সাইবার নিরাপত্তা

অ্যাপ ডেভেলপাররা স্ল্যাক, ডিওঅপস টুলের মাধ্যমে ক্রমবর্ধমানভাবে লক্ষ্যবস্তু

টাইম স্ট্যাম্প: সেপ্টেম্বর 23, 2022 4: 19 অপরাহ্ণ
উত্স নোড: 2130731

প্লেটো দ্বারা প্রকাশিত

ডেভেলপাররা ক্রমবর্ধমানভাবে সেই টুলগুলির মাধ্যমে আক্রমণের শিকার হচ্ছে যা তারা সহযোগিতা করতে এবং কোড তৈরি করতে ব্যবহার করে — যেমন ডকার, কুবারনেটস এবং স্ল্যাক — সাইবার অপরাধী এবং জাতি-রাষ্ট্র অভিনেতাদের লক্ষ্য মূল্যবান সফ্টওয়্যার অ্যাক্সেস করা যা ডেভেলপাররা প্রতিদিন কাজ করে।

উদাহরণস্বরূপ, একজন আক্রমণকারী 18 সেপ্টেম্বর দাবি করেছে যে সে চুরি করা স্ল্যাক শংসাপত্র ব্যবহার করেছে এবং 90টিরও বেশি ভিডিও অনুলিপি করেছে গ্র্যান্ড থেফট অটো 6 এর প্রাথমিক বিকাশ, টেক-টু ইন্টারেক্টিভের রকস্টার গেমসের একটি জনপ্রিয় গেম। এবং এক সপ্তাহ আগে, নিরাপত্তা সংস্থা ট্রেন্ড মাইক্রো আবিষ্কার করেছিল যে আক্রমণকারীরা পদ্ধতিগতভাবে অনুসন্ধান করছে এবং ভুল কনফিগার করা ডকার কন্টেইনারগুলির সাথে আপস করার চেষ্টা করছে।

সফ্টওয়্যার প্রোগ্রামগুলিতে কোনও আক্রমণই দুর্বলতার সাথে জড়িত নয়, তবে সুরক্ষা ভুল বা ভুল কনফিগারেশন ডেভেলপারদের পক্ষ থেকে অস্বাভাবিক নয়, যারা প্রায়শই তাদের আক্রমণের পৃষ্ঠের এলাকা সুরক্ষিত করার জন্য প্রয়োজনীয় যত্ন নিতে ব্যর্থ হয়, মার্ক লাভলেস বলেছেন, গিটল্যাবের একজন স্টাফ সিকিউরিটি ইঞ্জিনিয়ার, DevOps প্ল্যাটফর্ম প্রদানকারী।

"অনেক ডেভেলপাররা নিজেদেরকে টার্গেট মনে করে না কারণ তারা ভাবছে যে সমাপ্ত কোড, শেষ ফলাফল, যা আক্রমণকারীরা অনুসরণ করছে," তিনি বলেছেন। "বিকাশকারীরা প্রায়শই নিরাপত্তা ঝুঁকি নিয়ে থাকে - যেমন বাড়িতে পরীক্ষার পরিবেশ স্থাপন করা বা সমস্ত নিরাপত্তা নিয়ন্ত্রণ সরিয়ে নেওয়া - যাতে তারা পরে নিরাপত্তা যোগ করার অভিপ্রায়ে নতুন জিনিস চেষ্টা করতে পারে।"

তিনি যোগ করেন, "দুর্ভাগ্যবশত, সেই অভ্যাসগুলো প্রতিলিপি হয়ে সংস্কৃতিতে পরিণত হয়।"

সফ্টওয়্যার সরবরাহ শৃঙ্খলের বিরুদ্ধে আক্রমণ - এবং বিকাশকারীরা যারা সফ্টওয়্যার তৈরি এবং স্থাপন করে - গত দুই বছরে দ্রুত বৃদ্ধি পেয়েছে। 2021 সালে, উদাহরণস্বরূপ, ডেভেলপারদের সফ্টওয়্যার - এবং ডেভেলপারদের দ্বারা ব্যাপকভাবে ব্যবহৃত ওপেন সোর্স উপাদানগুলির সাথে আপস করার লক্ষ্যে আক্রমণগুলি 650% বৃদ্ধি পেয়েছে, "2021 “সফ্টওয়্যার সাপ্লাই চেইনের অবস্থা" রিপোর্ট, সফটওয়্যার নিরাপত্তা সংস্থা Sonatype দ্বারা প্রকাশিত.

বিকাশকারী পাইপলাইন এবং সাইটগুলিতে সহযোগিতা

সামগ্রিকভাবে, নিরাপত্তা বিশেষজ্ঞরা বজায় রাখেন যে অবিচ্ছিন্ন একীকরণের দ্রুত গতি এবং ক্রমাগত স্থাপনার পরিবেশ (CI/CD) যা DevOps-স্টাইল পদ্ধতির ভিত্তি তৈরি করে তা উল্লেখযোগ্য ঝুঁকি তৈরি করে, কারণ তারা প্রায়ই উপেক্ষা করা হয় যখন এটা কঠোর নিরাপত্তা বাস্তবায়ন আসে.

