L'open-source pourrait signifier une porte ouverte pour les pirates informatiques

La possibilité d'accéder au code des applications open source peut donner aux attaquants un avantage dans le développement d'exploits pour le logiciel, selon un article analysant deux ans de données d'attaque.





Le document, qui sera présenté cette semaine lors de l'atelier sur l'économie de la sécurité de l'information, a corrélé 400 millions d'alertes provenant de systèmes de détection d'intrusion avec des attributs connus du logiciel ciblé et des vulnérabilités. Les données corroborent l'affirmation selon laquelle les failles des logiciels open source ont tendance à être attaquées plus rapidement et plus souvent que les vulnérabilités des logiciels fermés, explique Sam Ransbotham, professeur adjoint à la Carroll School of Management du Boston College et auteur de l'article.

À l'aide de la régression non linéaire et d'autres modèles, Ransbotham a découvert que les attaques contre les vulnérabilités des logiciels open source se produisaient trois jours plus tôt et avec une fréquence près de 50 % plus élevée. Ransbotham soutient que la connaissance de la façon d'exploiter une vulnérabilité particulière se propage de la même manière que la diffusion de l'innovation technologique.

Si vous considérez tout cela comme un jeu entre les bons et les méchants, en réduisant l'effort pour les méchants, ils sont beaucoup plus incités à exploiter les cibles plus tôt et à frapper plus d'entreprises, dit Ransbotham.



Le document ravivera probablement un débat entre les partisans des modèles de développement open source et fermé, qui se demandent si le système d'exploitation open source Linux est plus sécurisé que Windows ou si le navigateur Firefox open source de Mozilla est plus sécurisé que Internet Explorer de Microsoft. . Les partisans de l'open source soutiennent que l'accessibilité du code permet aux bons gars de trouver les bogues plus rapidement, tandis que les critiques soutiennent que plus d'attaquants que de défenseurs fouillent dans le code, donc l'effet net est une sécurité pire.

La recherche a utilisé des données d'alerte provenant de systèmes de détection d'intrusion gérés pour le compte de 960 entreprises par le fournisseur de services de sécurité SecureWorks. Ransbotham a corrélé les alertes avec des vulnérabilités spécifiques dans la National Vulnerability Database (NVD), une vaste collection d'informations sur les failles logicielles gérées par le National Institute of Standards and Technology. Alors que le NVD répertorie les vulnérabilités de plus de 13 000 produits logiciels pour 2006 et 2007, les deux années à partir desquelles les données d'alerte ont été utilisées, seule la moitié des produits pouvaient être classés comme source ouverte ou fermée, explique Ransbotham.

En liant ces données à la capacité des systèmes de détection d'intrusion à reconnaître une attaque sur un système vulnérable, Ransbotham a compilé une liste de 883 vulnérabilités dans des logiciels à source ouverte ou fermée confirmés sur lesquels les attaques pourraient être reconnues. Il a également classé les vulnérabilités selon d'autres attributs, tels que la complexité pour les attaquants d'exploiter la faille et si une signature était disponible pour les systèmes de détection d'intrusion au moment où la vulnérabilité a été signalée.



Au final, seules 97 des 883 vulnérabilités ont été ciblées par des attaquants au cours de la période de deux ans. Cependant, cela représente 111 millions, soit environ un quart, des alertes. Les alertes restantes pourraient être attribuées à des attaques sur des logiciels qui ne pouvaient pas être classés comme source ouverte ou fermée, à des attaques sur des vulnérabilités qui n'avaient pas d'attribut d'identification ou à des faux positifs.

Dans son analyse, Ransbotham a découvert que les attaques contre les vulnérabilités des logiciels open source se produisaient plus tôt que les attaques contre les logiciels fermés, comme mesuré à partir du premier rapport de vulnérabilité de chaque entreprise. De plus, un plus grand nombre d'entreprises ont finalement été ciblées avec des attaques sur chaque vulnérabilité, en moyenne. Dans les deux cas cependant, le nombre d'attaques finit par saturer.

Au fur et à mesure que les défenseurs sortent leurs patchs, les attaquants sont plus incités à passer à un autre exploit, dit Ransbotham.



La possibilité d'accéder au code open source n'est pas le seul avantage accordé aux attaquants. L'analyse de Ransbotham a montré une corrélation entre l'existence de signatures - utilisées par divers produits de sécurité pour faire correspondre un modèle connu avec une faille - et des attaques antérieures, suggérant que les mises à jour utilisées par les défenseurs pour améliorer leur défense aident réellement les attaquants.

Cela me dit qu'il y a quelque chose dans le fait d'avoir cette signature qui aide les gens… en leur donnant un indice sur la façon d'exploiter la vulnérabilité, dit Ransbotham.

D'autres recherches ont suggéré que les signatures – et d'autres mesures défensives – divulguaient des informations aux attaquants. En 2007, deux consultants en sécurité ont décrit l'utilisation des signatures d'un système de détection d'intrusion populaire pour créer un code d'attaque. En 2008, des chercheurs universitaires ont créé un système de génération de code d'exploitation potentiel basé sur l'analyse automatique des correctifs publiés par les éditeurs de logiciels.



Les professionnels de la sécurité avertissent cependant de ne pas trop lire l'analyse de Ransbotham. De nombreux facteurs pourraient fausser les données, explique David Aitel, directeur de la technologie de la société de sécurité Immunity, qui, parmi ses services, crée des exploits pour tester les défenses des réseaux d'entreprise. Selon l'article de Ransbotham, seules 30 des 97 vulnérabilités ciblées par les attaquants se trouvaient dans des logiciels open source, ce qui signifie que relativement peu de vulnérabilités ont été attaquées beaucoup plus souvent, explique Aitel. Il soutient que les attaquants pourraient inonder sans discernement le réseau d'une entreprise d'attaques sur des logiciels open source relativement peu importants, tout en concentrant des attaques plus sérieuses sur des systèmes plus importants exécutant des logiciels open source.

Étant donné que les clients d'Immunity sont plus préoccupés par les systèmes exécutant des logiciels à code source fermé tels que Microsoft Windows, Internet Explorer, Adobe Acrobat et Java de Sun, les chercheurs d'Immunity tentent d'exploiter les failles des logiciels à code source fermé dans les 24 heures suivant leur premier signalement. Les vulnérabilités des logiciels open source sont beaucoup moins prioritaires.

Tirer une conclusion générale selon laquelle les logiciels open source sont plus faciles à exploiter n'est certainement pas vrai, dit-il. Vous pourriez tirer la conclusion exactement opposée à partir du corpus d'exploits disponibles sur [des sites de recherche, tels que] Packetstorm.

D'autres professionnels de la sécurité ont une vision plus large, qu'il s'agit moins de code source ouvert ou fermé que de la façon dont une entreprise développe son logiciel. Les attaquants peuvent éventuellement obtenir les informations dont ils ont besoin pour exploiter un bogue, que ce soit par le biais d'un logiciel d'attaque automatisé, par des correctifs d'ingénierie inverse ou en accédant d'une manière ou d'une autre au code source. un cabinet de conseil en sécurité logicielle.

C'est un mythe que vous devez avoir du code source pour exploiter les vulnérabilités, dit McGraw. Vous (développeurs de logiciels) devez réaliser que votre logiciel existe et vous donnez à votre attaquant tout ce dont il a besoin pour l'exploiter.

cacher