Treffen im Weißen Haus diskutiert Open-Source-Sicherheit

https://network-king.net/wp-content/uploads/2022/01/shutterstock_2090832784-1-769x414.jpg

Die Open-Source-Java-Bibliothek Log4j wurde von der Apache Foundation entwickelt. Entwickler nutzen sie, um zu verfolgen, was mit Anwendungen und Diensten im Internet geschieht. Der jüngste Schwachstellen-Fall bei Log4j war ein Weckruf hinsichtlich der Bedeutung von Open-Source-Sicherheit und Software-Lieferketten.

Deshalb haben das Weiße Haus und einige Tech-Giganten beschlossen, Initiativen zur raschen Verbesserung der Open-Source-Sicherheit zu diskutieren. In einem Einladungsschreiben zu dem Treffen erklärte der nationale Sicherheitsberater Jake Sullivan, dass die „Open-Source-Software ein wichtiges Anliegen der nationalen Sicherheit ist“. Denn für die US-Regierung ist diese Softwarekategorie in allen Bereichen der Wirtschaft und sogar in der nationalen Sicherheits-Community der USA allgegenwärtig. Aufgrund der hohen Verbreitung und der vielen Freiwilligen, die für die laufende Wartung von Open-Source-Software verantwortlich sind, stellt sie jedoch besondere Sicherheitsanforderungen.

Diese drei Themen standen auf der Tagesordnung: Die Vorbeugung von Sicherheitsmängeln und Schwachstellen, die Verbesserung des Verfahrens zur Ermittlung und Behebung von Problemen sowie die Verkürzung der Reaktionszeit für die Verteilung und Implementierung von Korrekturen.

Im Hinblick auf das erste Thema wurde besprochen, wie die Entwicklung von sicheren Codes durch die Integration von Sicherheitsfunktionen in Softwareentwicklungswerkzeugen sowie der Schutz der Infrastruktur für die Speicherung und Verteilung der Codes erleichtert werden kann. Das könnte z. B. durch die Verwendung von Code Signing und stärkeren digitalen Identitäten gelingen.

Beim zweiten Thema wurde diskutiert, wie die wichtigsten Open-Source-Projekte priorisiert und nachhaltige Mechanismen zu ihrer Pflege eingeführt werden können. Der letzte Punkt befasste sich mit der Frage, wie der Inhalt der Software, die wir kaufen und verwenden, einfacher erfasst werden kann.

In einer Pressekonferenz nach dem Treffen hob Sullivan die Bemühungen der Regierung hervor, das Sicherheitsproblem von Open-Source-Software anzugehen. Dabei verwies er auf die Verfügung des US-Präsidenten vom Mai letzten Jahres, in der er das NIST (National Institute of Standards and Technology) aufforderte, Leitlinien zu entwickeln. In diesem Zug sollen Praktiken zur besseren Sicherung der Software-Lieferkette mittels Standards, Verfahren oder Kriterien ermittelt werden, die die Integrität von Open-Source-Software gewährleisten und bescheinigen. Das NIST hat diese Richtlinien in Form eines Entwurfs veröffentlicht.

Im Anschluss an das Treffen veröffentlichte Google in einem Blog-Post seine Vorschläge für neue Kooperationsmodelle zum Schutz von Open-Source-Software. Auch andere Teilnehmer des Treffens befürworteten die Idee einer Zusammenarbeit für mehr Sicherheit im Bereich Open Source, darunter die Open Source Security Foundation (OpenSSF), GitHub, RedHat und die Linux Foudation.

Linux im Fadenkreuz

Linux ist eines der wichtigsten Open-Source-Betriebssysteme und sowohl in Geräten im Internet der Dinge (IoT) als auch in Cloud-Umgebungen weit verbreitet. Laut einem Bericht von Crowdstrike hat die Qualität der Malware, die auf Linux abzielt, im Jahr 2021 ein neues Rekordhoch erreicht. Demnach lag das Angriffswachstum 2021 im Vergleich zu 2020 bei 35 %.

XorDDoS, Mirai und Mozi waren die am weitesten verbreiteten Linux-Malware-Familien im Jahr 2021. So verzeichnete Mozi im vergangenen Jahr einen zehnfachen Anstieg der Anzahl von Samples „in the wild“ im Vergleich zu 2020. Das Hauptziel dieser Malware-Familien besteht darin, anfällige, mit dem Internet verbundene Geräte zu kompromittieren, sie zu Botnets zusammenzuschließen und zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) zu nutzen.

Der Studie zufolge sind die verschiedenen Linux-Builds und -Distributionen, die den Kern von Cloud-, Mobil- und IoT-Infrastrukturen bilden, eine leichte Beute für Cyberkriminelle. Indem sie sich beispielsweise offene Ports oder ungepatchte Schwachstellen zunutze machen, können sie mit Log4j die Integrität wichtiger Internetdienste gefährden. Deshalb wird erwartet, dass bis Ende 2025 mehr als 30 Milliarden IoT-Geräte mit dem Internet verbunden sein werden, was eine riesige Angriffsfläche für die massive Erschaffung von Botnets bietet.

Damit sich Probleme wie bei Log4j nicht wiederholen

Brian Behlendorf ist einer der führenden Köpfe der Open-Source-Bewegung. Er sprach über die Bedeutung der Sicherheit für diese Art von Software – und darüber, wie Entwickler verhindern können, dass Schwachstellen wie die im Zusammenhang mit Log4j in so weit verbreiteten Distributionen entdeckt werden. Behlendorf war einer der Entwickler der Apache-Webserver und arbeitet mit der Linux Foundation und OpenSSF zusammen, um bewährte Verfahren zu finden und diese im gesamten Open-Source-Ökosystem zu unterstützen. Hier erfahren Sie mehr.

FacebookTwitterLinkedIn