開源軟件為黑客留有后門 漏洞威脅無處不在
根據對兩年中攻擊數據的分析發現,攻擊者訪問開源程序代碼的能力讓他們能夠利用開源軟件中的漏洞而發動攻擊。
這份報告收集了來自入侵檢測系統(入侵檢測系統具有識別目標軟件和漏洞的功能)的4億次警報數據,這些數據表明,與閉源軟件相比,開源軟件的漏洞往往更容易被利用,波士頓大學卡羅爾管理學院助理教授兼該報告作者Sam Ransbotham表示。
Ransbotham使用非線性回歸分析和其他模型的方法發現,對開源軟件中漏洞的攻擊發生的速度要快三天,攻擊頻率也比閉源軟件超出50%。Ransbotham認為,如何利用特定漏洞發動攻擊的方法的傳播速度與技術更新不相上下。
這份報告可能會重新點燃開源軟件和閉源軟件開發模式之間的戰火,開源和閉源擁護者爭論的問題在于開源操作系統Linux是否比Windows更安全,或者Mozilla的開源Firefox瀏覽器是否比IE瀏覽器更安全。開源用支持者們認為,對代碼的訪問能力能夠允許開發者更快找到軟件中的漏洞,而反對者則認為攻擊者同樣也能夠更快利用開源代碼中的漏洞發動攻擊,而導致更差的安全性。
Ransbothan將收集的警報信息與國家漏洞庫(NVD)的漏洞數據進行對照,國家漏洞庫列出了2006年和2007年的13000個軟件產品中的漏洞,只有一半的產品可以歸類為開源或者閉源軟件。
通過結合入侵檢測系統識別對漏洞系統的攻擊能力,Ransbotham對已知開源或閉源軟件的883個漏洞進行分類,他還根據其他屬性對漏洞進行了歸類,例如攻擊者利用漏洞發動攻擊的復雜度以及漏洞被報告時入侵檢測系統是否存在有效簽名。
最后發現,只有97個漏洞在這兩年間為攻擊者的目標。但是,這卻占警報信息的四分之一,其他警報信息則為非開源或閉源軟件的攻擊,即對沒有可識別屬性的漏洞的攻擊,或者誤報。
在其分析中,Ransbotham發現對開源軟件的漏洞共計比閉源軟件的攻擊更快。
不僅訪問開源代碼的能力能夠便于攻擊者發動攻擊,Ransbotham的研究還發現,簽名(各種安全產品用簽名與已知漏洞模式相匹配)的存在與早前發生的攻擊之間存在聯系,安全人員用于提高安全性的簽名實際上也幫助了攻擊者。
“這表明,這些簽名能夠幫助我們識別漏洞,也提示了攻擊者如何利用漏洞,”Ransbotham表示。
其他研究也表明,簽名和其他防御方法實際上將漏洞信息泄漏給了攻擊者。在2007年,研究人員使用某主流入侵檢測系統的簽名創建了攻擊代碼。在2008年,研究人員根據軟件公司發布的漏洞自動分析建立了生成潛在攻擊漏洞系統。
安全專家則認為,不要完全輕信Ransbotham的分析數據,因為很多因素可能扭曲了數據,安全公司Immunity技術主管David Aitel表示。
根據Ransbotham的數據顯示,攻擊者攻擊的97個漏洞中只有30個漏洞在開源軟件中,這意味著只有很少的漏洞被經常攻擊。Aitel表示,攻擊者可能只是隨意地通過攻擊相對不重要的開源軟件來侵入公司網絡,而集中精力攻擊運行閉源軟件的重要系統。
因為Immunity公司的客戶最關心的是運行閉源軟件的系統,例如windows系統、IE瀏覽器、Adobe Acrobat和Java等,Immunity公司的研究人員試圖在漏洞報告的24小時內利用閉源軟件中的漏洞,而開源軟件漏洞則較少關注。
其他安全專業人士則持有更廣泛的觀點,這與開源或者閉源以及公司開發軟件的模式無關,攻擊者總是能夠獲取利用漏洞的信息,不管是否通過自動攻擊軟件,還是獲取訪問源代碼權限。
【編輯推薦】
