“What’s in a name? That which we call a rose By any other name would smell as sweet.” When Shakespeare wrote these words (Romeo and Juliet, Act 2, Scene 2) in 1596, he was saying that a name is just a convention. It has no intrinsic meaning. Juliet loves Romeo for who he is, not for his name.
But without knowing it, Shakespeare was also describing dependency confusion attacks.
ความสับสนในการพึ่งพาเกิดขึ้นเมื่อแพ็คเกจที่คุณใช้ในโค้ดไม่ใช่ของคุณ พวกเขามีชื่อเดียวกัน แต่ไม่ใช่รหัสของคุณที่ใช้งานจริง ชื่อเดียวกัน แต่ห่อหนึ่งมีกลิ่นคล้ายดอกกุหลาบ ส่วนอีกห่อหนึ่ง…มีกลิ่นเหม็น
Recent research reports estimate that 41% to 49% of organizations are at risk for dependency confusion attacks. New research from OX Security shows that when an organization is at risk for a dependency confusion attack, 73% of its assets are vulnerable. The research focused on midsize and large organizations (1K+, 8K+, 80K+ employees) across a wide range of sectors — finance, gaming, technology, and media — and found the risk in every sector across organizations of all sizes. The research also found that almost all applications with more than 1 billion users are using dependencies that are vulnerable to dependency confusion.
บทความนี้มีวัตถุประสงค์เพื่อช่วยให้คุณเข้าใจความสับสนในการขึ้นต่อกันและวิธีป้องกัน
ดับเบิ้ล,ดับเบิ้ล
Dependencies (also called packages) are the building blocks of your software. Typically these pieces of software, whether developed by entire communities or within a company, perform a common and necessary task.
Package managers are frequently used to install dependencies and keep them updated. They scan public and private registries for the name of the package and, all other things being equal, select the highest version number. Attackers take advantage of this by placing a “dummy” package on the public registry with the same name but higher version.
When a package manager comes across two identical packages, one in a public registry and one in a private registry, it causes confusion — hence the name “dependency confusion.” Since the two packages are identical, the manager will automatically choose to install the one with a higher version - in this case, the attacker’s malicious package.
การทำเช่นนี้จะทำให้นักจี้สามารถเข้าถึงซอฟต์แวร์ของคุณได้ จากจุดนี้ พวกเขาสามารถดำเนินการละเมิดข้อมูล ขโมยทรัพย์สินทางปัญญา และทำให้ห่วงโซ่อุปทานของซอฟต์แวร์เสียหายได้ พวกเขายังสามารถแนะนำการละเมิดการปฏิบัติตามกฎระเบียบที่จะกระตุ้นให้เกิดการลงโทษตามกฎระเบียบอย่างรุนแรง
งานหนักและปัญหา
มีหลายวิธีในการโจมตีแบบสับสนในการพึ่งพา
- การเว้นวรรค โดยการอัปโหลดไลบรารีซอฟต์แวร์ที่เป็นอันตรายไปยังรีจิสทรีสาธารณะ เช่น Python Package Index (PyPI) หรือ JavaScript รีจิสทรี npm - นั่นคือ มีชื่อคล้ายกัน ไปยังไลบรารี่ที่ใช้ภายในที่เชื่อถือได้ ระบบที่ละเว้นการตรวจสอบเนมสเปซ/URL หรือไม่บังคับให้ดึงข้อมูลจากรีจิสทรีส่วนตัวอาจดึงโค้ดที่เป็นอันตรายเข้ามาโดยไม่ได้ตั้งใจ ที่ เหตุการณ์ความสับสนในการพึ่งพา PyTorch ล่าสุด เป็นตัวอย่างหนึ่งดังกล่าว
- การปลอมแปลง DNS ด้วยการใช้เทคนิค เช่น การปลอมแปลง DNS ระบบสามารถถูกสั่งให้ดึงการขึ้นต่อกันจากที่เก็บข้อมูลที่เป็นอันตราย ขณะเดียวกันก็แสดงสิ่งที่ดูเหมือน URL/เส้นทางภายในที่ถูกต้องตามกฎหมาย
- การเขียนสคริปต์ By modifying build/install scripts or continuous integration/continuous delivery (CI/CD) pipeline configurations, systems can be tricked into downloading software dependencies from a malicious source rather than a local repository.
