Hackere er vilde med open source: Pærelet at udnytte huller i koden

En amerikansk undersøgelse viser, at open source software angribes hurtigere og mere effektivt end anden software. Det skyldes den fri adgang til kildekoden.

Sikkerhedsbrister i open source software angribes oftere og hurtigere end software, hvor kildekoden ikke er frit tilgængelig.

Sådan lyder konklusionen i en ny undersøgelse, udført af professor i it og ledelse Sam Ransbotham fra Boston College. Det skriver Technology Review, som er nyhedsmedie for Massachusetts Institute of Technology.

Årsagen skyldes formentlig, at angriberne kan kigge koden igennem.

Der ligger to års indsamlede data bag undersøgelsen, som har taget 400 millioner advarsler fra systemer, der kan detektere forsøg på indtrængning og sammenholdt dem med de egenskaber og sårbarheder der findes i den angrebne software.

Tre dage tidligere og 50 procent oftere

Undersøgelsens data understøtter konklusionen om, at sikkerhedsbrister i open source software angribes hurtigere og oftere end software med lukket kildekode.

Angreb på huller i open source software sker tre dage tidligere og med næsten 50 procents større hyppighed.

Sam Ransbotham mener, at viden om hvorledes et bestemt sikkerhedshul udnyttes, spredes på samme måde, som viden om en bestemt slags teknologisk nyopdagelse spredes.

»Hvis man tænker på alt det her som et spil mellem de gode gutter og de slemme gutter, så bliver der ved at reducere den anstrengelse, de slemme gutter skal gøre, et meget større incitament for dem til at udnytte målene tidligere og ramme flere firmaer,« siger Sam Ransbotham.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian W. Moesgaard

Ja, selvfølgelig bliver FOSS angrebet hurtigere.

Fejlen bliver imidlertid også rettet hurtigere.

Efterhånden som fejlene bliver rettet vil angrebsforsøg blive mere indviklede, uanset om det er FOSS eller ej.

Så ja, FOSS er mere udsat i starten, men det betyder bestemt ikke at det bliver ved med at være det. Se bare på FreeBSD. Held og lykke med at hacke den hvis du ikke er en mega erfaren og dygtig hacker.

  • 0
  • 0
Jens Schumacher

JEg er ikke ligefrem open source mand selv men de her tal kan da ikke bruges til noget.
De siger jo kun hvor hurtigt og hyppigt FOSS bliver angrebet når der er huller.
Det siger intet om hyppigheden af sikkerheds huller. Som man måske kunne forvente var lavere. Netop fordi alverdens udviklere ug sikkerheds eksperter kan kigge koden igennem og lukke eventuelle huller længe før de udnyttes.

  • 0
  • 0
Henrik Pedersen

Ærligt talt synes jeg overskriften er lidt misledende:

Hackere er vilde med open source: Pærelet at udnytte huller i koden

Så vidt jeg ved foretrækker hackere da stadig ting fra Microsoft, Adobe og diverse andre i den kaliber...

Eller er mine windows computere/servere endelig sikre og kan jeg bare stå og grine af linux folket?

Det tvivler jeg stærkt på....

  • 0
  • 0
Anders Sørensen

folk forstår ikke hvad open source er... Det er ikke noget med Microsoft, linux etc. Det er man har kildekoden, og ja, det er nemmere at finde fejl ved at kunne kigge på koden, end hvis man ikke kunne (et program bliver ikke automatisk bedre bare fordi man kan læse koden).
OG open source kan være godt og forbedre koden. Det kraver dog at folk ved noget om programmering og sender patchs eller giver kommentar på koden.
En anden ting er også at projektet har en hvis størrelse at nogen gider at kigge koden igennem for at finde fejl - og det kræver også at den som står for koden giver at bruge tid på at rette koden.

og synes egentlig ikke at titlen er så mislende. Hvis jeg finder en sikkerhedsfejl og jeg har kildekoden til programmeret er det nemmere at skrive en gode kode til at udnytte fejlen, end at jeg skal debug, reflect etc. på en exe, dll what ever.

  • 0
  • 0
Johan Brinch

Fra samme artikel:

Security professionals warn not to read too much into Ransbotham's analysis, however. Many factors could skew the data, says David Aitel, chief technology officer of security firm Immunity, which--among its services--creates exploits to test corporate network defenses. Only 30 of the 97 vulnerabilities targeted by attackers were in open-source software, according to Ransbotham's paper, which means that relatively few vulnerabilities were attacked far more often, says Aitel. He argues that attackers might indiscriminately inundate a company's network with attacks on relatively unimportant open-source software, while focusing more serious attacks on more important systems running closed-source software.

