Kehittäjät joutuvat yhä useammin hyökkäyksen kohteeksi työkalujen, joita he käyttävät yhteistyöhön ja koodin tuottamiseen – kuten Docker, Kubernetes ja Slack – kautta, kun kyberrikolliset ja kansallisvaltioiden toimijat pyrkivät pääsemään käsiksi arvokkaisiin ohjelmistoihin, joita kehittäjät työskentelevät päivittäin.
Esimerkiksi hyökkääjä väitti 18. syyskuuta käyttäneensä varastettuja Slackin valtuustietoja päästäkseen ja kopioimaan yli 90 videota, jotka edustavat Grand Theft Auto 6:n varhainen kehitys, suosittu peli Take-Two Interactiven Rockstar Gamesilta. Ja viikkoa aiemmin turvallisuusyritys Trend Micro havaitsi, että hyökkääjät etsivät järjestelmällisesti väärin määritettyjä Docker-säilöjä ja yrittivät vaarantaa niitä.
Kumpikaan hyökkäys ei sisältänyt ohjelmistojen haavoittuvuuksia, mutta tietoturvavirheitä tai virheellisiä konfiguraatioita ei ole harvinaista kehittäjiltä, jotka eivät useinkaan huolehdi hyökkäyspinta-alueensa turvaamisesta, sanoo Mark Loveless, GitLabin henkilöstön turvallisuusinsinööri. DevOps-alustan tarjoaja.
"Monet kehittäjät eivät pidä itseään kohteina, koska he ajattelevat, että valmis koodi, lopputulos, on se, mitä hyökkääjät tavoittelevat", hän sanoo. "Kehittäjät ottavat usein tietoturvariskejä – kuten testausympäristöjen perustamisen kotona tai kaikkien suojaustoimintojen poistamisen – jotta he voivat kokeilla uusia asioita lisäten turvallisuutta myöhemmin."
Hän lisää: "Valitettavasti nämä tavat toistuvat ja niistä tulee kulttuuria."
Hyökkäykset ohjelmistojen toimitusketjua – ja ohjelmistoja tuottavia ja ottavia kehittäjiä vastaan – ovat lisääntyneet nopeasti viimeisen kahden vuoden aikana. Esimerkiksi vuonna 2021 kehittäjien ohjelmistojen – ja kehittäjien laajasti käyttämien avoimen lähdekoodin komponenttien – vaarantamiseen tähtäävät hyökkäykset kasvoivat 650 prosenttia.2021 ”Ohjelmiston toimitusketjun tila”-raportti, jonka on julkaissut ohjelmistoturvayritys Sonatype.
Kehittäjäputket ja yhteistyö Sightsissa
Kaiken kaikkiaan tietoturva-asiantuntijat väittävät, että jatkuvan integroinnin ja jatkuvan käyttöönottoympäristön (CI/CD) nopea tahti, jotka muodostavat DevOps-tyylisten lähestymistapojen perustan, aiheuttavat merkittäviä riskejä, koska ne jäävät usein huomiotta kun on kyse kovetun tietoturvan toteuttamisesta.
Tämä vaikuttaa useisiin työkaluihin, joita kehittäjät käyttävät pyrkiessään luomaan tehokkaampia putkistoja. Esimerkiksi Slack on suosituin synkroninen yhteistyötyökalu ammattikehittäjien keskuudessa, ja Microsoft Teams ja Zoom ovat lähellä toista ja kolmantena. vuoden 2022 StackOverflow -kehittäjätutkimus. Lisäksi yli kaksi kolmasosaa kehittäjistä käyttää Dockeria ja toinen neljäsosa käyttää Kubernetesia kehitystyön aikana, selvityksen mukaan.
Slackin kaltaisten työkalujen rikkominen voi olla "ilkeää", koska tällaiset työkalut suorittavat usein kriittisiä toimintoja ja niillä on yleensä vain kehäsuojaus, Matthew Hodgson, Messaging-platform Elementin toimitusjohtaja ja toinen perustaja, sanoi Dark Readingille lähetetyssä lausunnossa.
"Slack ei ole päästä päähän -salattu, joten se on kuin hyökkääjällä olisi pääsy koko yrityksen tietoihin", hän sanoi. "Todellinen kettu-kanatalo tilanne."