Things Done Well and With a Care
เพื่อป้องกันความสับสนในการพึ่งพา ให้จัดทำแนวทางปฏิบัติเหล่านี้
- กำหนดนโยบายในตัวจัดการแพ็คเกจ ไม่อนุญาตให้ผู้จัดการแพ็คเกจจัดลำดับความสำคัญของแพ็คเกจสาธารณะมากกว่าแพ็คเกจส่วนตัว
- รวมไฟล์ .npmrc เสมอ หากคุณใช้ NPM ยอดนิยมเป็นตัวจัดการแพ็คเกจ ให้รวมไฟล์ .npmrc ที่ระบุตำแหน่งที่จะดึงแพ็คเกจภายใต้ขอบเขตองค์กรเฉพาะเสมอ
- จองชื่อแพ็คเกจในทะเบียนสาธารณะ อีกวิธีหนึ่งในการป้องกันการโจมตีที่ทำให้เกิดความสับสนในการพึ่งพาคือการสำรองชื่อแพ็คเกจไว้ในรีจิสทรีสาธารณะเพื่อให้นักจี้ไม่สามารถใช้งานได้ และดังนั้นจึงไม่สามารถ "หลอก" ตัวจัดการแพ็คเกจให้ติดตั้งแพ็คเกจที่เป็นอันตรายได้
เพื่อป้องกันการโจมตีแบบสับสนจากการพึ่งพาอย่างสมบูรณ์ องค์กรควรใช้เสมอ ขอบเขตองค์กรสำหรับแพ็คเกจภายในทั้งหมดแม้ว่าจะเผยแพร่ไปยังรีจิสทรีภายในของคุณก็ตาม ขอบเขตองค์กรควรได้รับการลงทะเบียนที่ทะเบียนสาธารณะของ NPM เพื่อป้องกันใครก็ตามจากการแย่งชิงขอบเขตและใช้ประโยชน์จากความสับสน
ชื่อแพ็คเกจควรได้รับการลงทะเบียนแบบสาธารณะด้วย หากองค์กรใช้ PIP ยอดนิยมเป็นตัวจัดการแพ็คเกจสำหรับการพึ่งพา Python ก็ควรสร้างแพ็คเกจภายในที่มีส่วนต่อท้ายที่เข้มงวดซึ่งสามารถจดจำได้และจะทำงานในทุกโปรเจ็กต์ อัปโหลดแพ็คเกจว่างที่มีชื่อเดียวกันไปยัง PyPI รีจิสทรีสาธารณะในฐานะตัวยึดตำแหน่ง
อีกเหตุผลหนึ่งที่ต้องจองชื่อแพ็คเกจในรีจิสทรีสาธารณะก็คือ หากมีผู้อื่นจองไว้ (ไม่ว่าจะประสงค์ร้ายหรือไม่ก็ตาม) นักพัฒนาจะต้องเปลี่ยนชื่อแพ็คเกจทั้งหมดในรีจิสทรีส่วนตัวเป็นชื่อที่ยังไม่ได้จองไว้ในรีจิสทรีสาธารณะ นี่อาจเป็นกระบวนการที่ยาวและน่าเบื่อ
สิ่งสำคัญคือต้องทราบว่าการลงทะเบียนแพ็กเกจบางรายการไม่อนุญาตให้ผู้ใช้จองชื่อแพ็กเกจ ดังนั้น ตรวจสอบให้แน่ใจว่าคุณพบชื่อที่จองได้
ทางออก ไล่ตามโดยหมี
การโจมตีแบบสับสนในการพึ่งพาก่อให้เกิดภัยคุกคามความปลอดภัยทางไซเบอร์ที่ร้ายแรงและใกล้จะเกิดขึ้นกับองค์กรทั่วโลก ประมาณครึ่งหนึ่งขององค์กรทั้งหมดตกอยู่ในความเสี่ยง และ 73% ของทรัพย์สินขององค์กรเหล่านั้นถูกเปิดเผย เพื่อรับมือกับภัยคุกคามที่เพิ่มขึ้นนี้ องค์กรต่างๆ ต้องใช้มาตรการป้องกันที่แข็งแกร่งและนำแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์มาใช้
Shakespeare’s roses may have presaged the risk of dependency confusion attacks by hundreds of years, but another quote from the Bard may hold some wisdom for protecting against them: “Let every eye negotiate for itself and trust no agent.” (Much Ado About Nothing, Act 2, Scene 1)
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/edge-articles/software-supply-chain-strategies-to-parry-dependency-confusion-attacks
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 1
- 7
- a
- เกี่ยวกับเรา
- ข้าม
- กระทำ
- นำมาใช้
- ความได้เปรียบ
- กับ
- ตัวแทน
- จุดมุ่งหมาย
- ทั้งหมด
- อนุญาต
- เกือบจะ
- ด้วย
- เสมอ
- an
- และ
- อื่น
- ใด
- ทุกคน
- การใช้งาน
- วิธีการ
- เป็น
- บทความ
- AS
- สินทรัพย์
- At
- โจมตี
- การโจมตี
- อัตโนมัติ
- กลับ
- BE
- เพราะ
- กำลัง
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- พันล้าน
