基于開源程序漏洞的攻擊在2017年將增長20%
現(xiàn)在,無論是商業(yè)軟件還是程序員自行開發(fā)的小程序,開源代碼已經(jīng)變得越來越普遍了,而開源似乎也已經(jīng)成為了一種趨勢。但需要注意的是,Black Duck軟件公司的研究人員根據(jù)他們對開源項目所收集到的統(tǒng)計數(shù)據(jù)預(yù)測到,基于開源軟件漏洞的網(wǎng)絡(luò)攻擊活動數(shù)量在2017年將增長20%。
Black Duck軟件公司的安全策略副總裁Mike Pittenger表示,商業(yè)軟件項目的免費版本數(shù)量已經(jīng)超過了50%甚至更多,而開源軟件產(chǎn)品所占比重從2011年的3%增長到了現(xiàn)在的33%。平均每一款商業(yè)軟件都會使用超過100個開源組件,而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。
最糟糕的是,買家和用戶通常都沒有辦法知道他們所購買的產(chǎn)品使用了哪些開源組件。一般來說,公司在這一方面做的都不是很到位,有些公司可能會給客戶提供一份產(chǎn)品組件清單,但這些清單所名列出的組件數(shù)量和類型往往是不完整的。如果你打算在沒有得到廠商允許的情況下對產(chǎn)品代碼進(jìn)行分析,那么你很有可能會違反他們的產(chǎn)品許可協(xié)議,而這將會給你帶來一大堆麻煩,所以我們不建議用戶這樣做。但是由于行業(yè)地位和影響力等因素,某些大型企業(yè)在購買第三方軟件產(chǎn)品時會要求廠商提供產(chǎn)品的完整技術(shù)細(xì)節(jié),并且還會請類似Black Duck這樣的第三方廠商來對產(chǎn)品代碼進(jìn)行安全審查。
Pittenger認(rèn)為,避免使用開源軟件其實并不可取。很多開源代碼庫的開發(fā)是完全符合行業(yè)標(biāo)準(zhǔn)的,而重復(fù)造車輪絕對是在浪費時間,這樣不僅會延遲產(chǎn)品的上市時間,而且還會使公司的行業(yè)競爭力大大降低。因此,越來越多的商業(yè)軟件開發(fā)商會開始在自己的產(chǎn)品中使用開源代碼,而這種趨勢目前正在加速發(fā)展。
目前,任何一個活躍的開源項目背后都有社區(qū)的積極支持,而這將會給這款產(chǎn)品帶來可靠的安全保證和穩(wěn)定的功能更新。在某些情況下,如何某款產(chǎn)品允許用戶自行對軟件源碼進(jìn)行安全審計,或者可以對該產(chǎn)品進(jìn)行高度定制,那么將會對產(chǎn)品的安全性提升有很大的幫助。就我們的經(jīng)驗來看,如果某一款商業(yè)工具可以做到這件事情的話,那么肯定會有相應(yīng)的開源工具可以做到同樣的事情。
但是,這種“多渠道”的漏洞檢查方法并不總是百分之百有效的,仍然會有很多開源代碼中的漏洞會成為漏網(wǎng)之魚。
AlienVault公司的安全顧問Javvad Malik表示:
| “任何人都可以對代碼進(jìn)行審計,但并非每個人都會這樣做,因為似乎每一個人都認(rèn)為其他人已經(jīng)對這些代碼進(jìn)行過安全審查了,這也就是問題之所在。” |
因此,管理開源組件的問題已經(jīng)成為了一個非常棘手的問題,而且網(wǎng)絡(luò)犯罪分子們似乎也已經(jīng)意識到了這一點,并逐漸開始利用我們的這一薄弱點來實施攻擊。
在目前的互聯(lián)網(wǎng)中,開源代碼幾乎無處不在,所以攻擊者只需要利用一個漏洞就可以攻擊大量的目標(biāo)。對開源代碼的追蹤其實是非常困難的,隱私用戶通常無法對產(chǎn)品中的開源代碼進(jìn)行及時地修復(fù)和更新,所以攻擊者就可以利用很多已知的漏洞和安全研究專家所發(fā)布的漏洞PoC來實施攻擊。
除此之外,物聯(lián)網(wǎng)在去年也得到了非常迅速的發(fā)展,而物聯(lián)網(wǎng)設(shè)備的安全性也成為了目前的一個令人頭疼的問題。毫無疑問,這個問題在2017年仍將困擾著我們。
Malik認(rèn)為,現(xiàn)在很多智能設(shè)備和物聯(lián)網(wǎng)設(shè)備都會使用大量的開源工具,而臭名昭著的Mirai僵尸網(wǎng)絡(luò)就是一個很好的例證。
與此同時,開發(fā)人員通常都不會去檢測開源代碼中的安全漏洞,而且有時候迫于產(chǎn)品開發(fā)期限的壓力,他們明知代碼中存在安全問題,卻仍然選擇直接使用它們。這也就意味著,即便是開源項目的維護(hù)人員及時發(fā)布了更新,外面也仍然存在很多未打補丁的產(chǎn)品。當(dāng)你的新產(chǎn)品使用了舊版本的開源組件時,你的新產(chǎn)品中也會存在已知的安全漏洞。而且據(jù)統(tǒng)計數(shù)據(jù)顯示,商業(yè)軟件項目中的安全漏洞平均年齡為五年,有些產(chǎn)品中的某一漏洞甚至存在了有十年之久。
OpenSSL代碼庫中的Heartbleed漏洞在2014年初被發(fā)現(xiàn),而該漏洞的曝光也引起了業(yè)界的廣泛關(guān)注。但是在去年,仍然有10%左右的應(yīng)用軟件正在使用包含漏洞的OpenSSL版本。而且Pittenger表示,安全研究專家平均每一年都可以在開源軟件中找出2000到4000個安全漏洞。
解決這個問題則需要軟件廠商和廣大客戶的共同努力,而且企業(yè)的軟件開發(fā)人員也需要培養(yǎng)良好的安全意識。但我們應(yīng)該做好心理準(zhǔn)備,因為在情況好轉(zhuǎn)之前,目前的安全狀況只會變得更加糟糕。
