Ogroman i snažno međusobno povezan lanac nabavke softvera je vjerovatno najveći kibernetički problem s kojim se danas suočavaju organizacije u svijetu.
Hakeri sada prepoznaju da napadači programeri i dobavljači softvera mogu da im omoguće pristup stotinama, a ponekad i hiljadama organizacija koje koriste određeni softver. Da bi to učinili, nastoje da iskoriste bezbjednosne slabosti koje im omogućavaju da mijenjaju izvorni kod i ubacuju maliciozni softver u procese izgradnje i ažuriranja softvera.
Incident SolarWinds, otkriven krajem 2020. godine, poznat je primjer potencijalno širokog uticaja takvog napada. Nakon uspješnog dodavanja malicioznog koda u ažuriranje SolarWinds Orion, napadači su mogli pristupiti sistemima skoro 18.000 korisnika koji su primili kompromitovanu softversku nadogradnju, uključujući američke savezne vladine agencije.
Glavna komponenta rizika u lancu nabavke je sve veća upotreba softvera otvorenog koda, koji nudi primamljive mogućnosti za hakere. Uobičajene tehnike koje koriste napadači uključuju otpremanje malicioznih paketa u spremišta otvorenog koda, koje zatim mogu pokupiti i koristiti pojedinci i organizacije.
Uz oslanjanje na volontere i predane saradnike u upravljanju ranjivostima u ekosistemu otvorenog koda, često postoje razlike u mjeri u kojoj se kodovi održavaju, ako uopšte postoje.
Izloženost ranjivosti Log4j 2021. godine, koju mnogi stručnjaci za bezbjednost smatraju najgorom ranjivosti svih vremena, naglasila je ogromne rizike koje predstavlja softverski ekosistem otvorenog koda. Procjenjuje se da 58% organizacija koristi Log4j kod za evidentiranje, što znači da ako se ne popravi, sve su pod visokim rizikom od malicioznih aktivnosti. Koristeći ranjivost, napadači su uspjeli provaliti u sisteme, ukrasti lozinke i prijave, ekstraktovati podatke i zaraziti mreže malicioznim softverom.
Michael Skelton, viši direktor sigurnosnih operacija u Bugcrowd-u, nedavno je rekao za Infosecurity da je u prvih 48 sati od otkrivanja ranjivosti njegov tim doživio preko 1000 kritičnih nalaza povezanih sa Log4j-om. Oni nastavljaju da primaju Log4j podneske sve do danas, više od godinu dana kasnije.
Ipak, uprkos rizicima, softver otvorenog koda nudi ogromne društvene i ekonomske koristi koje se ne smiju potcijeniti. Kao softver koji se distribuiše sa svojim izvornim kodom, on je dostupan za upotrebu, modifikovanje i distribuciju sa svojim originalnim pravima potpuno besplatno. Ovo pruža očigledne finansijske koristi, ali i pomaže u olakšavanju inovacija i veće efikasnosti za organizacije.
Zagovornici otvorenog koda takođe ističu njegovu demokratsku vrijednost, jer pruža daleko veću transparentnost i angažman zajednice u poređenju sa softverom zatvorenog koda koji kontroliše jedan entitet.
Iako je jasno da trenutni status quo, u kojem zajednica softvera otvorenog koda sama održava kodove, nije održiv s obzirom na obim njihove upotrebe, ključno je da se takve prednosti ne izgube.
Vladine intervencije u sigurnosti lanca snabdijevanja
Ovo je pitanje s kojim se vlade počinju boriti. Američka savezna vlada pokrenula je brojne politike usmjerene na poboljšanje sigurnosti lanca opskrbe u posljednjih nekoliko godina. Ovo uključuje izvršnu naredbu predsjednika Joe Biden-a iz 2021. godine, koja zahtijeva od dobavljača softvera savezne vlade da poštuju stroga pravila o kibernetičkoj bezbjednosti ili rizikuju da budu na crnoj listi.
