Siber suçlular ve ulus devlet aktörleri, geliştiricilerin her gün üzerinde çalıştığı değerli yazılımlara erişmeyi amaçladığından, geliştiriciler, işbirliği yapmak ve kod üretmek için kullandıkları Docker, Kubernetes ve Slack gibi araçlar aracılığıyla giderek daha fazla saldırıya uğramaktadır.
Örneğin, 18 Eylül’de bir saldırgan, Take-Two Interactive’in Rockstar Games’in popüler bir oyunu olan Grand Theft Auto 6’nın erken gelişimini temsil eden 90’dan fazla videoya erişmek ve bunları kopyalamak için çalınan Slack kimlik bilgilerini kullandığını iddia etti. Ve bir hafta önce, güvenlik şirketi Trend Micro, saldırganların sistematik olarak yanlış yapılandırılmış Docker kapsayıcılarını aradığını ve tehlikeye atmaya çalıştığını keşfetti.
GitLab’da bir personel güvenlik mühendisi olan Mark Loveless, saldırı yüzey alanlarının güvenliğini sağlamak için genellikle gerekli özeni gösteremeyen geliştiriciler açısından, saldırıların hiçbirinin yazılım programlarındaki güvenlik açıklarını içermediğini, ancak güvenlik yanlış adımları veya yanlış yapılandırmaların nadir olmadığını söylüyor. DevOps platformu sağlayıcısı.
“Birçok geliştirici kendilerini hedef olarak görmüyorlar çünkü bitmiş kodun, nihai sonucun, saldırganların peşinden gittiği şey olduğunu düşünüyorlar” diyor. “Geliştiriciler genellikle evde test ortamları kurmak veya tüm güvenlik kontrollerini kaldırmak gibi güvenlik riskleri alırlar, böylece daha sonra güvenlik eklemek amacıyla yeni şeyler deneyebilirler.”
“Maalesef bu alışkanlıklar çoğalır ve kültür haline gelir” diye ekliyor.
Yazılım tedarik zincirine ve yazılım üreten ve dağıtan geliştiricilere yönelik saldırılar son iki yılda hızla arttı. Örneğin, yazılım güvenlik firması tarafından yayınlanan “Yazılım Tedarik Zincirinin 2021 Durumu” raporuna göre, 2021’de geliştiricilerin yazılımlarını ve geliştiriciler tarafından yaygın olarak kullanılan açık kaynak bileşenlerini tehlikeye atmayı amaçlayan saldırılar %650 oranında arttı. Sonat türü.
Genel olarak, güvenlik uzmanları, DevOps tarzı yaklaşımların temellerini oluşturan hızlı sürekli entegrasyon ve sürekli dağıtım ortamlarının (CI/CD) önemli riskler oluşturduğunu, çünkü bunlar sıkılaştırılmış güvenlik uygulanması söz konusu olduğunda genellikle gözden kaçırıldıklarını iddia ediyor.
Bu, geliştiriciler tarafından daha verimli işlem hatları oluşturma çabalarında kullanılan çeşitli araçları etkiler. Örneğin, Slack, profesyonel geliştiriciler arasında kullanılan en popüler eşzamanlı işbirliği araçlarıdır ve Microsoft Teams ve Zoom, ikinci ve üçüncü sırada yer almaktadır. 2022 StackOverflow Geliştirici Anketi. Buna ek olarak, ankete göre geliştiricilerin üçte ikisinden fazlası Docker kullanıyor ve bir diğer çeyreği geliştirme sırasında Kubernetes kullanıyor.
Mesajlaşma platformu Element’in CEO’su ve kurucu ortağı Matthew Hodgson, Dark Reading’e gönderilen bir açıklamada, Slack gibi araçların ihlalleri “kötü” olabilir, çünkü bu tür araçlar genellikle kritik işlevleri yerine getirir ve genellikle yalnızca çevre savunmalarına sahiptir.
“Slack uçtan uca şifreli değil, bu yüzden saldırganın şirketin tüm bilgi birikimine erişimi var gibi” dedi. “Gerçek bir kümesteki tilki durumu.”
