18 Maggio 2022
Expand search form

Il software open source può essere violato?

Unisciti alla comunità DZone e ottieni l’esperienza di membro completa.

All’inizio di quest’anno, ho descritto un nuovo fronte di battaglia per il software open source basato sul fatto che i cattivi attori stanno sempre più inquinando i pozzi pubblici come npm. a cui si abbeverano milioni di sviluppatori assetati – al ritmo di 6 miliardi di download a settimana – ed è stato recentemente compromesso quando un cattivo attore ha iniettato codice maligno nel popolare componente JavaScript, event-stream.

Ai vecchi tempi, gli hacker aspettavano di attaccare

Per dare un contesto aggiuntivo, cinque anni fa, grandi e piccole imprese hanno assistito alla prima importante vulnerabilità di Apache Struts. In questo caso, Apache ha divulgato responsabilmente e pubblicamente la vulnerabilità allo stesso tempo ha offerto una nuova versione per risolvere la vulnerabilità. Nonostante Apache faccia del suo meglio per avvertire il pubblico e prevenire gli attacchi, molte organizzazioni non stavano ascoltando o non hanno agito in modo tempestivo e, quindi, gli exploit in natura erano diffusi. In poche parole, gli hacker guadagnano bene quando le aziende sono addormentate al volante e non riescono a reagire in modo tempestivo alle rivelazioni di vulnerabilità pubbliche.

Da quella vulnerabilità iniziale di Struts nel 2013, la comunità di sviluppo ha assistito a Shellshock, l attacco del 2017 a Equifax, Heartbleed, e altri, tra cui la Collezione Commons, tutti che hanno seguito lo stesso modello di exploit diffuso dopo la divulgazione. Attacco del 2017 a Equifax

Oggi, gli hacker stanno creando le proprie opportunità di attacco

Questa nuova forma di attacco alle nostre catene di fornitura del software, dove le credenziali dei progetti OSS sono compromesse e il codice dannoso viene intenzionalmente iniettato nelle librerie open source, permette agli hacker di avvelenare il pozzo. Il codice vulnerabile viene poi scaricato ripetutamente da milioni di sviluppatori di software che inconsapevolmente inquinano le loro applicazioni a diretto vantaggio dei cattivi attori. Ad agosto di quest’anno, 11 esempi reali di questo modello di attacco sono stati documentati nel 2018 State of the Software Supply Chain Report .

Poi, nel mese di ottobre, l’argomento degli attacchi alla catena di approvvigionamento tecnologico è atterrato sulla prima pagina di tutti i giornali del mondo quando Bloomberg ha rotto il “Supermicro“. Mentre questo riguardava un presunto attacco ad una catena di fornitura di hardware (e le domande rimangono ancora intorno alla sua accuratezza) – la verità spaventosa era, ed è ancora, che è molto più facile per i cattivi attori infiltrarsi e violare una catena di fornitura software. Con l’hardware, è necessario accedere fisicamente a qualcosa per condurre un attacco. Con il software, l’attacco può essere effettuato da qualsiasi luogo.

La notizia di ieri su event-stream è l’ultima prova che i cattivi attori stanno intenzionalmente contaminando i componenti open source all’inizio della catena di fornitura del software in modo da poter attaccare in modo efficiente le applicazioni di produzione in natura, alla fine della catena di fornitura del software.

Il gioco è cambiato

Una decina di anni fa, le organizzazioni erano preoccupate della possibilità di essere attaccate entro pochi mesi dalla divulgazione pubblica di una nuova vulnerabilità. Nel 2017, Equifax, Japan Post, Canada Revenue Service, GMO Payment Gateway e India Post avevano dai tre ai cinque giorni. Oggi, come evidenziato da event-stream, i team di sviluppo software e i professionisti della sicurezza delle applicazioni devono riconoscere la dura verità: gli hacker stanno intenzionalmente piantando vulnerabilità direttamente nella fornitura di componenti open source.

Per capire la grandezza dell’exploit event-stream, si deve riconoscere che il pacchetto viene scaricato 2 milioni di volte a settimana da 6 milioni di sviluppatori JavaScript di tutto il mondo. Inoltre, il percorso dell’exploit è stato facilmente costruito quando un singolo sviluppatore ha semplicemente consegnato le sue credenziali all’hacker che si è offerto di assumere le responsabilità di manutenzione.

Ne parlo ancora di più con il mio collega Mark Miller e Thomas Hunter di Intrinsic.

Azioni correttive a portata di mano

Il problema a portata di mano è che noi, come industria, dobbiamo fare un lavoro migliore per affrontare questi attacchi alla catena di fornitura del software – e gli sviluppatori open source devono fare un lavoro migliore per capire cosa c’è nell’open source che stanno usando.

Fortunatamente, questo è un problema risolvibile – ed è quello che facciamo meglio a Sonatype. Vuoi saperne di più? Pianifica una demo qui.

Pubblicato su DZone con il permesso di Brian Fox, DZone MVB. Vedi l’articolo originale qui.

Potresti anche essere interessato agli argomenti

Il software open source è sicuro?

No. Il software open source ha certamente il potenziale per essere più sicuro della sua controparte closed source. Ma non fate errori, essere semplicemente open source non è una garanzia di sicurezza. “È semplicemente irrealistico dipendere dalla segretezza per la sicurezza del software.

Continua…

L’open source può essere facilmente violato?

Una nuova analisi suggerisce che gli attaccanti sfruttano i difetti del software open-source più velocemente e più efficacemente. La capacità di accedere al codice delle applicazioni open-source può dare agli attaccanti un vantaggio nello sviluppo di exploit per il software, secondo un documento che analizza due anni di dati sugli attacchi.7 giugno 2010

Continua…

Il software open source può avere malware?