পেশাদার বিকাশকারীদের দ্বারা ব্যবহৃত সিঙ্ক্রোনাস সরঞ্জামগুলির মধ্যে স্ল্যাক, টিম এবং জুম শীর্ষে। সূত্র: StackOverflow

এটি আরও দক্ষ পাইপলাইন তৈরি করার প্রচেষ্টায় বিকাশকারীদের দ্বারা ব্যবহৃত বিভিন্ন সরঞ্জামকে প্রভাবিত করে। স্ল্যাক, উদাহরণস্বরূপ, পেশাদার ডেভেলপারদের মধ্যে ব্যবহৃত সবচেয়ে জনপ্রিয় সিঙ্ক্রোনাস সহযোগিতার সরঞ্জাম, মাইক্রোসফ্ট টিমস এবং জুম দ্বিতীয় এবং তৃতীয় স্থানে রয়েছে, অনুসারে 2022 StackOverflow ডেভেলপার সার্ভে. উপরন্তু, দুই-তৃতীয়াংশেরও বেশি বিকাশকারী ডকার ব্যবহার করে এবং অন্য চতুর্থাংশ উন্নয়নের সময় কুবারনেটস ব্যবহার করে, সমীক্ষায় দেখা গেছে।

স্ল্যাকের মতো সরঞ্জামগুলির লঙ্ঘন "দুষ্ট" হতে পারে কারণ এই জাতীয় সরঞ্জামগুলি প্রায়শই সমালোচনামূলক কার্য সম্পাদন করে এবং সাধারণত শুধুমাত্র পরিধির প্রতিরক্ষা থাকে, ম্যাথিউ হজসন, মেসেজিং-প্ল্যাটফর্ম এলিমেন্টের সিইও এবং সহ-প্রতিষ্ঠাতা, ডার্ক রিডিংকে পাঠানো একটি বিবৃতিতে বলেছেন।

"স্ল্যাক এন্ড-টু-এন্ড এনক্রিপ্টেড নয়, তাই এটি আক্রমণকারীর কোম্পানির সম্পূর্ণ জ্ঞানের অ্যাক্সেসের মতো," তিনি বলেছিলেন। "একটি আসল শিয়াল-ইন-দ্য-মুরগির অবস্থা।"

মিসকনফিক্সের বাইরে: বিকাশকারীদের জন্য অন্যান্য নিরাপত্তা সমস্যা

সাইবার আক্রমণকারীরা, এটি লক্ষ করা উচিত, ডেভেলপারদের পিছনে যাওয়ার ক্ষেত্রে শুধুমাত্র ভুল কনফিগারেশন বা শিথিল নিরাপত্তার জন্য তদন্ত করবেন না। 2021 সালে, উদাহরণস্বরূপ, একটি হুমকি গোষ্ঠীর মাধ্যমে স্ল্যাকের অ্যাক্সেস একটি লগইন টোকেনের গ্রে-মার্কেট ক্রয় গেম জায়ান্ট ইলেকট্রনিক আর্টস লঙ্ঘনের দিকে পরিচালিত করে, সাইবার অপরাধীদের ফার্ম থেকে প্রায় 800GB সোর্স কোড এবং ডেটা অনুলিপি করার অনুমতি দেয়। এবং ডকার ইমেজগুলির একটি 2020 তদন্তে এটি পাওয়া গেছে সর্বশেষ বিল্ড অর্ধেকেরও বেশি গুরুতর দুর্বলতা রয়েছে যা কন্টেইনারগুলির উপর ভিত্তি করে কোনও অ্যাপ্লিকেশন বা পরিষেবাকে ঝুঁকির মধ্যে রাখে।

ফিশিং এবং সোশ্যাল ইঞ্জিনিয়ারিংও সেক্টরে প্লেগ। ঠিক এই সপ্তাহে, ডেভেলপাররা দুটি DevOps পরিষেবা ব্যবহার করছে — CircleCI এবং GitHub — ফিশিং আক্রমণের সাথে লক্ষ্যবস্তু.

এবং, এমন কোন প্রমাণ নেই যে আক্রমণকারীরা রকস্টার গেমসকে লক্ষ্য করে স্ল্যাকের একটি দুর্বলতাকে কাজে লাগিয়েছে — শুধুমাত্র অভিযুক্ত আক্রমণকারীর দাবি। পরিবর্তে, সামাজিক প্রকৌশল সম্ভবত নিরাপত্তা ব্যবস্থা বাইপাস করার উপায় ছিল, স্ল্যাকের একজন মুখপাত্র একটি বিবৃতিতে বলেছেন।

