Enkelt for tyver å stjele kildekode

McAfee advarer om slett sikkerhet i systemer for versjonskontroll.

Løsningene som blant annet programvareselskaper bruker for spore og kontrollere endringer som gjøres i kildekoden til programvare, tilbyr vanligvis i liten grad beskyttelse mot inntrengere.

Det mener sikkerhetsselskapet McAfee, som har kommet med en rapport hvor selskapet har sett på hva man lære av rettede hackerangrep som Operation Aurora, som rammet blant annet Google sent i fjor.

Ifølge McAfee fikk angriperne full tilgang til interne systemer hos flere av selskapene som ble angrepet. Dette inkluderte ofrenes SCM-systemer (Software Configuration Management), som var tilgjengelige fra de angrepne maskinene. Gjennom SCM-systemene kunne angriperne ikke bare få tilgang til å lese kildekode, men også å gjøre endringer i den, for eksempel å lage en skjult bakdør.

Flere av de andre selskapene som ble berørt av Operation Aurora, bruker et SCM-systemet fra Perforce Software, som har mange store selskaper på kundelisten.

I rapporten har McAfee fokusert på nettopp dette systemet og funnet fram til en rekke sikkerhetsmessige svakheter. Blant annet kjøres Windows-utgaven av serverdelen med systemprivilegier. Det samme gjelder dog ikke Unix-versjonen.

Systemet krever dessuten ikke passord for ved opprettelse av nye brukere og all trafikk mellom klient og server, inkludert passordet, sendes ukryptert.

- Akkurat som en tekstbehandlingssystemet eller e-postsystemet til en pc, blir SCM-systemer brukt på daglig basis av programvareingeniører og andre ansatte for å kunne utføre sitt arbeid. Systemene er typisk ikke underlagt strenge sikkerhetstiltak fordi de ville være for brysomme, sier Christopher Seiwald, president og teknisk sjef i Perforce, til NYTimes.com.

Han forteller videre at selskapet tilbyr verktøy som krever at brukerne skriver inn et passord for å få tilgang til systemet, og at de fleste av kundene aktiverer dette. Men utover dette avhenger systemet av tradisjonelle systemer for nettverkssikkerhet.

McAfee er på sin side ikke helt objektive i denne sammenheng og benytter i rapporten anledningen fortelle om hvordan selskapets egne løsninger kan løse de problemene som selskap identifiserer i rapporten, som er tilgjengelig via denne siden.

Til toppen