Od mikrofirm po rynkowych gigantów – wszyscy dzisiaj czerpią z oprogramowania open‑source. Wielu decyduje się na self‑hosting takich rozwiązań, ale tylko nieliczni wystarczająco dbają o bezpieczeństwo. Według Synopsys aż 9 na 10 (!) systemów używanych przez biznes zawiera elementy open‑source, które są przestarzałe lub nierozwijane. A nieaktualizowane oprogramowanie to oprogramowanie narażone na atak.
O tym, kto powinien dbać o bezpieczeństwo OTRS i innych aplikacji open‑source, biznesowych konsekwencjach włamania do systemu i skutecznych sposobach na zwiększenie bezpieczeństwa opowie Wojciech Siewierski – ekspert Centuran Consulting w obszarze cyberbezpieczeństwa, Senior Perl Developer i administrator IT.
Otwarte oprogramowanie jest wszędzie. Aż 99% systemów, z których korzysta biznes, zawiera przynajmniej jeden element open‑source (OSSRA, 2020, Synopsys). Do otwartego kodu źródłowego przekonali się najwięksi gracze, jak Microsoft, SAP czy Oracle, kojarzeni dotychczas z oprogramowaniem własnościowym. Skąd bierze się rosnąca popularność open‑source?
Rozwiązania open‑source są nieporównywalnie bardziej elastyczne. Ich otwarta natura pozwala na wprowadzanie niestandardowych zmian i rozszerzeń specyficznych dla branży, organizacji czy wręcz pojedynczego działu. Takie dostosowane do nas funkcje można dodać lokalnie, bez angażowania producenta.
Do tego open‑source to niejednokrotnie niższy koszt i wyższa jakość kodu, nad którym stale czuwa zaangażowana społeczność. Nic dziwnego, że otwarte oprogramowanie zaczęło być nieodzowne także w sektorze enterprise (The State of Enterprise Open Source, 2020, Red Hat).
Czy to znaczy, że OTRS i inne aplikacje o otwartym kodzie źródłowym stały się także równie bezpieczne co zamknięte oprogramowanie?
Zawsze takie były. To mit, że łatwa dostępność kodu obniża bezpieczeństwo aplikacji. Zdarza się jednak, że rozwiązania open‑source wdrażają u siebie firmy, które nie są gotowe na ich utrzymanie. Musisz pamiętać, że gdy utrzymujesz jakiekolwiek oprogramowanie samodzielnie, to dbanie o jego bezpieczeństwo (np. reagowanie na potencjalne luki) jest po Twojej stronie. Jest to szczególnie istotne w przypadku systemów publicznie dostępnych w przeglądarce internetowej, jak OTRS do obsługi klientów końcowych.
Oczywiście nie musisz mieć wiedzy technicznej i zajmować się bezpieczeństwem OTRS na własną rękę. Całość prac – od audytu bezpieczeństwa po utrzymanie systemów IT i serwerów – można zlecić na zewnątrz.
Czyli nie wystarczy po prostu raz zainstalować oprogramowanie open‑source i liczyć na to, że pozostanie bezpieczne wraz z upływem czasu?
To niewiarygodne, jak wiele firm postępuje w ten sposób, narażając swoje oprogramowanie na ataki. Aż 9 na 10 systemów używanych komercyjnie zawiera elementy open‑source, które są przestarzałe lub nierozwijane (OSSRA, 2020, Synopsys). Można się spodziewać, że prędzej czy później padną one ofiarą włamania.
Jeśli korzystasz z systemu OTRS w wersji 4 lub 5, to najwyższy czas przenieść się na nowszą wersję.
Jakie mogą być skutki takiego włamania?
Na przykład utrata dostępu do danych lub wyciek danych i naruszenie przepisów RODO/GDPR. Zdarzają się też modyfikacje oprogramowania w celu sabotażu, pozyskania tajemnic handlowych konkurencji czy dla okupu.
Zakładam, że na cel ataków wybierani są raczej duzi gracze. Czy włamania powinien obawiać się np. właściciel małego sklepu internetowego, obsługujący zgłoszenia za pomocą OTRS?
W internecie nikt nie jest za mało znaczący, by być niezagrożony atakiem. Wiele włamań odbywa się automatycznie, bez udziału człowieka. Cel ataku znajduje maszyna przeczesująca internet w poszukiwaniu popularnych zaniedbań. Chociażby w tej chwili działają miliony takich maszyn.
Jak się przed tym chronić? Zawsze aktualizować OTRS do najnowszej wersji?
