Η ασφάλεια των δεδομένων εξαρτάται από μια ασφαλή αλυσίδα εφοδιασμού για την ανάπτυξη λογισμικού

Η ασφάλεια των δεδομένων εξαρτάται από μια ασφαλή αλυσίδα εφοδιασμού για την ανάπτυξη λογισμικού


Όταν το 2020 τελείωσε και άρχισε το 2021, οι The New York Occasions ανέφεραν ότι η Ρωσία χρησιμοποίησε Το πρόγραμμα SolarWinds παραβίασε για να διεισδύσει τουλάχιστον 18.000 δημόσια και ιδιωτικά δίκτυα. Κατά συνέπεια, θεωρείται ότι τα δεδομένα σε αυτά τα δίκτυα (αναγνωριστικό χρήστη, κωδικός πρόσβασης, οικονομικά έγγραφα, πηγαίος κώδικας) βρίσκονται στα χέρια των Ρώσων πρακτόρων πληροφοριών. Παρόλο που τα μέσα ενημέρωσης έχουν γράψει πολλές ιστορίες σχετικά με τις επιπτώσεις της παραβίασης, υπήρξε μια αξιοσημείωτη έλλειψη συζήτησης σχετικά με τον τύπο επίθεσης που διαπράχθηκε, δηλ. Μια αλυσίδα εφοδιασμού. Αυτό το άρθρο θα περιγράψει με περισσότερη λεπτομέρεια τη φύση αυτού του τύπου επίθεσης, μαζί με ορισμένες προτεινόμενες βέλτιστες πρακτικές για την ασφάλεια της εφοδιαστικής αλυσίδας για την αντιμετώπιση επικίνδυνων συμβάντων στο μέλλον. Τέλος, θα διερευνήσουμε εάν η κοινότητα ανοιχτού κώδικα (σχεδιασμένη να είναι διαφανής και συνεργατική) μπορεί να παρέχει κάποια καθοδήγηση για καλύτερες προσεγγίσεις ασφάλειας για ανάπτυξη λογισμικού με μια νοοτροπία βασισμένη σε ασφάλεια.

Τι είναι η αλυσίδα εφοδιασμού Ως αναλογία, σκεφτείτε το Δολοφονίες του Σικάγο Tylenol που πραγματοποιήθηκε τη δεκαετία του 1980. Ξεκίνησε όταν κάποιος μπήκε σε ένα φαρμακείο στο Σικάγο, άνοιξε μπουκάλια Tylenol, έδεσε τα χάπια με κυανιούχο και έβαλε τα μπουκάλια πίσω στα ράφια. Ως αποτέλεσμα, οι άνθρωποι που κατανάλωναν αυτά τα δεμένα χάπια Tylenol αρρώστησαν σοβαρά με αποτέλεσμα πολλαπλούς θανάτους. Αυτή η ιδέα είναι ανάλογη με μια επίθεση αλυσίδας εφοδιασμού (λογισμικό ή υποδομή) στο ότι ένας εισβολέας εισβάλλει στο σημείο όπου το λογισμικό καταναλώνεται μέσω μιας μικρής πόρτας ή μπαίνει σε κακόβουλο κώδικα που θα αναλάβει τον υπολογιστή ή θα προκαλέσει οποιαδήποτε ζημιά σε οποιοδήποτε καταναλωτής του λογισμικού. Στην περίπτωση της εισβολής SolarWinds, ο εισβολέας παραβίασε έναν συγκεκριμένο διακομιστή πεδίου από τον πωλητή που χρησιμοποιείται περισσότερο από στρατιωτικούς και κυβερνητικούς εργολάβους.

Η συνέπεια μιας μικρής επίθεσης στην υποδομή που χρησιμοποιείται για την παράδοση του λογισμικού (ή του ίδιου του λογισμικού) μπορεί να έχει μεγάλο αντίκτυπο. Είναι κρυφό γιατί είναι πολύ δύσκολο να εντοπίσουμε ακριβώς αριστερά της αλυσίδας εφοδιασμού τι πήγε στραβά. Ομοίως, οι υπεύθυνοι για τη σύνδεση του Tylenol τη δεκαετία του 1980 δεν συνελήφθησαν ποτέ. Το θέμα είναι αυτό: οι επιθέσεις της εφοδιαστικής αλυσίδας δεν είναι νέες. τους συναντήσαμε πίσω στο διάσημο άρθρο του Ken Thompson το 1984 με τίτλο Σκέψεις για εμπιστοσύνη στην εμπιστοσύνη. Γιατί δεν έχουμε αρχίσει να το παίρνουμε στα σοβαρά μέχρι τώρα Πιθανώς επειδή άλλες επιθέσεις ανοιχτής πόρτας ήταν πιο εύκολο να εκτελεστούν, οπότε δεν υπήρχε ανάγκη.

