLv2), aan te vallen websites, breken encryptie en het stelen van gevoelige informatie.
TechRepublic: 8 hindernissen moet overwinnen als ze willen open source-succes
Op het moment van de ontdekking werd geschat dat Verdrinken kon kapen bijna 30 procent van alle HTTPS-servers, die werd verondersteld om ongeveer 11 miljoen websites. Yahoo, Sina, en Alibaba waren onder degenen, die gevonden om kwetsbaar te zijn.
Servers die nog SSLv2 ingeschakeld zijn nog steeds kwetsbaar is voor aanvallen.
Open-source componenten zijn te vinden in tal van diensten en systemen en zonder hen zouden we niet zo technologisch geavanceerde, zoals vandaag de dag.
Echter, er zijn latente kwetsbaarheden die, indien openbaar gemaakt, moeten bedrijven te schuren hun systemen te vinden als ze zijn met behulp van bepaalde onderdelen, en als dat zo is, patch ze snel.
Als de gemiddelde kosten van een data-inbreuk is nu bereikt $3.86 miljoen, de inspanning is de moeite waard.
Volgens een recente Snyk enquête, 69 procent van de Red Hat Linux kwetsbaarheden worden verholpen binnen een dag van openbaarmaking, en 90 procent vast binnen 14 dagen.
Echter, slechts 25 procent van open-source code beheerders gebruikers op de hoogte stellen van kwetsbaarheden en slechts 10 procent een bestand CVE, volgens het onderzoek.
De Equifax incident te wijten was aan een fout die werd gepatcht, exploits opgedoken enige dagen later, en binnen twee maanden, dit veroorzaakt een van de grootste data-inbreuken-to-date. Dit moet dienen als een herinnering voor zowel open-source-ontwikkelaars en bedrijven het voordeel van open-source componenten die zekerheid is niet de verantwoordelijkheid van één of andere — maar, het moet een gezamenlijke inspanning.
Vorige en aanverwante dekking
Nep Linux kwetsbaarheid krijgt publiciteit Open source: Waarom is het tijd om meer open te zijn over hoe projecten draaien op Open source software: de kwestie van De beveiliging
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0