Ostatnia aktualizacja 11 lipca, 2022
Pod koniec marca wyszukiwarka Bing i wirtualna asystentka Cortana, należące do firmy Microsoft, padły ofiarą ataku grupy hakerskiej Lapsus$. Także wcześniej inne firmy technologiczne (Samsung, Qualcomma i Nvidia) miały problemy z wyciekiem kodu źródłowego będącego następstwem działań wspomnianej grupy hakerów, specjalizującej się w tego rodzaju atakach. Jakie to niesie niebezpieczeństwa? Czy kod źródłowy to krytyczny punkt?
Ostatnia aktualizacja: 11.07.2022. Dodatkowa treść.
Wyciek kodu źródłowego niebezpieczny, ale to jeszcze nie katastrofa
Zainfekowanie ransomwarem lub włamania do poczty firmowej to dość częste metody ataków, których ofiarą pada wiele firm oraz instytucji. Jednakże badacze twierdzą, że wyciek kodu źródłowego, choć niebezpieczny, to nie jest jeszcze najgorszym możliwym wariantem ataku.
Wiele firm borykało się z włamaniami hakerów i faktem przejęcia przez nich kodów źródłowych. Najczęściej cyberprzestępcy żądali okupu za to, że nie opublikują lub nie sprzedadzą kodu konkurencyjnej korporacji. Dla niektórych z nich byłaby to katastrofa, gdyż kod nie był niczym zabezpieczony. Inne firmy nie poddały się presji hakerów, gdyż samego faktu wycieku nie uważają za zbyt groźną sytuację.
Dyrektor Grupy Analizy Zagrożeń Google, Shane Huntley, stwierdza: „Dla łowcy słabych punktów ułatwia to pewne rzeczy, pozwalając pominąć wiele kroków. Ale to nie magia. To, że ktoś widzi kod źródłowy, nie oznacza, że będzie mógł go wykorzystać od razu”.
Sprawdź: Legacy code – nikt go nie lubi, ale każdy się z nim zetknie
Co to oznacza?
Faktem jest, że atakujący zyskuje dostęp do własności intelektualnej firmy, a co za tym idzie, może szybciej poznać wszelkie dziury w systemie. Kod źródłowy sam w sobie nie stanowi jednak bezpośredniego wskazania tych luk.
Chodzi o to, że mając miliony linijek kodu, nie jest łatwo odszukać coś, co może być przydatne. Trudno jest analizować go, a co dopiero wykorzystać do własnych celów. Konkurencja chętnie poznałaby kruczki, dzieki którym coś działa, jak rozwiązano problemy itp., a hakerzy dowiedzieliby się, gdzie są luki i jak można modyfikować dany program.
Częściowy dostęp do kodu źródłowego Cortany nie jest równoznaczny z niebezpieczeństwem przejęcia kont użytkowników.
Kod źródłowy – Microsoft nie opiera bezpieczeństwa na jego tajności
W oprogramowaniach open source dostępność kodu źródłowego nie musi zmniejszać bezpieczeństwa, a ma to związek z dodatkowymi weryfikacjami.
Shane Huntley zwraca uwagę, że podobne rozwiązania weryfikacyjne są potrzebne w zastrzeżonym kodzie źródłowym, aby minimalizować ryzyko wycieków.
W opisie sprawy z 22 marca Microsoft stwierdził, że nie opiera bezpieczeństwo swojego oprogramowania na tajności kodu, a wgląd nie zwiększa ryzyka. Aby faktycznie zaszkodzić, hakerzy musieliby wstecznie uczyć się działania oprogramowania, żeby rozpoznać w nim luki. To zabrałoby im bardzo dużo czasu i środków.
Czy wobec tego można być całkowicie spokojnym? Także nie do końca. Wyciek kodu źródłowego może stanowić niebezpieczeństwo w sytuacji, w której oprogramowanie nie zostało oczyszczone z podstawowych błędów, dlatego tak ważne są regularne audyty i weryfikacje.
Zobacz: Refaktoring kodu – kiedy jest potrzebny?
