De digitale aanvallen van vorig jaar op Amerikaanse bedrijven als Google waren er onder meer gericht op broncodes, aldus een analyse door security-expert McAfee.
Uit een analyse van McAfee bleek dat de aanvallen uit China afkomstig waren. Opmerkelijk is dat daarbij volop gebruik werd gemaakt van de beschikbare tools voor het beheer van software (software configuration management) bij de aangevallen bedrijven. Daarom heeft McAfee de scm-producten van Perforce doorgelicht en wijst het bedrijf in een white paper op een aantal lacunes in de beveiligingsvoorzieningen ervan. Het gaat onder meer om installaties met kwetsbaarheden én ‘system’-rechten. Daardoor kunnen legitieme gebruikssessies door derden worden overgenomen. Ook het aanmaken van nieuwe ‘accounts’ kan veiliger. Bovendien bleek de broncode op de werkschermen van de ontwikkelaars makkelijk toegankelijk als die toestellen werden gehackt.
De conclusie is dan ook dat als de systeem- of netwerkbeveiliging is gekraakt, de cybercriminelen vrij spel krijgen om broncode te stelen. Vervolgens kunnen ze daarmee zowel illegale kopieën aanmaken, de code op kwetsbaarheden doorlichten of eventueel ‘aangepaste’ code (voorzien van ‘achterpoortjes’) terug in het systeem plaatsen.
Perforce stelt in een antwoord dat zijn producten zeer zeker beschikken over security-voorzieningen, die niet allemaal door McAfee werden aangewend. Wel gaat het bedrijf een aantal aanbevelingen van McAfee opvolgen.
McAfee op zijn beurt is van plan nog andere scm-producten, zoals IBM Rational, Microsoft Visual Source Safe en het open source Concurrent Version System, door te lichten. Tevens adviseert het bedrijf zo beveiligd mogelijk gebruik te maken van andere software die de toegang tot belangrijke bedrijfsinformatie beheert, zoals documentbeheersoftware.
