1396/5/23 دوشنبهکارشناسان هشدار دادند:
مخاطرات ناشی از ساختار امنیت نرم افزارهای کدباز
برنامه های کــاربردی نوین دارای مؤلفه های نرم افزاری شخص ثالث هستند؛ مؤلفه های شخص ثالثی که به علت کدباز بودن می توانند در هزاران مؤلفه دیگر نیز به کار گرفته و تکرار شوند. در نتیجه، با کشف یک آسیب پذیری در کدهای منبع باز، تمام آن مؤلفه ها آسیب پذیر می شوند. اغلب سازمان ها نیز درک درستی نسبت به آسیب پذیری های امنیتی همراه با کدها ندارند.
تقریباً همه برنامه های کاربردی و کسب وکارهای نوین از ماژول های کدباز استفاده می کنند. پس تلاش برای تمایز قائل شدن میان نرم افزار اختصاصی و کدباز اتلاف وقت است؛ چراکه برنامه های کاربردی دارای مؤلفه های نرم افزاری شخص ثالث هستند. بسیاری از این مؤلفه ها نیز کدباز هستند و حتی تعداد بسیار کمی از سازمان ها درک درستی نسبت به آسیب پذیری های امنیتی همراه با کدها دارند.
دسترسی و تأثیر آسیب پذیری های کدهای منبع باز تنها پس از سوءاستفاده، و در برخی موارد مدتها بعد از سوءاستفاده، آشکار می شوند؛ اما دنیای کسب وکار به هر صورت به سمت نرم افزارهای توسعه یافته در جامعه رفته است. نظرسنجی شرکت Black Duck از مدیران اجرایی ارشد و کارشناسان ارشد IT در سال 2015 نشان داد که استفاده از نرم افزارهای کدباز از سال 2010 تقریباً دو برابر شده است.

باور نادرست در خصوص امنیت کدباز
نظریه محبوب «با داشتن چشم های کافی، تمام باگ ها سطحی و ناچیز هستند»  در مورد نرم افزارهای کدباز تنها زمانی درست است که همه این چشم ها روی یک وظیفه یکسان متمرکز شوند. در این نظریه، به این نکته توجه نمی شود که اغلب کاربران به طور خاص به دنبال آسیب پذیری های امنیتی نیستند؛ حتی اگر هم در پی این موضوع باشند، صلاحیت و توانایی یافتن آنها را ندارند. 
اغلب برنامه نویسانی که پروژه های کدباز می نویسند و از پروژه های کدباز استفاده می کنند، ذهنیت امنیتی ندارند و اگر تجزیه وتحلیل کد انجام نشود، آسیب پذیری ها می توانند به برنامه کاربردی شما راه پیدا کنند و موفقیت آن را تهدید نمایند. کدهای منبع باز مزایای امنیتی خودشان را دارند، مثلاً وقتی تردیدی در مورد امنیت وجود دارد، می توان آنها را ممیزی و تصحیح نمود، اما ذاتاً از امنیت بیشتری برخوردار نیستند. همه ما شاهد بوده ایم که آسیب پذیری های امنیتی مؤلفه های کدباز، نظیر هارت بلید و شل شاک، می توانند چه آسیب هایی به بار بیاورند.
زمانی که هارت بلید افشا شد، حدود نیم میلیون از وب سرورهای امن اینترنت که توسط مقامات مورد اعتماد تأیید شده بودند، نسبت به حمله آسیب پذیر بودند. این امر شرایط را برای سرقت کلیدهای خصوصی، کوکی های جلسه و گذرواژه هایی مهیا ساخت که به مهاجمان امکان می دادند تا خود را به جای کاربران دیگر جا بزنند. از آنجایی که حمله، قطعاتی از حافظه را به صورت تصادفی انتخاب می کرد، هر اطلاعاتی که در حافظه نگهداری می شد، می توانست برای هر مهاجمی که به اندازه کافی سماجت و پافشاری به خرج می داد، افشا شود. 
همین طور چند ساعت بعد از افشای شل شاک، مهاجمان باتنت هایی  از رایانه های آسیب پذیر ساختند و حملات DDoS انجام دادند. میلیونها حمله و کاوش در روزهای پس از این افشا اتفاق افتاد. این حملات، خاصیت سریع الانتشار بودن یک اکوسیستم مؤلفه کدباز را آشکار می کنند. یک تک مؤلفه کدباز می تواند در صدها مؤلفه دیگر نیز استفاده شود؛ در نتیجه یک نقص به همه مؤلفه هایی که به مؤلفه اول وابسته هستند، تکثیر می شود.

