Bezbednosne ranjivosti u kodu
Softver operativnog sistema, aplikativni softver ili firmver u ugrađenom sistemu su elementarne komponente bilo koje digitalne infrastrukture. Sve veće ubrzanje i pritisak na rokove u projektima digitalizacije često dovode do zanemarivanja imperativnih aspekata bezbednosti informacija. Razvojni zahtevi za softver su obično usmereni na funkciju i naglašavaju konstruktivne aspekte, tako da je destruktivni pogled na potencijalne bezbednosne propuste uglavnom dijametralno suprotan stvarnim razvojnim ciljevima: mnogim programerima jednostavno nedostaje strukturiran i izoštren pogled na sajber bezbednost.
U ovim uslovima, razvojnim timovima je teško da kontinuirano pregledaju i dosledno obezbeđuju kodiranje svog softvera, o čemu svedoče mnoge ranjivosti koje neprofitna korporacija MITER svake godine objavljuje na svojoj listi CVE (Common Vulnerabilities and Ekposures). Redovne bezbednosne zakrpe čak i poznatih proizvođača softvera su pokazatelj sizifovog zadatka zatvaranja sigurnosnih grešaka, a kamoli da ih identifikuju pre nego što se uopšte plasiraju na tržište.
Otvoreni izvorni kod (source code) - poseban slučaj
Kada kodiraju softver koji su sami razvili, programeri vole da pribegavaju bibliotekama i modulima otvorenog koda. Praktične prednosti su očigledne: ako ne morate ponovo i iznova da izmišljate točak, imate koristi od ovog unapređenja tehnologije, brzog razvoja, nižih troškova razvoja, veće transparentnosti preko otvorenog koda i međusobno delovanje kroz otvorene standarde i interfejse .
Takođe se često kaže da kod iz otvorenog koda nudi visok stepen sigurnosti jer je kod potvrđen od strane mnogih korisnika, a inteligencija roja zajednice otvorenog koda omogućava brzo i efikasno ispravljanje grešaka.
U praksi, ovo poverenje se sada mora vrednovati na diferenciran i kritički način. Najozbiljniji primer je bezbednosna ranjivost nultog dana Log4Shell u široko korišćenoj biblioteci evidencije Log4J za Java aplikacije, koja je otkrivena u novembru 2021. Možda ste čuli za nivo crvenog upozorenja koji je izdala kancelarija za bezbednost informacija (BSI ) za Log4Shell. Log4J biblioteka, distribuirana kao pouzdano funkcionalan kvazi-standard preko Apache fondacije, etablirala se u mnogim sistemima od 2013. godine – uključujući dobro poznate veb servise kao što je Amazon AVS.
Složenost ovih dobro razvijenih i takođe održavanih biblioteka implicitno pruža moćne funkcionalnosti kojih programer koji uvozi često nije svestan u sopstvenom kombinovanom novom razvoju, ali koje napadači mogu da iskoriste.
Drugi faktor nesigurnosti komponenti otvorenog koda su takozvani napadi na lanac snabdevanja, to jest, namerene ugrađene ranjivosti od strane zlonamernih aktera koji se predstavljaju kao deo zajednice otvorenog koda i pomažu u razvoju koda. Takva ranjivost je izuzetno efikasan način za hakere da napadnu veliki broj organizacija korisnika na nižem nivou. Nije ni čudo što ovaj vektor napada brzo raste: studija Sonatipe je dijagnostikovala povećanje od 650% kada se uporede 2020. i 2021.