أسرار الشيفرة: كيف تقود أخطاء بسيطة إلى اختراقات كبرى؟
يحدث هجوم سلسلة توريد البرمجيات عندما يعالج المتسللين الرمز في مكونات برامج الطرف الثالث لتوضيح تطبيقات "المصب" التي تستخدمها. في عام 2021 ، شهدنا ارتفاعًا كبيرًا في مثل هذه الهجمات: حوادث أمنية رفيعة المستوى مثل Solarwinds و Kaseya و Codecov هزت انتهاكات البيانات ثقة Enterprise في الممارسات الأمنية لمقدمي خدمات الطرف الثالث.
متابعة ماكس نيوز
أسرار الشيفر…إذا كانت كلمة واحدة يمكن أن تلخص عام 2021 Infosecurity (حسنًا ، في الواقع ثلاثة) ، فستكون هذه: “هجوم سلسلة التوريد”.
يحدث هجوم سلسلة توريد البرمجيات عندما يعالج المتسللين الرمز في مكونات برامج الطرف الثالث لتوضيح تطبيقات “المصب” التي تستخدمها.
في عام 2021 ، شهدنا ارتفاعًا كبيرًا في مثل هذه الهجمات: حوادث أمنية رفيعة المستوى مثل Solarwinds و Kaseya و Codecov هزت انتهاكات البيانات ثقة Enterprise في الممارسات الأمنية لمقدمي خدمات الطرف الثالث.
ما علاقة هذا بالأسرار ، قد تسأل؟ باختصار ، الكثير.
خذ علبة Codecov (سنعود إليها بسرعة): إنه مثال على كتاب مدرسي لتوضيح كيفية استفادة من بيانات الاعتماد المتشددين للوصول الأولي إلى أنظمة ضحاياهم وحصاد المزيد من الأسرار في السلسلة.
لا تزال الأسرار في الرمز واحدة من أكثر نقاط الضعف التي يتم تجاهلها في مساحة أمان التطبيق ، على الرغم من أنها هدف أولوية في كتب اللعب للمتسللين.
في هذه المقالة ، سوف نتحدث عن الأسرار وكيف أن إبعادها عن رمز المصدر هو الأولوية الأولى اليوم لتأمين دورة حياة تطوير البرمجيات.
ما هو سر؟
الأسرار هي بيانات اعتماد المصادقة الرقمية (مفاتيح API ، الشهادات ، الرموز ، إلخ) التي يتم استخدامها في التطبيقات أو الخدمات أو البنى التحتية.
يشبه إلى حد كبير كلمة المرور (بالإضافة إلى جهاز في حالة 2FA) لمصادقة شخص ما ، يقوم السري بتوثيق الأنظمة لتمكين التشغيل البيني. ولكن هناك صيد: على عكس كلمات المرور ، من المفترض أن يتم توزيع الأسرار.
لتقديم ميزات جديدة باستمرار ، تحتاج فرق هندسة البرمجيات إلى ربط المزيد والمزيد من لبنات البناء.
تشاهد المنظمات عدد بيانات الاعتماد المستخدمة عبر فرق متعددة (فرقة التطوير ، SRE ، DevOps ، Security ، إلخ).
في بعض الأحيان ، سيحتفظ المطورون بالمفاتيح في موقع غير آمن لتسهيل تغيير الكود ، لكن القيام بذلك يؤدي غالبًا إلى أن يتم نسيان المعلومات عن طريق الخطأ ونشرها عن غير قصد.
في مشهد أمان التطبيق ، تعد الأسرار المتشددين نوعًا مختلفًا من الضعف.
أولاً ، نظرًا لأن رمز المصدر هو أحد الأصول المتسربة للغاية ، ويهدف إلى الاستنساخ ، والتحقق منه ، وشوك على آلات متعددة في كثير من الأحيان ، فإن الأسرار تتسرب أيضًا.
ولكن ، والأهم من ذلك ، دعونا لا ننسى أن الرمز يحتوي أيضًا على ذاكرة.