Στον σημερινό κόσμο, όπου το λογισμικό ανοιχτού κώδικα είναι παγκοσμίως διαδεδομένο, οι επιθέσεις της εφοδιαστικής αλυσίδας είναι ακόμη πιο επιζήμιες, επειδή υπάρχουν εκατοντάδες χιλιάδες “συστατικά” που προέρχονται από πολλές πηγές. Αυτό σημαίνει ότι υπάρχουν πολύ περισσότερα μέρη που κάποιος μπορεί να έρθει και να επιτεθεί όταν εξετάζει ολόκληρο το δέντρο εξάρτησης οποιουδήποτε πακέτου. Αυτό δεν σημαίνει ότι ο ανοιχτός κώδικας είναι η αιτία αυτού και άλλων επιθέσεων στην αλυσίδα εφοδιασμού. Το γεγονός είναι ότι σήμερα υπάρχουν τόσες πολλές συνιστώσες ανοιχτού κώδικα σε ιδιωτικές ή κλειστές πηγές, η όλη συζήτηση ανοιχτού κώδικα έναντι κλειστού κώδικα είναι αμφιλεγόμενη. Η κύρια πρόκληση είναι: πώς μπορούμε να προστατεύσουμε το σημερινό οικοσύστημα που αποτελείται κυρίως από υβρίδια ανοιχτού και κλειστού κώδικα

Το κύριο εμπόδιο που πρέπει να ξεπεραστεί σχετίζεται με τον πολιτισμό. Δηλαδή, η ίδια η φύση της ανάπτυξης ανοιχτού κώδικα βασίζεται στην εμπιστοσύνη και τη διαφάνεια: οι προγραμματιστές δίνουν ουσιαστικά τον πηγαίο κώδικα για να το καταναλώνουν όλοι δωρεάν. Για παράδειγμα, σκεφτείτε Δικαιώτρια, ένα στοιχείο που δημιουργήθηκε πριν από 33 χρόνια για να αποδώσει έναν συγκεκριμένο τύπο εικόνας. Σήμερα χρησιμοποιείται από Sony PSP, Chrome browser, Home windows, Linux, iiOS και πολλά άλλα. Ο δημιουργός δεν είχε ποτέ την ιδέα ότι θα μπορούσε να χρησιμοποιηθεί τόσο διαδεδομένα στο οικοσύστημα. Εάν εισήχθη κακόβουλος κώδικας σε αυτό το βασικό στοιχείο, φανταστείτε την εκτεταμένη ζημιά.
Λαμβάνοντας υπόψη το πολιτιστικό υπόβαθρο και την προσέγγιση ανοιχτού κώδικα που διαδίδεται σήμερα, ποια πρακτικά μέτρα κάνουμε όλοι για να περιορίσουμε τον κίνδυνο μελλοντικών επιθέσεων αλυσίδας εφοδιασμού

Πρώτον, οι προγραμματιστές πρέπει να ξεκινήσουν την έγχυση υποδομής για να προστατεύσουν τον αγωγό ανάπτυξης λογισμικού ενώ χρησιμοποιείται. Καταθέστε πρωτόκολλα που βοηθούν το οικοσύστημα να κατανοήσει πώς κατασκευάζονται τα συστατικά και τι πρέπει να χρησιμοποιηθούν. Με τον ίδιο τρόπο που δεν θα συνδέσετε ένα κλειδί USB στο αυτοκίνητό σας εάν το βρήκατε στο πεζοδρόμιο έξω από το κτίριό σας, μην εκτελέσετε ούτε ένα τυχαίο πακέτο ανοιχτού κώδικα από το διαδίκτυο στο μηχάνημά σας. Δυστυχώς, κάθε προγραμματιστής το κάνει αυτό 100 φορές την ημέρα.

