'n Oopbron-benutting Verlede jaar het verander hoe professionele persone aan sekuriteit dink

Oopbronsagteware word oral gebruik—wat in byna elke moderne toepassing gebruik word—maar die sekuriteitsuitdagings wat dit in die gesig staar, word steeds ernstiger. Deur op die ruggraat van vrywilligers staat te maak, maak kwesbaarhede dit nou 'n primêre teiken vir kuberaanvalle deur beide kwaadwillige kuberkrakers en staatsakteurs. Die noue oproep met die xz Utils-agterdeur-aanval beklemtoon hoe broos oopbronsekuriteit kan wees. Met oopbronhulpmiddels wat deurslaggewend is vir beide private maatskappye en regerings, sal groter investering van die private sektor en openbare sektore vereis word.

Baie van die internet se crowdsourced-kode is kwesbaar vir infiltrasie deur slegte akteurs en nasiestate. Oopbronsagteware is in die "hart van die internet", dit word grootliks deur 'n handjievol vrywilligers onderhou en dit maak dit 'n groot veiligheidsrisiko vir korporasies en regerings, berig The Economist . Oopbronsagteware word algemeen oor digitale infrastruktuur ontplooi weens die lae koste daarvan. Daardie infrastruktuur, wat in die digitale wêreld ingebed is, word deur verskeie vyandelike nasiestate aangeval.

Martin Woodward, VP van ontwikkelaarverhoudinge by GitHub het voorheen gesê : "Oopbronsagteware is die grondslag van 99% van die wêreld se sagteware." Ongeveer 97% van toepassings gebruik oopbronkode, met 90% van maatskappye wat dit in een of ander hoedanigheid inkorporeer of gebruik.

Wat die afgelope jaar in oopbronsekuriteit gewys het

Die xz Utils-voorval was 'n koue voorbeeld van wat op die spel is. Op 29 Maart 2024 het Andres Freund, 'n sagteware-ingenieur by Microsoft, "per ongeluk 'n agterdeur gevind wat versteek is in 'n stuk sagteware wat deel is van die Linux-bedryfstelsel." Hierdie agterdeur het gekom van die vrystelling tarballs vir xz Utils, waarmee gepeuter is, en het ongemagtigde toegang tot stelsels toegelaat wat die geaffekteerde weergawes gebruik. Die bronkode wat gekompromitteer is, was van die xz Utils oopbrondatakompressienutsding in Linux-stelsels. Die New York Times het geskryf dat die ingenieur 'n "potensieel historiese kuberaanval" verhoed het.

Aangesien xz Utils oopbronsagteware is, is die kode daarvan publiek toeganklik, wat enigiemand in staat stel om die veranderinge wat gemaak is, te sien. Hierdie openheid is egter op 'n besonder skelm manier uitgebuit: die aanval het slegs die kode in die vrystelling-tarballs (saamgeperste argieflêer vir die weergawe van 'n sagtewarevrystelling) geteiken, wat die hooftak van die bewaarplek onaangeraak gelaat het. Hierdie slim taktiek het die kompromie moeiliker gemaak om op te spoor. Sonder die waaksaamheid van 'n ontwikkelaar en 'n gelukskoot, kon die aanval massiewe skade veroorsaak het, wat ontelbare stelsels wêreldwyd oortree het.

’n Ontwikkelaar genaamd Jia Tan het nuttige kodebydraes tot die projek begin maak en stadig vertroue verdien. Toe het die slegte akteur mettertyd wanware ingesmokkel. Een van die mees verrassende elemente van die xz Utils-agterdeur-aanval was hoe die kwaadwillige kode deur skynbaar onskadelike git-commits bekendgestel is. In plaas daarvan om die xz Utils-bronkode direk te verander, is die wanware as x86_64-objekkode in binêre toetslêers versteek, vermom as eenheidstoetse vir randgevalle in XZ-dekompressie. Rusland se buitelandse intelligensiediens, SVR, wat vermoedelik agter die aanvalle was, is dieselfde intelligensiediens agter die SolarWinds-aanval.

Hierdie voorval is nie geïsoleer nie. Oopbronprojekte is aantreklike teikens vir staatsakteurs omdat die kode publiek is. Alhoewel hierdie openheid ideaal is vir samewerking, gee dit aanvallers ook maklike toegang om die kode en sy opdaterings te bestudeer. Oopbron speel 'n belangrike rol in globale infrastruktuur; ’n Verslag van Lineaje in 2023 het aan die lig gebring dat 70% van alle sagteware vandag oopbron is en dat 82% van oopbronsagtewarekomponente “inherent riskant” is. Ongelukkig maak die alomteenwoordige gebruik die kwesbaarhede daarvan selfs meer gevaarlik.

