Programiści są coraz częściej atakowani za pomocą narzędzi, których używają do współpracy i tworzenia kodu — takich jak Docker, Kubernetes i Slack — ponieważ cyberprzestępcy i aktorzy państwowi chcą uzyskać dostęp do cennego oprogramowania, nad którym programiści pracują na co dzień.
Na przykład atakujący twierdził 18 września, że wykorzystał skradzione dane uwierzytelniające Slack, aby uzyskać dostęp i skopiować ponad 90 filmów przedstawiających wczesny rozwój Grand Theft Auto 6, popularna gra firmy Rockstar Games firmy Take-Two Interactive. Tydzień wcześniej firma Trend Micro zajmująca się bezpieczeństwem odkryła, że napastnicy systematycznie wyszukują i próbują złamać błędnie skonfigurowane kontenery Dockera.
Żaden atak nie zawierał luk w zabezpieczeniach programów, ale błędy w zabezpieczeniach lub błędna konfiguracja nie są rzadkością ze strony programistów, którzy często nie dokładają starań, aby zabezpieczyć obszar ataku, mówi Mark Loveless, inżynier ds. bezpieczeństwa w GitLab. Dostawca platformy DevOps.
„Wielu programistów nie myśli o sobie jako o celach, ponieważ myślą, że gotowy kod, wynik końcowy, jest tym, czego atakujący chcą” — mówi. „Deweloperzy często podejmują ryzyko związane z bezpieczeństwem — takie jak konfigurowanie środowisk testowych w domu lub usuwanie wszystkich kontroli bezpieczeństwa — aby mogli wypróbować nowe rzeczy z zamiarem późniejszego dodania zabezpieczeń”.
Dodaje: „Niestety te nawyki ulegają powielaniu i stają się kulturą”.
Ataki na łańcuch dostaw oprogramowania — oraz na programistów, którzy produkują i wdrażają oprogramowanie — szybko się nasiliły w ciągu ostatnich dwóch lat. Na przykład w 2021 r. ataki, których celem było złamanie oprogramowania dla programistów — i szeroko wykorzystywanych przez programistów komponentów open source — wzrosły o 650%, według „2021 Stan „łańcucha dostaw oprogramowania”” raport, opublikowany przez firmę Sonatype zajmującą się bezpieczeństwem oprogramowania.
Plany deweloperskie i współpraca w zasięgu wzroku
Ogólnie rzecz biorąc, eksperci ds. bezpieczeństwa utrzymują, że szybkie tempo ciągłej integracji i środowisk ciągłego wdrażania (CI/CD), które stanowią podstawę podejścia w stylu DevOps, stwarza znaczne ryzyko, ponieważ często są pomijane jeśli chodzi o wdrażanie wzmocnionych zabezpieczeń.
Wpływa to na różne narzędzia używane przez programistów w ich wysiłkach na rzecz tworzenia wydajniejszych potoków. Na przykład Slack jest najpopularniejszym narzędziem do współpracy synchronicznej używanym przez profesjonalnych programistów, a Microsoft Teams i Zoom zajmują drugie i trzecie miejsce. ankieta dla programistów StackOverflow 2022. Ponadto ponad dwie trzecie programistów korzysta z platformy Docker, a jedna czwarta korzysta z Kubernetes podczas opracowywania, wynika z ankiety.
Naruszenia narzędzi takich jak Slack mogą być „nieprzyjemne”, ponieważ takie narzędzia często pełnią krytyczne funkcje i zwykle mają tylko ochronę obwodową, powiedział Matthew Hodgson, dyrektor generalny i współzałożyciel platformy komunikacyjnej Element, w oświadczeniu wysłanym do Dark Reading.
„Slack nie jest szyfrowany od końca do końca, więc jest to tak, jakby atakujący miał dostęp do całej wiedzy firmy” – powiedział. „Prawdziwa sytuacja z lisem w kurniku”.
