Açık Kaynak Yazılımların İşletmeleri Saldıran Güvenlik Açıkları

Yayınlanan: 2022-06-30

Açık kaynak kodlama, yazılımı oluşturan işletmeler ve sorunsuz iş operasyonları için onu kullanması gereken bekleyen işletmeler için birçok avantaj sağlar. Açık kaynaklı yazılım, basitçe açık kaynaklı kodlama kullanılarak kodlanan yazılımdır. Bu, kodlamanın insanların görece kolayca görüntülemesi ve manipüle etmesi için açık olduğu anlamına gelir. Ana ahlakı, kimin belirli kodlara erişimi olduğunu - bir dereceye kadar - merkezileştirmemesi ve demokratikleştirmesidir.

Web, uygulama ve yazılım geliştiricileri için baskın seçim olan çok yönlü ama aynı zamanda uçucu bir kodlamadır. Bu kadar çok yönlü ve kolayca manipüle edilebilen bir açık kaynak kodunun güvenlik açıkları, yazılım kesintilerine ve işletmelerin başına bela olan güvenlik sorunlarına neden olabilir. Hadi keşfedelim.

İçindekiler tablosu gösterisi
  • Açık kaynak kodu nedir?
  • İşletmeler için ne gibi sorunlar yaratabilir?
  • Açık kaynaklı yazılım güvenlik açıklarına örnekler
    • 2017 Equifax veri ihlali
    • Amazon Web Hizmetleri
  • İşletmelere yönelik siber saldırılarda yaygın artış
  • Çözüm nedir?
  • Son sözler

Açık kaynak kodu nedir?

saldırı-kodu-siber-veri-hack-güvenliği

Açık kaynak, başlangıçta açık kaynaklı yazılıma atıfta bulunan bir terimdir. Bu yazılımın yapısı açık kodlama olacaktır. Bu, herkes tarafından erişilebilir olduğu anlamına gelir, böylece herkes onu görebilir, değiştirebilir ve kodlamayı dilediği gibi dağıtabilir. Alternatif, açık kaynaklı yazılım gibi kapalı kaynaklı yazılıma atıfta bulunan kapalı kaynaklı kodlamadır. Bu kapalı kaynaklı yazılımın arkasında kapalı kodlama vardı, bu da ücretsiz olarak erişilemeyeceği anlamına geliyor.

Kodlamayı değiştirme yeteneği hariç en dikkate değer fark, açık ve kapalı kaynaklı yazılımların nasıl geliştirildiğidir. Kapalı kaynaklı yazılım, tipik olarak, her biri yazılımın kodlamasına ana erişime sahip olacak bir veya küçük bir yazılım geliştirici ekibinin çalışmasıyla meyve verir. Yazılımı geliştirmeye nasıl ve ne zaman devam edeceklerini onlar belirler.

Açık kaynaklı yazılım, yazılımı oluşturmak için toplu iş birliğini görür. Kitlesel işbirliği, açık kaynağın açık olmasının nedenidir. Büyük bir ekip için kolayca erişilebilir olması gerekir. Bir grup geliştirici birden çok farklı ülkede işbirliği içinde çalışabilir ve bu da başlı başına bir sorun oluşturur. Aynı odada aynı proje üzerinde çalışan birden fazla kişi, işbirliğini kolaylaştırır. Ancak farklı ülkelerde çalışan geliştiriciler geliştirme, güncelleme ve yamaları engelleyebilir.

Sizin için önerilen: Ağ Güvenliği 101: Ofis Ağınızı Çevrimiçi Tehditlere Karşı Korumanın 15 En İyi Yolu.

İşletmeler için ne gibi sorunlar yaratabilir?

ofis-yazılım-tasarımcı-geliştirici-kodlayıcı-programcı-ekip-çalışması

Kapalı kaynaklı yazılımın güvenlik açıkları vardır, ancak hiçbir yerde açık kaynaklı yazılım kadar değildir. Açık kaynaklı yazılımın ana zayıflığı, kodlamanın neredeyse herkesin onu manipüle etmesine izin vermesidir. 2021'de açık kaynaklı yazılımlara yönelik saldırılarda %650'lik bir artışın olmasının nedenlerinden biri de budur. Tehdit değerlendirmeleri yapmak ve kodu şifrelemek gibi uygulama güvenliği en iyi uygulamaları daha güvenli yazılımlar oluşturabilir. Ancak açık kaynak kodlamanın doğasında var olan bu kadar erişilebilir olma riski hala mevcuttur.

Başka bir konu kullanılabilirlik etrafında toplanıyor. Açık kaynaklı yazılım, genellikle kullanıcının ihtiyaçlarını dikkate almadan geliştiricilerin ihtiyaçlarını karşılar. Şirketler, kullanıcının ihtiyaçlarını karşıladığından emin olmak için uygulamanın tasarımına ve test edilmesine dahil olmalıdır. Kullanılabilirlikle bağlantılı başka bir sorun, bir şeyler ters giderse mevcut desteğin olmamasıdır. Uyumluluk gibi sorunlar, açık kaynaklı yazılımlarda büyük bir sorun olabilir. Farklı konumlardan birden çok geliştirici yazılım üzerindeki çalışmalarını tamamlamış olacağından, geliştiricilerden mutlaka takip desteği yoktur.

