211service.com
Black Hat: Fler Internet-Scale buggar lurar sannolikt
Under några dagar i april verkade hela världen ta Internetsäkerhet på största allvar. En kritisk brist, kallad Heartbleed, hittades i programvara som används av hundratusentals webbplatser, och buggen tillsammans med dess logotyp blev en mediastjärna.
Men i slutet av juni, drygt två månader senare, verkade försöket att korrigera sårbara internetservrar mot Heartbleed ha avstannat, med mer än 300 000 fortfarande på internet. OpenSSL , projektet med öppen källkod i vars programvara felet hittades, saknar fortfarande de resurser som det säger att det behöver för att hålla sin kod säker. Dessutom tyder ny forskning på att omständigheterna som gjorde Heartbleed till ett så storskaligt problem är vanliga.
Kymberlee Pris för säkerhetsföretaget Synack och Jake Kouns, VD för den ideella organisationen Open Security Foundation , presenterade resultaten av en undersökning av användningen och säkerheten för bibliotek med öppen källkod på torsdagen. De lyfte fram flera bibliotek med öppen källkod som är extremt flitigt använda men som har ojämn säkerhet. Ett fel i ett av dessa bibliotek kan ha en liknande inverkan som Aprils rubrik-fångande bugg. Det kan absolut hända igen med vilket tredjepartsbibliotek som helst, sa Price MIT Technology Review på Black Hat-konferensen förra veckan.
Vad som verkligen är ögonöppnande är att vissa program eller produkter ute på marknaden kan ha hundratals av dessa bibliotek, sa Kouns. Alla är nu utsatta för denna systemrisk.
Ett av biblioteken som Price och Kouns identifierat som ett potentiellt problem är källan till Heartbleed, OpenSSL. Flera andra brister har upptäckts i OpenSSL sedan Heartbleed, av vilka några kan vara farligare än Heartbleed-felet, sa Kouns.
Mer kan förväntas. Trots publicitetsökningen från Heartbleed har OpenSSL fortfarande inte tillräckligt med pengar för att hantera sådana problem. Efter incidenten genomförde projektet en granskning och uppskattade att det behövdes sex heltidsutvecklare för att underhålla programvaran på rätt sätt. Pengar utlovade av IBM, HP, Google och andra stora teknikföretag i spåren av buggen har räckt till att betala för endast två heltidsanställda utvecklare. Även något som folks mammor frågade dem om vid middagsbordet får inte det stöd det behöver, sa Price.
Ett annat potentiellt problematiskt bibliotek är FreeType , som används för att visa teckensnitt och ingår i mer än en miljard enheter tillverkade av företag som Apple, Google och Sony. Kouns och Price räknade mer än 50 sårbarheter som hittats i FreeType under de senaste sju åren. En låg till grund för en attack som heter Jailbreakme som gjorde det möjligt att på distans ta över iPhones (se Har du en iPhone? Det finns en app för att hacka det ).
Andra bibliotek med öppen källkod som flaggats av paret inkluderar LibPNG, som används i hundratals vanliga enheter och programvara som ett sätt att visa bilder, och FFMpeg, som Apple, Google, Microsoft och Sony litar på för att spela upp video.
De flesta av de allmänt använda biblioteken uppdateras flera gånger per år med säkerhetsfixar, säger Price. Men det är inte lätt för mjukvaruingenjörer att hålla reda på alla dessa uppdateringar eller ens vilka versioner av vilka bibliotek deras företag använder. Och få företag tillämpar varje uppdatering av varje bibliotek i tid, sa Price. Oftare uppgraderar företagen biblioteken först när de släpper en ny version av sin egen produkt. Om du bara uppdaterar med var och en av dina utgåvor saknar du förmodligen några stora sårbarheter, sa hon.
Vissa experter anser att mjukvaruföretag bör göras juridiskt ansvariga för säkerhetsproblem i sina produkter. Ett alternativ som diskuterades bland chefer på Black Hat var om investerare skulle ha makten att kräva tredjepartsrevisioner av ett företags kod, vilket utökar en process som redan är en standarddel av due diligence för fusioner och förvärv, sa Price.
Dan Geer, informationssäkerhetschef för CIA:s investeringsfond In-Q-Tel , gjorde ett mer radikalt förslag i sin Black Hat keynote Wednesday. Han efterlyste lagstiftning som skulle göra mjukvaruföretag ansvariga om säkerhetsproblem i deras produkter orsakade skada.
De enda två produkter som inte omfattas av produktansvar är religion och mjukvara, och mjukvara bör inte fly mycket längre, sa Geer. Han föreslog att mjukvaruföretag skulle vara ansvariga för alla skador som uppstår på grund av brister i deras mjukvara, men att företag som gjorde sin fullständiga källkod tillgänglig för inspektion endast skulle behöva ge en återbetalning om skada uppstår.
Det förslaget skulle möta starkt motstånd från mjukvaruindustrin och kommer sannolikt inte att vinna genomslag. Price sa att den mest praktiska, om än delvis, lösningen för tillfället är att öka medvetenheten om riskerna som följer med tredjepartsbibliotek och att skapa verktyg som gör det enkelt att bli meddelad om de senaste bristerna och uppdatera paketen. Vi kan inte eliminera den här risken, så vi måste hantera den, sa hon.