基于開源程序漏洞的攻擊在2017年將增長(zhǎng)20%

責(zé)任編輯:editor004

作者:Alpha_h4ck

2017-02-06 11:38:51

摘自:黑客與極客

這種“多渠道”的漏洞檢查方法并不總是百分之百有效的,仍然會(huì)有很多開源代碼中的漏洞會(huì)成為漏網(wǎng)之魚。Malik認(rèn)為,現(xiàn)在很多智能設(shè)備和物聯(lián)網(wǎng)設(shè)備都會(huì)使用大量的開源工具,而臭名昭著的Mirai僵尸網(wǎng)絡(luò)就是一個(gè)很好的例證。

現(xiàn)在,無論是商業(yè)軟件還是程序員自行開發(fā)的小程序,開源代碼已經(jīng)變得越來越普遍了,而開源似乎也已經(jīng)成為了一種趨勢(shì)。但需要注意的是,Black Duck軟件公司的研究人員根據(jù)他們對(duì)開源項(xiàng)目所收集到的統(tǒng)計(jì)數(shù)據(jù)預(yù)測(cè)到,基于開源軟件漏洞的網(wǎng)絡(luò)攻擊活動(dòng)數(shù)量在2017年將增長(zhǎng)20%。

2.png

Black Duck軟件公司的安全策略副總裁Mike Pittenger表示,商業(yè)軟件項(xiàng)目的免費(fèi)版本數(shù)量已經(jīng)超過了50%甚至更多,而開源軟件產(chǎn)品所占比重從2011年的3%增長(zhǎng)到了現(xiàn)在的33%。平均每一款商業(yè)軟件都會(huì)使用超過100個(gè)開源組件,而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。

最糟糕的是,買家和用戶通常都沒有辦法知道他們所購(gòu)買的產(chǎn)品使用了哪些開源組件。一般來說,公司在這一方面做的都不是很到位,有些公司可能會(huì)給客戶提供一份產(chǎn)品組件清單,但這些清單所名列出的組件數(shù)量和類型往往是不完整的。如果你打算在沒有得到廠商允許的情況下對(duì)產(chǎn)品代碼進(jìn)行分析,那么你很有可能會(huì)違反他們的產(chǎn)品許可協(xié)議,而這將會(huì)給你帶來一大堆麻煩,所以我們不建議用戶這樣做。但是由于行業(yè)地位和影響力等因素,某些大型企業(yè)在購(gòu)買第三方軟件產(chǎn)品時(shí)會(huì)要求廠商提供產(chǎn)品的完整技術(shù)細(xì)節(jié),并且還會(huì)請(qǐng)類似Black Duck這樣的第三方廠商來對(duì)產(chǎn)品代碼進(jìn)行安全審查。

Pittenger認(rèn)為,避免使用開源軟件其實(shí)并不可取。很多開源代碼庫的開發(fā)是完全符合行業(yè)標(biāo)準(zhǔn)的,而重復(fù)造車輪絕對(duì)是在浪費(fèi)時(shí)間,這樣不僅會(huì)延遲產(chǎn)品的上市時(shí)間,而且還會(huì)使公司的行業(yè)競(jìng)爭(zhēng)力大大降低。因此,越來越多的商業(yè)軟件開發(fā)商會(huì)開始在自己的產(chǎn)品中使用開源代碼,而這種趨勢(shì)目前正在加速發(fā)展。

目前,任何一個(gè)活躍的開源項(xiàng)目背后都有社區(qū)的積極支持,而這將會(huì)給這款產(chǎn)品帶來可靠的安全保證和穩(wěn)定的功能更新。在某些情況下,如何某款產(chǎn)品允許用戶自行對(duì)軟件源碼進(jìn)行安全審計(jì),或者可以對(duì)該產(chǎn)品進(jìn)行高度定制,那么將會(huì)對(duì)產(chǎn)品的安全性提升有很大的幫助。就我們的經(jīng)驗(yàn)來看,如果某一款商業(yè)工具可以做到這件事情的話,那么肯定會(huì)有相應(yīng)的開源工具可以做到同樣的事情。

