Entwickler werden zunehmend durch die Tools angegriffen, die sie zur Zusammenarbeit und zum Erstellen von Code verwenden – wie Docker, Kubernetes und Slack –, da Cyberkriminelle und nationalstaatliche Akteure darauf abzielen, auf die wertvolle Software zuzugreifen, an der Entwickler täglich arbeiten.
Beispielsweise behauptete ein Angreifer am 18. September, gestohlene Slack-Anmeldeinformationen verwendet zu haben, um auf mehr als 90 Videos zuzugreifen und diese zu kopieren frühe Entwicklung von Grand Theft Auto 6, ein beliebtes Spiel von Rockstar Games von Take-Two Interactive. Und eine Woche zuvor entdeckte das Sicherheitsunternehmen Trend Micro, dass Angreifer systematisch nach falsch konfigurierten Docker-Containern suchten und versuchten, diese zu kompromittieren.
Keiner der Angriffe beinhaltete Schwachstellen in den Softwareprogrammen, aber Sicherheitsfehler oder Fehlkonfigurationen sind bei Entwicklern nicht ungewöhnlich, die oft nicht die notwendige Sorgfalt walten lassen, um ihre Angriffsfläche zu sichern, sagt Mark Loveless, ein Sicherheitsingenieur bei GitLab, a DevOps-Plattformanbieter.
„Viele Entwickler betrachten sich selbst nicht als Ziel, weil sie glauben, dass der fertige Code, das Endergebnis, das Ziel der Angreifer ist“, sagt er. „Entwickler gehen oft Sicherheitsrisiken ein – wie das Einrichten von Testumgebungen zu Hause oder das Abschalten aller Sicherheitskontrollen – damit sie neue Dinge ausprobieren können, mit der Absicht, später Sicherheit hinzuzufügen.“
Er fügt hinzu: „Leider werden diese Gewohnheiten repliziert und zur Kultur.“
Angriffe auf die Softwarelieferkette – und die Entwickler, die Software produzieren und bereitstellen – haben in den letzten zwei Jahren schnell zugenommen. Im Jahr 2021 nahmen beispielsweise Angriffe, die darauf abzielten, die Software von Entwicklern – und die von Entwicklern weit verbreiteten Open-Source-Komponenten – zu kompromittieren, um 650 % zu, so die „2021 Stand der „Software Supply Chain“-Bericht, veröffentlicht von der Software-Sicherheitsfirma Sonatype.
Entwickler-Pipelines & Zusammenarbeit im Visier
Insgesamt sind Sicherheitsexperten der Meinung, dass das schnelle Tempo der kontinuierlichen Integration und der kontinuierlichen Bereitstellungsumgebungen (CI/CD), die die Grundlage für Ansätze im DevOps-Stil bilden, erhebliche Risiken bergen, weil sie werden oft übersehen wenn es um die Implementierung gehärteter Sicherheit geht.
Dies wirkt sich auf eine Vielzahl von Tools aus, die von Entwicklern bei ihren Bemühungen verwendet werden, effizientere Pipelines zu erstellen. Slack zum Beispiel ist das beliebteste Tool für die synchrone Zusammenarbeit, das unter professionellen Entwicklern verwendet wird, wobei Microsoft Teams und Zoom laut Microsoft Teams und Zoom auf den Plätzen zwei und drei liegen die 2022 StackOverflow Developer Survey. Darüber hinaus verwenden mehr als zwei Drittel der Entwickler Docker und ein weiteres Viertel Kubernetes während der Entwicklung, so die Umfrage.
Verstöße gegen Tools wie Slack können „böse“ sein, da solche Tools oft kritische Funktionen ausführen und normalerweise nur Perimeterschutz bieten, sagte Matthew Hodgson, CEO und Mitbegründer der Messaging-Plattform Element, in einer Erklärung, die an Dark Reading gesendet wurde.
„Slack ist nicht Ende-zu-Ende verschlüsselt, also hat der Angreifer Zugriff auf das gesamte Wissen des Unternehmens“, sagte er. „Eine echte Fuchs-im-Hühnerstall-Situation.“
Jenseits von Fehlkonfigurationen: Andere Sicherheitsprobleme für Entwickler
Es sei darauf hingewiesen, dass Cyberangreifer nicht nur nach Fehlkonfigurationen oder laschen Sicherheitsvorkehrungen suchen, wenn es darum geht, Entwickler anzugreifen. Im Jahr 2021 wird beispielsweise der Zugriff einer Bedrohungsgruppe auf Slack über die Graumarktkauf eines Login-Tokens führte zu einem Verstoß gegen den Spielegiganten Electronic Arts, der es den Cyberkriminellen ermöglichte, fast 800 GB Quellcode und Daten der Firma zu kopieren. Und eine Untersuchung von Docker-Images aus dem Jahr 2020 hat das ergeben mehr als die Hälfte der neuesten Builds kritische Sicherheitslücken aufweisen, die jede auf den Containern basierende Anwendung oder jeden Dienst gefährden.
