Λογότυπο Zephyrnet

Generative Data Intelligence

Κυβερνασφάλεια

Το XZ Utils Scare αποκαλύπτει σκληρές αλήθειες στην ασφάλεια λογισμικού

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 82

Η πρόσφατη ανακάλυψη μιας κερκόπορτας στο βοηθητικό πρόγραμμα συμπίεσης δεδομένων XZ Utils - που υπάρχει σε όλες σχεδόν τις μεγάλες διανομές Linux - είναι μια έντονη υπενθύμιση ότι οι οργανισμοί που καταναλώνουν στοιχεία ανοιχτού κώδικα έχουν τελικά την ευθύνη για την ασφάλεια του λογισμικού.

Το XZ Utils, όπως και χιλιάδες άλλα έργα ανοιχτού κώδικα, λειτουργεί εθελοντικά και, στην περίπτωσή του, έχει έναν μόνο συντηρητή που το διαχειρίζεται. Τέτοια έργα έχουν συχνά ελάχιστους έως καθόλου πόρους για τη διαχείριση ζητημάτων ασφάλειας, πράγμα που σημαίνει ότι οι οργανισμοί χρησιμοποιούν το λογισμικό με δική τους ευθύνη. Αυτό σημαίνει ότι οι ομάδες ασφάλειας και ανάπτυξης πρέπει να εφαρμόσουν μέτρα για τη διαχείριση του κινδύνου ανοιχτού κώδικα με τον ίδιο τρόπο που κάνουν με τον εσωτερικά αναπτυγμένο κώδικα, λένε ειδικοί σε θέματα ασφάλειας.

«Αν και είναι απίθανο ένας οργανισμός να αποτρέψει αποτελεσματικά [όλες] την έκθεση σε κινδύνους της εφοδιαστικής αλυσίδας, οι οργανισμοί μπορούν απολύτως να εστιάσουν σε μια στρατηγική για να μειώσουν την πιθανότητα επιτυχίας μιας επίθεσης στην εφοδιαστική αλυσίδα», λέει ο Jamie Scott, ιδρυτικός διευθυντής προϊόντων στην Endor Labs.

Ο ανοιχτός κώδικας δεν είναι το ίδιο με την εξωτερική ανάθεση: «Οι συντηρητές λογισμικού ανοιχτού κώδικα είναι εθελοντές. Σε επίπεδο βιομηχανίας, πρέπει να τα αντιμετωπίζουμε ως τέτοια. Διαθέτουμε το λογισμικό μας. είμαστε υπεύθυνοι για το λογισμικό που επαναχρησιμοποιούμε."

Καλοπροαίρετοι, με λιγότερες πηγές

Ανησυχίες σχετικά με την ασφάλεια λογισμικού ανοιχτού κώδικα δεν είναι καθόλου καινούργια. Αλλά συχνά απαιτούνται ανακαλύψεις όπως η Ευπάθεια Log4Shell και την backdoor στο XZ Utils για να καταλάβετε πόσο ευάλωτοι είναι οι οργανισμοί στα στοιχεία του κώδικά τους. Και συχνά, ο κώδικας προέρχεται από καλοπροαίρετα αλλά απελπιστικά έργα ανοιχτού κώδικα που δεν διαθέτουν πόρους, τα οποία διατηρούνται ελάχιστα.

Το XZ Utils, για παράδειγμα, είναι ουσιαστικά ένα έργο ενός ατόμου. Ένα άλλο άτομο τα κατάφερε βάλτε κρυφά την πίσω πόρτα στο βοηθητικό πρόγραμμα σε μια περίοδο σχεδόν τριών ετών, κερδίζοντας σταδιακά αρκετή εμπιστοσύνη από τον συντηρητή του έργου. Αν ένας προγραμματιστής της Microsoft δεν το είχε τύχει στα τέλη Μαρτίου όταν διερεύνησε περίεργη συμπεριφορά που σχετίζεται με μια εγκατάσταση του Debian, το backdoor θα μπορούσε κάλλιστα να είχε καταλήξει σε εκατομμύρια συσκευές παγκοσμίως — συμπεριλαμβανομένων εκείνων που ανήκουν σε μεγάλες εταιρείες και κυβερνητικούς φορείς. Όπως αποδείχθηκε, το backdoor είχε ελάχιστο αντίκτυπο επειδή επηρέασε τις εκδόσεις του XZ Utils που υπήρχαν μόνο σε ασταθείς και beta εκδόσεις των Debian, Fedora, Kali, open SUSE και Arch Linux.