Beyond Misconfigs: Muita tietoturvaongelmia kehittäjille
On huomattava, että kyberhyökkääjät eivät vain etsi vääriä määrityksiä tai heikkoa turvallisuutta, kun kyse on kehittäjien jäljistä. Vuonna 2021 esimerkiksi uhkaryhmän pääsy Slackiin kirjautumistunnuksen osto harmaalta markkinoilta johti pelijättiläisen Electronic Artsin rikkomiseen, jolloin kyberrikolliset pystyivät kopioimaan lähes 800 Gt lähdekoodia ja dataa yrityksestä. Ja vuoden 2020 Docker-kuvia koskeva tutkimus havaitsi sen yli puolet uusimmista rakennuksista sisältää kriittisiä haavoittuvuuksia, jotka vaarantavat kaikki säilöihin perustuvat sovellukset tai palvelut.
Tietojenkalastelu ja sosiaalinen manipulointi ovat myös alan vitsauksia. Juuri tällä viikolla kehittäjät käyttivät kahta DevOps-palvelua - CircleCI:tä ja GitHubia phishing-hyökkäysten kohteena.
Eikä ole todisteita siitä, että Rockstar Gamesiin kohdistaneet hyökkääjät olisivat käyttäneet Slackin haavoittuvuutta – vain väitetyn hyökkääjän väitteet. Sen sijaan sosiaalinen suunnittelu oli todennäköisesti tapa ohittaa turvatoimenpiteet, Slackin tiedottaja sanoi lausunnossaan.
"Yritystason tietoturva identiteetin ja laitehallinnan, tietosuojan ja tiedonhallinnan välillä on sisäänrakennettu kaikkeen siihen, miten käyttäjät tekevät yhteistyötä ja tekevät työtä Slackin kanssa", tiedottaja sanoi ja lisäsi: "Nämä [sosiaalinen suunnittelu] taktiikat ovat yhä enemmän yleisiä ja kehittyneitä, ja Slack suosittelee kaikkia asiakkaita käyttämään vahvoja turvatoimia suojatakseen verkkojaan manipulointihyökkäyksiä vastaan, mukaan lukien turvallisuustietoisuuskoulutus."
Hitaita tietoturvaparannuksia, enemmän tehtävää
Kehittäjät ovat vasta hitaasti hyväksyneet tietoturvan, koska sovellusten tietoturva-ammattilaiset vaativat kuitenkin parempaa valvontaa. Monet kehittäjät jatkaa "salaisuuksien" vuotamista - mukaan lukien salasanat ja API-avaimet - arkistoihin lähetetyssä koodissa. Näin ollen kehitystiimien ei tulisi keskittyä pelkästään koodinsa suojaamiseen ja epäluotettavien komponenttien tuonnin estämiseen, vaan myös sen varmistamiseen, että heidän putkistonsa kriittiset ominaisuudet eivät vaarannu, GitLabin Loveless sanoo.
"Koko nollaluottamusta koskeva osa, joka liittyy tyypillisesti ihmisten tunnistamiseen ja sellaisiin asioihin, pitäisi myös olla samat periaatteet, joita pitäisi soveltaa koodiisi", hän sanoo. "Älä siis luota koodiin; se on tarkistettava. Ihmisten tai prosessien olemassaolo, joka olettaa pahimman – en aio luottaa siihen automaattisesti – varsinkin kun koodi tekee jotain kriittistä, kuten projektin rakentamista.
Lisäksi monet kehittäjät eivät edelleenkään käytä perustoimenpiteitä todennuksen vahvistamiseen, kuten monitekijätodennusta (MFA). Muutoksia on kuitenkin tulossa. Yhä useammin erilaiset avoimen lähdekoodin ohjelmistopakettien ekosysteemit ovat alkaneet vaativat, että suuret projektit ottavat käyttöön monitekijätodennusta.
Mitä tulee työkaluihin, joihin keskittyä, Slack on saanut huomiota viimeisimpien suurten rikkomusten takia, mutta kehittäjien tulisi pyrkiä turvallisuuden valvonnan perustasoon kaikissa työkaluissaan, Loveless sanoo.
"On aaltoja ja laskuja, mutta se on mikä hyvänsä hyökkääjille", hän sanoo. "Puhuen kokemuksestani kaikenlaisten eriväristen hattujen käyttämisestä, hyökkääjänä etsit helpointa tietä sisään, joten jos toinen tapa helpottuu, sanot: 'Minä kokeilen sitä ensin.'"
GitLab on nähnyt tämän johtajan seuraamisen omissa bugipalkkio-ohjelmissaan, Loveless huomauttaa.
"Näemme, kun ihmiset lähettävät bugeja, yhtäkkiä jostain - uudesta tekniikasta - tulee suosittu, ja koko joukko siitä tekniikasta johtuvia kommentteja tulee", hän sanoo. "Ne tulevat ehdottomasti aaltoina."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
