|
|
認為軟件圖書館是安全的嗎?不要這么快! 遠程控制軟件,灰鴿子下載
在當今世界的敏捷軟件開發和快速的發布周期,開發人員越來越依賴的第三方庫和組件來完成工作。許多圖書館來自長期以來,開源項目,開發人員常常認為他們寫得很好,沒有錯誤代碼。他們錯了。
主要Heartbleed引發的修補工作,今年彈震癥和獅子狗缺陷作為關鍵漏洞的影響第三方代碼的例子。缺陷影響服務器上運行的軟件,桌面電腦、移動設備和硬件設備,影響數以百萬計的消費者和企業。
然而,這些高度公開的漏洞并不是孤立的事件。類似的缺陷被發現在圖書館如OpenSSL,LibTIFF,libpng,OpenJPEG,FFmpeg,Libav和其他無數,這些使他們成為成千上萬的產品。
(參見:自然防御:8 IT安全策略在自然界發現的)
這些錯誤的原因中,最終成品是由開發者認為他們選擇集成的第三方代碼是安全的,因為它已經被許多人使用。
淺bug的神話,”有一個神話,開源是安全的,因為每個人都可以查看它;更多的眼睛回顧它使所有bug淺,”杰克Kouns說CISO基于風險的安全,公司專門從事跟蹤漏洞。“事實是,盡管每個人都可以查看代碼,他們不為質量是遞延和問責制。開發人員和公司使用第三方庫不分配他們自己的資源安全測試別人的代碼。“對或錯,似乎每個人都認為別人會發現漏洞和發表的是安全的。”
現實情況是,許多開放源碼項目,甚至產生關鍵的代碼的互聯網基礎設施,往往經營不善,人手不足和沒有足夠的資源來支付專業代碼審計或人力從事大規模的舊代碼重寫。
OpenSSL是一個杰出的例子,這種情況下,但唯一的一個。4月份關鍵Heartbleed bug宣布后,據稱,OpenSSL項目只有一個全職開發人員和項目主要資助被基于其他團隊成員的工作在業余時間為公司需要SSL / TLS的專業知識。
OpenBSD批評OpenSSL維護老代碼的開發者平臺,很少有人關心,決定叉的項目創建一個清潔版本庫稱為LibreSSL。
開源庫的缺陷往往是由于一個或多個原因:舊代碼或代碼成熟度低,審計不足或偵察一個發現的過程漏洞通過自動喂養意外輸入_維護者太少,研究總監Carsten Eiram說基于風險的安全。“我們看到,許多漏洞被發現在這些庫是由研究人員簡單地運行的一些最新fuzz攻擊他們,所以經常有維護人員或公司使用表示庫可以做自己。軟件供應商快速實現圖書館到他們的產品,但很少審計甚至模糊這些第一或幫助維護他們。”
這都是市場營銷
Heartbleed彈震癥,獅子狗漏洞提出了大量的軟件開發人員和系統管理員的興趣,部分原因在于媒體的缺陷引起了關注。一些廠商仍確定這些缺陷影響的產品和發布補丁,個月后首次宣布。
處理完整的連續攻擊:一個新的Threat-Centric安全模型之前,期間和之后攻擊
Eiram相信這些漏洞突出的主要原因不是它們的影響,但他們的方式宣傳finders-with花哨的名字和標志。可悲的事實是,類似的缺陷經常發現在普遍圖書館重要性,但管理飛下的雷達和很少的補丁軟件供應商使用他們的人。
“很多vulnerabilities-18-have在OpenSSL Heartbleed以來,解決遠程,我們還沒有見過同樣的注意發布補丁是供應商,從緊”Eiram說。“我們看到不同程度的修復庫幾乎每天,但很少看到供應商在其產品中捆綁這些庫問題修復,即使我們知道大量使用這些庫”。
在2006年的一個例子,一個漏洞發現由偶極,奧曼迪安全研究人員現在在谷歌工作。受影響的缺陷是在幾個LibTIFF,固定在一個新版本。這是跟蹤的cve - 2006 - 3459常見的漏洞和風險數據庫。
“在2010年,一個漏洞是固定在Adobe Reader,這原來是一個漏洞覆蓋的cve - 2006 - 3459,“Eiram說。
“四年,一個脆弱的和過時的版本LibTIFF被捆綁的Adobe Reader,甚至是被證明是可利用的。”
奧多比系統已經成為軟件供應商采取第三方組件的缺陷嚴重的威脅,Eiram說。
“他們已經取得了重大改進過程中的跟蹤和解決第三方庫和組件用于他們的產品。”
另一個供應商是谷歌。除了保持跟蹤它所使用的第三方代碼的漏洞,該公司的研究人員正積極尋找缺陷,代碼。
