Gli sviluppatori sono sempre più attaccati dagli strumenti che utilizzano per collaborare e produrre codice, come Docker, Kubernetes e Slack, poiché i criminali informatici e gli attori degli stati nazionali mirano ad accedere al prezioso software su cui gli sviluppatori lavorano ogni giorno.
Ad esempio, il 18 settembre un aggressore ha affermato di aver utilizzato le credenziali Slack rubate per accedere e copiare più di 90 video che rappresentano il sviluppo iniziale di Grand Theft Auto 6, un popolare gioco di Rockstar Games di Take-Two Interactive. E una settimana prima, la società di sicurezza Trend Micro ha scoperto che gli aggressori cercavano sistematicamente e tentavano di compromettere container Docker configurati in modo errato.
Nessuno dei due attacchi ha comportato vulnerabilità nei programmi software, ma i passi falsi o la configurazione errata della sicurezza non sono rari da parte degli sviluppatori, che spesso non si prendono la cura necessaria per proteggere la propria superficie di attacco, afferma Mark Loveless, un ingegnere della sicurezza del personale di GitLab, un Fornitore della piattaforma DevOps.
"Molti sviluppatori non si considerano bersagli perché pensano che il codice finito, il risultato finale, sia ciò che gli aggressori stanno cercando", afferma. "Gli sviluppatori spesso corrono rischi per la sicurezza, come la creazione di ambienti di test a casa o l'eliminazione di tutti i controlli di sicurezza, in modo da poter provare nuove cose, con l'intento di aggiungere sicurezza in un secondo momento".
Aggiunge: "Purtroppo, quelle abitudini si replicano e diventano cultura".
Gli attacchi contro la catena di fornitura del software e gli sviluppatori che producono e distribuiscono software sono cresciuti rapidamente negli ultimi due anni. Nel 2021, ad esempio, gli attacchi che miravano a compromettere il software degli sviluppatori - e i componenti open source ampiamente utilizzati dagli sviluppatori - sono cresciuti del 650%, secondo il "2021 Stato della “Filiera del software”, pubblicato dalla società di sicurezza del software Sonatype.
Pipeline degli sviluppatori e collaborazione nel mirino
Nel complesso, gli esperti di sicurezza sostengono che il ritmo veloce dell'integrazione continua e degli ambienti di distribuzione continua (CI/CD) che costituiscono le basi degli approcci in stile DevOps comportano rischi significativi, perché sono spesso trascurati quando si tratta di implementare una sicurezza rafforzata.
Ciò influisce su una varietà di strumenti utilizzati dagli sviluppatori nei loro sforzi per creare pipeline più efficienti. Slack, ad esempio, è lo strumento di collaborazione sincrona più popolare in uso tra gli sviluppatori professionisti, con Microsoft Teams e Zoom al secondo e terzo posto, secondo il sondaggio per sviluppatori StackOverflow 2022. Inoltre, secondo il sondaggio, più di due terzi degli sviluppatori utilizza Docker e un altro quarto utilizza Kubernetes durante lo sviluppo.
Le violazioni di strumenti come Slack possono essere "cattive", perché tali strumenti spesso svolgono funzioni critiche e di solito hanno solo difese perimetrali, ha affermato Matthew Hodgson, CEO e cofondatore della piattaforma di messaggistica Element, in una dichiarazione inviata a Dark Reading.
"Slack non è crittografato end-to-end, quindi è come se l'attaccante avesse accesso all'intero corpus di conoscenze dell'azienda", ha affermato. "Una vera situazione da volpe nel pollaio."
Oltre le configurazioni errate: altri problemi di sicurezza per gli sviluppatori
Gli aggressori informatici, va notato, non si limitano a sondare le configurazioni errate o la sicurezza insufficiente quando si tratta di inseguire gli sviluppatori. Nel 2021, ad esempio, l'accesso di un gruppo di minacce a Slack tramite il acquisto da parte del mercato grigio di un token di accesso ha portato a una violazione del gigante dei giochi Electronic Arts, consentendo ai criminali informatici di copiare quasi 800 GB di codice sorgente e dati dall'azienda. E un'indagine del 2020 sulle immagini Docker lo ha scoperto più della metà delle ultime build presentano vulnerabilità critiche che mettono a rischio qualsiasi applicazione o servizio basato sui container.