Verslae van Lineaje en ander beklemtoon die risiko's: 82% van oopbronkomponente word as riskant beskou as gevolg van swak instandhouding, verouderde kode of sekuriteitsfoute. Baie van hierdie projekte word bestuur deur klein spanne of individuele vrywilligers met beperkte hulpbronne, wat hulle kwesbaar maak vir aanvalle.

Hoe KI 'n groter rol sal speel

Bykomende risiko's is die opkoms van groot taalmodelle (LLM's) . Terwyl LLM's ontwikkelaars help met take soos ontfouting of outomatisering van werkvloeie, kan dit ook misbruik word. Aanvallers kan LLM's gebruik om oopbronkode vinnig vir kwesbaarhede te ontleed, wat dit makliker maak om uitbuitbare foute te vind. Hierdie KI-nutsgoed kan ook oortuigende uitvissingsboodskappe of vals bydraes tot oopbronprojekte skep, wat dit moeiliker maak om slegte akteurs raak te sien. Die vermoë van LLM's om menslike interaksie na te boots, verhoog die kanse dat kwaadwillige kode ongemerk deur uitvissing en ander aanvalsvektore wat geoutomatiseer kan word, deurglip.

Ten spyte van die risiko's, bied LLM's ook geleenthede om oopbronsekuriteit te verbeter. Maar daar is 'n balans om te hê, aangesien dit onbetaalbaar kan wees, aangesien dit onwaarskynlik is dat maatskappye sal belê in die gebruik van LLM-gebaseerde ontleders op oopbronkode sonder 'n begroting. KI-stelsels kan byvoorbeeld verdagte veranderinge in 'n kodebasis vlag of ongewone patrone in bydraergedrag opspoor. Oopbron LLM's trek ook voordeel uit die vinnig groeiende basis van ontwikkelaargemeenskappe wat hul grense verskuif en daagliks skaal om komplekse kuberveiligheidsuitdagings op te los.

Dieselfde tegnologie wat verdediging versterk, kan egter ook gewapen word. Die ontplooiing van 'n oopbron LLM op 'n bediener of in 'n wolkomgewing stel die risiko van ongemagtigde toegang tot die model of die sensitiewe data wat dit hanteer, in as daar nie behoorlike sekuriteitskontroles in plek is nie. Kwaadwillige akteurs kan met opleidingsdata of die model self peuter deur skadelike kode of vooroordele in te spuit wat lei tot misleidende of kwaadwillige inhoud. Boonop kan onbehoorlik beveiligde LLM's sensitiewe inligting uitlek, hetsy deur gegenereerde teks of aanvalle wat die model se argitektuur teiken.

Wat eens bereik is met 'n enkele bewaarplek met nutsmiddels soos xz Utils, kan binnekort oor honderde geskaal word deur 'n enkele individu wat oor die volgende paar jaar gevorderde GenAI-tegnologie gebruik - en hierdie verskuiwing het waarskynlik reeds begin. Die versperring tot toetrede het dramaties gedaal, en beweeg van die vereiste van nasiestaat-vlak hulpbronne of uiterste toewyding na iets wat nou massa-geproduseer kan word. Dit is heeltemal aanneemlik dat in die komende jare die meerderheid klein of geringe opdaterings aan bewaarplekke deur GenAI gegenereer sal word.

Alhoewel betekenisvolle ontwikkelingsbydraes van hoë gehalte 'n ander uitdaging bly, kan die rol van instandhouers ook verskuif. In plaas daarvan om bekwame ontwikkelaars te wees wat aktief kode bydra, kan instandhouers in toenemende mate diegene wees wat uitblink in die bestuur van knorwerk en 'n beeld van hulpvaardigheid aanbied, wat die meer komplekse of innoverende take aan 'n kleiner groep toegewyde ontwikkelaars oorlaat.

AI Eroding Trust

Tradisionele uitvissing-aanvalle fokus op die verkryging van 'n maatskappy se interne gids en die teiken van sleutelindividue—of diegene wat hulle vertrou. Met NPM se uitgebreide afhanklikheid-ekosisteem, wat publiek toeganklik is, het aanvallers 'n ander invalshoek. Hulle kan die klein aantal instandhouers vir 'n gegewe pakket identifiseer, die agterstand van probleme evalueer en daardie inligting gebruik om bots te ontplooi wat nuttig lyk deur regstellings by te dra of hulp te bied. Dit skep 'n manier om vertroue te wen en hulself binne die ontwikkelingsproses in te sluit.