Ovo uključuje promociju upotrebe softverske liste materijala (SBOM), liste sastojaka koji čine softverske komponente. Pored toga što će se savjetovati u svim sektorima, SBOM će postati zahtjev za izvođače u sektoru odbrane.
Tokom nedavne konferencije State of Open Con 23, održane u Londonu, Infosecurity je razgovarao s dvojicom istaknutih članova Kancelarije nacionalnog kibernetičkog direktora (ONCD) u Bijeloj kući: Camille Stewart Gloster, zamjenicom nacionalnog kibernetičkog direktora ONCD-a i Anjanom Rajan, pomoćnikom direktora za tehnološku bezbjednost, koji je iznio dodatne detalje o pristupu američke savezne vlade u ovoj oblasti.
Složili su se da njihova strast za oblikovanjem politike kibernetičke bezbjednosti, uključujući i open source, potiče iz njihovih prethodnih industrijskih iskustava prije pridruživanja Bijeloj kući. Radeći kao globalni šef strategije za sigurnost proizvoda u Google-u u decembru 2021. godine kada je Log4j bio na udaru, Stewart Gloster se prisjetio da je taj period bio “vjerovatno najgora sezona praznika”. Upravo ovakva iskustva iz stvarnog svijeta ona sada donosi u svijet politike, u srce američke vlade, otkako je preuzela svoju trenutnu funkciju u avgustu 2022. godine.
Stewart Gloster je objasnila da ona sada nastoji “izgraditi tim koji može odražavati različite vrste stručnosti koje su bile potrebne.”
Ova želja za raznolikim spektrom vještina u ONCD-u dovela je do imenovanja Rajana, školovanog kriptografa, za pomoćnika direktora za tehnološku bezbjednost u novembru 2022. godine. Između ostalih istaknutih tehničkih uloga, Rajan je prethodno bio glavni tehnološki službenik za borbu protiv trgovine ljudima neprofitna organizacije Polaris. Ovdje je uočila potencijal da vlade iskoriste ranjivosti otvorenog koda za špijuniranje građana, uključujući jednu određenu državu koja cilja etničke manjine. Ovo joj je pokazalo kako ranjivosti otvorenog koda „utiču na obične ljude, to nije samo za kibernetičke profesionalce“.
Radeći u saveznoj vladi, Rajan može zauzeti holistički pogled na problem i ima priliku donijeti stvarne promjene. “Sada je vrlo uzbudljivo doći u Bijelu kuću i razmišljati o politikama koje mogu povećati sigurnost i planiranje unaprijed”, komentarisala je ona.
Razvoj federalnih politika
I Stewart Gloster i Rajan su naglasile da savezna vlada ne žuri s intervencijama u open source prostoru, te da pažljivo analizira probleme i razumije gdje je intervencija neophodna. „Naš prvi zadatak je da razumijemo izazove i prilike i koja je naša uloga u tome“, objasnila je Stewart Gloster.
Sljedeća faza je saradnja sa međunarodnim partnerima i globalnom otvorenom softverskom zajednicom kako bi se osiguralo da se politike donose na koordinisan i kolaborativni način. Zbog toga ONCD želi da prisustvuje događajima kao što je Open Con, sarađujući sa zajednicom otvorenog koda kako bi dobili povratne informacije o poslu koji rade.
Rajan je istakao jedinstvenu prirodu “visoko sofistikovane” zajednice otvorenog koda. “To su zajednice, to nisu kompanije ili institucije” istakla je ona. To znači da je po prirodi veoma globalizovana, sa softverom kojem se može pristupiti i koristiti s bilo kojeg mjesta u svijetu.
“To znači da kada razmišljate o politici, morate početi s međunarodnom strategijom od prvog dana” rekao je Rajan.
Dodala je da rešavanje izazova softvera otvorenog koda nije samo tehnički problem, s tim da su pitanja oko tržišnih poticaja i utvrđivanja odgovornosti takođe dio rješenja.
