Arendajaid rünnatakse üha enam koostööks ja koodi tootmiseks kasutatavate tööriistade (nt Docker, Kubernetes ja Slack) kaudu, kuna küberkurjategijate ja rahvusriikide osalejate eesmärk on pääseda juurde väärtuslikule tarkvarale, mille kallal arendajad iga päev töötavad.
Näiteks väitis ründaja 18. septembril, et kasutas varastatud Slacki mandaate, et pääseda juurde ja kopeerida rohkem kui 90 videot, mis esindavad Grand Theft Auto 6 varajane arendus, populaarne mäng Take-Two Interactive's Rockstar Games'ilt. Ja nädal varem avastas turvafirma Trend Micro, et ründajad otsisid süstemaatiliselt valesti konfigureeritud Dockeri konteinereid ja üritasid neid kahjustada.
Kumbki rünnak ei hõlmanud tarkvaraprogrammide haavatavusi, kuid turbevead või vale konfiguratsioon ei ole haruldased arendajate poolt, kes sageli ei suuda oma ründepinna kaitsmiseks vajalikke hoolt kanda, ütleb GitLabi personali turvainsener Mark Loveless. DevOpsi platvormi pakkuja.
"Paljud arendajad ei pea end sihtmärgiks, sest nad arvavad, et ründajad otsivad valmis koodi, lõpptulemust," ütleb ta. "Arendajad võtavad sageli turvariske – näiteks loovad kodus testkeskkondi või eemaldavad kõik turvakontrollid –, et saaksid proovida uusi asju, et hiljem turvalisust lisada."
Ta lisab: "Kahjuks korduvad need harjumused ja muutuvad kultuuriks."
Rünnakud tarkvara tarneahela ja tarkvara tootvate ja juurutavate arendajate vastu on viimase kahe aasta jooksul kiiresti kasvanud. Näiteks 2021. aastal kasvas rünnakute arv, mille eesmärk oli kahjustada arendajate tarkvara – ja arendajate poolt laialdaselt kasutatavaid avatud lähtekoodiga komponente –, 650%.2021. aasta „Tarkvara tarneahela olek” aruanne, mille avaldas tarkvara turvafirma Sonatype.
Arendaja torujuhtmed ja koostöö vaatamisväärsustes
Üldiselt väidavad turbeeksperdid, et pideva integreerimise ja pideva juurutamise keskkondade (CI/CD), mis moodustavad DevOpsi-tüüpi lähenemisviiside aluse, kiire tempo kujutab endast olulisi riske, kuna need jäävad sageli tähelepanuta kui tegemist on tugevdatud turvalisuse rakendamisega.
See mõjutab mitmesuguseid tööriistu, mida arendajad kasutavad tõhusamate torujuhtmete loomisel. Näiteks Slack on professionaalsete arendajate seas populaarseimad sünkroonsed koostöötööriistad, Microsoft Teams ja Zoom on aga tihedalt teisel ja kolmandal kohal. 2022. aasta StackOverflow arendajate küsitlus. Lisaks kasutab enam kui kaks kolmandikku arendajatest arenduse ajal Dockerit ja teine neljandik Kubernetest, selgus uuringust.
Selliste tööriistade nagu Slacki rikkumised võivad olla "vastikud", kuna sellised tööriistad täidavad sageli kriitilisi funktsioone ja neil on tavaliselt ainult perimeetrikaitse, ütles Messaging- Platform Element tegevjuht ja kaasasutaja Matthew Hodgson Dark Readingile saadetud avalduses.
"Slack ei ole täielikult krüptitud, nii et ründajal on juurdepääs kogu ettevõtte teadmistele," ütles ta. "Tõeline rebane kanamajas olukord."
Lisaks valekonfiguratsioonidele: muud turvaprobleemid arendajatele
Tuleb märkida, et küberründajad ei otsi arendajate jälitamisel ainult valesid konfiguratsioone ega lõtvat turvalisust. Näiteks 2021. aastal ohugrupi juurdepääs Slackile läbi sisselogimismärgi ostmine hallist turust viis mänguhiiglase Electronic Artsi rikkumiseni, võimaldades küberkurjategijatel kopeerida ettevõttelt ligi 800 GB lähtekoodi ja andmeid. Ja 2020. aasta Dockeri piltide uurimine leidis selle rohkem kui pooled viimastest ehitustest sisaldavad kriitilisi turvaauke, mis seavad mis tahes konteineritel põhineva rakenduse või teenuse ohtu.
