Ontwikkelaars worden steeds vaker aangevallen door de tools die ze gebruiken om samen te werken en code te produceren, zoals Docker, Kubernetes en Slack, omdat cybercriminelen en nationale actoren toegang willen krijgen tot de waardevolle software waar ontwikkelaars elke dag aan werken.
Zo beweerde een aanvaller op 18 september dat hij gestolen Slack-inloggegevens had gebruikt om toegang te krijgen tot en meer dan 90 video's te kopiëren die de vroege ontwikkeling van Grand Theft Auto 6, een populair spel van Rockstar Games van Take-Two Interactive. En een week eerder ontdekte beveiligingsbedrijf Trend Micro dat aanvallers systematisch naar verkeerd geconfigureerde Docker-containers zochten en deze probeerden te compromitteren.
Bij geen van beide aanvallen waren kwetsbaarheden in de softwareprogramma's betrokken, maar beveiligingsfouten of verkeerde configuraties zijn niet ongebruikelijk van de kant van ontwikkelaars, die vaak niet de nodige zorg besteden aan het beveiligen van hun aanvalsoppervlak, zegt Mark Loveless, een stafbeveiligingsingenieur bij GitLab, een DevOps-platformprovider.
"Veel ontwikkelaars zien zichzelf niet als doelwit omdat ze denken dat de voltooide code, het eindresultaat, is waar aanvallers naar op zoek zijn", zegt hij. "Ontwikkelaars nemen vaak beveiligingsrisico's - zoals het opzetten van testomgevingen thuis of het uitschakelen van alle beveiligingscontroles - zodat ze nieuwe dingen kunnen uitproberen, met de bedoeling om later beveiliging toe te voegen."
Hij voegt eraan toe: "Helaas worden die gewoonten gerepliceerd en worden ze cultuur."
Aanvallen op de softwaretoeleveringsketen - en de ontwikkelaars die software produceren en implementeren - zijn de afgelopen twee jaar snel gegroeid. In 2021 groeiden bijvoorbeeld aanvallen die gericht waren op het compromitteren van ontwikkelaarssoftware - en de open source-componenten die veel door ontwikkelaars worden gebruikt - met 650%, volgens de "2021 Staat van de "Software Supply Chain"”-rapport, gepubliceerd door softwarebeveiligingsbedrijf Sonatype.
Ontwikkelaarspijplijnen en samenwerking in het vizier
Over het algemeen beweren beveiligingsexperts dat het hoge tempo van continue integratie en continue implementatieomgevingen (CI/CD) die de basis vormen van DevOps-achtige benaderingen aanzienlijke risico's met zich meebrengen, omdat ze worden vaak over het hoofd gezien als het gaat om het implementeren van geharde beveiliging.
Dit is van invloed op een verscheidenheid aan tools die door ontwikkelaars worden gebruikt bij hun inspanningen om efficiëntere pijplijnen te creëren. Slack is bijvoorbeeld de meest populaire synchrone samenwerkingstool die wordt gebruikt door professionele ontwikkelaars, waarbij Microsoft Teams en Zoom op een goede tweede en derde plaats komen, volgens de 2022 StackOverflow Developer Survey. Bovendien gebruikt meer dan twee derde van de ontwikkelaars Docker en een ander kwart gebruikt Kubernetes tijdens de ontwikkeling, zo blijkt uit het onderzoek.
Inbreuken op tools zoals Slack kunnen "vervelend" zijn, omdat dergelijke tools vaak kritieke functies vervullen en meestal alleen perimeterverdediging hebben, zei Matthew Hodgson, CEO en medeoprichter van het berichtenplatform Element, in een verklaring aan Dark Reading.
"Slack is niet end-to-end versleuteld, dus het is alsof de aanvaller toegang heeft tot de volledige kennis van het bedrijf", zei hij. “Een echte vos-in-het-kippenhok-situatie.”