Poza błędami konfiguracyjnymi: inne problemy z bezpieczeństwem dla programistów
Należy zauważyć, że cyberatakujący nie tylko sprawdzają błędy w konfiguracji lub luźne zabezpieczenia, jeśli chodzi o ściganie programistów. Na przykład w 2021 r. dostęp grupy zagrożeń do Slacka przez zakup tokena logowania w szarej strefie doprowadziło do włamania do giganta gier Electronic Arts, umożliwiając cyberprzestępcom skopiowanie prawie 800 GB kodu źródłowego i danych firmy. Dochodzenie z 2020 r. dotyczące obrazów Dockera wykazało, że ponad połowa najnowszych buildów mieć krytyczne luki w zabezpieczeniach, które zagrażają dowolnej aplikacji lub usłudze opartej na kontenerach.
Phishing i socjotechnika to także plagi w tym sektorze. Tylko w tym tygodniu programiści korzystający z dwóch usług DevOps — CircleCI i GitHub — byli ukierunkowane na ataki phishingowe.
I nie ma dowodów na to, że osoby atakujące Rockstar Games wykorzystały lukę w Slacku — tylko twierdzenia rzekomego napastnika. Zamiast tego socjotechnika była prawdopodobnie sposobem na ominięcie środków bezpieczeństwa, powiedział rzecznik Slack w oświadczeniu.
„Bezpieczeństwo klasy korporacyjnej w zakresie zarządzania tożsamością i urządzeniami, ochrony danych i zarządzania informacjami jest wbudowane w każdy aspekt współpracy użytkowników i wykonywania pracy w Slack”, powiedział rzecznik, dodając: „Te taktyki [inżynierii społecznej] stają się coraz bardziej powszechne i wyrafinowane, a Slack zaleca wszystkim klientom stosowanie silnych środków bezpieczeństwa, aby chronić swoje sieci przed atakami socjotechnicznymi, w tym szkolenie w zakresie świadomości bezpieczeństwa”.
Powolne ulepszenia zabezpieczeń, więcej pracy do wykonania
Deweloperzy dopiero powoli zaakceptowali bezpieczeństwo, ponieważ specjaliści ds. Bezpieczeństwa aplikacji domagają się lepszych kontroli. Wielu programistów nadal przeciekają „tajemnice” — w tym hasła i klucze API — w kodzie przekazanym do repozytoriów. Dlatego zespoły programistyczne powinny skupić się nie tylko na ochronie swojego kodu i zapobieganiu importowaniu niezaufanych komponentów, ale także na zapewnieniu, że krytyczne możliwości ich potoków nie zostaną naruszone, mówi Loveless z GitLab.
„Cała część dotycząca zerowego zaufania, która zwykle dotyczy identyfikowania ludzi i tego typu rzeczy, powinny również obowiązywać te same zasady, które powinny mieć zastosowanie do twojego kodu” – mówi. „Więc nie ufaj kodowi; to musi być sprawdzone. Posiadanie ludzi lub procesów, które zakładają najgorsze — nie zamierzam ufać temu automatycznie — szczególnie, gdy kod robi coś krytycznego, na przykład budowanie projektu”.
Ponadto wielu programistów nadal nie używa podstawowych środków wzmacniających uwierzytelnianie, takich jak uwierzytelnianie wieloskładnikowe (MFA). Nadchodzą jednak zmiany. Coraz częściej zaczęły się pojawiać różne ekosystemy pakietów oprogramowania typu open source wymaganie, aby duże projekty przyjmowały uwierzytelnianie wieloskładnikowe.
Jeśli chodzi o narzędzia, na których należy się skoncentrować, Slack zwrócił na siebie uwagę z powodu ostatnich poważnych naruszeń, ale programiści powinni dążyć do podstawowego poziomu kontroli bezpieczeństwa wszystkich swoich narzędzi, mówi Loveless.
„Są przypływy i odpływy, ale to wszystko działa dla atakujących”, mówi. „Mówiąc z mojego doświadczenia w noszeniu wszelkiego rodzaju kapeluszy w różnych kolorach, jako napastnik szukasz najłatwiejszego sposobu, więc jeśli inny sposób stanie się łatwiejszy, wtedy mówisz:„ Najpierw spróbuję ”.
GitLab widział to podążanie za liderem we własnych programach bug bounty, zauważa Loveless.
„Widzimy, gdy ludzie wysyłają błędy, nagle coś – nowa technika – stanie się popularna i pojawi się cała masa zgłoszeń wynikających z tej techniki” – mówi. „Zdecydowanie przychodzą falami”.