To jeden ze sposobów. Jeśli korzystasz z systemu OTRS w wersji 4 lub 5, to najwyższy czas przenieść się na nowszą wersję. W 2019 roku twórca OTRS przestał wspierać wersje systemu poniżej 6. To oznacza, że jeśli w starszych wersjach systemu pojawia się luka bezpieczeństwa, to nie zostaje ona załatana przez OTRS AG. Nie powinno dziwić – producent skupia wysiłki na doskonaleniu aktualnych wersji (w tym wersji płatnej) zamiast zajmować się rozwijaniem wersji sprzed lat.
Inna sprawa, że poza aktualizowaniem samego systemu OTRS należy pamiętać także o aktualizowaniu aplikacji towarzyszących.
Skąd brać informacje o nowych lukach bezpieczeństwa w oprogramowaniu?
Pomocne są media społecznościowe i Reddit oraz Zero Day Initiative i podobne serwisy. Można też wspomagać się serwisami takimi jak Shodan. Ale śledzenie źródeł informacji to tylko pierwszy krok. Drugim, kluczowym, jest gotowość do reagowania na nowo wykryte luki bezpieczeństwa.
Nie zawsze jest potrzeba, żeby tworzyć wewnątrz firmy oddzielne stanowisko dla osoby odpowiedzialnej za bezpieczeństwo IT. Monitorowanie i awaryjne reagowanie może być zadaniem dla zewnętrznej firmy, która od środka zna daną technologię.
Jakie są inne sposoby na zwiększenie bezpieczeństwa OTRS?
Jednym z najprostszych – i najskuteczniejszych! – sposobów ochrony jest odizolowanie aplikacji od reszty internetu. Jeśli używasz systemu OTRS do obsługi zgłoszeń wewnętrznych, to sprawa jest prosta: wystarczy nie wystawiać go poza intranet.
Sytuacja się komplikuje, gdy z systemu mają korzystać także osoby spoza sieci wewnętrznej firmy. Jeśli jednak obsługujesz tylko znanych Ci użytkowników, to z rozwiązaniem przychodzi VPN (Virtual Private Network). Umożliwia on tworzenie sieci, które zachowują się jak sieci wewnętrzne (lokalne) niezależnie od fizycznej konstrukcji sieci. Dzięki temu OTRS staje się niewidoczny dla każdego, kto nie ma dostępu do VPN‑a.
Oczywiście środki ostrożności i aktualizacje dalej są wskazane, bo wystarczy jeden nieostrożny użytkownik, np. z zainfekowanym komputerem, żeby VPN przestał być twierdzą nie do zdobycia.
Śledzenie źródeł informacji to tylko pierwszy krok. Drugim, kluczowym, jest gotowość do reagowania na nowo wykryte luki bezpieczeństwa.
Nie wystarczy lista dozwolonych adresów przychodzących?
Odradzam stosowanie takich list. To często spotykany półśrodek, który daje iluzję bezpieczeństwa i może być zgubny. Napastnik może zastosować spoofing adresu nadawcy, żeby podać się za jeden z dozwolonych adresów IP. Nie otrzyma na szczęście odpowiedzi od serwera (bo serwer odpowie na inny adres), ale w wielu przypadkach nadal jest w stanie co najmniej zakłócić działanie aplikacji. Jeśli tylko możesz zastosować VPN, to warto tak zrobić.
Czy można zwiększyć bezpieczeństwo systemu OTRS, który nie może być ukryty wewnątrz intranetu lub sieci VPN?
Tak. Jeśli OTRS ma być ogólnodostępny w internecie, to warto rozważyć wyłączenie nieużywanych funkcji. Wszelkie panele administracyjne online czy zdalne dostępy do serwera to zawsze dodatkowa potencjalna luka.
Jakie inne zabezpieczenia mogą okazać się przydatne?
Możesz zastosować obowiązkową kontrolę dostępu (Mandatory Access Control). Rozwiązania takie jak SELinux czy AppArmor pozwalają ograniczyć pole manewru atakującego i zminimalizować straty w przypadku udanego ataku.
Systemy wykrywania włamań (Intrusion Detection Systems), np. AIDE, Tripwire czy Snort, mogą wychwycić zmiany wprowadzone przez napastnika, a więc oszacować zakres strat i potencjalnych dalszych zagrożeń. Niektóre z takich systemów, np. wspomniany Snort, potrafią także zablokować podejrzane działania potencjalnego napastnika.
Z kolei dzięki zaporze sieciowej aplikacji (Web Application Firewall) zablokujesz znane typy ataków, zanim dotrą one do samej aplikacji.
Podsumowanie: checklista dla bezpieczeństwa OTRS
Skorzystaj z gotowej checklisty i skutecznie zabezpiecz swój system OTRS.
Potrzebujesz dodatkowego wsparcia? Umów termin konsultacji i opowiedz nam o swoich potrzebach.