Noll
Öppen källkod finns i populära tjänster som erbjuds av de största teknik-och Internet-företag över hela världen.
En revision som utförs av Svart Anka software bedömer att 96 procent av de vanligast förekommande applikationer i företaget använda sig av open-source-komponenter.
Open-source projekt som är kritiska till tyg av modern programvara och talangfulla utvecklare av tusentals ger av sin tid för att skapa programvara och kritiska komponenter som vi alla använder i dag.
Men den typ av öppen källkod kan medge svagheter och fel att gå obemärkt förbi, ibland i decennier.
Olika bug bounty program, till exempel Google Patch Belöningar, har varit igång i flera år utan problem fortfarande kan slinka igenom nätet.
Inte alla open-source buggar är skapade lika. En sexig namn och lovar of doom på någon programvara som bygger på öppen källkod komponenter-såsom bibliotek — har använts tidigare bara för publicitet genom att vissa företag.
Det rapporterar ZDNet Steven J. Vaughan-Nichols, det gäller GoSecure och “Kaos” bugg som kan ingå i den lista, som “sårbarhet” som krävs brute-tvinga referenser i början, vilket inte är möjligt när svaga eller lax lösenord är i användning.
Men det finns fortfarande fall där open-source system och overlay software beroende på dem placeras på verklig risk.
Equifax, till exempel, har skulden användning av open-source-komponenter som anledningen till att företaget blev utsatt för ett dataintrång som resulterar i att exponering av 145,5 miljoner US-poster.
Namn, personnummer, födelsedatum, hemadress, samt delvis körkort detaljer, kan ha stulits.
Denna sårbarhet tros vara på fel i Apache Struts.
Svar till Equifax påståenden, Apache Struts projektledning Kommittén sade att angriparna “som antingen används ett tidigare meddelat sårbarhet på en okorrigerad Equifax server eller utnyttjade en sårbarhet inte är känd vid denna tidpunkt-en så kallade zero-day exploit.”
Det visade sig vara den första. CVE-2017-5638 identifierades och lämnas ut av OSS CERT och lappade två månader innan data överträdelsen ägde rum.
Men, Equifax inte uppdatera sina system.
När open-source sårbarheter som gör nyheter, det är ofta så att den programvara som i sig är inte fel, utan snarare att organisationer misslyckas med att upprätthålla patch processer som löser en kritisk sårbarhet i rimlig tid-eller på grund av bristande förståelse, de vet kanske inte vad som open-source-komponenter används.
Se även: Öppen källkod sårbarheter plåga företag codebase system
Equifax debaclet betonade vikten av att hålla systemen uppdaterade, men det finns andra open-source buggar som lämnas olösta, till nackdel för företag världen över.
HeartBleed, CVE-2014-0160, är ett mycket farligt säkerhetshål i OpenSSL. Den sårbarhet upptäcktes i OpenSSL 1.01 2014, som på den tiden användes av uppskattningsvis två tredjedelar av alla säkra webbplatser.
OpenSSL fungerat som en standard open-source kod bibliotek för Apache och NGINX webbserver. Den HeartBleed säkerhetsproblem gör det möjligt för angripare att på distans avslöja känsliga uppgifter, eventuellt inklusive användarens autentiseringsuppgifter och hemliga nycklar, genom felaktig minne hantering.
En patch släpptes den 7 April, 2014. Från och med 2017, denna sårbarhet var fortfarande närvarande i nära 200 000 servrar över hela världen.
Se även: återställa från Heartbleed
En annan spelare från och med 2014 är ShellShock, CVE-2014-6271, ett fel som har funnits i Bash för över två decennier och har potential att öppna upp Unix, Linux, och Mac-servrar till allvarliga attacker.
Framgångsrikt utnyttjande av en bugg-som fått en perfekt CVSS betyg av 10 — i naturen ingår rapporter från it-proffs som observerats genomförandet av last inklusive malware droppers, omvänd skal och bakdörrar, data exfiltration, och distribuerade denial-of-service (DDoS) attacker.
ShellShock är fortfarande anses vara ett problem även i dag. Anledningen? Enligt IBM X-Force forskare, det är ett “mycket låga attack” som det endast krävs grundläggande kunskaper i programmering — och vissa servrar är fortfarande sårbar, trots en patch finns tillgänglig för år.
Dekryptera RSA med Föråldrade och Försvagade kryptering (Drunkna), först göras offentliga i och med 2016, är en OpenSSL sårbarhet som använder sig av ett föråldrat säkerhet-protokollet (Secure Sockets Layer SSLv2), för att attackera webbplatser, bryta kryptering och stjäla känslig information.
TechRepublic: 8 hinder som måste övervinnas om man vill ha open source framgång
Vid tiden för upptäckt, det var uppskattat att Drunkna kan kapa nära 30 procent av alla HTTPS-servrar — som tros vara cirka 11 miljoner webbplatser. Yahoo, Sina, och Alibaba var bland de som finns att vara sårbar.
Servrar som fortfarande har SSLv2 aktiverad är fortfarande sårbara för angrepp.
Open-source-komponenter finns i många tjänster och system, och utan dem skulle vi inte vara lika tekniskt avancerade som vi är idag.
Det finns dock latent sårbarheter som, när de görs offentliga, vilket kräver att företag hittar sina system för att ta reda på om de använder vissa komponenter, och om så är fallet, patch dem snabbt.
Som den genomsnittliga kostnaden för ett dataintrång har nu kommit till 3,86 usd miljoner, det är värt det.
Enligt en färsk Snyk undersökning, 69 procent av Red Hat Linux säkerhetsproblem korrigeras inom en dag för offentliggörande, och 90 procent har åtgärdats inom 14 dagar.
Men bara 25 procent av öppen källkod ansvariga att meddela användarna av sårbarheter och endast 10 procent fil en CVE, enligt forskning.
Equifax incidenten var på grund av en bugg som var lappade, utnyttjar dykt upp bara dagar senare, och inom två månader, detta orsakade en av de största dataintrång till dag. Detta bör tjäna som en påminnelse för både open-source utvecklare och företag att dra nytta av open-source-komponenter som säkerhet är inte ansvarig för bara det ena eller det andra-utan snarare, det måste vara en gemensam ansträngning.
Tidigare och relaterade täckning
Falska Linux sårbarhet får publicitet Öppen källkod: Varför det är dags att vara mer öppen om hur projekt drivs med Öppen källkod: frågan om säkerhet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0