Açık Kaynak Ortamlarında İçeriden Gelen Tehditler


YORUM

Henüz bir şey duymadıysanız XZ Utils’te kritik güvenlik açığı bulundu, kritik güvenlik haberlerine dikkat etmiyorsunuz. Sonuçta, bir keşif yaygın olarak kullanılan bir Linux aracında arka kapı karşılaştırmaları kışkırtacak kadar ciddiydi meşhur SolarWinds hack’i. Linux yaratıcısı Linus Torvalds bile Seattle’daki Açık Kaynak Zirvesi Kuzey Amerika’da bundan bahsetmişti. Kötü amaçlı kod, bazı Linux araçlarının beta sürümlerine sızdı; bu da, geniş çapta yayılmaya çok yaklaştığı anlamına geliyor. Bu, tüm açık kaynaklı Linux ekosistemi için tam bir felaket olurdu.

Ancak bir zamanlar geliştirici Andres Freund bir güvenlik tavsiyesi yayınladıEtik hacker Marc Rogers’ın “öfkeli inek sürüsü” kötü amaçlı yazılımı hızla ve tamamen kaldırmak ve genel etkiyi büyük ölçüde sınırlamak için yorulmadan çalıştı.

Yani daha kötüsü olabilirdi değil mi? Evet ve hayır.

Olay, açık kaynak topluluğunun bir krizi hızlı bir şekilde önleme gücünü gösteriyor. Ancak aynı zamanda güvene dayalı bir ekosistemdeki genel güvenlikle ilgili bazı rahatsız edici soruları da gündeme getiriyor. Nedeni şu: Saldırı, birçok uzmanın, son derece karmaşık bir saldırı başlatmadan önce açık kaynak topluluğunda güvenilirlik oluşturmak ve projeler üzerinde sadakatle çalışmak için iki yıl harcayan bir ulus devlet aktöründen geldiğini düşünüyor.

Yeni Bir Casusluk Türü

Biz görmüşken protesto yazılımı yoluyla sabotaj, bu tür gizli casusluk açık kaynak topluluğu için yenidir. Aslında, Beyaz Saray Ulusal Siber Direktör Ofisi’nin ulusal siber direktör yardımcısı Anjana Rajan, bunu, hoşnutsuz bir çalışandan gördüğümüz şirket içi hackleme türüne benzer şekilde, açık kaynağa yönelik açık kaynak içeriden gelen bir tehdide benzetmiştir. . Daha da kötüsü, bu içeriden birinin diğer projelere erişimi vardı ve geçmişe bakıldığında bunlar başvurular şüpheli görünüyor.

Ve bu çok önemli. Güven üzerine inşa edilmiş bir topluluk, aralarında casusların olduğu gerçeğine etkili bir şekilde nasıl tepki verebilir? Çünkü eğer bir tane varsa, muhtemelen daha fazlası da vardır.

Çoğu bakımcı muhtemelen her şeyi görmezden gelecektir, ancak açık kaynak ekosisteminin kimin katkıda bulunacağı konusunda daha sıkı bir güvenliğe ihtiyaç duyup duymadığını sormak kesinlikle adil olur. Bir tür harici sertifikalandırma süreci olmalı mı? Ve eğer öyleyse, geliştiricilerin genellikle ücretsiz yaptıkları iş için (muhtemelen) baş belası bir süreci satın almalarını nasıl sağlarsınız?

Yazılımın kod incelemesini ve sertifikasyonunu harici bir şirkete yaptırmaya ne dersiniz? Bu hem karmaşık hem de açık kaynak topluluğunun işleyişine aykırı geliyor. (Şirket için yasal bir sorumluluk doğurabileceğinden bahsetmiyorum bile.)

Ve daha genel anlamda, açık kaynağın süregelen bir kusurunun altını çiziyor; bakımcılar genellikle nankör ama önemli görevleri herhangi bir kredi veya tazminat olmadan yerine getiriyor. Daha önce alıntılanan Politico’ya göre Makalede, geliştiricinin projeyi tek başına sürdürmesi ve aşırı çalışması nedeniyle saldırganın XZ’ye odaklandığına dair bazı işaretler var. Bu bana hoşnutsuz bir çalışanınkine oldukça benziyor.

CISO’lar Bu Güvenlik Adımlarını Dikkate Almalı

Değişim yavaş yavaş gelecektir; bu, bilgi güvenliği yöneticilerinin (CISO’lar) ve siber güvenlik ekiplerinin, kodun kendi tarafındaki olası güvenlik adımlarını dikkate almalarının iyi olacağı anlamına gelir.

İlk olarak, çoğu kurumsal çalışanın içeriden gelen siber tehditlere karşı nasıl takip edileceği konusunda aldığı düzenli güvenlik eğitimini düşünün. Geliştiricileri işletim sistemi içinden kaynaklanan tehditlere karşı benzer şekilde eğitmeye başlamak mümkün müdür?

Başka bir fikir, açık kaynak yazılımı kullanmadan önce dahili kaynak kodu incelemeleri yapmak olabilir. Bu, açık kaynağı yönetmek için daha fazla kaynağın işe alınması anlamına mı gelir? Kodun temizliğini sağlamak için sürümden sürüme hızlı bir karşılaştırma yapabilir misiniz? En azından, özellikle Ulusal Güvenlik Açığı Veri Tabanı’nın güvenlik açıklarını etiketlemede devam eden gecikmeleri ışığında, açık kaynak güncellemeleriyle her zaman güncel kaldığımızdan emin olmalıyız. Kesinlikle sizi daha güvende tutacaktır.





Source link