Andmepüük ja sotsiaalne manipuleerimine on ka sektori nuhtlused. Just sel nädalal olid arendajad, kes kasutasid kahte DevOpsi teenust - CircleCI ja GitHub suunatud andmepüügirünnakutele.
Ja puuduvad tõendid selle kohta, et Rockstar Gamesi sihikule võtnud ründajad kasutasid Slacki haavatavust – ainult väidetava ründaja väited. Selle asemel oli sotsiaalne manipuleerimine tõenäoliselt viis turvameetmetest mööda hiilida, ütles Slacki pressiesindaja avalduses.
"Ettevõtlustasemel turvalisus identiteedi- ja seadmehalduses, andmekaitses ja teabehalduses on sisse ehitatud igasse aspekti, kuidas kasutajad Slackis koostööd teevad ja tööd teevad," ütles pressiesindaja ja lisas: "Need [sotsiaaltehnoloogia] taktikad muutuvad üha enam. levinud ja keerukas ning Slack soovitab kõigil klientidel rakendada tugevaid turvameetmeid, et kaitsta oma võrke sotsiaalsete rünnakute eest, sealhulgas turvateadlikkuse koolitust.
Aeglased turvatäiustused, rohkem tööd
Arendajad on turvalisust aktsepteerinud vaid aeglaselt, kuna rakenduste turbespetsialistid nõuavad siiski paremat juhtimist. Paljud arendajad jätkake "saladuste" lekitamist – sealhulgas paroolid ja API võtmed – hoidlatesse saadetud koodis. Seega peaksid arendusmeeskonnad keskenduma mitte ainult oma koodi kaitsmisele ja ebausaldusväärsete komponentide importimise takistamisele, vaid ka tagama, et nende torujuhtmete kriitilisi võimeid ei kahjustataks, ütleb GitLabi Loveless.
"Kogu null-usaldusosa, mis tavaliselt seisneb inimeste ja selliste asjade tuvastamises, peaksid kehtima samad põhimõtted, mis peaksid kehtima teie koodi puhul," ütleb ta. "Seega ärge usaldage koodi; seda tuleb kontrollida. Inimeste või protsesside olemasolu, mis eeldavad halvimat – ma ei hakka seda automaatselt usaldama –, eriti kui kood teeb midagi kriitilist, näiteks koostab projekti.
Lisaks ei kasuta paljud arendajad endiselt autentimise tugevdamiseks põhimeetmeid, näiteks mitmefaktorilise autentimise (MFA) kasutamist. Muutused on siiski käimas. Üha enam on alguse saanud erinevad avatud lähtekoodiga tarkvarapakettide ökosüsteemid nõuab, et suurprojektid võtaksid kasutusele mitmefaktorilise autentimise.
Tööriistade osas, millele keskenduda, on Slack pälvinud tähelepanu viimaste suurte rikkumiste tõttu, kuid arendajad peaksid püüdlema kõigi oma tööriistade turvakontrolli algtaseme poole, ütleb Loveless.
"Seal on mõõnasid ja voogusid, kuid see on kõik, mis ründajatele sobib," ütleb ta. "Kui räägin oma kogemusest igasuguste erinevat värvi mütside kandmisest, siis ründajana otsite kõige lihtsamat sissepääsu, nii et kui mõni muu viis muutub lihtsamaks, siis ütlete: "Ma proovin seda kõigepealt.""
Loveless märgib, et GitLab on näinud seda liidri järgimise käitumist omaenda veaprogrammides.
"Me näeme, kui inimesed saadavad vigu, äkki muutub populaarseks midagi - uus tehnika - ja sellest tehnikast tuleneb terve hulk esildisi," ütleb ta. "Nad tulevad kindlasti lainetena."