Open source kan een open deur betekenen voor hackers

De mogelijkheid om toegang te krijgen tot de code van open-source applicaties kan aanvallers een voorsprong geven bij het ontwikkelen van exploits voor de software, volgens een paper dat twee jaar aan aanvalsgegevens analyseert.





De paper, die deze week zal worden gepresenteerd tijdens de Workshop on the Economics of Information Security, correleerde 400 miljoen waarschuwingen van inbraakdetectiesystemen met bekende kenmerken van de beoogde software en kwetsbaarheden. De gegevens ondersteunen de bewering dat fouten in open-sourcesoftware sneller en vaker worden aangevallen dan kwetsbaarheden in gesloten-bronsoftware, zegt Sam Ransbotham, assistent-professor aan de Carroll School of Management van Boston College en de auteur van het artikel.

Met behulp van niet-lineaire regressie en andere modellen ontdekte Ransbotham dat aanvallen op kwetsbaarheden in open-sourcesoftware drie dagen eerder plaatsvonden en met bijna 50 procent hogere frequentie. Ransbotham stelt dat kennis over het exploiteren van een bepaalde kwetsbaarheid zich op dezelfde manier verspreidt als de verspreiding van technologische innovatie.

Als je deze hele zaak ziet als een spel tussen de goeden en de slechteriken, is er een veel grotere stimulans voor hen om doelen eerder uit te buiten en meer bedrijven te raken, door de inspanningen voor de slechteriken te verminderen, zegt Ransbotham.



De paper zal waarschijnlijk een debat op gang brengen tussen voorstanders van open-source en closed-source ontwikkelingsmodellen, die betogen of het open-source besturingssysteem Linux veiliger is dan Windows of dat Mozilla's open-source Firefox-browser veiliger is dan Microsoft's Internet Explorer. . Aanhangers van open-source stellen dat de toegankelijkheid van de code de goeden in staat stelt bugs sneller te vinden, terwijl critici beweren dat er meer aanvallers dan verdedigers door de code snuffelen, dus het netto-effect is een slechtere beveiliging.

Het onderzoek maakte gebruik van waarschuwingsgegevens die zijn verzameld uit inbraakdetectiesystemen die namens 960 bedrijven worden beheerd door beveiligingsserviceprovider SecureWorks. Ransbotham correleerde de waarschuwingen met specifieke kwetsbaarheden in de National Vulnerability Database (NVD), een grote verzameling informatie over softwarefouten die wordt beheerd door het National Institute of Standards and Technology. Terwijl de NVD kwetsbaarheden opsomt in meer dan 13.000 softwareproducten voor 2006 en 2007, de twee jaar waarin waarschuwingsgegevens werden gebruikt, kon slechts de helft van de producten worden geclassificeerd als open- of gesloten-source, zegt Ransbotham.

Door die gegevens te koppelen aan het vermogen van de inbraakdetectiesystemen om een ​​aanval op een kwetsbaar systeem te herkennen, stelde Ransbotham een ​​lijst samen van 883 kwetsbaarheden in bevestigde open- of closed-sourcesoftware waarop aanvallen konden worden herkend. Hij classificeerde de kwetsbaarheden ook op basis van andere kenmerken, zoals hoe complex het zou zijn voor aanvallers om de fout te misbruiken en of er een handtekening beschikbaar was voor de inbraakdetectiesystemen op het moment dat de kwetsbaarheid werd gemeld.



Uiteindelijk waren in de periode van twee jaar slechts 97 van de 883 kwetsbaarheden het doelwit van aanvallers. Dit is echter goed voor 111 miljoen, of ongeveer een kwart, van de waarschuwingen. De overige waarschuwingen kunnen worden toegeschreven aan aanvallen op software die niet als open- of closed-source kunnen worden geclassificeerd, aanvallen op kwetsbaarheden die geen identificerend kenmerk hadden, of valse positieven.

