מפתחים מותקפים יותר ויותר באמצעות הכלים שבהם הם משתמשים כדי לשתף פעולה ולהפקת קוד - כמו Docker, Kubernetes ו-Slack - שכן פושעי סייבר ושחקנים במדינות לאום שואפים לגשת לתוכנה החשובה שמפתחים עובדים עליה מדי יום.
לדוגמה, תוקף טען ב-18 בספטמבר כי השתמש באישורי Slack גנובים כדי לגשת ולהעתיק יותר מ-90 סרטונים המייצגים את פיתוח מוקדם של Grand Theft Auto 6, משחק פופולרי ממשחקי Rockstar של Take-Two Interactive. ושבוע קודם לכן, חברת האבטחה Trend Micro גילתה שתוקפים חיפשו באופן שיטתי ומנסים להתפשר על קונטיינרים לא מוגדרים של Docker.
אף תקיפה לא כללה פגיעויות בתוכנות, אבל פעולות שגויות של אבטחה או הגדרות שגויות אינן נדירות מצד מפתחים, שלעתים קרובות לא נוקטים בזהירות הנדרשת כדי לאבטח את שטח הפנים של ההתקפה שלהם, אומר מארק לאבלס, מהנדס אבטחה ב-GitLab, א. ספק פלטפורמת DevOps.
"הרבה מפתחים לא חושבים על עצמם כעל מטרות כי הם חושבים שהקוד המוגמר, התוצאה הסופית, הוא מה שתוקפים מחפשים", הוא אומר. "מפתחים לוקחים לעתים קרובות סיכוני אבטחה - כמו הגדרת סביבות בדיקה בבית או הורדת כל בקרות האבטחה - כדי שיוכלו לנסות דברים חדשים, מתוך כוונה להוסיף אבטחה מאוחר יותר."
הוא מוסיף, "למרבה הצער, ההרגלים האלה משתכפלים והופכים לתרבות."
התקפות נגד שרשרת אספקת התוכנה - והמפתחים שמייצרים ופורסים תוכנה - גדלו במהירות בשנתיים האחרונות. בשנת 2021, למשל, התקפות שמטרתן לפגוע בתוכנת מפתחים - ורכיבי הקוד הפתוח בשימוש נרחב על ידי מפתחים - גדלו ב-650%, על פי "2021 מצב "שרשרת אספקת התוכנהדוח, שפורסם על ידי חברת אבטחת התוכנה Sonatype.
צינורות מפתחים ושיתוף פעולה על הכוונת
באופן כללי, מומחי אבטחה טוענים כי הקצב המהיר של אינטגרציה מתמשכת וסביבות פריסה מתמשכת (CI/CD) המהווים את היסודות של גישות בסגנון DevOps מהווים סיכונים משמעותיים, מכיוון לעתים קרובות מתעלמים מהם בכל הנוגע ליישום אבטחה מוקשחת.
זה משפיע על מגוון כלים המשמשים מפתחים במאמציהם ליצור צינורות יעילים יותר. Slack, למשל, הוא כלי שיתוף הפעולה הסינכרוני הפופולרי ביותר שנמצא בשימוש בקרב מפתחים מקצועיים, כאשר Microsoft Teams ו-Zoom מגיעים במקום השני והשלישי, על פי סקר המפתחים StackOverflow לשנת 2022. בנוסף, יותר משני שלישים מהמפתחים משתמשים ב-Docker ורבע נוסף משתמש ב-Kubernetes במהלך הפיתוח, כך עולה מהסקר.
הפרות של כלים כמו Slack יכולות להיות "מגעילות", מכיוון שכלים כאלה מבצעים לעתים קרובות פונקציות קריטיות ובדרך כלל יש להם רק הגנות היקפיות, אמר מתיו הודג'סון, מנכ"ל ומייסד שותף של פלטפורמת ההודעות Element, בהצהרה שנשלחה ל-Dark Reading.
"Slack אינו מוצפן מקצה לקצה, אז זה כמו שלתוקף יש גישה לכל גוף הידע של החברה", אמר. "מצב אמיתי של שועל בלול."
