Bezpečnostné zraniteľnosti v kóde
Softvér operačného systému, aplikačný softvér alebo firmvér vstavaného systému sú elementárnymi súčasťami každej digitálnej infraštruktúry. Zvyšujúce sa zrýchlenie a tlak na termíny v digitalizačných projektoch však často vedú k zanedbávaniu nevyhnutných aspektov informačnej bezpečnosti. Požiadavky na vývoj softvéru sú zvyčajne zamerané na funkcie a zdôrazňujú konštruktívne aspekty, takže deštruktívny pohľad na potenciálne bezpečnostné zraniteľnosti je väčšinou diametrálne odlišný od skutočných cieľov vývoja: mnohým programátorom jednoducho chýba aj štruktúrovaný a vyostrený pohľad na kybernetickú bezpečnosť.
Za týchto podmienok majú vývojové tímy problém priebežne kontrolovať a dôsledne zabezpečovať kódovanie svojho softvéru, čoho dôkazom je množstvo zraniteľností, ktoré nezisková organizácia MITRE Corporation každoročne zverejňuje vo svojom zozname CVE (Common Vulnerabilities and Exposures). Pravidelné bezpečnostné záplaty dokonca aj známych výrobcov softvéru sú ukazovateľom sizyfovskej úlohy odstrániť chyby dôležité z hľadiska bezpečnosti, nehovoriac o ich identifikácii ešte pred uvedením na trh.
Otvorený zdrojový kód - osobitný prípad
Pri kódovaní softvéru vyvinutého vlastnými silami sa programátori radi uchyľujú ku knižniciam a modulom s otvoreným zdrojovým kódom. Praktické výhody sú zrejmé: Ak nemusíte znovu a znovu vynaliezať koleso, profitujete z tohto technologického impulzu, rýchleho vývoja, nižších nákladov na vývoj, väčšej transparentnosti vďaka otvorenému kódu a vyššej interoperability vďaka otvoreným štandardom a rozhraniam.
Často sa tiež hovorí, že kód s otvoreným zdrojovým kódom ponúka vysoký stupeň bezpečnosti, pretože kód bol overený mnohými používateľmi a rojčivá inteligencia komunity s otvoreným zdrojovým kódom umožňuje rýchle a efektívne odstraňovanie chýb.
V praxi sa táto dôvera musí teraz posudzovať diferencovane a kriticky. Najzávažnejším príkladom je bezpečnostná zraniteľnosť nultého dňa Log4Shell v široko používanej knižnici Log4J pre aplikácie Java, ktorá bola objavená v novembri 2021. Možno ste už počuli o červenom stupni výstrahy, ktorý pre Log4Shell vydal nemecký Spolkový úrad pre informačnú bezpečnosť (BSI). Knižnica Log4J, distribuovaná ako spoľahlivo fungujúci kvázi štandard prostredníctvom nadácie Apache Foundation, sa od roku 2013 etablovala v mnohých systémoch - vrátane známych webových služieb, ako je Amazon AWS.
Komplexnosť týchto dobre vyvinutých a tiež udržiavaných knižníc implicitne poskytuje výkonné funkcie, o ktorých importujúci vývojár často nevie pri vlastnom kombinovanom novom vývoji, ale ktoré môžu byť zneužité útočníkmi.
Ďalším faktorom nezabezpečenia komponentov s otvoreným zdrojovým kódom sú tzv. útoky dodávateľského reťazca, t. j. zámerné zabudované zraniteľnosti zo strany škodlivých subjektov, ktoré sa vydávajú za súčasť komunity open source a pomáhajú pri vývoji kódu. Takáto zraniteľnosť je pre hackerov mimoriadne účinným spôsobom, ako zaútočiť na veľký počet nadväzujúcich používateľských organizácií. Niet preto divu, že tento vektor útoku rýchlo rastie: štúdia spoločnosti Sonatype diagnostikovala 650 % nárast pri porovnaní rokov 2020 a 2021.