OSVDB (Open Sourced Vulnerability Database) là nguồn cung cấp miễn phí bản vá những lỗ hổng cho các nhà phát triển phần mềm.
Việc đóng cửa OSVDB nêu lên những vấn đề trong cách sử dụng nguồn mở, đặc biệt trong việc phát triển ứng dụng doanh nghiệp: thường sau khi được tích hợp vào ứng dụng, nó gần như không được cập nhật để sửa chữa các lỗ hổng phát hiện sau đó. Đây là vấn đề lớn.
Mark Curphey, Giám đốc điều hành SourceClear, một công ty mới tập trung vào việc bảo mật phần mềm nguồn mở ở Mỹ, cho rằng hầu hết mọi người dùng nguồn mở, có thể lên đến 99%, chỉ có 1% code là tự viết.
Yêu cầu cấp thiết phát triển phần mềm nhanh chóng dẫn đến việc sử dụng phổ biến nguồn mở. Nguồn mở có sẵn, thường là miễn phí và được cả cộng đồng tham gia chỉnh sửa. Nhưng sự gấp rút đó có thể dẫn đến việc các phiên bản của phần mềm nguồn mở được sử dụng không có hồ sơ đầy đủ, khiến cho các chuyên gia bảo mật phải tìm hiểu để phát hiện lỗ hổng trong các ứng dụng cho công ty của mình.
Tin tặc nhận thức rõ việc này nên chúng có thể theo dõi GitHub để xem ai đóng góp mã nguồn gì và mã nguồn của ai có vấn đề. Sau đó, chúng lần theo những người quan tâm mã nguồn đó để tìm hiểu những dự án người dùng đang làm việc, tìm kiếm người dùng sử dụng một số mã nguồn có lỗ hổng đã tìm thấy trên GitHub.
Vấn đề mở rộng sang phần mềm thương mại, các hãng phần mềm buộc phải tuân theo một chuẩn mực cao. Họ phải công khai những nguồn mở trong phần mềm của mình, giám sát chúng và phát hành bản vá lỗi khi lỗ hổng mới được phát hiện.
Vấn đề bảo mật mã nguồn có thể mở rộng sang các thiết bị mạng. Điển hình là vụ Juniper công bố thiết bị NetScreen của hãng bị tấn công cửa hậu (backdoor) và bị chèn mã trái phép vào hệ điều hành (tháng 12/2015). Lý do vẫn chưa được làm rõ.
Trong trường hợp NetScreen của Juniper, có khả năng nhiều khách hàng sử dụng thiết bị đã không cài đặt các bản vá lỗi một thời gian dài.
Những lưu ý để giảm nguy cơ khi sử dụng nguồn mở:
+ Nắm rõ phần mềm mình mua có thành phần nguồn mở hoặc của bên thứ ba nào.
+ Yêu cầu hãng phần mềm cung cấp tài liệu về cách thức họ theo dõi liên tục các thành phần mà họ sử dụng và cách thức vá các lỗ hổng.
+ Nếu có một thư viện thương mại của bên thứ ba được sử dụng, thì nhà cung cấp có cam kết đảm bảo các thành phần bị lỗi được vá không.
+ Tìm hiểu nhà phát triển có sử dụng các mô hình phân tích để kiểm tra khả năng đứng vững của phần mềm trước các mối đe dọa không.
+ Đặt ưu tiên các ứng dụng cần được giám sát và thực hiện nghiêm ngặt dựa trên mức độ quan trọng của ứng dụng đối với doanh nghiệp và giá trị của các nguồn lực liên quan.
Doanh nghiệp cần phải thiết lập và duy trì liên tục các chương trình nâng cấp và vá lỗi phần mềm. Khi mua các ứng dụng, doanh nghiệp nên hỏi các nhà phát triển về việc bảo đảm an toàn thông tin trong quy trình của họ, cách họ sàng lọc mã nguồn và chương trình vá lỗi sản phẩm khi đã trao cho khách hàng.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
16:00 | 24/07/2024
Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.
13:00 | 06/06/2024
Hàng loạt các ransomware như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi theo một chuỗi hành động tương tự nhau.
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024