Voorbij misconfigs: andere beveiligingsproblemen voor ontwikkelaars
Opgemerkt moet worden dat cyberaanvallers niet alleen zoeken naar verkeerde configuraties of lakse beveiliging als het gaat om achter ontwikkelaars aan te gaan. In 2021 heeft bijvoorbeeld de toegang van een dreigingsgroep tot Slack via de aankoop van een inlogtoken op de grijze markt leidde tot een inbreuk op gamegigant Electronic Arts, waardoor de cybercriminelen bijna 800 GB aan broncode en gegevens van het bedrijf konden kopiëren. En uit een onderzoek uit 2020 naar Docker-afbeeldingen bleek dat: meer dan de helft van de nieuwste builds hebben kritieke kwetsbaarheden die elke toepassing of service op basis van de containers in gevaar brengen.
Ook phishing en social engineering zijn plagen in de sector. Deze week waren ontwikkelaars die twee DevOps-services gebruikten - CircleCI en GitHub - gericht met phishing-aanvallen.
En er is geen bewijs dat de aanvallers die zich richten op Rockstar Games een kwetsbaarheid in Slack hebben misbruikt - alleen de beweringen van de vermeende aanvaller. In plaats daarvan was social engineering waarschijnlijk een manier om beveiligingsmaatregelen te omzeilen, zei een Slack-woordvoerder in een verklaring.
"Beveiliging op bedrijfsniveau op het gebied van identiteits- en apparaatbeheer, gegevensbescherming en informatiebeheer is ingebouwd in elk aspect van hoe gebruikers samenwerken en werk gedaan krijgen in Slack", zei de woordvoerder en voegde eraan toe: "Deze [social engineering]-tactieken worden steeds algemeen en geavanceerd, en Slack raadt alle klanten aan om krachtige beveiligingsmaatregelen te nemen om hun netwerken te beschermen tegen social engineering-aanvallen, inclusief training voor beveiligingsbewustzijn.”
Trage beveiligingsverbeteringen, meer werk te doen
Ontwikkelaars hebben beveiliging echter maar langzaam geaccepteerd, omdat professionals op het gebied van applicatiebeveiliging om betere controles vragen. Veel ontwikkelaars blijf "geheimen" lekken - inclusief wachtwoorden en API-sleutels - in code die naar repositories wordt gepusht. Daarom moeten ontwikkelteams zich niet alleen concentreren op het beschermen van hun code en het voorkomen van het importeren van niet-vertrouwde componenten, maar ook op ervoor zorgen dat de kritieke mogelijkheden van hun pijplijnen niet worden aangetast, zegt Loveless van GitLab.
"Het hele zero-trust-gedeelte, dat meestal gaat over het identificeren van mensen en dat soort dingen, er zouden ook dezelfde principes moeten zijn die van toepassing zijn op uw code", zegt hij. “Dus vertrouw de code niet; het moet worden gecontroleerd. Mensen of processen hebben die het ergste veronderstellen - ik ga het niet automatisch vertrouwen - vooral wanneer de code iets cruciaals doet, zoals het bouwen van een project."
Daarnaast gebruiken veel ontwikkelaars nog steeds geen basismaatregelen om authenticatie te versterken, zoals het gebruik van multifactor authenticatie (MFA). Er zijn echter veranderingen op komst. In toenemende mate zijn de verschillende ecosystemen van open source softwarepakketten allemaal begonnen vereisen dat grote projecten multifactor-authenticatie toepassen.
Wat betreft tools om op te focussen, heeft Slack de aandacht getrokken vanwege de laatste grote inbreuken, maar ontwikkelaars moeten streven naar een basisniveau van beveiligingscontrole voor al hun tools, zegt Loveless.
"Er zijn eb en vloed, maar het is wat werkt voor de aanvallers", zegt hij. "Sprekend vanuit mijn ervaring met het dragen van allerlei soorten hoeden van verschillende kleuren, zoek je als aanvaller de gemakkelijkste manier om binnen te komen, dus als een andere manier gemakkelijker wordt, dan zeg je: 'Dat zal ik eerst proberen.'"
GitLab heeft dit volg-de-leider-gedrag gezien in zijn eigen bug bounty-programma's, merkt Loveless op.
"We zien dat wanneer mensen bugs insturen, plotseling iets - een nieuwe techniek - populair zal worden, en een hele reeks inzendingen die het resultaat zijn van die techniek zal binnenkomen", zegt hij. "Ze komen zeker in golven."