Sigurnosne ranjivosti u kodu
Softver operativnog sistema, aplikativni softver ili firmver u ugrađenom sistemu su osnovne komponente bilo koje digitalne infrastrukture. Međutim, sve veće ubrzanje i pritisak na rokove u projektima digitalizacije često dovode do zanemarivanja imperativnih aspekata sigurnosti informacija. Razvojni zahtjevi za softver obično su usmjereni na funkciju i naglašavaju konstruktivne aspekte, tako da je destruktivni pogled na potencijalne sigurnosne ranjivosti uglavnom dijametralno suprotan stvarnim razvojnim ciljevima: mnogim programerima jednostavno nedostaje strukturiran i izoštren pogled na kibernetičku sigurnost.
U ovim uslovima, razvojni timovi imaju teškoća da kontinuirano pregledavaju i dosljedno obezbjeđuju kodiranje svog softvera, o čemu svjedoče brojne ranjivosti koje neprofitna korporacija MITER svake godine objavljuje u svojoj CVE (Common Vulnerabilities and Exposures - Uobičajene ranjivosti i izloženosti) listi. Redovne sigurnosne zakrpe čak i poznatih proizvođača softvera pokazatelj su sizifovog zadatka zatvaranja sigurnosnih grešaka, a kamoli da ih identifikuju prije nego što se uopšte lansiraju na tržište.
Otvoreni sigurnosni kod - specijalni slučaj
Kada kodiraju softver koji su sami razvili, programeri vole da posežu za bibliotekama i modulima otvorenog koda. Praktične prednosti su očigledne: ako ne morate iznova i iznova izmišljati točak, imate koristi od ovog poboljšanja tehnologije, brzog razvoja, nižih troškova razvoja, veće transparentnosti kroz otvoreni izvorni kod i veće interoperabilnosti kroz otvorene standarde i sučelja.
Također se često kaže da kod iz otvorenog koda nudi visok stepen sigurnosti jer je kod potvrđen od strane mnogih korisnika, a inteligencija zajednice otvorenog koda omogućava brzo i efikasno ispravljanje grešaka.
U praksi, ovo povjerenje se sada mora vrednovati na diferenciran i kritički način. Najozbiljniji primjer je sigurnosna ranjivost nultog dana Log4Shell u široko korištenoj biblioteci evidencije Log4J za Java aplikacije, koja je otkrivena u novembru 2021. Možda ste čuli za nivo crvenog upozorenja koji je izdao njemački savezni ured za sigurnost informacija (BSI ) za Log4Shell. Log4J biblioteka, distribuirana kao pouzdano funkcionalni kvazi-standard preko Apache fondacije, etablirala se u mnogim sistemima od 2013. godine - uključujući dobro poznate web servise kao što je Amazon AWS.
Složenost ovih dobro razvijenih i također održavanih biblioteka implicitno pruža moćne funkcionalnosti kojih programer koji uvozi često nije svjestan u svom vlastitom kombinovanom novom razvoju, ali koje napadači mogu iskoristiti.
Drugi faktor nesigurnosti komponenti otvorenog koda su takozvani napadi na lanac snabdjevanja, odnosno namjerene ugrađene ranjivosti od strane zlonamjernih aktera koji se predstavljaju kao dio zajednice otvorenog koda i pomažu u razvoju koda. Takva ranjivost je izuzetno efikasan način za hakere da napadnu veliki broj organizacija ostalih korisnika. Stoga nije ni čudo što ovaj vektor napada brzo raste: Sonatype studija dijagnosticira povećanje od 650% u poređenju sa 2020. i 2021.