根据对两年中攻击数据的分析发现,攻击者访问开源程序代码的能力让他们能够利用开源软件中的漏洞而发动攻击。
这份报告收集了来自入侵检测系统(入侵检测系统具有识别目标软件和漏洞的功能)的4亿次警报数据,这些数据表明,与闭源软件相比,开源软件的漏洞往往更容易被利用,波士顿大学卡罗尔管理学院助理教授兼该报告作者Sam Ransbotham表示。
Ransbotham使用非线性回归分析和其他模型的方法发现,对开源软件中漏洞的攻击发生的速度要快三天,攻击频率也比闭源软件超出50%。Ransbotham认为,如何利用特定漏洞发动攻击的方法的传播速度与技术更新不相上下。
这份报告可能会重新点燃开源软件和闭源软件开发模式之间的战火,开源和闭源拥护者争论的问题在于开源操作系统Linux是否比Windows更安全,或者Mozilla的开源Firefox浏览器是否比IE浏览器更安全。开源用支持者们认为,对代码的访问能力能够允许开发者更快找到软件中的漏洞,而反对者则认为攻击者同样也能够更快利用开源代码中的漏洞发动攻击,而导致更差的安全性。
Ransbothan将收集的警报信息与国家漏洞库(NVD)的漏洞数据进行对照,国家漏洞库列出了2006年和2007年的13000个软件产品中的漏洞,只有一半的产品可以归类为开源或者闭源软件。
通过结合入侵检测系统识别对漏洞系统的攻击能力,Ransbotham对已知开源或闭源软件的883个漏洞进行分类,他还根据其他属性对漏洞进行了归类,例如攻击者利用漏洞发动攻击的复杂度以及漏洞被报告时入侵检测系统是否存在有效签名。
最后发现,只有97个漏洞在这两年间为攻击者的目标。但是,这却占警报信息的四分之一,其他警报信息则为非开源或闭源软件的攻击,即对没有可识别属性的漏洞的攻击,或者误报。
在其分析中,Ransbotham发现对开源软件的漏洞共计比闭源软件的攻击更快。
不仅访问开源代码的能力能够便于攻击者发动攻击,Ransbotham的研究还发现,签名(各种安全产品用签名与已知漏洞模式相匹配)的存在与早前发生的攻击之间存在联系,安全人员用于提高安全性的签名实际上也帮助了攻击者。
“这表明,这些签名能够帮助我们识别漏洞,也提示了攻击者如何利用漏洞,”Ransbotham表示。
其他研究也表明,签名和其他防御方法实际上将漏洞信息泄漏给了攻击者。在2007年,研究人员使用某主流入侵检测系统的签名创建了攻击代码。在2008年,研究人员根据软件公司发布的漏洞自动分析建立了生成潜在攻击漏洞系统。
安全专家则认为,不要完全轻信Ransbotham的分析数据,因为很多因素可能扭曲了数据,安全公司Immunity技术主管David Aitel表示。
根据Ransbotham的数据显示,攻击者攻击的97个漏洞中只有30个漏洞在开源软件中,这意味着只有很少的漏洞被经常攻击。Aitel表示,攻击者可能只是随意地通过攻击相对不重要的开源软件来侵入公司网络,而集中精力攻击运行闭源软件的重要系统。
因为Immunity公司的客户最关心的是运行闭源软件的系统,例如windows系统、IE浏览器、Adobe Acrobat和Java等,Immunity公司的研究人员试图在漏洞报告的24小时内利用闭源软件中的漏洞,而开源软件漏洞则较少关注。
其他安全专业人士则持有更广泛的观点,这与开源或者闭源以及公司开发软件的模式无关,攻击者总是能够获取利用漏洞的信息,不管是否通过自动攻击软件,还是获取访问源代码权限。
【编辑推荐】