تأخیر در به روزرسانی آسیب پذیری ها
اگر مهاجمان یک آسیب پذیری بحرانی در کدهای منبع باز بیابند، می توانند به صدها هزار سیستمی که از آن مؤلفه در برنامههای کاربردی خود استفاده می کنند، حمله نمایند؛ اما این بدان معنا نیست که به روزرسانی ها نیز به سرعت ارائه می گردند. طبق مقاله «وضعیت امنیت کدباز در برنامه های کاربردی تجاری»8 ، میانگین عمر یک آسیب پذیری کدباز بیش از پنج سال است.
از آنجا که بسیاری از سازمان ها مؤلفه های کدباز را ردگیری نمی کنند، چیزی هم در مورد آسیب پذیری های کدباز در کدهای خود نمی دانند. سایت ها و برنامه های کاربردی به سرقت می روند، چون نرم افزارهای شخص ثالث به روزرسانی نمی شوند و همچنین به این علت که ماژول های کدباز نیز غالباً دارای نسخه های ناامنی هستند که تا مدتها پس از منتشر شدن نسخه های به روزرسانی شده آنها، هنوز هم برای دانلود در دسترس هستند. بسیاری از سازمان ها با تعریف کردن نسخه های خاصی در ساخت های خود و به این بهانه که به روزرسانی مشکلاتی از نظر سازگاری نسخه ها ایجاد خواهد کرد، همچنان به استفاده از نسخه های ناامن ادامه می دهند.
شرکت Black Duck در نظرسنجی سال 2016 با عنوان «آینده نرم افزارهای کدباز» به این نتیجه رسید که مدیریت و امنیت کدباز با روند به کارگیری نرم افزارهای کدباز همگام نبوده است. در حال حاضر، 50 درصد از سازمان ها هیچ گونه سیاست رسمی برای انتخاب و تأیید کدهای منبع باز ندارند؛ 47 درصد از سازمان ها هیچ گونه فرایند رسمی برای ردگیری کدهای منبع باز خود در نظر نگرفته اند؛ و بیش از یک سوم از سازمان ها نیز مطلقاً هیچ فرایندی برای شناسایی، ردگیری یا به روزرسانی آسیب پذیری های کدباز شناخته شده ندارند.
همچنین این مشکل به سازمان های جزئی و کوچک محدود نمی شود. اعضای لیست 500 سازمان برتر جهان  به تنهایی و طی یک سال، نزدیک به سه میلیون مؤلفه ناامن دانلود کردند؛ رقمی که با توجه به افزایش تعداد حملات سایبری، شوکه کننده است. معاون امنیتی شرکت Black Duck پیش بینی می نماید که «تعداد حملات سایبری مبتنی بر آسیب پذیری های کدباز شناخته شده می تواند در ابعاد واقعی تا 20 درصد افزایش پیدا کند». هکرها پی برده اند که برنامه های کاربردی در اغلب سازمان ها نقطه ضعفِ تمهیدات دفاعی افتا هستند و این که اکسپلویت های کدباز موجود دارای بازگشت سرمایه  (ROI) بالایی هستند که به آنها این امکان را می دهد تا هزاران سایت، برنامه کاربردی و دستگاه های متصل به اینترنت اشیا (IoT) را با حداقل تلاش مورد حمله قرار دهند.
امکان اصلاح آسیب پذیری های کدباز رده سازمانی وجود دارد، اما سازمانها باید امنیت کدباز را در اولویت قرار دهند. صنایعی که دارای مقررات بیشتری هستند، معمولاً از امنیت کمتری برخوردارند؛ چراکه آنها فقط آسیب پذیری هایی را اصلاح می کنند که به واسطه مقررات الزامی هستند. این سازمانها تلاش خود را صرف پیروی از مقررات، و نه امنیت، می کنند و به علت هزینه آزمون پیروی از مقررات، سرعت به روزرسانی در آنها بسیار کندتر است. صنایعی که مقررات کمتری دارند، می توانند وقتی که آسیب پذیری اصلاح می شود، یک به روزرسانی خاص منظوره  انجام دهند.  
در بسیاری از سازمانها، چرخه های به روزرسانی با یک برنامه ثابت اجرا می شوند؛ بنابراین مسائل امنیتی در اولویت بندی قابلیت ها به عقب رانده می شوند. برنامه نویس ها و تیم های IT باید در هنگام توسعه یا به کارگیری برنامه های کاربردی، برای امنیت نیز به اندازه کارکرد اولویت قائل شوند. سازمان ها هم باید برنامه نویس ها را به انجام این کار تشویق و تحریک نمایند. اگر سازمانها صرفاً به قابلیت ها توجه کنند، برنامه نویسان نیز فقط کارکرد را در اولویت قرار خواهند داد.




 

 
امتیاز دهی
 
 

بيشتر

آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.