Backdoors bedreigen open source ontwikkelaars
Bedrijven die open source software gebruiken om applicaties te ontwikkelen zijn kwetsbaar voor een nieuw soort aanval, genaamd "cross-build injection". Een aanvaller zou kwaadaardige code in het te ontwikkelen programma kunnen injecteren. "Het gebruik van open source programmeertools zet de deur voor systeem exploits wijd open", aldus Fortify Software, het bedrijf dat voor de aanval waarschuwt.
Als een aanvaller de server met programmeersoftware, of de DNS server die de ontwikkelserver gebruikt weet te hacken, kan hij de ontwikkelserver en mogelijk ook andere machines binnen het netwerk overnemen. Met name systemen die automatisch externe dependencies downloaden, zoals de populaire Ant, Maven en Ivy tools, zijn kwetsbaar. Volgens de onderzoekers kan een aanvaller de broncode van het project compromitteren door het ontwikkelproces te ondermijnen, en te vervangen door een gehackte versie.
"Externe dependencies en open source componenten vormen niet een onacceptabel risico, maar moeten wel gecontroleerd worden of ze niet de veiligheid in gevaar brengen van de applicaties die er gebruik van maken. Deze nieuwe aanval laat zien dat hackers aandacht besteden aan software ontwikkeleing om zo toegang tot bedrijfsnetwerken te krijgen", zegt Brian Chess van het beveiligingsbedrijf.
testen en doorlichten.
beter dan commerciele software, changelogs, en documentatie
van wijzigingen.
Ik zie het probleem niet zo, anders dan dat er misschien
projecten sloppy zijn of gebruikers niet kritisch zijn bij
implementatie.
Maar is dat niet bij alle software?
Juist ! De titel is (weer) misplaatst en had moeten zijn
"Backdoors bedreigen ontwikkelaars". Enige voordeel van
(gesloten) ontwikkelsystemen; het is gesloten (of in ieder
geval alleen intern gedocumenteerd).
kijken naar de enorme programmeercentra welke grote
bedrijven als Oracle en Microsoft in India hebben?
Omslachtige methode. Als je geen exploit kunt vinden, kun je gewoon aan
open source software meewerken en er doelbewust een vulnerability
inbouwen, vervolgens gebruik je die om binnen te komen.
Het herkennen van een doelbewuste vulnerability is niet zo eenvoudig, de
kans is groot dat het niet wordt herkend. Als de code al wordt nagelezen.
source is uiteraard onbekend. Maar het zal mij niet verbazen als het daar
ook voorkomt.
Backdoors bedreigen open source gebruikers
Omslachtige methode. Als je geen exploit kunt vinden, kun je
gewoon aan
open source software meewerken en er doelbewust een
vulnerability
inbouwen, vervolgens gebruik je die om binnen te komen.
Het herkennen van een doelbewuste vulnerability is niet zo
eenvoudig, de
kans is groot dat het niet wordt herkend. Als de code al
wordt nagelezen.
Vandaar dat er word gewerkt met hashes voor software van een
bepaalde distributie......
Had gisteren een 'klant' die via een vriendje van zijn
dochter Vista Ultimate op zijn systeem had geinstalleerd
maar waarna de Inet verbinding zeer problematisch was
geworden. Er was op dat systeem een verborgen partitie
aangemaakt dat illegale kopieen van Vista via P2P
beschikbaar maakte en niet kon worden gevonden door enig AV
software app.
Eens te meer is hiermee bewezen dat dieven echt dom zijn en
de helers nog een stuk dommer dan een 80 jarige met zware
altzheimer....
Ik ondersteun namelijk veel bejaarden die van
gemeenschappelijke computers en hun software
gebruikmaken.... geloof me, dom zijn ze niet en gek al
helemaal niet..!
ultieme test voor iedere OS en de ontwikkelaars daarvan.....
Er zijn nu eenmaal "copycats" actief die dat van MS hebben
afgekeken...
Net als Bin-Laden, die heeft zijn cellenstructuur van de CIA
overgenomen om daarmee enige bewering tot samenzwering te
kunnen ontkennen...
Een mededeling via de media is daarvoor voldoende om een cel
te activeren.
Het Kennedy princiepe zou ik zo zeggen....
willekeurig OS waar niet gecontroleerde apps op worden
geinstalleerd zonder deze te onderwerpen aan een uitgebreide
audit.....
Jaja, een flutbedrijf met een holle stelling zonder enige
vorm van bewijs over de gestelde bewering..
Toedeloe
Het is al vaker voorgekomen bij open source. Of het voorkomt
bij closed
source is uiteraard onbekend. Maar het zal mij niet verbazen
als het daar
ook voorkomt.
Never never !
All is fine, there are no bug's or backdoors in our
software, never !
I promise that our glorious software will automatically
destroy all malware.
;)
ook Open Source versie beheer heeft. En heel vaak is dat
versie beheer aangevuld met een digitale handtekening, zowel
op de source als op de binary. (GPG of PGP)
Niet echt makkelijk om dat te voorzien van backdoors.
Ik heb nog nooit gezien dat closed source gebruik maakt van
digitale handtekeningen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
