本文討論開放原始碼如何遭到程式碼維護者暗中修改以表達政治上的抗議。此外,我們也分析了這類事件對 IT資安產業及開放原始碼社群的意義。
傳統上,人們對於開放原始程式碼的資安疑慮大多圍繞在開放原始碼可能暗藏漏洞、後門或惡意程式。然而近幾個月來,我們觀察到一種特別的現象,那就是開放原始程式碼遭人暗中修改來表達政治上的抗議。之所以出現這類所謂的「抗議軟體」(protestware),是有些負責維護開放原始碼軟體的開發者因政治上的動機或為了表達抗議而對程式碼做某些修改。這樣的情況雖然不是新聞,因為之前就曾發生過,但最近的一些地緣政治事件卻讓開放原始碼社群分裂成兩派:一派支援這樣的發展,另一派則傾向於維持開放原始碼生態系的非政治化,因為抗議軟體可能會破壞開放原始碼社群整體的信任基礎。
繼續閱讀漏洞並非是使用開放原始碼唯一會遇到的風險。本文中會介紹該如何減少授權相關風險,確保你的團隊在使用開放原始碼開發軟體時能夠符合法律需求。
隨著數位轉型的加速發展,開放原始碼的使用也在爆炸式的成長,這自然是因為它們能夠為開發團隊帶來的速度、靈活性、擴充性和品質。但這也擴大了受攻擊面以及新的風險,如增加法律和智慧財產權相關風險。
開放原始碼一直都受到智慧財產權保護,特別是著作權法。一旦開發人員在製作程式時使用了開放原始碼,他們的組織就有義務滿足相關授權內的條款或條件。這也是為什麼許多轉移到雲端環境一段時間的組織都有開放原始碼法律方面的資源或專職員工。
那為什麼其他企業沒有密切關注其開發團隊對開放原始碼的使用和風險處理呢?讓我們看看一些使用情境。
繼續閱讀開放原始碼是今日應用程式能夠快速部署的關鍵,請看趨勢科技與 Snyk 如何共同打造一套對開發人員友善的開放原始碼資安防護。
您之所以能夠迅速開發及部署應用程式來滿足業務的需求,一切都歸功於開放原始碼。這也是為何今日的應用程式當中往往有高達 80% 的程式碼是來自於開放原始碼。但不幸的是,漏洞是所有軟體普遍存在的問題,開放原始碼也不例外。您很可能在不知情狀況下將含有資安漏洞的開放原始碼 (甚至是有人蓄意釋出的惡意程式碼) 貼入您的應用程式與基礎架構當中,進而導致資料外洩,造成嚴重的損失。不僅如此,駭客還會隨時關注美國國家漏洞資料庫 (National Vulnerability Database,簡稱 NVD) 所發布的開放原始碼漏洞,從中挑選可攻擊的漏洞。
所幸,在趨勢科技和 Snyk 的共同努力下,您還是可以安心使用開放原始碼而不需擔心業務流程中斷。
不太了解什麼是 Snyk 嗎?沒關係,您只需知道他們是開放原始碼漏洞管理的業界領導者,並針對雲端開發人員提供了一套友善的資安防護。
藉由與 Trend Micro Cloud One™ – Open Source Security by Snyk 能輕鬆擔任開放原始碼程式庫與建構流程之間的橋樑,自動發掘應用程式與開放原始碼程式庫的相依性。此外,這套最新的解決方案還能利用 Snyk 頂尖的威脅情報資料庫來為資安團隊提供詳細的漏洞資訊。現在,開發人員與資安團隊就能開心成為一家人。
Trend Micro Cloud One 可讓您掌握企業資安的全貌,涵蓋範圍從開發人員的原始程式碼一路至線上營運環境,可說是業界首創。經由我們與 Snyk 的合作,開發人員就能隨持保持最快的應用程式開發速度,同時也讓資安團隊擁有所需工具來管理及降低風險。
如欲了解更多有關我們雲端防護平台的最新服務,請參閱此處。
原文出處:Open source protection that security teams will love 作者:Mike Milner
開放原始碼軟體如何變成木馬程式?我們又該如何偵測這類程式?要回答這些問題,讓我們來看一下最近我們針對這類檔案所做的一份研究。
木馬化的開放原始碼軟體很不容易被發掘,因為它們看起來就跟正常的軟體一樣,所以這類程式毫不起眼,因此特別適合用於目標式攻擊。但其實若深入追查,還是可以看到一些可疑的行為,並揭發它的不肖意圖。
趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為,大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式,而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。
這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統,不過根據我們得到的監測資料顯示比較可能是後者。接著,我們又利用根源分析 (Root Cause Analysis,簡稱 RCA) 發現,這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作:
繼續閱讀資安產業都很喜歡收集資料,研究人員也不例外。有了更多資料,就能夠對特定威脅所發表的聲明更有信心。但是大量資料也需要更多的資源進行處理,要從高度非結構化的資料中提取有意義和有用的資訊是相當困難的。結果往往就是必須進行手動分析,迫使資安專家(如調查員、滲透測試工程師、逆向工程師、分析師)必須透過繁瑣且重複的操作過程來處理資料。
我們開發了一套基於開放原始碼資料庫的彈性工具能夠有效地分析數百萬筆被置換(defaced)網頁。它也可以被用在一般攻擊所產生的網頁。這套工具稱為DefPloreX(來自“Defacement eXplorer”),結合了機器學習和視覺化技術將非結構化資料轉化成有意義的高階描述。將來自資安事件、入侵、攻擊和漏洞的即時資料有效地處理和濃縮成可瀏覽的物件,適用於高效率的大規模電子犯罪鑑識和調查。
DefPloreX可以輸入包含了待分析網路事件後設資料紀錄(如網址)的純文字檔案(如CSV檔),用headless瀏覽器(無使用者介面的瀏覽器)瀏覽其資源,從置換網頁提取特徵,將產生的資料儲存到Elastic索引。分散式的headless瀏覽器及大規模的資料處理操作都是透過Celery(分散式任務協作的實際上標準)來協調。DefPloreX使用眾多Python資料分析技術和工具來建立資料的離線視圖(view),可以更易於分析和探索。
DefPloreX最有趣的地方是會自動將相似的置換網頁分群,並將網路攻擊事件組成攻擊活動。整個過程只需傳遞資料一次,我們所用的群集技術在本質上是進行平行處理而不受限於記憶體。DefPloreX提供文字和網頁兩種使用者介面,可以用簡單語言查詢以用在調查和鑑識上。因為它是基於Elastic Search,DefPloreX所產生的資料可以輕易地跟其他系統整合。
使用案例
下面是分析師如何利用DefPloreX來調查一起被稱為“Operation France”(在Twitter上使用“#opfrance”)攻擊活動的例子。這起攻擊活動是由網路穆斯林激進分子所運作,目的是支持激進伊斯蘭主義。
如圖1所示,該攻擊活動在4年間(2013-2016)攻擊了1,313個網站,主要是針對法國網域(圖2)。DefPloreX揭示了攻擊分子的組成以及攻擊所用的置換範本(圖3)。一些成員明確表示支持由伊斯蘭極端分子(如恐怖主義)對法國進行的攻擊(圖4)。
圖1-4、攻擊活動Operation France(#opfrance)的調查範例(點擊放大)