Google-angreb afslører katastrofal nem adgang til kildekode
Konsekvenserne af hackerangrebene, der ramte Google og 30 andre store, amerikanske virksomheder i december, kan være enorme.
Hackerne havde nemlig uhindret adgang til både at stjæle og ændre i kildekoden for kommende stykker software fra de ramte firmaer. Det viser en ny undersøgelse, som sikkerhedsfirmaet McAfee står bag, skriver magasinet Wired.
Her bliver det afsløret, at et populært værktøj fra firmaet Perforce til at styre softwareudvikling havde mange sikkerhedshuller. Værktøjerne til at håndtere kildekoden blev også brugt på en måde, der gjorde det nemmere for hackerne, for alle udviklere havde fuld adgang og kunne trække kildekoden ned på en lokal maskine.
Når hackerne havde så nem adgang til kildekoden hos de store software-koncerner, gav det mulighed for at få magt over snart sagt alle verdens computere. Hackerne kan nemlig have lagt en bagdør ind i kildekoden for de kommende produkter, som vil gøre det nemt at få kontrol over en computer.
For eksempel var Adobe også ramt af hackerangrebet, og da firmaet producerer Acrobat Reader og Flash, som næsten alle computere har installeret, kan det have givet hackerne en utrolig mulighed for at infiltrere it-sikkerheden globalt.
McAfee understreger, at der ikke er spor efter, at hackerne har forsøgt at plante skadelig kode i ofrenes kildekode - men omvendt er det meget svært at opdage, fordi hvert stykke software kan være på mange millioner kodelinjer. Det kræver en langsommelig kontrol op mod tidligere versioner af kildekoden, før man er helt sikker.
Softwaren fra Perforce til kildekode-styring bliver brugt at mange af de største software-producenter. McAfee fandt adskillige problemer med værktøjet, set med sikkerhedsbrillerne på.
Blandt andet kører værktøjet med fuld systemadgang på Windows, og der er ingen kryptering af kommunikationen mellem den centrale server og brugerne. Alle kunne også uhindret oprette nye brugere og få adgang, noterer McAfee i sin gennemgang.
Er skaden sket, og der har været hackere på besøg, er log-funktionen i Perforce-værktøjet heller ikke til megen hjælp.
»Værktøjerne var pivåbne. Ingen har tænkt på at sikre dem, selvom det handler om kronjuvelerne hos mange af firmaerne - det er meget mere værdifuldt end finansielle eller personfølsomme data, som firmaerne har brugt mange kræfter på at beskytte,« siger Dmitri Alperovitch, direktør for McAfees trusselsanalyse, til Wired.
Google og mange andre software-firmaer i USA blev i december udsat for et målrettet hackerangreb, som blev sporet til Kina. Det har siden fået Google til at true med enten at fjerne censur på den kinesiske udgave af Googles søgemaskine eller helt trække sig fra landet.
Kommentarer (3)
Problemet er at udviklingsmaskinerne og tilhørende servere tilsyneladende skal have adgang til internettet, direkte eller indirekte.
Jeg ville ønske at flere firmaer, i alle brancher, men specielt dem hvis produkter vedrører mange mennesker eller alvorlig sikkerhed, i stigende grad overvejer om ikke de ville være bedre tjent med at sikre udviklingsmaskinerne så godt som muligt, herunder forhindre adgang fra internettet.
Lukkede miljøer kan stadigvæk hackes, bare tænk på en "gave" overført via en usb stick, men det bliver alt andet væsentligt mere besværligt når man ikke har interaktiv adgang til kildeteksterne.
-
0 -
0
Ikke for at være pedantisk, men det er ikke "maskinerne" men i stedet systemerne, der skal beskyttes. Som det beskrives her er problemet med Peforce jo at det antager at det kører i en indhegning, d.v.s. via lokalenet eller via VPN, hvor en del andre SCM systemer er baseret på sikre protokoller over usikre net (tænk CVS over SSH eller Subversion over HTTPS, Perforce kan sikkert også konfigureres sådan)
Men adgang til kildetekst er ikke modsatrettet ifht sikkerhed de systemer, der benytter dem - snarere tværtimod. Bare tænk på Kerberos, SSH2, HTTPS: Åbne protokoller, åben kildekode, og jo flere øjne, der kan reviewe, jo flere huller kan findes og lukkes.
-
0
-
0
Det findes mange måder at sikre kommunikation mellem maskiner, og faktisk kan det virke rigtigt fint. Ihvertfald lige indtil maskinerne er kompromiteret. Hvilket netop var hvad der skete omtalte sag med indbrud hos google.
Jeg kan endnu engang blot udtrykke mit håb om mere omtanke i hvordan firmaer beskytter deres kildetekster. Specielt i tilfælde hvor sikkerhedsproblemer har alvorlige konsekvenser for mennesker eller lande. Internettet er og forbliver en kriminaliseret krigszone og det bliver ikke bedre at den militarisering man har set i de senere år.
-
0
-
0