ITworld漫畫2014:在極客幽默(到目前為止)
“我們看到兩個谷歌的多產的研究人員,Gynvael Coldwind和Mateusz Jurczyk,發現超過1000問題FFmpeg Libav,用于鉻,并且他們目前看其他圖書館也喜歡FreeType,“Eiram說。“OpenJPEG似乎也收到一些審查谷歌目前,用于PDFium這反過來用于鉻。顯然,谷歌也花了很多精力確保WebKit,當他們開始使用Chrome的引擎。”
做出這樣的貢獻有助于改善每個人,這些庫的代碼成熟度,是所有軟件供應商應該做的。
如果供應商至少會使用起毛測試庫,他們使用,幫助他們找到解決問題的過程,這將使一個很大的不同之處,Eiram說。這么多錯誤賞金計劃關鍵的網絡軟件,像那些由黑客一個或谷歌,在繪圖人員到目前為止沒有任何影響。在圖書館找到漏洞,他說。
一個精確的材料清單
不幸的是我們遠離這發生,許多軟件開發人員甚至無法追蹤哪些第三方組件的使用,更不用說后來發現的漏洞和補丁在這些組件。
Veracode,一個基于云的漏洞掃描服務運行的安全公司,發現第三方和開源組件每個應用程序中引入平均24已知的漏洞,在一些企業中,40%的他們使用的應用程序有一個或多個漏洞提出的關鍵部件。
“大多數公司學到的教訓試圖修補Heartbleed彈震癥,”克里斯•英格表示Veracode的研究副總裁。”的一個挑戰是,它不僅涉及修補服務器,但修補脆弱的硬件和軟件產品。回答這個問題的我的產品版本的OpenSSL依靠脆弱?”是困難的對于許多組織由于缺乏可見性的構成他們的軟件產品。”
“有一個精確的“材料清單”,可以說,所有的軟件項目對修補工作至關重要,”英格說。“一直如此,但Heartbleed和彈震癥都放大了問題由于無處不在的OpenSSL和Bash。”
系統管理員的情況更加復雜,因為他們依靠軟件供應商進行修復和應對缺陷從很快沒有第三方組件有很大的差異。
“我們認為軟件行業已經認識到這一威脅并試圖處理它至少許多大企業,而是正確映射庫中使用的代碼,跟蹤和漏洞在這些需要大量的資源,進行“Eiram說。
做好準備
如果有一件事,Heartbleed和彈震癥改變,研究人員現在有一個廣告模式缺陷他們發現他們達到更廣泛的觀眾。盡管許多安全行業不同意這種方式,因為它傾向于炒作的風險,它似乎對供應商施加壓力采取行動。它似乎也吸引更多研究人員的注意,導致增加審查一些圖書館,即使短時間的。
“研究人員尋找最有效的漏洞自然會吸引軟件,非常普遍,烤成各種各樣的產品,”英格說。“我認為這將會繼續,因為許多研究人員積極性的至少在部分媒體的關注,發現引人注目的錯誤。”
意外從業務的角度來看,被迫重新分配資源計劃別的事情來像Heartbleed處理缺陷,其中包括識別受影響的產品和發布補丁、軟件供應商可能是一種負擔。如果面對定期高調的缺陷,供應商可能自然被推到采取更加積極的策略,包括跟蹤、修補,甚至在第三方組件找到漏洞自己是理所當然的事。
“看起來像越來越多的軟件公司正在討論的挑戰應對第三方庫和組件,并承認這些是一個弱點,如何“Eiram說。“絕大多數人仍然需要實現一個適當的策略和方法來處理這個挑戰。”
公司應該地圖的產品包含第三方庫,應該定義政策可能將這樣的組件添加到產品和如何,應該考慮在使用前的安全狀態庫通過咨詢各種漏洞數據庫,應該創建一個內部漏洞跟蹤方案或購買訂閱與強大的圖書館一個商業報道。
“長遠來看,我們可能會看到一個轉變,但開發人員可能仍然認為Heartbleed和彈震癥是孤立的事件,而不是一個趨勢,”英格說。“另一方面,自動化解決方案現在方便企業識別他們的應用程序投資組合中的組件與已知的漏洞,所以我想我們會看到積極的方法成為最佳實踐。”
在企業方面,“組織需要認識到,錯誤的大小我們看到2014年將持續到2015年,把流程來快速識別脆弱的地方,有一個良好的程序優先的問題和有效的流程補丁系統發現bug時減少開發風險,”加文·米勒德說,EMEA地區成立網絡安全技術總監。“下一個“錯誤的”來臨的時候,快速反應處理需要非常靈活,測試和高效的機器。” |
|
加載中...
發表于 2014-12-31 09:44:31
QQ好友和群
收藏
發表于 2014-12-31 09:44:33