Anche il phishing e l'ingegneria sociale sono piaghe nel settore. Proprio questa settimana, gli sviluppatori che utilizzavano due servizi DevOps, CircleCI e GitHub, lo erano preso di mira con attacchi di phishing.
E non ci sono prove che gli aggressori che prendono di mira Rockstar Games abbiano sfruttato una vulnerabilità in Slack, solo le affermazioni del presunto aggressore. Invece, l'ingegneria sociale era probabilmente un modo per aggirare le misure di sicurezza, ha affermato un portavoce di Slack in una dichiarazione.
"La sicurezza di livello aziendale attraverso la gestione delle identità e dei dispositivi, la protezione dei dati e la governance delle informazioni è integrata in ogni aspetto del modo in cui gli utenti collaborano e svolgono il lavoro in Slack", ha affermato il portavoce, aggiungendo: "Queste tattiche [di ingegneria sociale] stanno diventando sempre più comuni e sofisticati, e Slack consiglia a tutti i clienti di mettere in pratica misure di sicurezza efficaci per proteggere le proprie reti dagli attacchi di ingegneria sociale, inclusa la formazione sulla consapevolezza della sicurezza".
Miglioramenti lenti della sicurezza, più lavoro da fare
Tuttavia, gli sviluppatori hanno accettato solo lentamente la sicurezza poiché i professionisti della sicurezza delle applicazioni richiedono controlli migliori. Molti sviluppatori continuano a far trapelare "segreti" — incluse password e chiavi API — nel codice inviato ai repository. Pertanto, i team di sviluppo dovrebbero concentrarsi non solo sulla protezione del codice e sulla prevenzione dell'importazione di componenti non affidabili, ma anche sulla garanzia che le capacità critiche delle loro pipeline non siano compromesse, afferma Loveless di GitLab.
"L'intera parte zero-trust, che in genere riguarda l'identificazione di persone e cose del genere, dovrebbero anche esserci gli stessi principi che dovrebbero essere applicati al tuo codice", afferma. “Quindi non fidarti del codice; è da controllare. Avere persone o processi in atto che presuppone il peggio - non mi fiderò automaticamente - in particolare quando il codice sta facendo qualcosa di critico, come costruire un progetto".
Inoltre, molti sviluppatori non utilizzano ancora le misure di base per rafforzare l'autenticazione, come l'utilizzo dell'autenticazione a più fattori (MFA). Ci sono cambiamenti in corso, tuttavia. Sempre più spesso, i vari ecosistemi di pacchetti software open source sono stati tutti avviati richiedendo che i grandi progetti adottino l'autenticazione a più fattori.
In termini di strumenti su cui concentrarsi, Slack ha attirato l'attenzione a causa delle ultime gravi violazioni, ma gli sviluppatori dovrebbero cercare un livello di base di controllo della sicurezza su tutti i loro strumenti, afferma Loveless.
"Ci sono alti e bassi, ma è tutto ciò che funziona per gli attaccanti", dice. "Parlando della mia esperienza nell'indossare tutti i tipi di cappelli di diversi colori, come attaccante, cerchi il modo più semplice per entrare, quindi se un altro modo diventa più facile, allora dici: 'Prima lo proverò.'"
GitLab ha visto questo comportamento da seguire il leader nei propri programmi di ricompense di bug, osserva Loveless.
"Vediamo quando le persone inviano bug, all'improvviso qualcosa - una nuova tecnica - diventerà popolare e un'intera serie di invii risultanti da quella tecnica arriverà", afferma. "Arrivano sicuramente a ondate."