Nul
Open-source-teknologier findes i populære tjenester, der tilbydes af de største teknologi og Internet virksomheder i hele verden.
En revision foretaget af Black Duck software vurderer, at 96 procent af de almindeligt brugte programmer i virksomheden udnytte open-source komponenter.
Open source-projekter er af afgørende betydning for strukturen af moderne software og talentfulde udviklere af tusindvis give deres tid til at skabe software og kritiske komponenter, som vi alle bruger i dag.
Men karakteren af open source-software kan give mulighed for sårbarheder og fejl til at gå ubemærket hen, undertiden i årtier.
Forskellige bug bounty-programmer, såsom Google Patch Belønninger, har kørt i år, men problemer kan stadig slippe igennem nettet.
Ikke alle open source-bugs er skabt lige. Et sexet navn og løfter om dommedag til enhver software, som er baseret på open source-komponenter-som for eksempel biblioteker, — har været anvendt tidligere, blot i forbindelse med omtale af nogle virksomheder.
Som rapporteret af ZDNet ‘ s Steven J. Vaughan-Nichols, tilfælde af GoSecure og “Kaos” fejl kunne indgå i den liste, som “sårbarhed”, der kræves brute-forcing legitimationsoplysninger i starten, hvilket kun er muligt, når svage eller lax passwords er i brug.
Der er dog stadig tilfælde, hvor open source-systemer og software til understøttelse afhængigt af dem er placeret en reel risiko.
Equifax, for eksempel, har skylden for anvendelse af open source-komponenter, som er årsagen til, at virksomheden blev offer for et brud på datasikkerheden, der resulterer i eksponeringen af 145.5 millioner US records.
Navne, cpr-numre, birthdates, og hjem adresser, samt delvis kørekort detaljer, kan have været stjålet.
Denne sårbarhed, som menes at være skyld i ulykken, var i Apache Stivere.
Svar til Equifax krav, Apache Stivere Project Management Committee sagde angribere “enten bruges et tidligere annonceret sårbarhed på en ikke-opdateret Equifax server eller udnyttet en sårbarhed ikke er kendt på dette tidspunkt-et såkaldt zero-day exploit.”
Det viste sig at være tidligere. CVE-2017-5638 blev identificeret og offentliggøres af OS CERT og lappet to måneder før bruddet fandt sted.
Men, Equifax ikke opdatere sine systemer.
Når open source-sårbarheder i nyhederne, er det ofte tilfældet, at software i sig selv ikke er skyld; men snarere, at organisationer, der ikke formår at opretholde patch processer, der kan løse kritiske sårbarheder inden for en rimelig tidsramme-eller på grund af en manglende forståelse, kan de ikke vide, hvor open-source komponenter, der er i brug.
Se også: Open-source sårbarheder pest virksomheden codebase systemer
Equifax sammenbrud fremhævet vigtigheden af at holde systemer up-to-date, men der er også andre open source-fejl, der er ved at blive løst, for, til skade for virksomheder over hele verden.
HeartBleed, CVE-2014-0160, er et ekstremt farligt sikkerhedshul i OpenSSL. Sårbarheden blev opdaget i OpenSSL 1.01 i 2014, der på den tid blev brugt af skønnes, at to tredjedele af alle sikrede hjemmesider.
OpenSSL fungeret som en standard open source-kode bibliotek for Apache og NGINX web-servere. Den HeartBleed sikkerhedshul gør det muligt for angribere at fjernstyre eksponerer følsomme data, herunder eventuelt brugerens legitimationsoplysninger til godkendelse og hemmelige nøgler, gennem ukorrekt hukommelseshåndtering.
Et patch, der blev udgivet den April 7, 2014. Som i 2017, denne svaghed var stadig til stede i nærheden af 200.000-servere i hele verden.
Se også: Sådan gendannes fra Heartbleed
En anden spiller fra 2014 er ShellShock, CVE-2014-6271, en fejl, som har været til stede i Bash i over to årtier, og har potentiale til at åbne op for Unix, Linux, og Mac servere til alvorlige angreb.
Succesfuld udnyttelse af bug — hvilket fået en perfekt CVSS-score på 10 — i naturen i prisen rapporter fra cybersecurity fagfolk, der observeret udførelse af nyttelast, herunder malware, pipetter, reverse skaller og bagdøre, data exfiltration, og distribueret denial-of-service (DDoS) angreb.
ShellShock er stadig betragtes som et problem, selv i dag. Årsagen? Ifølge IBM X-Force forskere, at det er en “meget billige angreb”, som det kræver kun grundlæggende programmering færdigheder-og nogle servere er stadig sårbare, på trods af en patch, der bliver til rådighed i år.
Dekryptering med RSA Forældede og Svækket kryptering (Drukne), først offentliggjort i 2016, er en OpenSSL sårbarhed, der benytter en forældet sikkerhed-protokollen (Secure Sockets Layer SSLv2), til at angribe hjemmesider, bryde den kryptering og stjæle følsomme oplysninger.
TechRepublic: 8 hurdler, DER skal overvindes, hvis de ønsker, at open source-succes
På tidspunktet for opdagelsen, blev det anslået at Drukne kunne kapre tæt på 30 procent af alle HTTPS-servere-hvilket var menes at være omkring 11 millioner hjemmesider. Yahoo, Sina, og Alibi, var blandt dem, der er fundet at være udsatte.
Servere, der stadig har SSLv2 aktiveret er stadig sårbare over for angreb.
Open-source komponenter, der er fundet i mange tjenester og systemer, og uden dem ville vi ikke være så teknologisk avancerede, som vi er i dag.
Men, der er latente svagheder, der, når der stilles til offentligheden, kræve, at selskaberne at gennemsøge deres systemer, for at finde ud af, om de bruger bestemte komponenter, og hvis det er tilfældet, patch til dem hurtigt.
Som de gennemsnitlige omkostninger af data, brud, er nu nået til $3.86 millioner, indsatsen er det værd.
Ifølge en nylig Snyk undersøgelsen, at 69 procent af Red Hat Linux sårbarheder er rettet inden for en dag af en offentliggørelse, og 90 procent var fast inden for 14 dage.
Men kun 25 procent af open-source kode vedligeholdere informere brugere af sårbarheder og kun 10 procent fil et CVE, ifølge forskning.
Equifax hændelse var på grund af en fejl, der var lappet, udnytter dukket op, kun få dage senere, og inden for to måneder, dette forårsagede en af de største brud på datasikkerheden til dato. Dette skal tjene som en påmindelse om både open source-udviklere og virksomheder at drage fordel af open source-komponenter, at sikkerhed er ikke ansvaret for bare det ene eller det andet-men snarere, at det skal være et samarbejde.
Tidligere og relaterede dækning
Falske Linux sårbarhed får omtale Open source: Hvorfor er det tid til at være mere åben om, hvordan projekterne kører Open source software: spørgsmålet om sikkerhed
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0