Атак нельзя: половина библиотек для разработки ПО содержит уязвимости
Около 50% популярных библиотек для разработки ПО с открытом кодом содержат уязвимости, рассказали «Известиям» эксперты. Через них атаки хакеров могут привести к утечке конфиденциальных данных компаний, а также и персональных, приостановить работу внутренней системы либо внести зловред в систему безопасности. Для предотвращения атак эксперты рекомендуют устанавливать антивирусное программное обеспечение и регулярно обновлять приложения.
Как хакеры похищают данные пользователей
Каждая вторая из популярных библиотек для разработки программного обеспечения с открытым кодом (там разработчики берут доступные инструменты для создания новых продуктов) содержала уязвимость в какой-либо из своих версий. Об этом «Известиям» рассказали в AppSec Solutions, которая провела анализ открытых источников. Большинство таких библиотек разрабатываются энтузиастами или небольшими командами, которые зачастую не имеют ресурсов на регулярный аудит безопасности либо не обладают необходимыми навыками в области информационной безопасности, объяснил эксперт направления анализа защищенности Infosecurity (ГК Softline) Олег Уланов.
Открытое ПО — это своего рода лотерея, говорит руководитель департамента аудита и консалтинга компании F.A.C.C.T. Евгений Янов. Открытый исходный код дает злоумышленникам возможность тщательно изучить его и найти уязвимости, которые они смогут использовать для неправомерных действий, отметил он.
— Для обычного пользователя опасность заключается в том, что уязвимости могут быть использованы для кражи данных, финансов, заражения устройств вредоносным ПО или других форм атак. Например, если приложение на смартфоне использует уязвимую библиотеку, злоумышленники могут использовать ее и получить полный контроль над данными пользователя, — сказал Олег Уланов.
Для разработчиков риски еще более масштабны — хакеры через них могут атаковать инфраструктуру компаний, что чревато полной компрометацией данных пользователей, нарушением бизнес-процессов вплоть до потери бизнеса, отметил он. Кроме того, эксплуатация злоумышленниками уязвимостей приводит к репутационным потерям, которые обязательно скажутся на финансовом благополучии компании.
Руководитель направления развития сообществ ИБ Positive Technologies Антон Кутепов считает, что последствия таких уязвимостей могут варьироваться от незначительных до крайне серьезных, в том числе утечки данных. Однако для разработчиков, которые используют открытые библиотеки, важным аспектом всё же остаются репутационные риски. В случае обнаружения уязвимости самое главное — быстро обновить используемую версию, пояснил он.
Microsoft, например, наладила механизм оперативного устранения таких проблем и имеет программу поощрения исследователей, которые сообщают вендору о найденных уязвимостях, добавил эксперт. Всего на сегодняшний день, по данным «Лаборатории Касперского», известно более чем о 12 тыс. уязвимых решений с открытым исходным кодом.
Глава Роскомнадзора Андрей Липов 19 декабря 2024 года заявлял, что за 11 месяцев 2024 года ведомство зафиксировало 127 случаев распространения баз данных в интернете, содержащих более 680 млн личных записей. Закон, который Госдума приняла в конце ноября, ужесточает наказание за утечку персональных данных, напомнили в ведомстве. Новые меры ответственности будут побуждать компании серьезнее относиться к защите персональных данных.
Как обезопасить персональные и корпоративные данные
Современная разработка программного обеспечения редко начинается с нуля. В большинстве случаев, чтобы сократить время создания продукта, применяются уже готовые решения, заявил руководитель кластера DevSecOps-платформы «Сфера» (IT-холдинг Т1) Сергей Смирнов. По оценкам экспертов рынка, доля переиспользуемых библиотек в проектах может достигать 80%, подчеркнул эксперт.
— Когда библиотека становится популярной, число ее пользователей растет, что, в свою очередь, увеличивает вероятность выявления уязвимостей как специалистами, так и злоумышленниками, — сказал эксперт.
Еще одной причиной большого числа уязвимостей является и снижение качества программирования в целом, считает директор департамента кибербезопасности в IBS Олег Босенко.
— Именно высокое качество программирования, проработка процессов, тестирование программных модулей позволяют исключить уязвимости. Преградой стоит стремление ускорить вывод продукта на рынок. И тогда сырой, непроверенный детально продукт попадает в библиотеку, — пояснил он.
Общий риск очевиден — снижение уровня безопасности в целом, формирование каналов деструктивного воздействия, утечки данных и так далее, подчеркнул эксперт.
По словам Сергея Смирнова, чтобы предотвратить последствия, пользователям необходимо установить антивирусное программное обеспечение и регулярно обновлять приложения. Для разработчиков, в свою очередь, существуют специализированные инструменты, которые позволяют минимизировать риски на этапе разработки, — например, статические, динамические анализаторы кода.
Аудит применяемых решений крайне важен, добавил Олег Уланов из Infosecurity, проверка кода сторонних и собственных библиотек на безопасность помогает заранее определить слабые места, которые могут быть устранены до использования. Для этого можно привлечь сторонних специалистов по анализу защищенности, которые предоставят подробный отчет с рекомендациями, добавил он. Помимо этого, важно регулярное отслеживание уязвимостей в используемых библиотеках и их обновление, добавил он.