Ο επόμενος τέτοιος συμβιβασμός κώδικα ανοιχτού κώδικα θα μπορούσε να είναι πολύ χειρότερος. «Το πιο τρομακτικό μέρος για τους επιχειρηματικούς οργανισμούς είναι ότι οι εφαρμογές τους είναι χτισμένες πάνω σε έργα λογισμικού ανοιχτού κώδικα όπως το XZ Utils», λέει ο Donald Fischer, συνιδρυτής και Διευθύνων Σύμβουλος της Tidelift. «Το XZ Utils είναι ένα πακέτο δεκάδων χιλιάδων που χρησιμοποιούνται καθημερινά από τυπικούς επιχειρηματικούς οργανισμούς», λέει.

Οι περισσότεροι από αυτούς τους οργανισμούς δεν έχουν επαρκή ορατότητα σχετικά με την ασφάλεια και την ανθεκτικότητα αυτού του τμήματος της αλυσίδας εφοδιασμού λογισμικού τους ώστε να είναι σε θέση να αξιολογήσουν τον κίνδυνο, σημειώνει.

Μια πρόσφατη Harvard Business School Η μελέτη υπολόγισε ότι η αξία από την πλευρά της ζήτησης του λογισμικού ανοιχτού κώδικα είναι εκπληκτικά 8.8 τρισεκατομμύρια δολάρια. Οι συντηρητές βρίσκονται στον πυρήνα αυτού του οικοσυστήματος και πολλοί από αυτούς πετούν μόνοι τους, λέει ο Fischer. Μια έρευνα που διεξήχθη από την Tidelift πέρυσι διαπίστωσε ότι το 44% των συντηρητών έργων ανοιχτού κώδικα περιγράφουν τον εαυτό τους ως τους μοναδικούς συντηρητές των έργων τους. Το XNUMX% αυτοπροσδιορίστηκε ως απλήρωτοι χομπίστες και το ίδιο ποσοστό είπε ότι είτε τα παράτησε είτε σκέφτηκε να παραιτηθεί από τους ρόλους του ως συντηρητές έργων. Πολλοί συντηρητές περιέγραψαν τις προσπάθειές τους ως αγχωτική, μοναχική και οικονομικά μη ανταποδοτική εργασία, λέει ο Fischer.

«Το χακάρισμα XZ utils φέρνει σε πλήρη ανακούφιση τους κινδύνους της ανεπαρκούς επένδυσης στην υγεία και την ανθεκτικότητα της αλυσίδας εφοδιασμού λογισμικού ανοιχτού κώδικα [στην οποία βασίζονται] οι επιχειρήσεις», λέει ο Fischer. «Οι επιχειρηματικοί οργανισμοί πρέπει να συνειδητοποιήσουν ότι η πλειονότητα των πιο αξιόπιστων πακέτων ανοιχτού κώδικα διατηρούνται από εθελοντές που περιγράφουν τους εαυτούς τους ως μη αμειβόμενους χομπίστες. Αυτοί οι συντηρητές δεν είναι προμηθευτές επιχειρήσεων, αλλά αναμένεται να εργάζονται και να παραδίδουν όπως αυτοί».

Κίνδυνος: Μεταβατικές εξαρτήσεις

A μελέτη που πραγματοποίησε η Endor το 2022 διαπίστωσε ότι το 95% των τρωτών σημείων ανοιχτού κώδικα υπάρχουν σε λεγόμενες μεταβατικές εξαρτήσεις ή δευτερεύοντα πακέτα ανοιχτού κώδικα ή βιβλιοθήκες από τις οποίες μπορεί να εξαρτάται ένα πρωτεύον πακέτο ανοιχτού κώδικα. Συχνά, αυτά είναι πακέτα που οι προγραμματιστές δεν επιλέγουν απευθείας οι ίδιοι, αλλά χρησιμοποιούνται αυτόματα από ένα πακέτο ανοιχτού κώδικα στο αναπτυξιακό τους έργο.

«Για παράδειγμα, όταν εμπιστεύεστε ένα πακέτο Maven, κατά μέσο όρο υπάρχουν επιπλέον 14 εξαρτήσεις που εμπιστεύεστε σιωπηρά ως αποτέλεσμα», λέει ο Scott. "Αυτός ο αριθμός είναι ακόμη μεγαλύτερος σε ορισμένα οικοσυστήματα λογισμικού όπως το NPM όπου κατά μέσο όρο εισάγετε 77 άλλα στοιχεία λογισμικού για κάθε ένα που εμπιστεύεστε."

