Remote-Code-Ausführung

Entwickler-Community setzt sich für die Sicherung von Open-Source-Software ein

Druckfreundlich, PDF & E-Mail

Eine anhaltende Serie von RCE-Angriffen (Remote Code Execution) scheint Entwickler endlich dazu zu motivieren, seit langem bestehende Schwachstellen zu beheben, die Cybersecurity-Teams andernfalls beseitigen müssten, nachdem sie von Hackern ausgenutzt wurden.

Das jüngste Beispiel eines RCE-Angriffs betrifft eine beliebte JavaScript-Bibliothek namens UAParser.js, die auf vielen Websites verwendet wird. Die Bibliothek, die jede Woche millionenfach heruntergeladen wird, wurde mit zusätzlichen Skripten versehen, die Binärdateien von einem externen Server herunterladen und ausführen. Die Bibliothek ist mittlerweile gepatcht worden, aber es ist nur noch eine Frage der Zeit, bis ähnliche RCE-Angriffe gestartet werden.

Beispiele für weitere RCE-Angriffe beinhalten bösartigen Code, der in die Software für Zusammenarbeit Confluence von Atlassian sowie Azure Open Management Infrastructure (OMI) eingespeist wird, einen auf der Microsoft Cloud-Plattform vorinstallierten Software-Agent. Das wohl berüchtigtste Beispiel für einen RCE-Angriff aus jüngster Zeit ist die Kompromittierung der Software-Lieferkette von SolarWinds.

Hohe Investitionen für den Schutz von Open-Source-Projekten

Die Tragweite des Problems hat dazu geführt, dass die Open Source Security Foundation (OpenSSF), ein Zweig der Linux Foundation, 10 Millionen US-Dollar gesammelt hat, um Betreuern die Akzeptanz von Best Practices näherzubringen, durch die Open-Source-Projekte besser vor bösartigem Code geschützt werden können, der von Hackern, die sich als Mitwirkende am Projekt ausgeben, eingeschleust werden könnte.

Finanzielle Zusagen kamen sowohl von den Premier-Mitgliedern der OpenSSF, wie Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk und VMware, als auch von allgemeinen Mitgliedern wie Anchore, Apiiro, AuriStor, Codethink, Cybertrust Japan, Deepfence, Devgistics, DTCC, GitLab, Goldman Sachs, JFrog, Nutanix, StackHawk, Tencent, TideLift und Wind River.

Diese Investition folgt auf eine frühere Zusage von Google in Höhe von 1 Million US-Dollar, um Open-Source-Entwickler bei der Einhaltung von Richtlinien zu unterstützen, die vom National Institute of Standards and Technology (NIST) des US-Handelsministeriums als Reaktion auf die kürzlich von der Biden-Administration erlassene Anordnung zur Cybersecurity aufgestellt wurden. Diese von der Linux Foundation als Pilotprogramm verwalteten Bemühungen sind Teil einer größeren Verpflichtung in Höhe von 10 Milliarden US-Dollar, die Google zuvor für Open-Source-Sicherheit eingegangen ist.

Diese Initiativen bieten Entwicklern ein breites Spektrum an Möglichkeiten – von kostenlosen Schulungen und Tools für die Softwareentwicklung über Materialien zur Identifizierung der Komponenten, die zur Erstellung einer Anwendung verwendet werden, bis hin zu Fonds, die Entwickler für die Behebung von Schwachstellen in Open-Source-Software entschädigen, die für die Branche als entscheidend erachtet wird.

Änderung der Einstellung gegenüber Open Source

In Anbetracht der großen Abhängigkeit von Open-Source-Software selbst in kommerziellen Anwendungen ist die derzeitige Konzentration auf die Sicherheit von Open-Source-Software eine willkommene, wenn auch längst überfällige Veränderung. Zu viele Mitwirkende an Open-Source-Software gehen davon aus, dass die Sicherung der kostenlosen Software, die sie großzügigerweise schufen, in der Verantwortung der Organisation liegt, die sie verwendet. Während dieser „Nutzung auf eigene Gefahr“-Ansatz von Einzelpersonen, die für ihre Bemühungen nicht entlohnt werden, verständlich ist, muss ein Gleichgewicht zwischen dem Zurückweisen von Verantwortung für die Sicherheit und dem Vertrauen der Endbenutzer in den bereitgestellten Code angestrebt werden.

Die Herausforderung besteht darin, dass die meisten Entwickler erwartungsgemäß kaum über Sicherheits-Know-how verfügen. Andernfalls gäbe es diese Probleme nämlich gar nicht. Experten für Cybersecurity müssen sich aktiv darum bemühen, die Verbesserung von sicherer Software zu ermöglichen. Daraus ergibt sich die Notwendigkeit, einen Weg zu finden, wie sich Experten für Cybersecurity an diesen Initiativen beteiligen können. Im Grunde sollten die vielen für die Wartung dieser Projekte Verantwortlichen einen Hilfsaufruf an Cybersecurityexperten starten, die bereit sind, in Zusammenarbeit ein besseres Ergebnis für alle Beteiligten zu erzielen.

Nach oben scrollen
Twittern
Teilen
Teilen