מעבר להגדרות שגויות: צרות אבטחה אחרות למפתחים
תוקפי סייבר, יש לציין, לא בודקים רק תצורות שגויות או אבטחה רופפת כשמדובר בחיפוש אחר מפתחים. בשנת 2021, למשל, גישה של קבוצת איומים ל-Slack דרך רכישה בשוק האפור של אסימון התחברות הובילה להפרה של ענקית המשחקים Electronic Arts, המאפשרת לפושעי הסייבר להעתיק כמעט 800GB של קוד מקור ונתונים מהחברה. וחקירה משנת 2020 על תמונות Docker מצאה את זה יותר ממחצית מהגירסאות האחרונות יש להם נקודות תורפה קריטיות שמעמידות כל יישום או שירות המבוסס על הקונטיינרים בסיכון.
גם דיוג והנדסה חברתית הן מגפות במגזר. רק השבוע, מפתחים המשתמשים בשני שירותי DevOps - CircleCI ו- GitHub - היו ממוקד בהתקפות דיוג.
כמו כן, אין ראיות לכך שהתוקפים המכוונים ל-Rockstar Games ניצלו פגיעות ב-Slack - רק הטענות של התוקף לכאורה. במקום זאת, הנדסה חברתית הייתה ככל הנראה הדרך לעקוף אמצעי אבטחה, אמר דובר סלאק בהצהרה.
"אבטחה ברמה ארגונית על פני ניהול זהויות ומכשירים, הגנת נתונים וממשל מידע מובנית בכל היבט של האופן שבו משתמשים משתפים פעולה ומבצעים עבודה ב-Slack", אמר הדובר והוסיף: "הטקטיקות [ההנדסה החברתית] הללו הופכות ליותר ויותר. נפוץ ומתוחכם, ו-Slack ממליץ לכל הלקוחות לנהוג באמצעי אבטחה חזקים כדי להגן על הרשתות שלהם מפני התקפות הנדסה חברתית, כולל הדרכת מודעות לאבטחה".
שיפורי אבטחה איטיים, עוד עבודה לעשות
עם זאת, מפתחים קיבלו את האבטחה לאט לאט, מכיוון שאנשי אבטחת יישומים דורשים בקרות טובות יותר. מפתחים רבים להמשיך להדליף "סודות" - כולל סיסמאות ומפתחות API - בקוד שנדחף למאגרים. לפיכך, צוותי פיתוח צריכים להתמקד לא רק בהגנה על הקוד שלהם ובמניעת ייבוא של רכיבים לא מהימנים אלא גם להבטיח שהיכולות הקריטיות של הצינורות שלהם לא ייפגעו, אומר Loveless של GitLab.
"כל החלק של אפס אמון, שעוסק בדרך כלל בזיהוי אנשים ודברים כאלה, צריכים להיות גם אותם עקרונות שצריכים לחול על הקוד שלך", הוא אומר. "אז אל תסמוך על הקוד; זה חייב להיבדק. יש אנשים או תהליכים שמניחים את הגרוע ביותר - אני לא הולך לסמוך על זה אוטומטית - במיוחד כשהקוד עושה משהו קריטי, כמו לבנות פרויקט."
בנוסף, מפתחים רבים עדיין לא משתמשים באמצעים בסיסיים לחיזוק האימות, כמו שימוש באימות רב-גורמי (MFA). עם זאת, ישנם שינויים בפתח. יותר ויותר, מערכות האקולוגיות השונות של חבילות התוכנה בקוד פתוח החלו הדורשים שפרויקטים גדולים יאמצו אימות רב-גורמי.
מבחינת כלים להתמקד בהם, Slack זכה לתשומת לב בגלל הפרצות הגדולות האחרונות, אבל מפתחים צריכים לשאוף לרמת בקרת אבטחה בסיסית בכל הכלים שלהם, אומר Loveless.
"יש גאות ושפל, אבל זה מה שעובד עבור התוקפים", הוא אומר. "אם מדברים מהניסיון שלי לחבוש כל מיני כובעים בצבעים שונים, בתור תוקף, אתה מחפש את הדרך הקלה ביותר פנימה, אז אם דרך אחרת תהיה קלה יותר, אז אתה אומר, 'אני אנסה את זה קודם'".
GitLab ראתה את ההתנהגות הזו בעקבות המנהיג בתוכניות הבאות שלה, מציין Loveless.
"אנחנו רואים כשאנשים שולחים באגים, פתאום משהו - טכניקה חדשה - יהפוך לפופולרי, ומספר שלם של הגשות הנובעות מהטכניקה הזו יגיעו", הוא אומר. "הם בהחלט באים בגלים."