Οι προγραμματιστές εφαρμογών στοχεύονται ολοένα και περισσότερο μέσω Slack, DevOps Tools

Οι προγραμματιστές δέχονται όλο και περισσότερες επιθέσεις μέσω των εργαλείων που χρησιμοποιούν για τη συνεργασία και την παραγωγή κώδικα - όπως το Docker, το Kubernetes και το Slack - καθώς οι εγκληματίες του κυβερνοχώρου και οι παράγοντες των εθνικών κρατών στοχεύουν να αποκτήσουν πρόσβαση στο πολύτιμο λογισμικό στο οποίο εργάζονται καθημερινά οι προγραμματιστές.

Για παράδειγμα, ένας εισβολέας ισχυρίστηκε στις 18 Σεπτεμβρίου ότι χρησιμοποίησε κλεμμένα διαπιστευτήρια Slack για να αποκτήσει πρόσβαση και να αντιγράψει περισσότερα από 90 βίντεο που αντιπροσωπεύουν το πρώιμη ανάπτυξη του Grand Theft Auto 6, ένα δημοφιλές παιχνίδι από την Rockstar Games της Take-Two Interactive. Και μια εβδομάδα νωρίτερα, η εταιρεία ασφαλείας Trend Micro ανακάλυψε ότι οι εισβολείς αναζητούσαν συστηματικά και προσπαθούσαν να παραβιάσουν εσφαλμένα διαμορφωμένα κοντέινερ Docker.

Καμία επίθεση δεν περιελάμβανε τρωτά σημεία στα προγράμματα λογισμικού, αλλά τα λάθη ασφαλείας ή η λανθασμένη διαμόρφωση δεν είναι ασυνήθιστα από την πλευρά των προγραμματιστών, οι οποίοι συχνά αποτυγχάνουν να φροντίσουν ώστε να εξασφαλίσουν την επιφάνεια της επίθεσης τους, λέει ο Mark Loveless, μηχανικός ασφαλείας προσωπικού στο GitLab. Πάροχος πλατφόρμας DevOps.

«Πολλοί προγραμματιστές δεν θεωρούν τους εαυτούς τους στόχους επειδή πιστεύουν ότι ο τελικός κώδικας, το τελικό αποτέλεσμα, είναι αυτό που επιδιώκουν οι επιτιθέμενοι», λέει. "Οι προγραμματιστές συχνά αναλαμβάνουν κινδύνους για την ασφάλεια - όπως η εγκατάσταση δοκιμαστικών περιβαλλόντων στο σπίτι ή η κατάργηση όλων των στοιχείων ελέγχου ασφαλείας - ώστε να μπορούν να δοκιμάσουν νέα πράγματα, με σκοπό να προσθέσουν ασφάλεια αργότερα."

Και προσθέτει, «Δυστυχώς, αυτές οι συνήθειες επαναλαμβάνονται και γίνονται πολιτισμός».

Οι επιθέσεις κατά της αλυσίδας εφοδιασμού λογισμικού - και των προγραμματιστών που παράγουν και αναπτύσσουν λογισμικό - έχουν αυξηθεί γρήγορα τα τελευταία δύο χρόνια. Το 2021, για παράδειγμα, οι επιθέσεις που στόχευαν να παραβιάσουν το λογισμικό των προγραμματιστών — και τα στοιχεία ανοιχτού κώδικα που χρησιμοποιούνται ευρέως από τους προγραμματιστές — αυξήθηκαν κατά 650%, σύμφωνα με την «2021 Κατάσταση της «Αλυσίδας Εφοδιασμού ΛογισμικούΈκθεση, που δημοσιεύτηκε από την εταιρεία ασφάλειας λογισμικού Sonatype.

Developer Pipelines & Collaboration in the Sights

Συνολικά, οι ειδικοί ασφαλείας υποστηρίζουν ότι ο γρήγορος ρυθμός της συνεχούς ενοποίησης και των περιβαλλόντων συνεχούς ανάπτυξης (CI/CD) που αποτελούν τα θεμέλια των προσεγγίσεων τύπου DevOps ενέχουν σημαντικούς κινδύνους, επειδή συχνά παραβλέπονται όταν πρόκειται για την εφαρμογή ενισχυμένης ασφάλειας.