Phishing und Social Engineering sind ebenfalls Plagen in der Branche. Erst diese Woche nutzten Entwickler zwei DevOps-Dienste – CircleCI und GitHub Ziel von Phishing-Angriffen.
Und es gibt keine Beweise dafür, dass die Angreifer, die es auf Rockstar Games abgesehen haben, eine Schwachstelle in Slack ausgenutzt haben – nur die Behauptungen des angeblichen Angreifers. Stattdessen sei Social Engineering wahrscheinlich eine Möglichkeit, Sicherheitsmaßnahmen zu umgehen, sagte ein Slack-Sprecher in einer Erklärung.
„Unternehmensgerechte Sicherheit über Identitäts- und Geräteverwaltung, Datenschutz und Information Governance ist in jeden Aspekt der Zusammenarbeit und Erledigung von Aufgaben in Slack integriert“, sagte der Sprecher und fügte hinzu: „Diese [Social-Engineering]-Taktiken werden immer häufiger allgemein und ausgeklügelt, und Slack empfiehlt allen Kunden, strenge Sicherheitsmaßnahmen zu ergreifen, um ihre Netzwerke vor Social-Engineering-Angriffen zu schützen, einschließlich Schulungen zum Sicherheitsbewusstsein.“
Langsame Sicherheitsverbesserungen, mehr Arbeit zu erledigen
Entwickler haben Sicherheit jedoch nur langsam akzeptiert, da Anwendungssicherheitsexperten bessere Kontrollen fordern. Viele Entwickler weiterhin „Geheimnisse“ preisgeben – einschließlich Passwörtern und API-Schlüsseln – in Code, der in Repositories gepusht wird. Daher sollten sich Entwicklungsteams nicht nur darauf konzentrieren, ihren Code zu schützen und den Import nicht vertrauenswürdiger Komponenten zu verhindern, sondern auch sicherzustellen, dass die kritischen Fähigkeiten ihrer Pipelines nicht beeinträchtigt werden, sagt Loveless von GitLab.
„Der gesamte Zero-Trust-Teil, bei dem es normalerweise darum geht, Personen und ähnliche Dinge zu identifizieren, sollte auch die gleichen Prinzipien haben, die für Ihren Code gelten sollten“, sagt er. „Also vertraue nicht dem Code; es muss überprüft werden. Leute oder Prozesse zu haben, die das Schlimmste annehmen – ich werde ihnen nicht automatisch vertrauen – besonders wenn der Code etwas Kritisches tut, wie ein Projekt zu erstellen.“
Darüber hinaus verzichten viele Entwickler noch immer auf grundlegende Maßnahmen zur Stärkung der Authentifizierung, wie z. B. die Verwendung von Multifaktor-Authentifizierung (MFA). Es stehen jedoch Veränderungen an. Zunehmend haben die verschiedenen Open-Source-Softwarepaket-Ökosysteme begonnen die Anforderung, dass Großprojekte die Multifaktor-Authentifizierung verwenden.
In Bezug auf Tools, auf die man sich konzentrieren sollte, hat Slack aufgrund der jüngsten großen Sicherheitsverletzungen Aufmerksamkeit erregt, aber Entwickler sollten sich um ein grundlegendes Maß an Sicherheitskontrolle für alle ihre Tools bemühen, sagt Loveless.
„Es gibt Höhen und Tiefen, aber es ist das, was für die Angreifer funktioniert“, sagt er. „Nach meiner Erfahrung mit dem Tragen aller Arten von Hüten in verschiedenen Farben sucht man als Angreifer nach dem einfachsten Weg hinein. Wenn also ein anderer Weg einfacher wird, dann sagt man: ‚Das werde ich zuerst versuchen.'“
GitLab hat dieses Follow-the-Leader-Verhalten in seinen eigenen Bug-Bounty-Programmen beobachtet, bemerkt Loveless.
„Wir sehen, wenn Leute Fehler einsenden, wird plötzlich etwas – eine neue Technik – populär, und eine ganze Reihe von Einsendungen, die aus dieser Technik resultieren, werden eingehen“, sagt er. „Sie kommen definitiv in Wellen.“