Because Immunity's clients are most concerned about systems running closed-source software such as Microsoft Windows, Internet Explorer, Adobe Acrobat, and Sun's Java, Immunity's researchers attempt to exploit flaws in closed-source software within 24 hours of when they are first reported. Open-source software vulnerabilities are given a much lower priority.

"Drawing a broad conclusion that open-source software is easier to exploit is definitely not true," he says. "You could draw the exact opposite conclusion from the body of exploits that are available on [research sites, such as] Packetstorm."

Other security professionals take a broader view, that it's less about open- or closed-source and more about how a company develops its software. Attackers can eventually get the information they need to exploit a bug, whether through automated attack software, by reverse engineering patches, or by somehow gaining access to the source code, so companies should expect that, says Gary McGraw, chief technology officer of Cigital, a software-security consultancy.

"It is a myth that you have to have source code to exploit vulnerabilities," McGraw says. "You (software developers) need to realize that your software is out there, and you are giving your attacker everything they need to exploit it."

  • 0
  • 0
Ole Wolf

Hvis undersøgelsen bygger på advarsler fra systemer, der detekterer forsøg på indtrængning, så lyder det i mine ører som server-systemer. Tilgiv mig min statistiske usikkerhed, men kan der være en sammenhæng mellem de åbenbart hyppigere angreb og det forhold, at de fleste servere er baseret på open source-software?

  • 0
  • 0
Jonas Finnemann Jensen

Den originale artikel hedder "Open-Source Could Mean an Open Door for Hackers", hvilket allerede virker som en overdrivelse.
Desuden er der INGEN steder tale om hackers subjektive holdning...

I øvrigt fra artiklen:

"Drawing a broad conclusion that open-source software is easier to exploit is definitely not true," he says.

Ps. Tror nok jeg fandt Sam Ransbotham's arbejde og konklusion her:
http://weis2010.econinfosec.org/papers/session6/weis2010_ransbotham.pdf

  • 0
  • 0
Lars Lundin

"folk forstår ikke hvad open source er... Det er ikke noget med Microsoft, linux etc. Det er man har kildekoden,"

Vrøvl.

Iøvrigt er væsenlige dele af kildekoden til MS Windows tilgængelig for kriminelles søgen efter sårbarheder.

Prøv f.eks. at google
"windows source code leak".

  • 0
  • 0
Lars Lundin

Jeg vil mene at man skal være en ret god (C) programmør, for at opdage sikkerhedshuller ved at sidde og kigge kildetekst igennem.

Man kan naturligvis anvende statisk analyse til at opdage potentielt udnytbar kode.

Men med min meget begrænsede erfaring kan man hurtigere finde sårbarheder som f.eks. et buffer-overflow med en runtime analyse (ala valgrind) af den eksekverbare - i vanskeligere tilfælde med hjælp fra en debugger.

Søger den kriminelle direkte i åben kildetekst til f.eks. en netværksdriver i linux kernen, sker det som et kapløb (på lige vilkår) med de sikkerhedsanalytikere som de store firmaer/institutioner bruger til at sikre sig at de ikke sætter et (alt for) sårbart system i drift.

  • 0
  • 0
Jan Nielsen

Men hvor kom det der lige med "Pærelet at udnytte huller i koden" ind i billedet? Hvis man kigger på kilden, som der er ref. til.

Det er da dejligt, at vide at hacker nu også er vilde med open source. Der er jo så mange der er blevet kloger,,, Men, men "Pærelet at udnytte huller i koden".

  • 0
  • 0
Jørgen Elgaard Larsen

Når Windows-folk skal forklare, hvorfor antivirus kun er nødvendigt på Windows, lyder svaret ofte, at det er bare fordi Windows er mere udbredt.

Nu kan man så læse, at "hackere er vilde med open source". Gad vide, hvad den næste undskyldning for behovet for antivirus er?

[/me gemmer sig under bro]

  • 0
  • 0
Erik Cederstrand

Man kan naturligvis anvende statisk analyse til at opdage potentielt udnytbar kode.

Netop. Kør kildekoden gennem Clang Static Analyzer, FlexeLint, Coverity Prevent eller et andet statisk analyseværktøj. Hvis du finder et mønster i fejlene kan du bagefter finde tilsvarende fejl med Google Code Search i mere open-source kildekode.

