Encontro na Casa Branca discute segurança do código aberto

O recente caso envolvendo vulnerabilidades no Log4j, biblioteca Java de código aberto desenvolvida pela Apache Foundation e amplamente usada por desenvolvedores para acompanhar o que acontece com aplicativos e serviços na Internet, emitiu um alerta para a importância da segurança dos códigos abertos (open source) e das cadeias de fornecimento de software.

Por conta disso, a Casa Branca dos Estados Unidos e gigantes da tecnologia decidiram discutir iniciativas para melhorar rapidamente a segurança do código aberto. Em uma carta-convite para a reunião, Jake Sullivan, conselheiro de segurança nacional, afirmou que “software de código aberto é uma grande preocupação para a segurança nacional”. Para o governo norte-americano, essa categoria de software está onipresente em todos os setores da economia e, inclusive, pela comunidade de segurança nacional dos Estados Unidos. No entanto, apresenta desafios de segurança únicos devido à amplitude de uso e ao número de voluntários responsáveis ​​pela manutenção contínua do open source, em geral.

A agenda do encontro se concentrou em três tópicos: prevenir falhas e vulnerabilidades de segurança; aprimorar o processo de identificação e correção dos problemas; e redução do tempo de resposta para distribuir e implementar as correções.

Em relação ao primeiro tópico, discutiu-se como facilitar o desenvolvimento de código seguro, integrando recursos de segurança em ferramentas de criação de software e protegendo a infraestrutura usada para armazenar e distribuir código, por exemplo, com o uso de assinatura de código e identidades digitais mais fortes.

Para o segundo tema, foi discutido como priorizar os projetos de código aberto mais importantes e implementar mecanismos sustentáveis ​​para mantê-los. O último tópico abordou  maneiras de facilitar o conhecimento do que está no software que compramos e usamos.

Em uma coletiva de imprensa após a reunião, Sullivan destacou os esforços do governo para resolver o problema de segurança de software de código aberto. Falou da ordem executiva do presidente norte-americano emitida em maio passado na qual solicitou ao NIST (National Institute of Standards and Technology) a desenvolver orientações para identificar práticas para melhor a segurança da cadeia de fornecimento de software, com padrões, procedimentos ou critérios que assegurem e atestem a integridade do software de código aberto. O NIST publicou essas diretrizes em forma de rascunho.

Também após o encontro, Google divulgou em um blog o que vem propondo para novos modelos colaborativos voltados a proteger software de código aberto. Outros participantes da reunião também endossaram a ideia de trabalhar em conjunto em torno da ideia da mais segurança para o open source, entre eles Open Source Security Foundation (OpenSSF), GitHub, RedHat e Linux Foudation.

Linux na mira

A propósito, a classe de malware direcionado a Linux – um dos principais sistemas operacionais de código aberto e amplamente usados por dispositivos da Internet das Coisas (IoT) e pelos ambientes de nuvem – atingiu um novo recorde em 2021, de acordo com um relatório da Crowdstrike. O crescimento dos ataques foi de 35% em 2021 em comparação com 2020.

XorDDoS, Mirai e Mozi foram as famílias de malware Linux mais prevalentes em 2021. Em particular, a Mozi registrou um aumento significativo de 10 vezes no número de amostras em estado selvagem no ano passado em comparação com 2020. O objetivo principal dessas famílias de malware é comprometer dispositivos vulneráveis ​​conectados à Internet, acumulá-los em botnets e usá-los para realizar ataques distribuídos de negação de serviço (DDoS).

Segundo o estudo, as várias compilações e distribuições do Linux no centro das infraestruturas de nuvem, dispositivos móveis e de IoT são presas fáceis para os cibercriminosos. Por exemplo, valendo-se de portas abertas ou vulnerabilidades não corrigidas, com a Log4j, podem ameaçar a integridade de serviços críticos na Internet. E mais de 30 bilhões de dispositivos IoT deverão estar conectados à Internet até o final de 2025, criando uma enorme superfície de ataque para criação de botnets massivas.

Para não que problemas como o  Log4j não se repitam

Brian Behlendorf, um dos líderes do movimento open source, falou da relevância da segurança para essa classe de software e de como os desenvolvedores podem impedir que vulnerabilidades como à relacionada à Log4j sejam identificadas em distribuições tão amplamente usadas. Behlendorf foi um dos desenvolvedores originais dos servidores Web da Apache e está trabalhando com a Linux Foundation e a OpenSSF para encontrar melhores práticas e apoiá-las em todo o ecossistema de código aberto. Veja mais aqui.