Siber saldırganların, geliştiricilerin peşinden gitmek söz konusu olduğunda yalnızca yanlış yapılandırmaları veya gevşek güvenliği araştırmadığı belirtilmelidir. Örneğin, 2021’de bir tehdit grubunun gri pazarda bir oturum açma belirteci satın alarak Slack’e erişimi, oyun devi Electronic Arts’ın ihlaline yol açarak siber suçluların firmadan yaklaşık 800 GB kaynak kodu ve veri kopyalamasına izin verdi. Docker görüntülerine yönelik 2020 yılında yapılan bir araştırma, en son derlemelerin yarısından fazlasının, kapsayıcılara dayalı herhangi bir uygulamayı veya hizmeti riske atan kritik güvenlik açıklarına sahip olduğunu buldu.
Kimlik avı ve sosyal mühendislik de sektörde beladır. Daha bu hafta, iki DevOps hizmetini (CircleCI ve GitHub) kullanan geliştiriciler, kimlik avı saldırılarının hedefi oldu.
Ve Rockstar Games’i hedef alan saldırganların Slack’teki bir güvenlik açığından yararlandığına dair hiçbir kanıt yok – yalnızca sözde saldırganın iddiaları. Bir Slack sözcüsü yaptığı açıklamada, bunun yerine sosyal mühendisliğin güvenlik önlemlerini atlamanın muhtemel bir yolu olduğunu söyledi.
Sözcü, “Kimlik ve cihaz yönetimi, veri koruma ve bilgi yönetişimi genelinde kurumsal düzeyde güvenlik, kullanıcıların Slack’te nasıl işbirliği yaptıklarına ve işlerini nasıl yaptıklarına dair her açıdan yerleşiktir” dedi ve ekledi: “Bunlar [social engineering] taktikler giderek daha yaygın ve sofistike hale geliyor ve Slack, tüm müşterilerin ağlarını sosyal mühendislik saldırılarına karşı korumak için güvenlik farkındalığı eğitimi de dahil olmak üzere güçlü güvenlik önlemleri uygulamalarını tavsiye ediyor.”
Bununla birlikte, uygulama güvenliği uzmanları daha iyi kontroller talep ettiğinden, geliştiriciler güvenliği ancak yavaş yavaş kabul ettiler. Birçok geliştirici, depolara gönderilen kodlarda şifreler ve API anahtarları dahil olmak üzere “sırları” sızdırmaya devam ediyor. Bu nedenle, GitLab’s Loveless, geliştirme ekiplerinin yalnızca kodlarını korumaya ve güvenilmeyen bileşenlerin içe aktarılmasını önlemeye değil, aynı zamanda işlem hatlarının kritik yeteneklerinin tehlikeye atılmamasına da odaklanması gerektiğini söylüyor.
“Genellikle insanları ve bunun gibi şeyleri tanımlamakla ilgili olan sıfır güven bölümünün tamamı, kodunuz için geçerli olması gereken ilkelerin aynısı olmalıdır” diyor. “Bu yüzden koda güvenmeyin; kontrol edilmesi gerekiyor. En kötüsünü varsayan insanların veya süreçlerin yerinde olması – otomatik olarak güvenmeyeceğim – özellikle kod bir proje oluşturmak gibi kritik bir şey yapıyorsa. “
Ek olarak, birçok geliştirici, çok faktörlü kimlik doğrulama (MFA) kullanmak gibi kimlik doğrulamayı güçlendirmek için hala temel önlemleri kullanmamaktadır. Ancak, bazı değişiklikler var. Giderek, çeşitli açık kaynaklı yazılım paketi ekosistemlerinin tümü, büyük projelerin çok faktörlü kimlik doğrulamasını benimsemesini gerektirmeye başladı.
Loveless, odaklanılacak araçlar açısından, Slack’in en son büyük ihlaller nedeniyle dikkat çektiğini, ancak geliştiricilerin tüm araçlarında temel düzeyde bir güvenlik kontrolü için çaba göstermesi gerektiğini söylüyor.
“Gelişmeler ve gidişler var, ancak saldırganlar için ne işe yararsa o” diyor. “Farklı renklerde her türlü şapkayı giyme deneyimimden bahsetmişken, bir saldırgan olarak en kolay yolu arıyorsunuz, bu yüzden başka bir yol daha kolay hale gelirse, ‘Önce bunu deneyeceğim’ diyorsunuz.”
GitLab, bu lideri takip etme davranışını kendi hata ödül programlarında gördü, Loveless notları.
“İnsanlar böcek gönderdiğinde, aniden bir şey – yeni bir teknik – popüler hale geleceğini ve bu teknikten kaynaklanan çok sayıda başvurunun geleceğini görüyoruz” diyor. “Kesinlikle dalgalar halinde geliyorlar.”
siber-1