Açık kaynaklı yazılıma güvenen ve bunun arkasında kodlama yapan işletmeler, zayıf geliştirici uygulamaları ve entegrasyonların gevşek gözetimiyle karşı karşıya kalabilir. Mükemmel örnek, 2021'deki SolarWinds hack'idir. Bunun, tarihteki bir tedarik zincirine en çok zarar veren hack olduğu düşünülüyor.

Açık kaynaklı yazılım kullanılarak çalışan Orion sistemine sızmadan 250'den fazla işletme ve devlet kuruluşu etkilendi. İki yazılım güncellemesi sırasında, bilgisayar korsanları ağ genelinde kötü amaçlı yazılım yayınlayarak yüzlerce işletmenin çökmesine neden oldu. Tüm tedarik zinciri neredeyse çalışmayı durdurdu. Hack'in etkileri, işletmeler ve devlet kuruluşları tarafından hala hissediliyor. Birçoğu iyileşmenin yıllar alacağını söylüyor.

Açık kaynaklı yazılım güvenlik açıklarına örnekler

kod-programlama-geliştirici-projektör-sunum-verileri

Açık kaynaklı yazılım kullanan işletmelere yönelik birçok siber saldırı örneği vardır. Bu, pek çok şirketin açık kaynaklı yazılım kullanması ve böylece oturan ördek haline gelmesiyle bağlantılı. Aşağıda en dikkate değer olaylardan ikisi ve şirketlerin bu olaylardan öğrendikleri yer almaktadır.

2017 Equifax veri ihlali

güvenlik açıkları-açık-kaynak-yazılım-1

2017 Equifax veri ihlali, açık kaynaklı yazılımların gerçek güvenlik açıklarını gün ışığına çıkardı. Siber saldırıya yol açan çoklu güvenlik açıkları, birçok web geliştiricisinin ve benzer şekilde şirketin böyle bir saldırıyı önlemek için yazılımlarını güçlendirmesine yol açtı. Neden hem şirket hem de geliştirici? Çünkü ikisi de suçluydu. Bilgisayar korsanları, yaygın olarak anlaşılan güvenlik açıklarından yararlandı ve bir tüketici şikayeti web portalı aracılığıyla girdi. Bu güvenlik açıklarının Equifax tarafından yamalanması gerekirdi, ama yapılmadı.

Bilgisayar korsanları, web portalından geçtikten sonra sistemde dolaşabilir ve milyonlarca müşterinin kişisel verilerini çalmayı başarabilir. Bundan günler önce, yazılımdaki bilinen bir güvenlik açığı için bir yama yayınlandı. Ancak Equifax, yamayı yeterli sürede uygulamamayı seçti.

Saldırıdan ne öğrendiler? Equifax, bir yamanın uygulanması gerekiyorsa, yayınlandığında uygulanması gerektiğini buldu. Özellikle, en savunmasız olan büyük kuruluşlardır. Küçük ve orta ölçekli işletmeler, büyük bir müşteri tabanına sahip kuruluşlar kadar kendilerini hedef bulamayacaklardır. Bu nedenle, milyonlarca müşterinin finansal verilerini elinde tutan bir şirket olan Equifax, değişiklikleri daha erken uygulamaya koymalıydı.

Amazon Web Hizmetleri

güvenlik açıkları-açık-kaynak-yazılım-2

Bu henüz olmadı. Ancak bilgisayar korsanları, en son tedarik zinciri yazılım saldırısı olmak için arka planda sessizce çalışıyor. Python ve PHP geliştiricileri, bildirilen birkaç başarılı saldırı nedeniyle yavaş yavaş tehlikeye giriyor. Ancak bilgisayar korsanları henüz hedeflerine ulaşmadı. Saldırdıkları paketler Python CTX ve PHP'nin phpass'ıdır. Her ikisi de işletmelere uzun yıllardır hizmet veren eski yazılım paketleridir.

Şu anda etkilenenler paketleri kullanan yazılım geliştiricilerdir, ancak sızıntılardaki kayda değer artış, yazılım paketlerini de kullanan şirketlere yönelik uyarıların gönderilmesine neden olmuştur.

İlginizi çekebilir: Her İşletmenin Bilmesi Gereken 12 Uç Nokta Güvenliği Türü.

İşletmelere yönelik siber saldırılarda yaygın artış

Kod-Byte-Dijital-Kriptografi-Siber-Elektronik-Şifreleme-Algoritma-Veri

Yalnızca açık kaynaklı yazılım saldırılarıyla ilgili bir sorun yoktur. İşletmelere yönelik siber saldırılarda dikkate değer ve yaygın bir artış var. Örneğin Birleşik Krallık'ta hükümet yakın zamanda, işletmeleri ve hayır kurumlarını saldırılardaki keskin artış ortasında siber güvenlik uygulamalarını güçlendirmeye çağıran bir rapor yayınladı.

