Quản lý an ninh mã nguồn mở thật sự cần thiết kể từ khi Equifax bị hacker tấn công làm rò rỉ thông tin người dùng.

Sự cần thiết của việc quản lý an ninh mã nguồn mở

Bài viết này đến từ chuyên gia Fred Bals thuộc công ty phần mềm Black Duck (sở hữu bởi Synopsys) mô tả việc đa phần người dùng đều hiểu sai về mã nguồn mở. Techsign.in lược dịch:

Năm ngoái, Equifax – một trong ba hãng đánh giá tín dụng lớn nhất của Mỹ – bị xâm nhập, gây ảnh hưởng nghiêm trọng đến hàng triệu khách hàng. Sự việc xảy ra làm cho nhu cầu về quản lý an ninh mã nguồn mở trở thành tiêu điểm trên trang nhất của các báo tại thời điểm đó.

Equifax lưu giữ một lượng lớn dữ liệu cá nhân nhạy cảm, cũng như thông tin hoạt động tài chính của cư dân Bắc Mỹ và Vương quốc Anh. Hệ thống sử dụng Apache Struts cho cổng thông tin ứng dụng web, và có một lỗi bảo mật trong phiên bản Struts đã không được vá, thậm chí là cả Equifax cũng đã được cảnh báo phải nhanh chóng vá lỗi này.

Tuy nhiên, công ty đã “quên” cập nhật bản vá lỗ hổng, và hacker đã lợi dụng điểm này để truy cập vào một lượng tập tin nhất định từ giữa tháng 5 đến tháng 7/2017. Nhưng đến ngày 29/7, Equifax mới công khai sự việc trên.

Vụ tấn công nghiêm trọng đã làm ảnh hưởng đến 148 triệu người Mỹ, gần 700.000 người Anh và hơn 19.000 khách hàng ở Canada.

Theo báo cáo của OSSRA (Open Source Security and Risk Analysis – Tổ chức Phân tích rủi ro và bảo mật mã nguồn mở), 8% các website hiện sử dụng Apache Struts, và 1/3 chứa lổ hổng bảo mật tương tự lỗi làm cho Equifax bị tin tặc khai thác.

Đây mới chỉ là một trong những kết quả có được từ dữ liệu ẩn danh của 1.100 website thương mại, và hơn 500 khách hàng được kiểm nghiệm bởi nhóm Synopsys On-Demand thuộc Black Duck vào năm 2017. Mẫu thử không lớn, nhưng báo cáo của OSSRA đã cung cấp một cái nhìn sâu sắc về tình trạng an ninh mã nguồn mở, sự tuân thủ giấy phép và rủi ro về chất lượng mã nguồn trong các phần mềm thương mại.

Mã nguồn mở có ở khắp mọi nơi, với nhiều lỗ hổng bảo mật vẫn chưa được vá

Mã nguồn mở hiện đang rất phổ biến trong mọi ứng dụng, được sử dụng trên nhiều ngành công nghiệp khác nhau. Các phân khúc doanh nghiệp mà OSSRA báo cáo có từ máy móc tự động, dữ liệu lớn, an ninh mạng, phần mềm doanh nghiệp, dịch vụ tài chính, chăm sóc sức khỏe, Internet of Things (IoT), sản xuất và chợ ứng dụng dành cho di động.

Theo khảo sát của tổ chức này vào năm 2017, 96% ứng dụng có chứa thành phần mã nguồn mở, với tỉ lệ trung bình là 257 thành phần nguồn mở trong mỗi dự án. Kết quả kiểm tra cho thấy 78% dự án này chứa ít nhất một lổ hổng chưa được vá, trung bình một dự án có đến 64 lỗ hổng.

Có một ví dụ về việc phần mềm không được cập nhật để vá lổ hổng Heartbleed. Năm 2017, Hội đồng thành phố Gloucester đã nhận mức án phạt với khoản tiền sáu con số vì không đảm bảo phần mềm mã nguồn mở họ đang dùng đã được vá lỗi bảo mật Heartbleed. Với lỗi này, một hacker đã tải hơn 30.000 email từ hộp thư của nhân viên cấp cao, trong đó chứa dữ liệu cá nhân và thông tin nhạy cảm về tài chính của các nhân viên đã và đang làm việc tại cơ quan này.

Bài học để mọi tổ chức cần quan tâm là nhận dạng và quản lý mã nguồn mở trong chương trình bảo mật của ứng dụng đó. Nhất là khi Bộ luật bảo vệ dữ liệu chung (General Data Protection Regulation – GDPR) hiện đang có hiệu lực.

GDPR đã đưa ra chỉ thị cho các công ty xử lý và lưu trữ dữ liệu cá nhân phải bảo mật thông tin của cư dân Châu Âu. Cho dù thông tin đó gởi đi bất cứ đâu, được xử lý hay lưu trữ, và chứng cớ bảo hộ phải được xác minh. Ngoài ra, phải thường xuyên kiểm tra nhằm đảm bảo mã nguồn mở được an toàn khỏi các lỗ hổng bảo mật ẩn. Việc có thể khiến cho tổ chức của bạn vi phạm GDPR.

Bạn không thể nóng vội và sai sót với mã nguồn mở

Mã nguồn mở không kém an toàn hơn mã thương mại. Tất cả phần mềm đều có lỗ hổng, bất kể là sở hữu hay nguồn mở.

Cộng đồng mã nguồn mở đã tích cực làm việc để phát hiện ra lỗ hổng bảo mật. Đồng thời đưa ra các báo cáo (hơn 4.800 tường trình năm 2017) và phát hành bản cập nhật. Tuy nhiên, vấn đề không đơn giản chỉ là áp dụng các bản vá lỗi.

Không giống phần mềm thương mại, nơi bản cập nhật sẽ tự động đẩy tới người dùng. Bạn có trách nhiệm theo dõi thông tin về lỗ hổng và bản vá nếu có. Kế đó, cập nhật cho mã nguồn mở đang sử dụng.

Nếu không có chính sách và quy trình phù hợp để quản lý mã nguồn mở, đặc biệt là việc xác định và vá lỗ hổng đã biết, doanh nghiệp của bạn đã trở thành mục tiêu béo bở cho các tin tặc.

Theo Techradar

Góc quảng cáo