Δεύτερον, διαβιβάζετε όλες αυτές τις πληροφορίες στους χρήστες και τους καταναλωτές, ώστε να μπορούν να λαμβάνουν ενημερωμένες αποφάσεις. Πώς μπορούμε να αποδείξουμε καλύτερα τη διαφάνεια στις διαδικασίες λογισμικού, όχι μόνο σε ανοιχτό κώδικα, αλλά σε ολόκληρο τον αγωγό από ανοιχτό σε κλειστό και ούτω καθεξής Επιστρέφοντας στη μεταφορά Tylenol, ως αποτέλεσμα αυτού του φρικτού γεγονότος, δημιουργήθηκαν στις φιάλες αδιάβροχες σφραγίδες. Παρομοίως, η αλυσίδα εφοδιασμού λογισμικού αρχίζει να εντοπίζει κρίσιμα μέρη που πρέπει να επισκευαστούν για να την προστατεύσουν από επιθέσεις.

Ένα από αυτά είναι η επικοινωνία στοιχείων ή συστατικών μέσω λογισμικού λογαριασμού υλικών. Πρόκειται για την κατασκευή μιας υποδομής που επιτρέπει την ενημέρωση των πληροφοριών σε όλη την αλυσίδα εφοδιασμού. Υπάρχουν πολλά έργα που προσπαθούν να το κάνουν αυτό, όπως in-toto, Grafeas, SPDX και 3T SBOM. Όλοι προσπαθούν να μετακινήσουν τον έλεγχο προς τα αριστερά και να μετακινήσουν τη διαφάνεια προς τα δεξιά. Επιστρέφοντας στη μεταφορά, εάν κάποιος μπορεί να δει μια σφραγίδα έγκρισης Food and drug administration στο μπουκάλι Tylenol, ξέρει ότι μπορεί να το καταναλώσει και ότι υπάρχουν πολλοί έλεγχοι και ισορροπίες κατά μήκος της γραμμής για να διασφαλιστεί η ασφάλειά του. Χρειαζόμαστε αυτό το είδος πρωτόγονου λογισμικού στην αλυσίδα εφοδιασμού λογισμικού, έτσι ώστε να μπορούμε να επικοινωνούμε καλύτερα με τους καταναλωτές πριν από το λογισμικό.

Ας μην αγνοήσουμε τον τεμπέλης παράγοντα. Οι προγραμματιστές γνωρίζουν ότι πρέπει να χρησιμοποιούν κρυπτογράφηση και να υπογράφουν πράγματα και να ελέγχουν τις υπογραφές πριν χρησιμοποιήσουν πράγματα, αλλά είναι ενοχλητικό και δεν λαμβάνεται σοβαρά υπόψη. Η κατασκευή λογισμικού και η διαδικασία CI / CD είναι συνήθως τα πιο αγνοούμενα. Συνήθως είναι ένα μηχάνημα τοποθετημένο κάτω από το γραφείο κάποιου που έχει εγκατασταθεί μία φορά και δεν το κοίταξε ξανά. Δυστυχώς, αυτό είναι το σημείο ασφαλείας που πρέπει πραγματικά να επιβάλουμε και να προστατεύσουμε. Αλλά σήμερα δεν είναι προτεραιότητα (τόσες πολλές άλλες πυρκαγιές που πρέπει να προσέξετε!) Όπως αποδεικνύεται από το Έρευνα Linux Basis 2020 FOSS Contributor. Σε ένα συνεργατικό οικοσύστημα ανάπτυξης ανοιχτού κώδικα όπου μπορούν να συμμετέχουν πολλά μέρη, οι κατασκευαστές (προγραμματιστές) δεν έχουν κίνητρα να επικοινωνούν στοιχεία λογισμικού, επειδή η ανταλλαγή συμβαίνει αλλού στην αλυσίδα εφοδιασμού. Για παράδειγμα, η SolarWinds δεν επηρεάστηκε από την επίθεση, αλλά οι καταναλωτές της ήταν. Κάθε άτομο σε μια αλυσίδα πρέπει να αναγνωρίσει ότι η ταυτοποίηση επιφανειακών στοιχείων είναι κρίσιμη σε κάθε επίπεδο.