Pek çok kişi buna, birçok şirketin sanal olarak faaliyetlerine devam etmelerine izin veren yazılımlara yatırım yaptığını gören salgına inanıyor. Bir çalışma, pandemi sırasında ve sonrasındaki aylarda saldırılarda %300 artış olduğunu buldu. Ancak tek suçlu pandemi değil; örneğin 5G, saldırıların artmasına da katkıda bulunuyor. Dünya daha hızlı bant genişliği için acele ediyordu. Ancak bant genişliğini artırarak IoT cihazları saldırılara karşı daha savunmasız olacaktır.

Kuruluşlardaki siber güvenlik becerileri açığı da saldırılardaki artışta rol oynuyor gibi görünüyor. Çoğu çalışan, güvenli olmayan siber uygulamaların risklerini ve sonuçlarını anlamıyor. Ek olarak, birçok şirketin özel bir siber güvenlik ekibi bile olmayacak. Kimlik avı e-postaları gibi konularda eğitim vermek ve güvenli siber uygulamaları teşvik etmek yönetimin görevidir.

Çözüm nedir?

geliştiriciler-kodlayıcılar-programlama-ekip-çalışma-ofisi

Çözüm, açık kaynaklı yazılım kullanmayı bırakmak değildir. Güvenlik açıklarını ve ilgili riskleri göz önünde bulundurun ve hangi açık kaynaklı yazılımın bunları mümkün olduğu kadar çok azalttığını belirleyin. İşletmelerin ihtiyaçlarına en uygun yazılımı seçmeleri gerekecektir. Örneğin, açık kaynaklı yazılım, daha ucuz alternatifler arayan markalar için daha iyi olabilir. Açık kaynaklı yazılım, genellikle kapalı kaynaklı yazılımla aynı fiyat etiketine sahip değildir.

Kapalı kaynaklı yazılım, yazılımın bilgisayar korsanlarının saldırısına uğramaması için daha fazla kararlılık ve güvenlikle gelir. Yukarıda bahsedildiği gibi, açık kaynaklı yazılım, 2021'de siber saldırılarda %650 artışa neden olan büyük bir güvenlik açığına sahiptir. İşletmeler isteseler bile, güvenlik kontrolleri yapacak ve kodlamayı şifreleyecek olanlar onlar değildir. Bunu yapması gereken, geliştiricilerin kitlesel işbirliği olacaktır.

Markalar ayrıca geliştiricilerle işbirliği yapmak için zaman ayırmalıdır. Yazılımdaki zayıflıkları belirlemeli ve yamaları çıktıkça uygulamalıdırlar. Equifax hack'inde olduğu gibi, yazılım geliştiricileri yamayı saldırıdan günler önce yayınladı. Yamayı uyguladıkları için saldırı olmayacaktı. Benzer şekilde, düzenli güncellemeleri uygulamak önemlidir, ancak bu aynı zamanda güncellemelerin güvenli bir şekilde yayınlanmasını sağlamak için geliştiricilerle işbirliği yapmayı da içerir. SolarWinds örneğinde olduğu gibi, Orion sistemindeki iki güncelleme, bilgisayar korsanlarının hemen istismar ettiği zayıflıkları ortaya çıkardı.

Kapalı kaynaklı yazılım, birçok marka için uygun bir seçenek değildir. Daha iyi bir alternatif, özel bir siber güvenlik ekibine yatırım yapmak veya çalışanları eğitmek için daha fazla zaman ayırmak olabilir. Örneğin, çok sayıda yüksek profilli siber saldırı, zayıf parola uygulamalarıyla başladı, ancak çözülmesi nispeten kolay bir sorun. 2021'de Ticketmaster'a yapılan saldırı, çalışanların güvenli parolaları olmadığında neler olabileceğinin mükemmel bir örneğidir.

Şunlar da ilginizi çekebilir: Berbat Olmayan Bir Siber Güvenlik Politikası Yazmak İçin 17 Harika İpucu.

Son sözler

güvenlik açıkları-açık-kaynak-yazılım-veba-işletmeler-sonuç

Teknik olarak, kapalı kaynaklı yazılımlar bile açık kaynaklı yazılımlarla aynı güvenlik açıklarına sahiptir; onlar kadar belirgin değiller. İşletmeler, saygın geliştiricilerin oluşturduğu açık veya kapalı yazılımları dikkatli bir şekilde seçerek riskleri kendileri azaltabilirler.

Ancak bariz olan, dünya çapındaki işletmeleri, özellikle de açık kaynak yazılım kullanan tedarik zincirlerini korumak için yapılması gerekenler. Siber saldırılardaki keskin artış, şirketlerin ve tüketicilerin siber saldırılara karşı ne kadar savunmasız olduğunu kanıtlıyor. Siber suçlular artık gelişmiş yazılımlara erişebilir. Geliştiricilerin ve markaların saldırıları önlemek için siber güvenlik konusunda daha bilgili olmaları gerekiyor.