Jedno ključno područje fokusa u ovom trenutku za ONCD je promovisanje jezika koji su sigurni u memoriju u pisanju softverskog koda. Tokom svog uvodnog obraćanja na konferenciji, Rajan je objasnila da upotreba uobičajenih, memorijsko nesigurnih jezika u razvoju otvorenog koda, kao što su C i C++. „Znači da možete čitati podatke koje ne biste trebali vidjeti, pisati podatke koje ne biste trebali promijeniti i pristupiti ili izbrisati podatke koji ne bi trebali biti dostupni.”
Dodala je: “Kada razmislite o ovome u velikim razmjerima, to je prilično katastrofalna situacija iz perspektive kibernetičke bezbjednosti.”
Međutim, Rajan je napomenula da tehnička rešenja već postoje, jer postoji „mnogo memorijsko sigurnih jezika u cijelom tehnološkom stack-u koje možemo i trebamo koristiti umjesto toga“.
Ona je istakla istraživanje koje pokazuje da kada se softver napisan na memorijsko nesigurnim jezicima migrira na memorijski siguran jezik, broj softverskih ranjivosti može biti smanjen i do 70%.
Zato se savezna vlada zalaže da programeri softvera otvorenog koda pređu na jezike bezbedne za memoriju. Ovo zahtijeva višestruku strategiju, koja uključuje i kratkoročne pobjede i dugoročnu održivost. To uključuje:
- Reviziju i nadogradnju “tehničkog duga” globalnog IT ekosistema kroz inicijative poput postkvantne kriptografije i implementacije sigurnosti memorije
- Finansiranje i podsticanje istraživanja koja olakšavaju prelazak na programske jezike bezbedne za memoriju
- Ulaganje u kritične neprofitne organizacije koje rade i doprinose ekosistemu otvorenog koda
- Osigurati da su programski jezici za pametne jezike sigurni u memoriju
- Edukacija radne snage za korištenje memorijskih programskih jezika osiguravajući da se ovo uči u školama i fakultetima
Rajan je prokomentarisala: “Iako ne postoji srebrni metak za osiguranje softverskog ekosistema, ovo je svakako značajan korak u povećanju njegove otpornosti.”
Jedinstveni pristup otvorenom kodu
Jedan od strahova od vladine intervencije i propisa u softveru otvorenog koda je da bi ove politike mogle ugušiti inovacije i druge prednosti koje ona nudi. Međutim, Stewart Gloster je brzo naglasila da američka vlada „prepoznaje jedinstvenost strukture zajednice i ekosistema koji podupiru otvoreni kod“.
Zato, svaka politika u ovoj oblasti mora biti skrojena i “nijedan dio toga ne namjeravamo ograničavati ili samo povlačiti iz drugih aplikacija i pečatirati ovdje”.
Takođe nema potrebe da vlada preuzme vodstvo u svim ovim oblastima, a u mnogim slučajevima će nastojati da „podrži zamah koji pokreće otvoreni kod da bude sigurniji i otporniji.“
Rajan se složila, ističući važnost pažljivog prilagođavanja političkih rješenja i njihovog razvoja kako godine prolaze.
Ona je takođe pozvala da se softver, uključujući otvoreni kod, posmatra kao kritična infrastruktura na isti način na koji su ključne fizičke usluge, poput puteva i mostova. To znači da će zahtijevati odgovornost cjelokupnog društva za kontinuirano održavanje i zaštitu ovog ekosistema.
„Želimo da ljudi počnu razmišljati o ovome kao o infrastrukturi od koje imate koristi, ne možete pravilno voditi kompaniju, niti praktikovati demokratiju i nacionalnu sigurnost bez otvorenog koda“ napomenula je Rajan.
Bijela kuća vjeruje da će takva promjena paradigme u razmišljanju dovesti do toga da zajednica otvorenog koda, industrija i vlade zajedno razvijaju rešenja koja u konačnici olakšavaju sigurniji ekosistem otvorenog koda.
Izvor: Infosecurity Magazine