Die beste vals identiteite word gemaak met werklike data, verryk met verloop van tyd deur sosiale media-plasings, akademiese rekords en meer. 'n Oortuigende vals ID bevat 'n gedetailleerde agtergrondverhaal, kompleet met foto's, verbindings en 'n aanlyn-teenwoordigheid. GenAI vereenvoudig die skepping van hierdie identiteite, terwyl dit ook verbeter word deur koderingsaktiwiteit op platforms soos GitHub te simuleer.

Baie vroeë bydraes tot oopbronprojekte is klein en maklik om te verifieer—soos om tikfoute in opmerkings reg te stel of afhanklikhede by te werk. Hierdie aktiwiteite is ideaal vir aanvallers wat LLM's gebruik, aangesien dit op skaal geoutomatiseer kan word. Dit maak dit moontlik om honderde vals identiteite te skep, elk met LinkedIn-profiele, sosiale media-rekeninge en GitHub-geskiedenisse wat duisende geringe maar wettige bydraes bevat.

Hierdie identiteite kan aan verskeie projekte deelneem, wat moontlik oorvleuel, en 'n rekord van hulpvaardigheid bou. Met verloop van tyd kan 'n kwaadwillige akteur een van hierdie identiteite gebruik om meer kritiese bydraes in te dien. Selfs hierdie bydraes mag aanvanklik geldig en voordelig voorkom. In gekoördineerde pogings, soos dié deur nasiestate of hacker-kollektiewe, kan een identiteit die geloofwaardigheid van 'n ander versterk, 'n narratief versterk of invloed verkry.

Ons het reeds voorbeelde soos die xz utils-voorval gesien, waar veelvuldige identiteite gebruik is om vertroue te manipuleer. Toe die aanval ontbloot is, is daardie identiteite weggegooi. In handmatige operasies sal die verlies van sulke bates duur wees. Met GenAI kom die generering van nuwe identiteite egter teen minimale koste, wat die insette vir aanvallers aansienlik verlaag.

Voorsieningskettingaanvalle sal groei

'n Onlangse sagteware-voorsieningskettingaanval het die gewilde @solana/web3.js npm-biblioteek geteiken , wat wyd gebruik word vir die bou van Solana-gebaseerde toepassings, wat weergawes 1.95.6 en 1.95.7 met kwaadwillige kode in die gedrang bring om gebruikers se private sleutels te steel en kriptogeldeenheid te dreineer beursies. Die aanval het 'n uitvissingsveldtog uitgebuit wat bedreigingsakteurs toegelaat het om publiseertoegang te verkry en 'n agterdeurfunksie in te spuit, wat private sleutels deur middel van wettige Cloudflare-opskrifte geëksfiltreer het. Die geaffekteerde weergawes is verwyder, en gebruikers word versoek om op te dateer na weergawe 1.95.8 en dit te oorweeg om hul sleutels te draai om risiko's te verminder.

Sagtewarevoorsieningskettingaanvalle sal na verwagting in 2025 toeneem as gevolg van die toenemende afhanklikheid van oopbronbiblioteke en die opkoms van gesofistikeerde aanvalmetodes soos uitvissing en sosiale ingenieurswese. Volgens 'n studie deur Synopsys neem kwesbaarhede in oopbronsagteware geleidelik toe. Boonop bied die verhoogde integrasie van oopbronnutsgoed in ondernemingstelsels aanvallers 'n hoër opbrengs op belegging, wat sulke oortredings selfs meer aantreklik maak vir beide kubermisdadigers en staatsgeborgde akteurs.

Invloed van staatsakteurs en teiken van vrywilligers

Die xz Utils-voorval, net soos die SolarWinds-aanval, dien as 'n wekroep, wat die behoefte aan groter belegging en samewerking tussen die openbare en private sektore beklemtoon om oopbronsagteware te beveilig en die waarde daarvan as 'n digitale openbare goed te bewaar. Maatskappye wat voordeel trek uit oopbronhulpmiddels moet hierdie projekte versterk en ondersteun. Hierdie ondersteuning kan befondsing insluit, die verskaffing van ontwikkelaartyd of die aanbied van sekuriteitskundigheid. Oopbronprojekte benodig ook beter bestuur, soos strenger kodehersieningsprosesse en gedeelde verantwoordelikheid vir opdaterings. Vinniger herstel van kwesbaarhede is nog 'n prioriteit, aangesien vertragings stelsels vir langer tydperke aan aanvalle blootgestel maak.

