De securityaanvallen van vorig jaar op Amerikaanse bedrijven hadden het onder meer gemunt op broncode, aldus een analyse door securityexpert McAfee.
De securityaanvallen van vorig jaar op Amerikaanse bedrijven hadden het onder meer gemunt op broncode, aldus een analyse door securityexpert McAfee.
De aanvallen op bedrijven als Google en een rist andere kroonjuwelen van Silicon Valley, mikten onder meer uitdrukkelijk op broncode. Dat blijkt uit een analyse van McAfee over de aanvallen die uit China afkomstig bleken te zijn. Opmerkelijk is dat daarbij voluit gebruik werd gemaakt van de beschikbare tools voor het beheer van software (software configuration management) bij de aangevallen bedrijven.
Daarom heeft McAfee de scm-producten van Perforce doorgelicht en wijst het bedrijf in een [white paper] op een aantal lacunes in de securityvoorzieningen ervan. Het gaat onder meer om installaties met kwetsbaarheden én ‘system’-rechten. Daardoor kunnen legitieme gebruikssessies door derden worden overgenomen. Ook het aanmaken van nieuwe ‘accounts’ kan veiliger. En de broncode op de werkschermen van de ontwikkelaars is makkelijk toegankelijk als die toestellen werden gehackt.
De conclusie is dan ook dat eens de systeem- en/of netwerkbeveiliging is gekraakt, de cybercriminelen makkelijk spel krijgen om broncode te stelen. Vervolgens kunnen ze daarmee zowel illegale copies aanmaken, de code op kwetsbaarheden doorlichten en/of eventueel ‘aangepaste’ code (voorzien van ‘achterpoortjes’) terug in het systeem plaatsen.
Perforce stelt [in een antwoord] dat zijn producten zeer zeker beschikken over securityvoorzieningen, die niet allemaal door McAfee werden aangewend. Wel gaat het bedrijf een aantal aanbevelingen van McAfee opvolgen.
McAfee op zijn beurt is van plan nog andere scm-producten als IBM Rational, Microsoft Visual Source Safe en het open source Concurrent Version System doorlichten. Tevens adviseert het bedrijf zo ‘secure’ mogelijk gebruik te maken van andere software die de toegang tot belangrijke bedrijfsinformatie beheert, zoals documentbeheersoftware en dies meer.