Jeg tror der er masser at komme efter. FreeBSD fik for en uge siden deres Coverity bot op at køre igen efter lang tids pause, og indtil videre er der checket ca. 50 rettelser ind (jeg har ikke undersøgt hvor mange, der kan udnyttes).

  • 0
  • 0
Lars Lundin

Kør kildekoden gennem Clang Static Analyzer, FlexeLint, Coverity Prevent eller et andet statisk analyseværktøj.

Du glemte behændigt lige min pointe om at den slags analyser sker som et kapløb på lige vilkår både mod udviklerne (som må formodes at have en fordel via godt kendskab til deres kode) og også mod venligtsindede analytikere (profesionelle og også amatører som gerne vil skabe sig et navn indenfor området).

Men det er sandt at den ondsindede analytiker har den fordel at han kun skal finde een sårbarhed, mens udviklerne skal prøve at finde dem alle.

  • 0
  • 0
Erik Cederstrand

Du glemte behændigt lige min pointe om at den slags analyser sker som et kapløb på lige vilkår både mod udviklerne

Jeg er enig i din pointe, at vilkårene er ens for alle. I en ideel verden ville enhver ny type fejl tilmed blive tilføjet som et nyt pass i en statisk checker, så fejlen aldrig begås igen, til fordel for udviklerne.

I praksis er det min oplevelse, at der er en del lavthængende frugter at plukke i eksisterende software, hvilket tyder på, at værktøjerne ikke benyttes i fuldt omfang. Om det skyldes, at oprydning er kedeligere end nyudvikling, ved jeg ikke.

Hvis "pærelet" defineres som "benyt eksisterende værktøjer", og "svært" defineres som "opdag ny type sårbarhed", så er det "pærelet" at finde sårbarheder (hvis målet for angrebet ikke er forhåndsdefineret).

  • 0
  • 0
Christian W. Moesgaard

Når Windows-folk skal forklare, hvorfor antivirus kun er nødvendigt på Windows, lyder svaret ofte, at det er bare fordi Windows er mere udbredt.

Nu kan man så læse, at "hackere er vilde med open source". Gad vide, hvad den næste undskyldning for behovet for antivirus er?

Problemet med denne her tankegang er, at de "Windows-folk", som du kalder dem, faktisk har ret. Mange webservere kører Linux og jeg ser dem hacket ret ofte, skal jeg lige tilføje.

Hackere går efter at ramme flest muligt. Da Windows står for hvert fald over 80% af markedet på desktops, går de efter Windows desktops.

Mange af de Linux-distroer vi kører med i dag på vores desktops er bragende usikre og falder sammen det sekund en person retter skytset mod dem - men ikke desto mindre er der ingen der gør det. Og når der er nogle, der gør det, skal Linux-miljøet nok komme i omdrejninger, det er der ingen tvivl om.

  • 0
  • 0
Jonas Finnemann Jensen

så er det alligevel flertallet der har ret. Det har dansk sprognævn vidst understreget før :p

Jeg skal ikke gøre mig klog på Dansk Sprognævns udtalelser, men hvis de har understreget noget, så er jeg sikker på at det hedder:

Det har Dansk Sprognævn vist har understreget før.

Men bare fordi flertallet af den danske befolkning ikke er bekendt med forskellen på hacker og cracker, behøves vi jo ikke glemme den.

Fag terminologi er rimeligt vigtig... Skal vi måske til at kalde det hele for Windows bare fordi min mor ikke kan se forskel?

  • 0
  • 0
Lars Bengtsson

@ Christian W. Moesgaard
»Mange webservere kører Linux og jeg ser dem hacket ret ofte, skal jeg lige tilføje.«

Interessant, hvordan hacket? Får angriberen fuld kontrol over boksen? Er det kerne angreb, apache eller andet?

Findes der i det hele taget statistik over hvor stort problemet er.

  • 0
  • 0
Erik Cederstrand

Gad vide om man kan lave det perfekte program? Et uden nogle som helst sårbarheder...

Ja, som bl.a. Torben Mogensen har fremført herinde tidligere, kan man godt formelt bevise, at et program ikke har sårbarheder.

Men selv om beviset foreligger, kan compileren eller hardwaren stadig have sårbarheder. Se f.eks. Ken Thompsons klassiske tekst: http://cm.bell-labs.com/who/ken/trust.html

  • 0
  • 0
Erik Cederstrand

Interessant, hvordan hacket? Får angriberen fuld kontrol over boksen? Er det kerne angreb, apache eller andet?