Βυθίζοντας βαθύτερα, χρειαζόμαστε ένα κρυπτογραφικό χάρτινο ίχνος που παρέχει επαληθεύσιμες πληροφορίες που υπογράφονται κρυπτογραφικά και παρέχει πληροφορίες για τον τρόπο με τον οποίο ακολουθήθηκαν οι πρακτικές. ο Το Linux Basis δημοσίευσε πρόσφατα μια ανάρτηση ιστολογίου επικαλούμενο αυτό μεταξύ άλλων συστάσεων για την πρόληψη επιθέσεων αλυσίδας εφοδιασμού, όπως η SolarWinds. Το οικοσύστημα πρέπει να βεβαιωθεί ότι τα πάντα ακολουθούνται από το γράμμα και ότι κάθε πράξη στην αλυσίδα εφοδιασμού ήταν η σωστή: κάθε χειροποίητο λογισμικό δημιουργήθηκε από το σωστό άτομο, καταναλώθηκε από το σωστό άτομο και ότι δεν υπήρξε παραβίαση ή πειρατεία κατά μήκος του δρόμου. Δίνοντας έμφαση στην επαλήθευση σε όλη την αλυσίδα εφοδιασμού λογισμικού, η προκύπτουσα διαφάνεια θα καταστήσει δυσκολότερη την ανίχνευση κακόβουλων εισβολέων, περιορίζοντας το ποσό των μεταγενέστερων επιπτώσεων και βλαβών στους καταναλωτές λογισμικού. Αυτή η διαδρομή ελέγχου αμαξοστοιχίας εφοδιασμού απλοποιεί επίσης την αναγνώριση σε περίπτωση επίθεσης.

Ενώ η ιδέα της βαρετής ασφάλειας ανοιχτού κώδικα πλήττει πολλούς από εμάς σήμερα, οι διαχειριστές ανοιχτού κώδικα, οι εμπειρογνώμονες ασφαλείας και οι προγραμματιστές έχουν την ευκαιρία να γίνουν οι απροσδόκητοι ήρωες στην καταπολέμηση εκείνων που στοχεύουν να καταστρέψουν τα συστήματά μας. Με συγκεκριμένη πρόθεση και συνέπεια, είμαστε σε θέση, χάρη στη διεισδυτικότητα του λογισμικού που δημιουργήσαμε, να βοηθήσουμε στην επίλυση μιας από τις μεγαλύτερες τεχνολογικές προκλήσεις της εποχής μας.

Σαντιάγο Τόρες-Αριάς είναι επίκουρος καθηγητής Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών στο Πανεπιστήμιο Purdue. Διεξάγει έρευνα σχετικά με την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού, τα λειτουργικά συστήματα, το απόρρητο, την ασφάλεια ανοιχτού κώδικα και τα δυαδικά αναλυτικά στοιχεία.

Νταν Λόρενς είναι μηχανικός λογισμικού της Google που ειδικεύεται στις τεχνολογίες ανοιχτού κώδικα cloud. Οδηγεί μια ομάδα μηχανικών που επικεντρώνονται στην απλοποίηση της δημιουργίας και της παράδοσης συστημάτων για το Kubernetes. Έχει δημιουργήσει τα έργα ανοιχτού κώδικα Minikube, Skaffold και Tekton και είναι μέλος της Επιτροπής Τεχνικής Εποπτείας για το Ίδρυμα Συνεχούς Παράδοσης.

VentureBeat

Η αποστολή της VentureBeat είναι να είναι ένα ψηφιακό τετράγωνο πόλης για τεχνικούς υπεύθυνους λήψης αποφάσεων για να αποκτήσουν πληροφορίες σχετικά με τη μετασχηματιστική τεχνολογία και τις συναλλαγές. Ο ιστότοπός μας παρέχει βασικές πληροφορίες σχετικά με τις τεχνολογίες δεδομένων και τις στρατηγικές για να σας καθοδηγήσει καθώς οδηγείτε τους οργανισμούς σας. Σας προσκαλούμε να γίνετε μέλος της κοινότητάς μας, για πρόσβαση:

  • ενημερωμένες πληροφορίες για θέματα που σας ενδιαφέρουν
  • τα ενημερωτικά δελτία μας
  • Περιεχόμενο περιφραγμένο με κορυφαία σκέψη και μειωμένη πρόσβαση στις πολύτιμες εκδηλώσεις μας, όπως το Change
  • δυνατότητες δικτύωσης και άλλα

Γίνομαι μέλος



[via]