Ένας τρόπος για να αρχίσετε να μετριάζετε τους κινδύνους ανοιχτού κώδικα είναι να δώσετε προσοχή σε αυτές τις εξαρτήσεις και να είστε επιλεκτικοί σχετικά με τα έργα που θα επιλέξετε, λέει.

Οι οργανισμοί θα πρέπει να ελέγχουν τις εξαρτήσεις, ειδικά τα μικρότερα, μεμονωμένα πακέτα, που επανδρώνονται από ομάδες ενός και δύο ατόμων, προσθέτει Δημήτρης Στυλιάδης, CTO και συνιδρυτής της Endor. Θα πρέπει να καθορίσουν εάν οι εξαρτήσεις στο περιβάλλον τους έχουν κατάλληλους ελέγχους ασφαλείας ή εάν ένα μεμονωμένο άτομο δεσμεύει όλο τον κώδικα. εάν έχουν δυαδικά αρχεία στα αποθετήρια τους για τα οποία κανείς δεν γνωρίζει. ή ακόμα κι αν κάποιος διατηρεί ενεργά το έργο καθόλου, λέει ο Στυλιάδης.

«Εστιάστε τις προσπάθειές σας στη βελτίωση της αποτελεσματικότητας απόκρισής σας — οι θεμελιώδεις έλεγχοι, όπως η διατήρηση ενός ώριμου αποθέματος λογισμικού, παραμένουν ένα από τα προγράμματα υψηλότερης αξίας που μπορείτε να έχετε για να εντοπίσετε γρήγορα, να καλύψετε και να ανταποκριθείτε σε κινδύνους λογισμικού μόλις εντοπιστούν», Scott συμβουλεύει.

Τα εργαλεία ανάλυσης σύνθεσης λογισμικού, οι σαρωτές ευπάθειας, τα συστήματα EDR/XDR και τα SBOM μπορούν επίσης να βοηθήσουν τους οργανισμούς να εντοπίζουν γρήγορα ευάλωτα και διακυβευμένα στοιχεία ανοιχτού κώδικα.

Αναγνώριση της Απειλής

«Ο μετριασμός της έκθεσης ξεκινά με την κοινή κατανόηση και αναγνώριση στο C-suite και ακόμη και σε επίπεδο συμβουλίου ότι περίπου το 70% των συστατικών του μέσου προϊόντος λογισμικού είναι λογισμικό ανοιχτού κώδικα που δημιουργήθηκε ιστορικά από ως επί το πλείστον μη αποζημιωμένους συνεισφέροντες», λέει ο Fischer του Tidelift.  

Νέοι κανονισμοί και κατευθυντήριες γραμμές στον κλάδο των χρηματοοικονομικών υπηρεσιών, τον FDA και το NIST θα διαμορφώσουν τον τρόπο με τον οποίο αναπτύσσεται το λογισμικό τα επόμενα χρόνια και οι οργανισμοί πρέπει να προετοιμαστούν για αυτά τώρα. «Οι νικητές εδώ θα προσαρμοστούν γρήγορα από μια αντιδραστική στρατηγική σε μια προληπτική στρατηγική για τη διαχείριση του κινδύνου που σχετίζεται με ανοιχτό κώδικα», λέει.

Η Fischer συνιστά στους οργανισμούς να ζητήσουν από τις ομάδες ασφάλειας και μηχανικής τους να προσδιορίσουν πώς έρχονται νέα στοιχεία ανοιχτού κώδικα στο περιβάλλον τους. Θα πρέπει επίσης να καθορίσουν ρόλους για την παρακολούθηση αυτών των στοιχείων και να αφαιρέσουν προληπτικά εκείνα που δεν ταιριάζουν με την όρεξη για κινδύνους της εταιρείας. «Η αντίδραση στα προβλήματα του τελευταίου σταδίου έχει γίνει ένας αναποτελεσματικός τρόπος αντιμετώπισης της κλίμακας του κινδύνου για την επιχείρηση τα τελευταία αρκετά χρόνια και Η κυβέρνηση των ΗΠΑ σηματοδοτεί αυτή η εποχή φτάνει στο τέλος της», λέει.

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.