È possibile, ma non molto probabile. Non c’è niente di speciale nel codice open source che lo renda magicamente resistente a contenere cose brutte, ma l’open source che è attivamente sviluppato da un gruppo di persone è molto improbabile che contenga codice maligno, perché qualcuno se ne accorgerebbe e spiffererebbe tutto.Mar 9, 2009

Continua…

Il software open source è vulnerabile?

Infatti oltre il 95% dei componenti open source vulnerabili trovati in 6450 progetti di software commerciale ricercati avevano versioni più recenti che risolvevano il problema. … Seguite i database pubblici delle vulnerabilità di sicurezza (CVE) per essere immediatamente consapevoli dei problemi nell’open source che usate, e siate veloci a patchare ogni volta che una correzione è disponibile.Apr 7, 2021

Continua…

Quali sono le preoccupazioni sui programmi open source?

Rischi dell’uso di software open sourceLe vulnerabilità sono di dominio pubblico. … Mancanza di sicurezza. … Problemi di proprietà intellettuale. … Mancanza di garanzia. … Controllo rilassato delle integrazioni. … Insufficienze operative. … Cattive pratiche di sviluppo. … Usare strumenti adeguati.Altri articoli…-Aug 10, 2021

Continua…

Il software open source può avere backdoor?

Se il software ha mangiato il mondo, l’open source è il dessert. Di recente c’è stato un aumento delle storie sulle backdoor nel software open source. Queste backdoor sono state messe lì da ciò che si presume essere “persone cattive”, il che è probabilmente accurato poiché tutti sono un cattivo in qualche modo.Aug 28, 2019

Continua…

Ubuntu è vulnerabile ai virus?

Hai un sistema Ubuntu, e i tuoi anni di lavoro con Windows ti fanno preoccupare per i virus – va bene. Non ci sono virus per definizione in quasi tutti i sistemi operativi Unix-like conosciuti e aggiornati, ma è sempre possibile essere infettati da vari malware come worm, trojan, ecc.Mar 24, 2019

Continua…

L’open source è più affidabile?

Quindi il software opensource è visto come più sicuro in quanto è l’unico tipo di software che può essere controllato per la sicurezza a tutti senza bisogno di fidarsi ciecamente di qualcuno… … La differenza è che con il codice open source puoi verificare da solo (o pagare qualcuno per verificare per te) se il codice è sicuro.Sep 22, 2015

Continua…

Perché il software open-source è più sicuro?

I progetti open source correggono le vulnerabilità e rilasciano patch e nuove versioni molto più velocemente. Quando viene segnalata una vulnerabilità in un progetto open source, soprattutto se si tratta di un’alta gravità, una correzione viene spesso rilasciata entro un giorno o due. Al contrario, i venditori commerciali hanno necessariamente cicli di aggiornamento più lunghi.Apr 7, 2021

Continua…

L’open source è meglio per la privacy?

I progetti open-source permettono a chiunque abbia le competenze tecniche per correggere il codice rotto, mentre solo il venditore o l’azienda possono esaminare e aggiornare il software proprietario. Di conseguenza, il software open-source è spesso più affidabile e sicuro del software proprietario.20 agosto 2021

Continua…

Quanto è sicuro il codice open source?

3 suggerimenti per la sicurezza del software open sourceAssumere uno sviluppo sicuro del software. In molte organizzazioni, i team di sicurezza e di ingegneria condividono la responsabilità della sicurezza. … Dedicare tempo alla gestione del rischio. … Abbracciare l’automazione ovunque sia possibile. … Contenuto correlato:5 agosto 2020

Continua…

Come si protegge l’open source?

5 modi per mantenere sicure le app basate sull’open sourceMappa il tuo open source alle vulnerabilità di sicurezza conosciute.Identifica altri rischi open source che potresti affrontare.Crea e applica politiche di utilizzo dell’open source.Monitora continuamente i nuovi rischi open source.Il passo più importante che puoi fare.

Continua…

Raspberry Pi può ottenere virus?

E ‘tempo di aggiornare i vostri dispositivi Raspberry Pi o rischiare che siano infettati da malware di estrazione di criptovaluta. I dispositivi Raspberry Pi più vecchi, come questo Raspberry Pi 2, possono essere più vulnerabili al malware se non sono stati aggiornati da tempo.Jun 8, 2017

Continua…

Ubuntu è più sicuro di Windows?

Ubuntu è noto per essere più sicuro rispetto a Windows. Questo è principalmente perché il numero di utenti che utilizzano Ubuntu è molto inferiore rispetto a quello di Windows. Questo assicura che il danno in termini di virus o software dannoso è minore, dato che il motivo principale degli attaccanti è quello di colpire il maggior numero di computer.Nov 1, 2021

Continua…

I DBMS open source sono insicuri?

Tutto ciò che non è open-source non può essere controllato e per questo deve essere visto come insicuro”. Daemonpenguin: “L’open source non è automaticamente più sicuro del closed source. … Nel tempo questo significa che i progetti open source (come il kernel di Linux) tendono a diventare più sicuri, più persone stanno testando e correggendo il codice.Sep 22, 2015

Continua…

Articolo precedente

Qual è un’altra parola per il matrimonio di diritto comune?

Articolo successivo

Cos’è il rivestimento delle pareti in gesso?

You might be interested in …

Che cosa significa interpellanza?

L’atto di interpellare (interrogare); il periodo in cui i funzionari governativi vengono interrogati e spiegano un atto, una politica o un punto sollevato durante un dibattito. Etimologia: Da interpellatio; Composto di o L’atto di interpellare: […]