Schlagwort-Archive: Open Source

Nach Log4Shell: gegen Open-Source-Exploits ohne Ende

Originalartikel von Anthony Musk

Ein Monat in der Cybersicherheit kann sich manchmal wie ein ganzes Leben anfühlen. Seit Mitte Dezember nunmehr sorgten Log4Shell-Angriffe und die dann im Logging-Tool Log4j gefundenen Schwachstellen für schlaflose Nächte. Das Protokollierungsprogramm ist so allgegenwärtig im Einsatz, dass die damit verbundenen Bedrohungen uns noch Monate oder sogar Jahre begleiten werden. Zum Leidwesen der Sicherheitsexperten, ihrer Arbeitgeber und Kunden gibt es ein noch viel größeres Problem. Trend Micro ist eine von mehreren Stimmen, die vor den Auswirkungen von Open-Source-Fehlern auf die Sicherheit der digitalen Welt warnen. Wenn wir nicht bald etwas unternehmen, könnte Log4Shell der Beginn eines äußerst unwillkommenen Trends sein: eine Cyber-Pandemie, die durch Open-Source-Exploits angeheizt wird.
Weiterlesen

Der richtige Umgang mit Open Source-Lizenzen

Originalartikel von Trend Micro

Im Zuge der Beschleunigung der digitalen Transformation hat der Einsatz von Open-Source-Codekomponenten explosionsartig zugenommen, bieten sie doch Anwendungsentwicklungsteams Schnelligkeit, Flexibilität, Erweiterbarkeit und Qualität für ihre Arbeit. Der Preis dafür ist jedoch eine erweiterte Angriffsfläche mit neuen Risiken etwa für rechtliche Belange und geistiges Eigentum. Open Source-Software untersteht natürlich dem Schutz des geistigen Eigentums, insbesondere dem Urheberrecht. Sobald ein Entwickler quelloffene Software in seiner Anwendung verwendet, ist sein Unternehmen verpflichtet, alle in der zugehörigen Lizenz festgelegten Bedingungen einzuhalten. Weil das nicht immer einfach ist, haben viele Unternehmen spezielle Open-Source-Rechtsberater unter Vertrag. Wo liegen die brennenden Fragen?
Weiterlesen

Best Practices für den Umgang mit Risiken durch Open Source-Code

Originalartikel von Aaron Ansari

Der Einsatz von Open-Source-Code hat in den letzten zehn Jahren immer mehr zugenommen, einschließlich bei kommerzieller Software. Entwickler tauschen weltweit  Features und Code-Funktionen über das Internet aus. Die Geschwindigkeit und die Anforderungen an die Anwendungsteams sind hoch – gab es früher eine Handvoll Anwendungsreleases pro Jahr, so sind es heute eine Handvoll pro Woche oder gar Tag. Dies hat dazu geführt, dass die Entwicklung von einer „Wasserfall“- und „iterativen“-Projektmethodik auf „agile“ umgestiegen ist, um den schnell wachsenden Anforderungen gerecht zu werden. Umso wichtiger ist es, die damit verbundenen Risiken zu verstehen und damit umgehen zu können.
Weiterlesen

Open-Source-Software für gezielte Angriffe „aufrüsten“

Originalartikel von Abraham Camba, Bren Matthew Ebriega, Gilbert Sison, Bedrohungsanalysten

Trojanisierte quelloffene Software lässt sich nur schwer entdecken. Sie versteckt sich hinter der Fassade legitimer, nicht bösartiger Software und ist deshalb für gezielte Angriffe besonders nützlich. Eine genauere Untersuchung kann jedoch verdächtiges Verhalten aufdecken, das ihre böswilligen Absichten entlarvt. Die Sicherheitsforscher von Trend Micro zeigten anhand der Analyse des Missbrauchs der legitimen Anwendung Notepad++, wie leicht die trojanisierte Version mit der unverdächtigen legalen verwechselt werden kann, vor allem von Mitarbeitern, deren technisches Wissen begrenzt ist.
Weiterlesen