Zero
Tecnologie Open-source sono popolare e i servizi offerti da la più grande tecnologia e società di Internet in tutto il mondo.
Un audit condotto da Black Duck software stima che il 96% delle applicazioni di uso comune nell’impresa utilizzare componenti open-source.
I progetti Open source sono fondamentali per il tessuto di moderni software e sviluppatori di talento migliaia di dedicare il loro tempo per creare software e componenti critici che usiamo oggi.
Tuttavia, la natura di un software open source può permettere di vulnerabilità e bug per passare inosservati, a volte per decenni.
Vari bug bounty programmi, come ad esempio Google Patch Premi, che sono stati in esecuzione per anni, ma i problemi possono ancora scivolare attraverso la rete.
Non tutti open-source bug sono creati uguali. Una sexy e promette di doom per qualsiasi software che si basa su componenti open-source-come librerie, sono stati utilizzati in precedenza semplicemente per pubblicità da parte di alcune aziende.
Come riportato da ZDNet Steven J. Vaughan-Nichols, il caso di GoSecure e il “Caos” bug potrebbe essere incluso nella lista, come la “vulnerabilità” necessaria bruta, costringendo le credenziali inizio, che è possibile solo quando è debole o lax le password sono in uso.
Tuttavia, ci sono ancora casi in cui i sistemi open source e il software di sovrapposizione di base su di loro si sono piazzati al rischio reale.
Equifax, per esempio, ha accusato l’uso di componenti open-source come motivo l’azienda divenne vittima di una violazione dei dati con conseguente esposizione di 145,5 milioni di US record.
Nomi, numeri di previdenza sociale, data di nascita e indirizzi di casa, come pure parziale patente dettagli, potrebbe essere stata rubata.
Questa vulnerabilità crede di essere la colpa è stata in Apache Struts.
In risposta a Equifax pretese, Apache Struts Progetto del Comitato di Gestione, ha detto che gli aggressori “sia utilizzato un precedente annunciato vulnerabilità su una patch Equifax server o sfruttato una vulnerabilità di non sapere, a questo punto nel tempo-un cosiddetto” zero-day exploit.”
Si è scoperto essere un ex. CVE-2017-5638 è stato identificato e da NOI comunicati CERT e patchato due mesi prima che la violazione dei dati ha avuto luogo.
Tuttavia, Equifax non aggiornare i propri sistemi.
Quando open-source vulnerabilità fanno notizia, è spesso il caso che il software non è in errore; ma, piuttosto, le organizzazioni non riescono a mantenere l’patch processi che consentono di risolvere le vulnerabilità critiche in un ragionevole lasso di tempo-o a causa di una mancanza di comprensione, loro non possono sapere che componenti open-source sono in uso.
Vedi anche: Open-source vulnerabilità peste enterprise codebase sistemi
Il Equifax debacle evidenziato l’importanza di mantenere i sistemi up-to-date, ma ci sono altri open-source bug che vengono lasciate in sospeso, troppo, a scapito di aziende in tutto il mondo.
HeartBleed, la vulnerabilità CVE-2014-0160, è estremamente pericolosa falla di sicurezza di OpenSSL. La vulnerabilità è stata scoperta in OpenSSL 1.01 nel 2014, che al momento è stato utilizzato da circa i due terzi di tutti i siti web protetti.
OpenSSL ha agito come un default di codice open-source biblioteca per Apache e NGINX server web. Il HeartBleed falla di sicurezza consente a un utente malintenzionato remoto per esporre dati sensibili, anche di credenziali di autenticazione utente e chiavi segrete, attraverso errata gestione della memoria.
Una patch è stata rilasciata il 7 aprile 2014. Dal 2017, questo problema è ancora presente in quasi 200.000 server in tutto il mondo.
Vedi anche: Come recuperare da Heartbleed
Un altro giocatore dal 2014 è ShellShock, CVE-2014-6271, un bug che è presente in Bash per più di due decenni e ha il potenziale per aprire Unix, Linux, e Mac server di gravi attacchi.
Lo sfruttamento del bug-che ha ottenuto un punteggio di CVSS punteggio di 10 — in natura report previsti dalla sicurezza informatica ai professionisti che hanno osservato l’esecuzione del payload tra cui malware contagocce, inversione di conchiglie e backdoor, esfiltrazione dei dati, e distributed denial-of-service (DDoS).
ShellShock è ancora considerato un problema, anche oggi. Il motivo? Secondo IBM X-Force di ricercatori, è “molto basso attacco”, in quanto richiede solo competenze di programmazione di base — e alcuni server sono ancora vulnerabili, nonostante una patch disponibili per anni.
Decifratura RSA Obsoleti e Indebolito la crittografia (Annegare), prima reso pubblico nel 2016, è una vulnerabilità di OpenSSL che utilizza un obsoleto di un protocollo di sicurezza Secure Sockets Layer (SSLv2), per attaccare i siti web, rompere la crittografia e rubare informazioni sensibili.
TechRepublic: 8 ostacoli che deve superare se vogliono il successo per l’open source
Al momento della scoperta, è stato stimato che Annegare potrebbe dirottare il quasi il 30 per cento di tutti i server HTTPS, il che è stato creduto di essere di circa 11 milioni di siti web. Yahoo, Sina, e Alibaba erano presenti tra quelli esposti.
I server che hanno ancora SSLv2 abilitato sono ancora vulnerabili a un attacco.
Componenti Open-source si trovano in molti servizi e sistemi e senza di loro, non saremmo tecnologicamente avanzato, come siamo oggi.
Tuttavia, ci sono latenti vulnerabilità che, se resa pubblica, richiedono alle aziende di setacciare loro sistemi per verificare se l’utilizzo di particolari componenti, e se è così, patch rapidamente.
Come il costo medio di una violazione dei dati ha raggiunto $3.86 milioni di euro, lo sforzo vale la pena.
Secondo un recente Snyk indagine, il 69 per cento di Red Hat Linux vulnerabilità sono fissati all’interno di una giornata di divulgazione al pubblico, e il 90 per cento sono stati fissati entro 14 giorni.
Tuttavia, solo il 25 per cento di codice open-source manutentori di avvisare gli utenti di vulnerabilità e solo il 10 per cento del file di un CVE, secondo la ricerca.
Il Equifax incidente a causa di un bug che è stato corretto, sfrutta emerso solo il giorno dopo, e nel giro di due mesi, questo ha causato uno dei più grandi violazioni di dati per data. Questo dovrebbe servire come un promemoria per entrambi open-source, gli sviluppatori e le aziende approfittando di componenti open-source che la sicurezza non è responsabilità di solo uno o l’altro, ma piuttosto, deve essere uno sforzo di collaborazione.
Precedente e relativa copertura
Falso Linux vulnerabilità ottiene pubblicità Open source: Perché è il momento di essere più aperti su come progetti di software Open source: La questione della sicurezza
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0