但是,這種“多渠道”的漏洞檢查方法并不總是百分之百有效的,仍然會(huì)有很多開源代碼中的漏洞會(huì)成為漏網(wǎng)之魚。

AlienVault公司的安全顧問Javvad Malik表示:

“任何人都可以對(duì)代碼進(jìn)行審計(jì),但并非每個(gè)人都會(huì)這樣做,因?yàn)樗坪趺恳粋€(gè)人都認(rèn)為其他人已經(jīng)對(duì)這些代碼進(jìn)行過安全審查了,這也就是問題之所在。”

因此,管理開源組件的問題已經(jīng)成為了一個(gè)非常棘手的問題,而且網(wǎng)絡(luò)犯罪分子們似乎也已經(jīng)意識(shí)到了這一點(diǎn),并逐漸開始利用我們的這一薄弱點(diǎn)來實(shí)施攻擊。

在目前的互聯(lián)網(wǎng)中,開源代碼幾乎無處不在,所以攻擊者只需要利用一個(gè)漏洞就可以攻擊大量的目標(biāo)。對(duì)開源代碼的追蹤其實(shí)是非常困難的,隱私用戶通常無法對(duì)產(chǎn)品中的開源代碼進(jìn)行及時(shí)地修復(fù)和更新,所以攻擊者就可以利用很多已知的漏洞和安全研究專家所發(fā)布的漏洞PoC來實(shí)施攻擊。

除此之外,物聯(lián)網(wǎng)在去年也得到了非常迅速的發(fā)展,而物聯(lián)網(wǎng)設(shè)備的安全性也成為了目前的一個(gè)令人頭疼的問題。毫無疑問,這個(gè)問題在2017年仍將困擾著我們。

Malik認(rèn)為,現(xiàn)在很多智能設(shè)備和物聯(lián)網(wǎng)設(shè)備都會(huì)使用大量的開源工具,而臭名昭著的Mirai僵尸網(wǎng)絡(luò)就是一個(gè)很好的例證。

3.png

與此同時(shí),開發(fā)人員通常都不會(huì)去檢測(cè)開源代碼中的安全漏洞,而且有時(shí)候迫于產(chǎn)品開發(fā)期限的壓力,他們明知代碼中存在安全問題,卻仍然選擇直接使用它們。這也就意味著,即便是開源項(xiàng)目的維護(hù)人員及時(shí)發(fā)布了更新,外面也仍然存在很多未打補(bǔ)丁的產(chǎn)品。當(dāng)你的新產(chǎn)品使用了舊版本的開源組件時(shí),你的新產(chǎn)品中也會(huì)存在已知的安全漏洞。而且據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,商業(yè)軟件項(xiàng)目中的安全漏洞平均年齡為五年,有些產(chǎn)品中的某一漏洞甚至存在了有十年之久。

OpenSSL代碼庫中的Heartbleed漏洞在2014年初被發(fā)現(xiàn),而該漏洞的曝光也引起了業(yè)界的廣泛關(guān)注。但是在去年,仍然有10%左右的應(yīng)用軟件正在使用包含漏洞的OpenSSL版本。而且Pittenger表示,安全研究專家平均每一年都可以在開源軟件中找出2000到4000個(gè)安全漏洞。

解決這個(gè)問題則需要軟件廠商和廣大客戶的共同努力,而且企業(yè)的軟件開發(fā)人員也需要培養(yǎng)良好的安全意識(shí)。但我們應(yīng)該做好心理準(zhǔn)備,因?yàn)樵谇闆r好轉(zhuǎn)之前,目前的安全狀況只會(huì)變得更加糟糕。

* 參考來源:csoonline, FB小編Alpha_h4ck編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)