Organisaties worden afhankelijker van open source libraries (OSL’s) voor het ontwikkelen van hun software en websites. Jing Xie, Senior threat intelligence researcher van Venafi, waarschuwt voor vier risico’s van deze trend. Organisaties worden namelijk steeds kwetsbaarder voor aanvallen via ogenschijnlijk betrouwbare software.
Geïnfecteerde code
Cybercriminelen gebruiken geavanceerde aanvallen om malafide code toe te voegen aan open source libraries, omdat ze weten dat mensen er steeds meer op vertrouwen. Als gevolg daarvan introduceren nietsvermoedende ontwikkelaars en websitebeheerders malware in de eigen applicaties en websites, zodra zij een gecompromitteerde OSL gebruiken. Als geïnfecteerde code daarna door een vertrouwde ontwikkelaar of beheerder wordt gedistribueerd, vertrouwen computers en gebruikers er blindelings op. Via deze methode worden veel computers en netwerken onopvallend met malware besmet.
Vier OSL’s gerelateerde risico’s
Volgens Venafi zijn er vier OSL’s gerelateerde securityrisico’s waar organisaties zich bewust van moeten worden, te weten:
- Ondetecteerbare malware: het impliciete vertrouwen in OSL’s – die vaak niet worden aangepast – betekent dat ontwikkelaars en websitemanagers geïnfecteerde bibliotheken gebruiken, zonder zich te realiseren dat er malware aan is toegevoegd.
- Besmette ketens: het toenemend gebruik van OSL’s heeft als gevolg dat één stuk geïnfecteerde code door meerdere bedrijven kan worden overgedragen, om via een sneeuwbaleffect de hele keten voor softwareontwikkeling te beïnvloeden.
- Legitiem uitziende code: behalve toevoegen van malafide code, creëren en verspreiden criminelen ook eigen corrupte OSL’s. Naarmate organisaties grotere aantallen OSL’s gaan gebruiken, wordt het daardoor steeds moeilijker om corrupte van echte te onderscheiden.
- Massale datalekken: cybercriminelen kunnen aan een OSL toegevoegde malware misbruiken voor het creëren van backdoors in applicaties en websites. Omdat die backdoors zijn gemaakt door vertrouwde OSL’s, blijven ze vaak lange tijd onopgemerkt. Ondertussen kunnen criminelen veel data stelen, gebruikers bespioneren, of andere illegale activiteiten uitvoeren.
Code-signing certificaten
“Genoemde vier OSL-risico’s zijn een reëel probleem”, zegt Xie. “Recent onderzoek van Sonatype heeft namelijk een toename van 55% aan OSL-aanvallen in 2018 onthuld. Het is niet realistisch te verwachten dat organisaties hun processen gaan veranderen, door het gebruik van OSL’s in te perken. In plaats daarvan moet de hele markt samenwerken om open source code betrouwbaarder te maken”.
Venafi adviseert ontwikkelaars en organisaties code-signing certificaten te gebruiken om de authenticiteit van OSL’s valideren. “Verder moedigen wij organisaties aan om interne OSL-code en libraryreleases te monitoren. Daardoor is malafide software sneller te identificeren en te verwijderen, terwijl het de OSL-community helpt consensus te bereiken over welke OSL’s het betrouwbaarst zijn.”