Staatsakteurs bly een van die grootste bedreigings. Oopbronsagteware bied aan hulle 'n laekoste-teiken met 'n hoë beloning vir spioenasie, sabotasie en ontwrigting. Die SolarWinds-aanval, hoewel dit eie sagteware behels, is 'n uitstekende voorbeeld van hoe skadelik hierdie voorsieningskettingoortredings kan wees.

Aanvallers sal waarskynlik voortgaan om individuele onderhouders meer gereeld te teiken, deur gevorderde maatskaplike ingenieurstaktieke te gebruik om projekte te kompromitteer. KI-nutsgoed sal voortgaan om beide die aanvallers en verdedigers se vermoëns te verbeter, wat 'n wedloop skep om voor nuwe bedreigings te bly. Regerings sal waarskynlik ook meer betrokke raak en help om publiek-private vennootskappe te bevorder om sekuriteit oor die breër ekosisteem te verbeter. Terselfdertyd kan strenger regulasies ingestel word, wat maatskappye dwing om meer verantwoordelikheid te neem vir die oopbronkomponente wat hulle gebruik.

As dit by die SolarWinds-voorval kom, hang af van die perspektief of dit uit die geheue vervaag het. Terwyl die publiek se aandag dalk verskuif het, bly staatsamptenare en kuberveiligheidskenners daarop gefokus om die lesse wat geleer is, aan te spreek. Baie van die voortgesette werk in sagteware-voorsieningskettingsekuriteit, soos inisiatiewe deur die OpenSSF (soos SLSA en GUAC), is 'n direkte reaksie op die behoefte aan sterker verdediging, aangedryf deur agentskappe soos CISA , maar vordering was stadig, en nie alles nie. organisasies het hierdie beskerming aangeneem. Die federale regering self is een van die grootste verbruikers van oopbronsagteware en sal voortgaan om sy betrokkenheid by die ruimte te verhoog.

Terwyl hierdie pogings agter die skerms voortduur, het die impak van die voorval dalk nie ten volle aanklank gevind by die algemene publiek nie, veral onder onafhanklike of stokperdjie-sagteware-ontwikkelaars wat dalk nie die breër implikasies ten volle begryp nie.

Uiteindelik, soos kenner Michal Zalewski opgemerk het , "Die kern is dat ons ongekende triljoene dollars het wat bo-op kode ry wat deur stokperdjies ontwikkel is." Dit onderstreep die moontlikheid dat ander agterdeure nog steeds kan skuil, onontdekte, binne die kritieke sagteware wat die ruggraat van die internet vorm.

Alhoewel die identifisering van kwesbaarhede 'n bekommernis is, lê die groter probleem in die erosie van vertroue binne oopbron-ekosisteme. Oopbron floreer op die bydraes van gesiglose ontwikkelaars wat in goeie trou werk, dikwels sonder direkte interaksie of verifikasie van identiteit. GenAI ondermyn hierdie grondslag deur dit vir baie van daardie gesiglose bydraers haalbaar te maak om heeltemal vervaardig te word.

Uitvissing-aanvalle is reeds gevaarlik omdat dit vertroue uitbuit eerder as om deur tegniese verdediging te breek - dit mislei individue om kwaadwillige kode in 'n vertroude omgewing uit te voer. GenAI versterk hierdie risiko deur aanvallers in staat te stel om kwaadwillige kode in betroubare oopbronpakkette in te sluit onder die dekmantel van wettige bydraes.

Dit sal waarskynlik 'n wedloop ontketen tussen kwaadwillige akteurs wat GenAI gebruik om projekte te infiltreer en verdedigingsinstrumente wat GenAI gebruik om kwesbaarhede op te spoor en teen te werk voordat dit uitgebuit kan word. Die vraag word dan of vertroue in oopbron kan oorleef in 'n wêreld waar bydraers toenemend nie onderskei kan word van KI-gedrewe bedrieërs nie.

Soos ons 2025 binnegaan, is oopbronsagteware op 'n kritieke punt. Die bedreigings word meer gesofistikeerd, aangedryf deur staatsakteurs, die misbruik van KI-instrumente soos LLM's, en 'n fokus op voorsieningsketting-inmenging om maksimum skade aan te rig. Met proaktiewe maatreëls, groter investering en gedeelde verantwoordelikheid is dit egter moontlik om 'n toekoms te skep waar oopbron voortgaan om te floreer as 'n krag vir innovasie en vooruitgang, eerder as 'n kwesbaarheid wat wag om uitgebuit te word.