ระบบจัดการเนื้อหาโอเพนซอร์สไม่ปลอดภัย ... จริงเหรอ

by overbid
10 August 2010 - 04:28
Read full version on Blognone.com

BlindElephant เป็นซอฟต์แวร์ command-line โอเพนซอร์สสำหรับดูรายละเอียดเว็บอื่น ๆ ว่าใช้ระบบจัดการเนื้อหาตัวใดและรุ่นไหน และได้มีการทดสอบเรียกใช้งานกับคอมพิวเตอร์แม่ข่ายล้านกว่าตัว ดังผลที่ปรากฏในรายงาน Web Application Fingerprinting and Vulnerability Inferencing และจากการที่เรารู้ว่าใช้ระบบจัดการเนื้อหาตัวใดและใช้รุ่นไหน แล้วถ้าผู้ดูแลระบบไม่มีการปรับปรุงตัวซอฟต์แวร์ไปใช้รุ่นที่ปลอดภัย จะทำให้สามารถสามารถเจาะระบบเข้าไปอย่างไม่ยาก

จากรายงานระบบจัดการเนื้อหายอดนิยมที่สุด 3 ตัว


เว็บที่ใช้ระบบจัดการเนื้อหาดังต่อไปนี้มีความเสี่ยงระดับฉุกเฉินเป็นเปอร์เซ็นต์คือ Drupal - 69%, Joomla! - 91%, Wordpress - 4%
แต่ผลที่ได้หมายถึงระบบจัดการเนื้อหาโอเพนซอร์สไม่ปลอดภัย จริงหรือ คำตอบคือไม่แน่ใจ เพราะการอัพเดทไปใช้เวอร์ชันที่ปลอดภัย ไม่ได้หมายความว่าปลอดภัยจริง ๆ แต่หมายความว่าเรายังหาจุดเสี่ยงในการเจาะระบบไม่เจอต่างหาก ซึ่งผู้ที่เจาะระบบจะได้เปรียบในส่วนนี้ เพราะเจาะระบบแล้วไม่ต้องบอกใคร ซึ่งระบบจัดการเนื้อหาเก็บตังค์ทั้งหลายแหล่ ส่วนใหญ่จะไม่มีจุดเสี่ยงระดับฉุกเฉินเพื่อความน่าเชื่อถือ ประมาณไม่รู้ก็ไม่เจ็บ
ปัจจัยที่ทำให้ระบบจัดการเนื้อหาโอเพนซอร์สมีความเสี่ยง คือ

  • การเปิดเผยต้นฉบับทำให้ผู้ที่คิดเจาะระบบสามารถค้นหาจุดอ่อนได้สะดวกและรวดเร็ว
  • ระบบจัดการเนื้อหาโอเพนซอร์สส่วนใหญ่จะแบ่งเป็นส่วนย่อย ๆ มาประกอบกัน ทำให้เพิ่มความเสี่ยงกว่าระบบที่รวมมาเป็นการเฉพาะ

แต่ระบบจัดการเนื้อหาโอเพนซอร์สก็มีจุดเด่นด้านความปลอดภัย คือ

  • ความเร็วในการแก้ไขจุดเสี่ยง จากผลการวิจัยของ Veracode (บริษัทที่ปรึกษาด้านความปลอดภัยคอมพิวเตอร์) กล่าวว่า ซอฟต์แวร์โอเพนซอร์สใช้เวลาแก้ไขจุดเสี่ยง 36 วัน ซอฟต์แวร์ที่เขียนเป็นการภายในใช้เวลา 48 วัน ซอฟต์แวร์เชิงพาณิชย์ใช้เวลา 82 วัน เนื่องจากระบบจัดการเนื้อหาโอเพนซอร์สเมื่อมีจุดเสี่ยงจะมีผู้ช่วยแก้ไขจำนวนมาก เพราะมีการเปิดเผยต้นฉบับ
  • เรื่องรูรั่วของระบบ ที่ผู้ออกแบบหรือผู้ดูแลจงใจทิ้งไว้ จากการวิจัยของ Veracode พบจุดเสี่ยงในลักษณะนี้มีเพียง 1% จากจุดเสี่ยงทั้งหมด เพราะเนื่องจากมีการเปิดเผยต้นฉบับ ทำให้ค้นพบได้ง่าย ในขณะที่ซอฟต์แวร์แบบอื่นจะไม่สามารถแน่ใจได้เลยว่ามีจุดเสี่ยงแบบนี้หรือเปล่า

และเพื่อลดจุดเสี่ยงในการเจาะระบบ ผู้ใช้งานระบบจัดการเนื้อหาโอเพนซอร์ส ควรจะ

  • ปรับปรุงให้เป็นรุ่นที่ล่าสุดตลอด แม้จะไม่ได้หมายความว่าจะปลอดภัยแน่นอน แต่ก็ช่วยให้อุ่นใจว่าผู้ที่เจาะระบบได้ต้องเทพจริง ๆ
  • การใช้มอดูลเสริม ควรจะเลือกมอดูลที่เป็นที่นิยม มากกว่ามอดูลที่มีผู้ใช้งานน้อย เพราะหมายถึงมีผู้ช่วยในการแก้ไขปัญหาเพิ่มขึ้นตามไปด้วย
  • ติดตามหัวข้อเกี่ยวกับความปลอดภัยในชุมชนอย่างสม่ำเสมอ
  • บริจาคเงินเข้าชุมชนบ้างก็ดีครับ แบ่งปันสักนิด จะได้มีเพื่อนเดินเคียงข้างคุณเยอะ ๆ

สวัสดี
ที่มา - CMSWiRE

Read on Full Site
Blognone Jobs Premium