211service.com
Öppen källkod kan betyda en öppen dörr för hackare
Möjligheten att komma åt koden för applikationer med öppen källkod kan ge angripare ett försprång när det gäller att utveckla exploateringar för programvaran, enligt ett dokument som analyserar två års attackdata.
Uppsatsen, som kommer att presenteras denna vecka vid workshopen om ekonomin för informationssäkerhet, korrelerade 400 miljoner varningar från system för intrångsdetektering med kända attribut för den riktade programvaran och sårbarheter. Uppgifterna stöder påståendet att brister i programvara med öppen källkod tenderar att attackeras snabbare och oftare än sårbarheter i programvara med stängd källkod, säger Sam Ransbotham, biträdande professor vid Boston Colleges Carroll School of Management och författaren till tidningen.
Med hjälp av icke-linjär regression och andra modeller fann Ransbotham att attacker mot sårbarheter i programvara med öppen källkod inträffade tre dagar tidigare och med nästan 50 procent högre frekvens. Ransbotham hävdar att kunskapen om hur man utnyttjar en viss sårbarhet sprider sig liknande spridningen av teknisk innovation.
Om man tänker på det hela som ett spel mellan de goda och de onda, genom att minska ansträngningen för de onda, finns det mycket större incitament för dem att utnyttja mål tidigare och träffa fler företag, säger Ransbotham.
Tidningen kommer sannolikt att återuppväcka en debatt mellan förespråkare för utvecklingsmodeller med öppen källkod och stängd källkod, som argumenterar om operativsystemet Linux med öppen källkod är säkrare än Windows eller om Mozillas Firefox-webbläsare med öppen källkod är säkrare än Microsofts Internet Explorer . Anhängare av öppen källkod hävdar att tillgängligheten till koden gör det möjligt för bra killar att hitta buggar snabbare, medan kritiker hävdar att fler angripare än försvarare petar igenom koden, så nettoeffekten är sämre säkerhet.
I forskningen användes larmdata som hämtats från system för intrångsdetektering som hanteras på uppdrag av 960 företag av säkerhetstjänstleverantören SecureWorks. Ransbotham korrelerade varningarna med specifika sårbarheter i National Vulnerability Database (NVD), en stor samling information om mjukvarufel som hanteras av National Institute of Standards and Technology. Medan NVD listar sårbarheter i mer än 13 000 mjukvaruprodukter för 2006 och 2007, de två åren från vilka varningsdata användes, kunde bara hälften av produkterna klassificeras som antingen öppen eller stängd källkod, säger Ransbotham.
Genom att koppla dessa data till intrångsdetekteringssystemens förmåga att känna igen en attack på ett sårbart system, sammanställde Ransbotham en lista med 883 sårbarheter i bekräftad öppen eller stängd källkod som attacker kunde kännas igen. Han klassificerade även sårbarheterna efter andra attribut, som hur komplicerat det skulle vara för angripare att utnyttja felet och om det fanns en signatur tillgänglig för systemen för intrångsdetektering vid den tidpunkt då sårbarheten rapporterades.
I slutändan var endast 97 av de 883 sårbarheterna målinriktade av angripare under tvåårsperioden. Detta står dock för 111 miljoner, eller ungefär en fjärdedel, av varningarna. De återstående varningarna kan hänföras till attacker mot programvara som inte kunde klassificeras som öppen eller sluten källkod, attacker mot sårbarheter som inte hade ett identifierande attribut eller falska positiva resultat.
I sin analys fann Ransbotham att attacker mot sårbarheter i programvara med öppen källkod inträffade tidigare än attacker mot programvara med stängd källkod, mätt från den första rapporten om sårbarheten från varje företag. Dessutom utsattes ett större antal företag så småningom för attacker mot varje sårbarhet, i genomsnitt. I båda fallen mättades dock antalet attacker så småningom.
När försvarare får ut sina plåster har angriparna mer incitament att gå vidare till en annan exploatering, säger Ransbotham.
Möjligheten att komma åt öppen källkod är inte den enda fördelen som angripare får. Ransbotham-analys visade en korrelation mellan förekomsten av signaturer – som används av olika säkerhetsprodukter för att matcha ett känt mönster med ett fel – och tidigare attacker, vilket tyder på att uppdateringarna som används av försvarare för att förbättra deras försvar faktiskt hjälper angripare.
Det säger mig att det är något med att ha den där signaturen som hjälper människor... ger dem en ledtråd om hur man kan utnyttja sårbarheten, säger Ransbotham.
Annan forskning har föreslagit att signaturer – och andra defensiva åtgärder – läcker information till angripare. 2007 beskrev två säkerhetskonsulter att de använde signaturer från ett populärt intrångsdetekteringssystem för att skapa attackkod. År 2008 skapade akademiska forskare ett system för att generera potentiell exploateringskod baserat på automatisk analys av patchar som släppts av mjukvaruföretag.
Säkerhetspersonal varnar dock för att inte läsa för mycket i Ransbothams analys. Många faktorer kan förvränga data, säger David Aitel, teknisk chef för säkerhetsföretaget Immunity, som – bland sina tjänster – skapar utnyttjande för att testa företagens nätverksförsvar. Endast 30 av de 97 sårbarheter som attackerade angripare var i öppen källkod, enligt Ransbothams papper, vilket innebär att relativt få sårbarheter attackerades mycket oftare, säger Aitel. Han hävdar att angripare urskillningslöst kan översvämma ett företags nätverk med attacker på relativt oviktig programvara med öppen källkod, samtidigt som de fokuserar mer allvarliga attacker på viktigare system som kör programvara med stängd källkod.
Eftersom Immunitys kunder är mest bekymrade över system som kör programvara med stängd källkod som Microsoft Windows, Internet Explorer, Adobe Acrobat och Suns Java, försöker Immunitys forskare att utnyttja brister i programvara med stängd källkod inom 24 timmar efter att de först rapporterades. Sårbarheter i programvara med öppen källkod ges mycket lägre prioritet.
Att dra en bred slutsats om att programvara med öppen källkod är lättare att utnyttja är definitivt inte sant, säger han. Du kan dra den raka motsatta slutsatsen från mängden exploits som är tillgängliga på [forskningssajter, såsom] Packetstorm.
Andra säkerhetsproffs har en bredare syn, att det handlar mindre om öppen eller stängd källkod och mer om hur ett företag utvecklar sin mjukvara. Angripare kan så småningom få den information de behöver för att utnyttja en bugg, antingen genom automatiserad attackmjukvara, genom reverse engineering patchar eller genom att på något sätt få tillgång till källkoden, så företag bör förvänta sig det, säger Gary McGraw, teknisk chef för Cigital, ett konsultföretag för mjukvarusäkerhet.
Det är en myt att man måste ha källkod för att utnyttja sårbarheter, säger McGraw. Du (mjukvaruutvecklare) måste inse att din programvara finns där ute, och du ger din angripare allt de behöver för att utnyttja den.