"পরিচয় এবং ডিভাইস পরিচালনা, ডেটা সুরক্ষা এবং তথ্য শাসন জুড়ে এন্টারপ্রাইজ-গ্রেড নিরাপত্তা ব্যবহারকারীরা কীভাবে সহযোগিতা করে এবং স্ল্যাকে কাজ করে তার প্রতিটি দিকের মধ্যে তৈরি করা হয়েছে," মুখপাত্র বলেছেন, যোগ করেছেন: "এই [সামাজিক প্রকৌশল] কৌশলগুলি ক্রমবর্ধমান হয়ে উঠছে সাধারণ এবং পরিশীলিত, এবং স্ল্যাক সুপারিশ করে যে সমস্ত গ্রাহকরা নিরাপত্তা সচেতনতা প্রশিক্ষণ সহ সামাজিক প্রকৌশল আক্রমণ থেকে তাদের নেটওয়ার্কগুলিকে রক্ষা করার জন্য শক্তিশালী নিরাপত্তা ব্যবস্থা অনুশীলন করুন।"

ধীরে ধীরে নিরাপত্তা উন্নতি, আরও কাজ করতে হবে

বিকাশকারীরা কেবল ধীরে ধীরে সুরক্ষা গ্রহণ করেছে কারণ অ্যাপ্লিকেশন সুরক্ষা পেশাদাররা আরও ভাল নিয়ন্ত্রণের জন্য আহ্বান জানায়। অনেক ডেভেলপার "গোপন" ফাঁস করতে থাকুন — পাসওয়ার্ড এবং API কী সহ — কোডে রিপোজিটরিতে পুশ করা হয়েছে। গিটল্যাবের লাভলেস বলেছেন, এইভাবে, উন্নয়ন দলগুলিকে শুধুমাত্র তাদের কোড রক্ষা করা এবং অবিশ্বস্ত উপাদানগুলির আমদানি রোধ করার দিকে মনোনিবেশ করা উচিত নয় বরং তাদের পাইপলাইনের সমালোচনামূলক ক্ষমতাগুলি যাতে আপস করা হয় না তাও নিশ্চিত করা।

"পুরো শূন্য-বিশ্বাসের অংশ, যা সাধারণত লোকেদের এবং এই জাতীয় জিনিসগুলিকে চিহ্নিত করার বিষয়ে, সেখানেও একই নীতি থাকা উচিত যা আপনার কোডে প্রযোজ্য হওয়া উচিত," তিনি বলেছেন। “তাই কোড বিশ্বাস করবেন না; এটা চেক করতে হবে। লোকে বা প্রক্রিয়াগুলি এমন জায়গায় থাকা যা সবচেয়ে খারাপ ধরে নেয় - আমি স্বয়ংক্রিয়ভাবে এটি বিশ্বাস করতে যাচ্ছি না - বিশেষ করে যখন কোডটি একটি প্রকল্প তৈরি করার মতো সমালোচনামূলক কিছু করছে।"

উপরন্তু, অনেক ডেভেলপার এখনও প্রমাণীকরণকে শক্তিশালী করার জন্য মৌলিক ব্যবস্থা ব্যবহার করেন না, যেমন মাল্টিফ্যাক্টর অথেনটিকেশন (MFA) ব্যবহার করে। তবে পরিবর্তন হচ্ছে। ক্রমবর্ধমানভাবে, বিভিন্ন ওপেন সোর্স সফ্টওয়্যার প্যাকেজ ইকোসিস্টেম সব শুরু হয়েছে বড় প্রকল্পের মাল্টিফ্যাক্টর প্রমাণীকরণ গ্রহণ করা প্রয়োজন.

ফোকাস করার জন্য সরঞ্জামগুলির পরিপ্রেক্ষিতে, সর্বশেষ বড় লঙ্ঘনের কারণে স্ল্যাক মনোযোগ আকর্ষণ করেছে, তবে বিকাশকারীদের তাদের সমস্ত সরঞ্জাম জুড়ে সুরক্ষা নিয়ন্ত্রণের একটি বেসলাইন স্তরের জন্য প্রচেষ্টা করা উচিত, লাভলেস বলেছেন।

"এখানে ভাটা এবং প্রবাহ আছে, কিন্তু এটি আক্রমণকারীদের জন্য যা কিছু কাজ করে," তিনি বলেছেন। "বিভিন্ন রঙের টুপি পরার আমার অভিজ্ঞতা থেকে বলছি, একজন আক্রমণকারী হিসাবে, আপনি সবচেয়ে সহজ উপায় খুঁজছেন, তাই যদি অন্য উপায় সহজ হয়ে যায়, তাহলে আপনি বলবেন, 'আমি প্রথমে চেষ্টা করব।'"

গিটল্যাব তার নিজস্ব বাগ বাউন্টি প্রোগ্রাম, লাভলেস নোটে এই অনুসরণ-নেতা আচরণ দেখেছে।

"আমরা দেখি যখন লোকেরা বাগ পাঠায়, হঠাৎ করে কিছু একটা — একটি নতুন কৌশল — জনপ্রিয় হয়ে উঠবে, এবং সেই কৌশলের ফলে প্রচুর জমা দেওয়া হবে,” তিনি বলেছেন৷ "তারা অবশ্যই তরঙ্গে আসে।"