Nu kommer det an på, hvad man mener med "hacket". Typisk er det vel upload af malware til en hjemmeside ved f.eks. at opsnappe klartekst FTP kodeord, eller ved at angribe et populært CMS som Wordpress eller Drupal, som ikke er blevet opdateret. Intet af dette har noget med Linux at gøre som sådan.

Ellers kunne de typisk være brute-force angreb på en ikke-nøglebaseret ssh med dårlige kodeord, eller angreb på kendte sårbarheder, hvor serveren ikke har fået de nødvendige opdateringer.

Ovenstående er blot, hvad jeg ser i loggen på mine (FreeBSD) bokse. Der var en gangske underholdende historie om en cracket Linux box på Slashdot for et par år siden: http://it.slashdot.org/article.pl?sid=07/08/24/179247. Desværre husker jeg ikke, om de fandt ud af, hvordan crackeren kom ind.

  • 0
  • 0
Lars Lundin

"Nu kommer det an på, hvad man mener med "hacket". Typisk er det vel upload af malware til en hjemmeside ved f.eks. at opsnappe klartekst FTP kodeord,"

Med "hacket" menes der i denne diskussion udnyttelse af en sårbarhed, der kan findes ved at kigge i (åben) kildetekst. Det har ikke noget med svagheder i en forældet protokol at gøre.

"Der var en gangske underholdende historie om en cracket Linux box på Slashdot for et par år siden"

Ja, een af mine venner fik også sin Linux-box kompromitteret (pga. en utidssvarende ftp server).

Det var i 2003.

Jeg har svært ved at se hvordan den slags anekdoter kan ses om et udtryk for at det er pærelet at udnytte sårbarheder i open source.

  • 0
  • 0
Erik Cederstrand

Jeg har svært ved at se hvordan den slags anekdoter kan ses om et udtryk for at det er pærelet at udnytte sårbarheder i open source.

Det var nu heller ikke ment sådan. Jeg svarede på, hvordan konkrete forsøg på angreb så ud fra min side af internettet (det er ikke anekdoter). Hvis en hjemmeside er blevet defacet, vil man i daglig tale også sige, at den er blevet hacket/cracket, selv om jeg er enig i, at det ikke nødvendigvis indebærer udnyttelse af sårbarheder i softwaren. Jeg kan også gå med til, at sidstnævnte er mindre "pærelet" end f.eks. at opsnappe passwords eller brute-force ssh, eftersom det er de sidstnævnte teknikker, jeg ser oftest. Det er vel også underforstået, at "pærelet" ikke betyder, at min nabos 12-årige datter kan gøre det.

Hvis vi skal blive lidt mere konkrete, så tag et kig på en kørsel af Clang Static Analyzer på FreeBSD: https://www.spoerlein.net/scan-build/freebsd-head/. Den finder 15.729 potentielle fejl. Heraf er en stor bunke falsk alarm, bl.a. fordi værktøjet mangler inter-proces analyse (så den f.eks. lystigt analyserer videre efter en "exit()"). Men lur mig, om der ikke blandt de hundredevis af "null pointer dereferences" skulle gemme sig et reelt hul. Det kunne tilmed blive en konkurrence blandt V2's læsere. Hvem finder først et hul, som kan udnyttes :-)

Jeg skylder at sige, at jeg ikke er ekspert her, så tag mine ytringer med et gran salt (som du også gør). Det er heller ikke et forsøg på open source eller FreeBSD bashing (jeg har en commit bit hos FreeBSD).

  • 0
  • 0
Lars Lundin

Ellers kunne de typisk være [...] angreb på kendte sårbarheder, hvor serveren ikke har fået de nødvendige opdateringer.

Her mener jeg du har fat i noget vigtigt, nemlig at brugen af open source bliver sikkerhedsmæssigt problematisk, hvis det ikke sker med en god mekanisme til hurtig opdatering.

Et eksempel på hutig udrulning af en sikkerhedsopdatering så man da det blev kendt at Debians "forbedrede" software til nøglegenerering dannede usikre nøgler. Så vidt jeg husker gik der under et døgn før brugerne fik pop-ups med tilbud om at opdatere.

Et modsat eksempel er alle de Linux baserede routere, som ikke har en sådan mekanisme, og hvor ejeren oftest ikke engang har det fjerneste begreb om hvordan sådan en router opdateres.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize