Trends im Bereich der Open Source-Sicherheit Schlüsselrolle Softwarepflege
3. März 2017Organisationen aller Größen und Branchen setzen auf die Verwendung von Cloud- und mobilen Anwendungen. Dabei bauen diese überwiegend auf Open-Source-Komponenten auf – welche wiederum außerhalb der Firmen-Firewall entstehen. Hacker haben gelernt, dass solche Anwendungen die Schwachstelle in der Cybersecurity der meisten Organisationen sind und weit verbreitete Open-Source-Schwachstellen-Exploits einen schnellen Return-on-Invest haben, so dass sie tausende von Websites, Anwendungen und IoT-Geräte mit minimalem Aufwand kompromittieren können. Bei Black Duck beobachtet man vier wesentliche Trends im Bereich der Open-Source-Sicherheit.
Mehr Angriffe
Die Anzahl der Cyber-Angriffe, die auf bekannten Open-Source-Schwachstellen beruhen, wird um 20 Prozent steigen – der Grund: Open Source ist nicht weniger oder mehr unsicher als kommerzieller Code, aber es gibt mehrere Eigenschaften von Open Source, die es zu einem attraktiven Ziel machen:
• Open Source-Nutzung ist allgegenwärtig und bietet daher viele Möglichkeiten zum Angriff.
• Open-Source-Schwachstellen werden öffentlich in der National Vulnerability Database (NVD) offen gelegt und es werden oft Referenzen zu Exploits gemacht, die die Schwachstelle "beweisen".
• Das Modell der Software-Pflege bei Open Source ist in der Regel das Gegenteil von kommerzieller Software. Für Letzteres ist in der Regel eine Service-Level-Vereinbarung vorhanden, die verlangt, dass der Anbieter Updates für seine Kunden bereitstellt und sie über Sicherheitsfragen informiert. Bei Open Source haben laden die Nutzer lediglich die Komponente herunter und erfüllen die Lizenzbestimmungen. Sie übernehmen auch die Verantwortung für Updates, einschließlich möglicher Sicherheitsprobleme, und sie entscheiden, ob sie die Updates einspielen oder nicht.
Hochentwickelte Angriffe
Hochentwickelte Angriffe auf Basis von Open-Source-Schwachstellen werden zum Standard – siehe Heartbleed, Shellshock oder Poodle. Warum? Laut Open Source Security Audit Report von Black Duck sind Schwachstellen in Open-Source-Komponenten, die in kommerziellen Anwendungen verwendet werden, im Durchschnitt über fünf Jahre alt. Die Linux-Kernel-Schwachstelle 8/16 (CVE-2016-5195), die entdeckt wurde, befindet sich seit dem Jahr 2012 in der Linux-Codebasis. Die meisten Organisationen wissen aber nicht über die Open-Source-Schwachstellen in ihrem Code Bescheid, da sie die Open-Source-Komponenten, die sie verwenden, nicht nachverfolgen und nicht aktiv Informationen zu Open-Source-Schwachstellen einholen.
Auch der erste Rückruf eines Automobilherstellers aufgrund einer Open-Source-Lücke wird immer wahrscheinlicher. Denn in einem neuen Auto des Jahres 2016 stecken durchschnittlich über 100 Millionen Zeilen Code. Fahrzeuge werden immer intelligenter, automatisierter und sind vor allem immer mehr mit dem Internet verbunden. Dies verschärft ein Problem, das bereits existiert – die Automobilhersteller wissen nicht genau, welche Software in den von ihnen hergestellten Fahrzeugen ist. Denn der Großteil der Software, die Sensoren und andere Fahrzeug-Hardware miteinander verbindet, stammt von Drittanbietern. Diese Software enthält mit großer Wahrscheinlichkeit Open-Source-Komponenten mit Sicherheitslücken. Solche Schwachstellen können katastrophale Auswirkungen auf ein fahrendes Fahrzeug haben.
M&A-Deals
Unternehmen verwenden für die Entwicklung eines eigenen Software-Codes viele Jahre und viele Millionen Dollar; und die Software ist ihr deutlicher Wettbewerbsvorteil. Open-Source-Probleme im eigenen Code können aus Sicht von Lizenz-Compliance und Anwendungssicherheit sehr schädlich für den Wert der Software-Lizenzen sein. Wenn IT-Probleme oder Open-Source-Fragen auftauchen, werden einige Käufer nicht mehr jeden Preis zahlen wollen.
Obwohl Open Source ein wesentliches Element in fast jeder Software ist, sind die meisten Unternehmen blind für mögliche Sicherheitsprobleme in den Open-Source-Komponenten ihres Codes – Probleme die oft unentdeckt bleiben, bis ein Code-Audit durchgeführt wird.
Insgesamt betrachtet ist Open Source ein großartiges Werkzeug und nichts, was Organisationen fürchten sollten. Open Source ist nicht das Problem – es ist der Mangel an Einblick in Open Source. Wie bereits zu Anfang des Beitrages angemerkt, Open Source ist nicht weniger oder mehr unsicher als kommerzieller Code. Open Source wird nur zum Sicherheitsrisiko, wenn Unternehmen keine Kontrolle über ihren Open Source Code haben, den sie verwenden, und die Sicherheit der Open-Source-Komponenten nicht stets überwachen. (rhh)
Mike Pittenger
ist Vice President of Security Strategy bei Black Duck