|
认为软件图书馆是安全的吗?不要这么快! 远程控制软件,灰鸽子下载
在当今世界的敏捷软件开发和快速的发布周期,开发人员越来越依赖的第三方库和组件来完成工作。许多图书馆来自长期以来,开源项目,开发人员常常认为他们写得很好,没有错误代码。他们错了。
主要Heartbleed引发的修补工作,今年弹震症和狮子狗缺陷作为关键漏洞的影响第三方代码的例子。缺陷影响服务器上运行的软件,桌面电脑、移动设备和硬件设备,影响数以百万计的消费者和企业。
然而,这些高度公开的漏洞并不是孤立的事件。类似的缺陷被发现在图书馆如OpenSSL,LibTIFF,libpng,OpenJPEG,FFmpeg,Libav和其他无数,这些使他们成为成千上万的产品。
(参见:自然防御:8 IT安全策略在自然界发现的)
这些错误的原因中,最终成品是由开发者认为他们选择集成的第三方代码是安全的,因为它已经被许多人使用。
浅bug的神话,”有一个神话,开源是安全的,因为每个人都可以查看它;更多的眼睛回顾它使所有bug浅,”杰克Kouns说CISO基于风险的安全,公司专门从事跟踪漏洞。“事实是,尽管每个人都可以查看代码,他们不为质量是递延和问责制。开发人员和公司使用第三方库不分配他们自己的资源安全测试别人的代码。“对或错,似乎每个人都认为别人会发现漏洞和发表的是安全的。”
现实情况是,许多开放源码项目,甚至产生关键的代码的互联网基础设施,往往经营不善,人手不足和没有足够的资源来支付专业代码审计或人力从事大规模的旧代码重写。
OpenSSL是一个杰出的例子,这种情况下,但唯一的一个。4月份关键Heartbleed bug宣布后,据称,OpenSSL项目只有一个全职开发人员和项目主要资助被基于其他团队成员的工作在业余时间为公司需要SSL / TLS的专业知识。
OpenBSD批评OpenSSL维护老代码的开发者平台,很少有人关心,决定叉的项目创建一个清洁版本库称为LibreSSL。
开源库的缺陷往往是由于一个或多个原因:旧代码或代码成熟度低,审计不足或侦察一个发现的过程漏洞通过自动喂养意外输入_维护者太少,研究总监Carsten Eiram说基于风险的安全。“我们看到,许多漏洞被发现在这些库是由研究人员简单地运行的一些最新fuzz攻击他们,所以经常有维护人员或公司使用表示库可以做自己。软件供应商快速实现图书馆到他们的产品,但很少审计甚至模糊这些第一或帮助维护他们。”
这都是市场营销
Heartbleed弹震症,狮子狗漏洞提出了大量的软件开发人员和系统管理员的兴趣,部分原因在于媒体的缺陷引起了关注。一些厂商仍确定这些缺陷影响的产品和发布补丁,个月后首次宣布。
处理完整的连续攻击:一个新的Threat-Centric安全模型之前,期间和之后攻击
Eiram相信这些漏洞突出的主要原因不是它们的影响,但他们的方式宣传finders-with花哨的名字和标志。可悲的事实是,类似的缺陷经常发现在普遍图书馆重要性,但管理飞下的雷达和很少的补丁软件供应商使用他们的人。
“很多vulnerabilities-18-have在OpenSSL Heartbleed以来,解决远程,我们还没有见过同样的注意发布补丁是供应商,从紧”Eiram说。“我们看到不同程度的修复库几乎每天,但很少看到供应商在其产品中捆绑这些库问题修复,即使我们知道大量使用这些库”。
在2006年的一个例子,一个漏洞发现由偶极,奥曼迪安全研究人员现在在谷歌工作。受影响的缺陷是在几个LibTIFF,固定在一个新版本。这是跟踪的cve - 2006 - 3459常见的漏洞和风险数据库。
“在2010年,一个漏洞是固定在Adobe Reader,这原来是一个漏洞覆盖的cve - 2006 - 3459,“Eiram说。
“四年,一个脆弱的和过时的版本LibTIFF被捆绑的Adobe Reader,甚至是被证明是可利用的。”
奥多比系统已经成为软件供应商采取第三方组件的缺陷严重的威胁,Eiram说。
“他们已经取得了重大改进过程中的跟踪和解决第三方库和组件用于他们的产品。”
另一个供应商是谷歌。除了保持跟踪它所使用的第三方代码的漏洞,该公司的研究人员正积极寻找缺陷,代码。