In zijn analyse ontdekte Ransbotham dat aanvallen op kwetsbaarheden in open source software eerder plaatsvonden dan aanvallen op closed source software, gemeten aan de hand van de eerste melding van de kwetsbaarheid door elk bedrijf. Bovendien werd uiteindelijk gemiddeld een groter aantal bedrijven aangevallen met aanvallen op elke kwetsbaarheid. In beide gevallen is het aantal aanvallen echter uiteindelijk verzadigd.

Naarmate verdedigers hun patches verwijderen, hebben de aanvallers meer prikkels om over te gaan tot een andere exploit, zegt Ransbotham.



De mogelijkheid om toegang te krijgen tot open-sourcecode is niet het enige voordeel dat aanvallers krijgen. Ransbotham-analyse toonde een correlatie aan tussen het bestaan ​​van handtekeningen - die door verschillende beveiligingsproducten worden gebruikt om een ​​bekend patroon met een fout te matchen - en eerdere aanvallen, wat suggereert dat de updates die door verdedigers worden gebruikt om hun verdediging te verbeteren, aanvallers daadwerkelijk helpen.

Dat zegt me dat er iets is aan het hebben van die handtekening die mensen helpt ... hen een idee te geven over hoe ze de kwetsbaarheid kunnen misbruiken, zegt Ransbotham.

Ander onderzoek heeft gesuggereerd dat handtekeningen - en andere defensieve maatregelen - informatie lekken naar aanvallers. In 2007 beschreven twee beveiligingsadviseurs het gebruik van handtekeningen van een populair inbraakdetectiesysteem om aanvalscode te creëren. In 2008 creëerden academische onderzoekers een systeem voor het genereren van potentiële exploitcode op basis van automatische analyse van de patches die door softwarebedrijven zijn uitgebracht.



Beveiligingsprofessionals waarschuwen echter niet te veel in de analyse van Ransbotham te lezen. Veel factoren kunnen de gegevens vertekenen, zegt David Aitel, chief technology officer van beveiligingsbedrijf Immunity, dat - onder zijn diensten - exploits creëert om de verdediging van bedrijfsnetwerken te testen. Volgens het artikel van Ransbotham zaten slechts 30 van de 97 kwetsbaarheden waarop aanvallers het doelwit waren, in open source software, wat betekent dat relatief weinig kwetsbaarheden veel vaker werden aangevallen, zegt Aitel. Hij stelt dat aanvallers het netwerk van een bedrijf zonder onderscheid kunnen overspoelen met aanvallen op relatief onbelangrijke open source software, terwijl ze serieuzere aanvallen richten op belangrijkere systemen met closed source software.

Omdat de klanten van Immunity zich het meest zorgen maken over systemen met closed-source software zoals Microsoft Windows, Internet Explorer, Adobe Acrobat en Sun's Java, proberen de onderzoekers van Immunity om binnen 24 uur na de eerste melding misbruik te maken van fouten in closed-source software. Open source software kwetsbaarheden krijgen een veel lagere prioriteit.

De algemene conclusie trekken dat open-sourcesoftware gemakkelijker te exploiteren is, is absoluut niet waar, zegt hij. Je zou precies de tegenovergestelde conclusie kunnen trekken uit de verzameling exploits die beschikbaar zijn op [onderzoekssites, zoals] Packetstorm.

Andere beveiligingsprofessionals kijken breder, dat het minder gaat om open of closed source en meer om hoe een bedrijf zijn software ontwikkelt. Aanvallers kunnen uiteindelijk de informatie krijgen die ze nodig hebben om een ​​bug te misbruiken, hetzij via geautomatiseerde aanvalssoftware, door reverse-engineering van patches of door op de een of andere manier toegang te krijgen tot de broncode, dus bedrijven kunnen dat verwachten, zegt Gary McGraw, chief technology officer van Cigital. een adviesbureau op het gebied van softwarebeveiliging.

Het is een mythe dat je broncode nodig hebt om kwetsbaarheden te misbruiken, zegt McGraw. U (softwareontwikkelaars) moet zich realiseren dat uw software beschikbaar is en u geeft uw aanvaller alles wat hij nodig heeft om deze te misbruiken.

zich verstoppen