Αυτό επηρεάζει μια ποικιλία εργαλείων που χρησιμοποιούνται από τους προγραμματιστές στις προσπάθειές τους να δημιουργήσουν πιο αποτελεσματικούς αγωγούς. Το Slack, για παράδειγμα, είναι τα πιο δημοφιλή εργαλεία σύγχρονης συνεργασίας που χρησιμοποιούνται μεταξύ των επαγγελματιών προγραμματιστών, με το Microsoft Teams και το Zoom να έρχονται σε δεύτερη μοίρα και τρίτη θέση, σύμφωνα με την έρευνα StackOverflow για προγραμματιστές 2022. Επιπλέον, περισσότερα από τα δύο τρίτα των προγραμματιστών χρησιμοποιούν το Docker και ένα άλλο τέταρτο χρησιμοποιούν το Kubernetes κατά την ανάπτυξη, σύμφωνα με την έρευνα.

Οι παραβιάσεις εργαλείων όπως το Slack μπορεί να είναι «αποκρουστικές», επειδή τέτοια εργαλεία συχνά εκτελούν κρίσιμες λειτουργίες και συνήθως έχουν μόνο περιμετρική άμυνα, δήλωσε ο Matthew Hodgson, Διευθύνων Σύμβουλος και συνιδρυτής της πλατφόρμας μηνυμάτων Element, σε δήλωση που εστάλη στο Dark Reading.

"Το Slack δεν είναι κρυπτογραφημένο από άκρο σε άκρο, επομένως είναι σαν ο εισβολέας να έχει πρόσβαση σε ολόκληρο το σύνολο των γνώσεων της εταιρείας", είπε. «Μια πραγματική κατάσταση της αλεπούς στο κοτέτσι».

Πέρα από εσφαλμένες ρυθμίσεις παραμέτρων: Άλλα προβλήματα ασφάλειας για προγραμματιστές

Οι κυβερνοεπιτιθέμενοι, πρέπει να σημειωθεί, δεν ερευνούν απλώς για εσφαλμένες διαμορφώσεις ή χαλαρή ασφάλεια όταν πρόκειται να κυνηγήσουν τους προγραμματιστές. Το 2021, για παράδειγμα, η πρόσβαση μιας ομάδας απειλών στο Slack μέσω του αγορά ενός διακριτικού σύνδεσης στην γκρίζα αγορά οδήγησε σε παραβίαση του γίγαντα παιχνιδιών Electronic Arts, επιτρέποντας στους κυβερνοεγκληματίες να αντιγράψουν σχεδόν 800 GB πηγαίου κώδικα και δεδομένων από την εταιρεία. Και μια έρευνα του 2020 για τις εικόνες Docker το διαπίστωσε αυτό περισσότερες από τις μισές τελευταίες κατασκευές έχουν κρίσιμα τρωτά σημεία που θέτουν σε κίνδυνο οποιαδήποτε εφαρμογή ή υπηρεσία που βασίζεται στα κοντέινερ.

Το phishing και η κοινωνική μηχανική είναι επίσης πληγές στον τομέα. Μόλις αυτή την εβδομάδα, οι προγραμματιστές που χρησιμοποιούν δύο υπηρεσίες DevOps — CircleCI και GitHub — ήταν στοχευμένες επιθέσεις phishing. 

Και, δεν υπάρχουν στοιχεία ότι οι επιτιθέμενοι που στοχεύουν την Rockstar Games εκμεταλλεύτηκαν μια ευπάθεια στο Slack — μόνο οι ισχυρισμοί του υποτιθέμενου εισβολέα. Αντίθετα, η κοινωνική μηχανική ήταν πιθανός τρόπος παράκαμψης των μέτρων ασφαλείας, δήλωσε εκπρόσωπος του Slack σε δήλωση.