ITworld漫画2014:在极客幽默(到目前为止)
“我们看到两个谷歌的多产的研究人员,Gynvael Coldwind和Mateusz Jurczyk,发现超过1000问题FFmpeg Libav,用于铬,并且他们目前看其他图书馆也喜欢FreeType,“Eiram说。“OpenJPEG似乎也收到一些审查谷歌目前,用于PDFium这反过来用于铬。显然,谷歌也花了很多精力确保WebKit,当他们开始使用Chrome的引擎。”
做出这样的贡献有助于改善每个人,这些库的代码成熟度,是所有软件供应商应该做的。
如果供应商至少会使用起毛测试库,他们使用,帮助他们找到解决问题的过程,这将使一个很大的不同之处,Eiram说。这么多错误赏金计划关键的网络软件,像那些由黑客一个或谷歌,在绘图人员到目前为止没有任何影响。在图书馆找到漏洞,他说。
一个精确的材料清单
不幸的是我们远离这发生,许多软件开发人员甚至无法追踪哪些第三方组件的使用,更不用说后来发现的漏洞和补丁在这些组件。
Veracode,一个基于云的漏洞扫描服务运行的安全公司,发现第三方和开源组件每个应用程序中引入平均24已知的漏洞,在一些企业中,40%的他们使用的应用程序有一个或多个漏洞提出的关键部件。
“大多数公司学到的教训试图修补Heartbleed弹震症,”克里斯•英格表示Veracode的研究副总裁。”的一个挑战是,它不仅涉及修补服务器,但修补脆弱的硬件和软件产品。回答这个问题的我的产品版本的OpenSSL依靠脆弱?”是困难的对于许多组织由于缺乏可见性的构成他们的软件产品。”
“有一个精确的“材料清单”,可以说,所有的软件项目对修补工作至关重要,”英格说。“一直如此,但Heartbleed和弹震症都放大了问题由于无处不在的OpenSSL和Bash。”
系统管理员的情况更加复杂,因为他们依靠软件供应商进行修复和应对缺陷从很快没有第三方组件有很大的差异。
“我们认为软件行业已经认识到这一威胁并试图处理它至少许多大企业,而是正确映射库中使用的代码,跟踪和漏洞在这些需要大量的资源,进行“Eiram说。
做好准备
如果有一件事,Heartbleed和弹震症改变,研究人员现在有一个广告模式缺陷他们发现他们达到更广泛的观众。尽管许多安全行业不同意这种方式,因为它倾向于炒作的风险,它似乎对供应商施加压力采取行动。它似乎也吸引更多研究人员的注意,导致增加审查一些图书馆,即使短时间的。
“研究人员寻找最有效的漏洞自然会吸引软件,非常普遍,烤成各种各样的产品,”英格说。“我认为这将会继续,因为许多研究人员积极性的至少在部分媒体的关注,发现引人注目的错误。”
意外从业务的角度来看,被迫重新分配资源计划别的事情来像Heartbleed处理缺陷,其中包括识别受影响的产品和发布补丁、软件供应商可能是一种负担。如果面对定期高调的缺陷,供应商可能自然被推到采取更加积极的策略,包括跟踪、修补,甚至在第三方组件找到漏洞自己是理所当然的事。
“看起来像越来越多的软件公司正在讨论的挑战应对第三方库和组件,并承认这些是一个弱点,如何“Eiram说。“绝大多数人仍然需要实现一个适当的策略和方法来处理这个挑战。”
公司应该地图的产品包含第三方库,应该定义政策可能将这样的组件添加到产品和如何,应该考虑在使用前的安全状态库通过咨询各种漏洞数据库,应该创建一个内部漏洞跟踪方案或购买订阅与强大的图书馆一个商业报道。
“长远来看,我们可能会看到一个转变,但开发人员可能仍然认为Heartbleed和弹震症是孤立的事件,而不是一个趋势,”英格说。“另一方面,自动化解决方案现在方便企业识别他们的应用程序投资组合中的组件与已知的漏洞,所以我想我们会看到积极的方法成为最佳实践。”
在企业方面,“组织需要认识到,错误的大小我们看到2014年将持续到2015年,把流程来快速识别脆弱的地方,有一个良好的程序优先的问题和有效的流程补丁系统发现bug时减少开发风险,”加文·米勒德说,EMEA地区成立网络安全技术总监。“下一个“错误的”来临的时候,快速反应处理需要非常灵活,测试和高效的机器。” |
|