- Blocks
- การละเมิด
- การก่อสร้าง
- แต่
- by
- โทรศัพท์
- ที่เรียกว่า
- CAN
- ไม่ได้
- กรณี
- สาเหตุที่
- โซ่
- เปลี่ยนแปลง
- ตรวจสอบ
- Choose
- รหัส
- มา
- ร่วมกัน
- ชุมชน
- บริษัท
- การปฏิบัติตาม
- การประนีประนอม
- ความสับสน
- การประชุม
- ตอบโต้
- สร้าง
- cybersecurity
- ข้อมูล
- การละเมิดข้อมูล
- การอ้างอิง
- การอยู่ที่
- พัฒนา
- นักพัฒนา
- กำกับการแสดง
- แสดง
- DNS
- do
- ทำ
- ทำ
- ประตู
- อื่น
- พนักงาน
- ทั้งหมด
- เท่ากัน
- ประมาณการ
- แม้
- ทุกๆ
- ตัวอย่าง
- ดำเนินการ
- ที่เปิดเผย
- ตา
- เนื้อไม่มีมัน
- เงินทุน
- หา
- มุ่งเน้น
- สำหรับ
- บังคับ
- พบ
- มัก
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- การเล่นเกม
- จะช่วยให้
- ทั่วโลก
- การเจริญเติบโต
- ครึ่ง
- มี
- he
- ช่วย
- ด้วยเหตุนี้
- สูงกว่า
- ที่สูงที่สุด
- ของเขา
- ถือ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ร้อย
- identiques
- if
- ใกล้
- การดำเนินการ
- สำคัญ
- in
- ประกอบด้วย
- ดัชนี
- ติดตั้ง
- การติดตั้ง
- สถาบัน
- ทางปัญญา
- ทรัพย์สินทางปัญญา
- ภายใน
- ภายใน
- เข้าไป
- แท้จริง
- แนะนำ
- IT
- ITS
- ตัวเอง
- JavaScript
- เพียงแค่
- เก็บ
- รู้ดี
- ใหญ่
- ถูกกฎหมาย
- ให้
- ห้องสมุด
- กดไลก์
- ในประเทศ
- นาน
- LOOKS
- รัก
- ทำ
- ผู้จัดการ
- ผู้จัดการ
- อาจ..
- ความหมาย
- มาตรการ
- ภาพบรรยากาศ
- ข้อมูลเพิ่มเติม
- มาก
- ต้อง
- ชื่อ
- ชื่อ
- จำเป็น
- ใหม่
- ไม่
- ไม่มีอะไร
- จำนวน
- of
- on
- ONE
- or
- organizacja
- องค์กร
- อื่นๆ
- มิฉะนั้น
- เกิน
- แพ็คเกจ
- แพคเกจ
- ดำเนินการ
- ชิ้น
- ท่อ
- ตัวยึด
- การวาง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- นโยบาย
- ยอดนิยม
- ท่าทาง
- การปฏิบัติ
- ป้องกัน
- การป้องกัน
- จัดลำดับความสำคัญ
- ส่วนตัว
- กระบวนการ
- การผลิต
- โครงการ
- คุณสมบัติ
- ป้องกัน
- ปกป้อง
- สาธารณะ
- สาธารณชน
- การประกาศ
- หลาม
- ไฟฉาย
- หุ้น
- พิสัย
- ค่อนข้าง
- RE
- เหตุผล
- ลงทะเบียน
- การลงทะเบียน
- รีจิสทรี
- หน่วยงานกำกับดูแล
- รายงาน
- กรุ
- การวิจัย
- สำรอง
- ลิขสิทธิ์
- สำรอง
- ความเสี่ยง
- แข็งแรง
- ROSE
- วิ่ง
- s
- เดียวกัน
- คำพูด
- การสแกน
- ฉาก
- ขอบเขต
- สคริปต์
- ภาค
- ภาค
- ความปลอดภัย
- ร้ายแรง
- รุนแรง
- น่า
- แสดงให้เห็นว่า
- ตั้งแต่
- ขนาด
- So
- ซอฟต์แวร์
- ห่วงโซ่อุปทานซอฟต์แวร์
- บาง
- บางคน
- แหล่ง
- โดยเฉพาะ
- กลยุทธ์
- เข้มงวด
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- แน่ใจ
- หวาน
- ระบบ
- เอา
- การ
- งาน
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- พวกเขา
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- นี้
- เหล่านั้น
- การคุกคาม
- ดังนั้น
- ไปยัง
- เรียก
- วางใจ
- ที่เชื่อถือ
- สอง
- เป็นปกติ
- ภายใต้
- เข้าใจ
- ให้กับคุณ
- อัปโหลด
- ใช้
- มือสอง
- ผู้ใช้
- การใช้
- ต่างๆ
- รุ่น
- การละเมิด
- อ่อนแอ
- คือ
- ทาง..
- we
- ดี
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- กว้าง
- ช่วงกว้าง
- จะ
- ภูมิปัญญา
- กับ
- ภายใน
- ไม่มี
- คำ
- งาน
- จะ
- เขียน
- ปี
- ยัง
- คุณ
- ของคุณ
- ลมทะเล