«Η ασφάλεια εταιρικού επιπέδου στη διαχείριση ταυτότητας και συσκευών, την προστασία δεδομένων και τη διακυβέρνηση πληροφοριών ενσωματώνεται σε κάθε πτυχή του τρόπου με τον οποίο οι χρήστες συνεργάζονται και ολοκληρώνουν τη δουλειά τους στο Slack», είπε ο εκπρόσωπος, προσθέτοντας: «Αυτές οι τακτικές [κοινωνικής μηχανικής] γίνονται ολοένα και περισσότερες κοινά και εξελιγμένα, και η Slack συνιστά σε όλους τους πελάτες να εφαρμόζουν ισχυρά μέτρα ασφαλείας για να προστατεύουν τα δίκτυά τους από επιθέσεις κοινωνικής μηχανικής, συμπεριλαμβανομένης της εκπαίδευσης ευαισθητοποίησης σχετικά με την ασφάλεια».

Αργή βελτιώσεις ασφάλειας, περισσότερη δουλειά που πρέπει να κάνετε

Ωστόσο, οι προγραμματιστές αποδέχτηκαν σιγά σιγά την ασφάλεια, καθώς οι επαγγελματίες ασφάλειας εφαρμογών ζητούν καλύτερους ελέγχους. Πολλοί προγραμματιστές συνεχίστε να διαρρέετε «μυστικά» — συμπεριλαμβανομένων των κωδικών πρόσβασης και των κλειδιών API — σε κώδικα που προωθείται στα αποθετήρια. Έτσι, οι ομάδες ανάπτυξης θα πρέπει να επικεντρωθούν όχι μόνο στην προστασία του κώδικά τους και στην αποτροπή της εισαγωγής μη αξιόπιστων στοιχείων, αλλά και στη διασφάλιση ότι δεν διακυβεύονται οι κρίσιμες δυνατότητες των αγωγών τους, λέει ο Loveless του GitLab.

«Ολόκληρο το μέρος της μηδενικής εμπιστοσύνης, το οποίο συνήθως αφορά τον εντοπισμό ατόμων και τέτοια πράγματα, θα πρέπει επίσης να υπάρχουν οι ίδιες αρχές που θα πρέπει να ισχύουν για τον κώδικά σας», λέει. «Μην εμπιστεύεστε λοιπόν τον κώδικα. πρέπει να ελεγχθεί. Η ύπαρξη ατόμων ή διαδικασιών που προϋποθέτουν το χειρότερο —δεν πρόκειται να το εμπιστευτώ αυτόματα— ιδιαίτερα όταν ο κώδικας κάνει κάτι κρίσιμο, όπως η κατασκευή ενός έργου."

Επιπλέον, πολλοί προγραμματιστές εξακολουθούν να μην χρησιμοποιούν βασικά μέτρα για την ενίσχυση του ελέγχου ταυτότητας, όπως η χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Ωστόσο, υπάρχουν αλλαγές. Όλο και περισσότερο, τα διάφορα οικοσυστήματα πακέτων λογισμικού ανοιχτού κώδικα έχουν ξεκινήσει που απαιτεί τα μεγάλα έργα να υιοθετούν έλεγχο ταυτότητας πολλαπλών παραγόντων. 

Όσον αφορά τα εργαλεία στα οποία πρέπει να εστιάσουμε, το Slack έχει κερδίσει την προσοχή λόγω των τελευταίων σημαντικών παραβιάσεων, αλλά οι προγραμματιστές θα πρέπει να προσπαθήσουν για ένα βασικό επίπεδο ελέγχου ασφάλειας σε όλα τα εργαλεία τους, λέει ο Loveless.

«Υπάρχουν άμπωτες και ροές, αλλά ό,τι λειτουργεί για τους επιτιθέμενους», λέει. «Μιλώντας από την εμπειρία μου να φοράω όλα τα είδη καπέλων διαφορετικών χρωμάτων, ως επιθετικός, αναζητάς τον πιο εύκολο τρόπο, οπότε αν κάποιος άλλος τρόπος γίνει ευκολότερος, τότε λες, «Θα το δοκιμάσω πρώτα».

Το GitLab έχει δει αυτή τη συμπεριφορά follow-the-leader στα δικά του προγράμματα bounty bug, σημειώνει ο Loveless.

«Βλέπουμε όταν οι άνθρωποι στέλνουν σφάλματα, ξαφνικά κάτι - μια νέα τεχνική - θα γίνει δημοφιλές, και μια ολόκληρη σειρά υποβολών που θα προκύψουν από αυτή την τεχνική θα έρθει», λέει. «Σίγουρα έρχονται κατά κύματα».