تتم إدارة أي قاعدة كود مع نوع من نظام التحكم في الإصدار (VCS) ، مع الحفاظ على جدول زمني تاريخي لجميع التعديلات التي أجريت على الإطلاق ، وأحيانًا على مدار عقود.
المشكلة هي أن الأسرار التي لا تزال غير واضحة يمكن أن تختبئ في أي مكان على هذا الجدول الزمني ، مما يفتح بعدًا جديدًا على سطح الهجوم.
لسوء الحظ ، تتم معظم تحليلات الأمن فقط على حالة قاعدة كود حالية وجاهزة.
بمعنى آخر ، عندما يتعلق الأمر بأوراق الاعتماد التي تعيش في التزام قديم أو حتى فرع لا ينقصه ، فإن هذه الأدوات أعمى تمامًا.
تم دفع ستة ملايين أسرار إلى جيثب
في العام الماضي ، مراقبة الاهتمامات التي تم دفعها إلى جيثب في الوقت الفعلي ، Gitguardian اكتشف أكثر من 6 ملايين أسرار مسرب، مضاعفة العدد من عام 2020.
في المتوسط ، تضم 3 من بين 1000 بيانات اعتماد ، والتي تزيد بنسبة خمسين في المائة عن العام الماضي.
حصة كبيرة من تلك الأسرار كانت تتيح الوصول إلى موارد الشركات.
لا عجب إذن أن المهاجم الذي يتطلع إلى الحصول على موطئ قدم في نظام المؤسسات سوف ينظر أولاً إلى مستودعاته العامة على Github ، ثم إلى تلك التي يملكها موظفوها.
يستخدم العديد من المطورين github للمشاريع الشخصية ويمكن أن يحدث للتسرب عن طريق خطأ بيانات اعتماد الشركات (نعم ، يحدث ذلك بانتظام!).
مع بيانات اعتماد الشركات الصالحة ، يعمل المهاجمون كمستخدمين معتمدين ، ويصبح اكتشاف الإساءة أمرًا صعبًا.
إن الوقت الذي يتم فيه اختراق بيانات الاعتماد بعد دفعه إلى جيثب هو مجرد 4 ثوانٍ ، مما يعني أنه ينبغي إلغاؤه على الفور وتدويره لتحييد خطر الانتهاك.
بدافع الشعور بالذنب ، أو عدم وجود المعرفة التقنية ، يمكننا أن نرى لماذا يأخذ الناس في كثير من الأحيان المسار الخطأ للخروج من هذا الموقف.
هناك خطأ سيء آخر للمؤسسات هو تحمل وجود أسرار داخل المستودعات غير العامة. يسلط تقرير حالة أسرار Gitguardian على حقيقة أن المستودعات الخاصة تخفي أسرارًا أكثر بكثير من ما يعادلها.
الفرضية هنا هي أن المستودعات الخاصة تمنح المالكين إحساسًا كاذبًا بالأمان ، مما يجعلهم أقل قلقًا قليلاً بشأن الأسرار المحتملة المتربحة في قاعدة الشفرة.
هذا يتجاهل حقيقة أن هذه الأسرار المنسية يمكن أن يكون لها يوم ما تأثير مدمر إذا تم حصادها من قبل المتسللين.
لكي نكون منصفين ، فإن فرق أمان التطبيق تدرك جيدًا المشكلة. لكن مقدار العمل الذي يتعين القيام به للتحقيق وإلغاء الأسرار التي ترتكبها كل أسبوع وإلغاءها وتدويرها كل أسبوع ، أو الحفر عبر سنوات من الأراضي المجهولة ، هي ببساطة ساحقة.
انتهاكات العنوان … والباقي
ومع ذلك ، هناك إلحاح. يبحث المتسللون بنشاط عن “dorks” على github ، والتي يمكن التعرف عليها بسهولة لتحديد الأسرار التي تم تسريبها. و Github ليس هو المكان الوحيد الذي يمكن أن يكون فيه نشطًا ، أو أي سجل (مثل Hub Hub) أو أن أي تسرب رمز مصدر يمكن أن يصبح منجمًا ذهبيًا لإيجاد متجهات الاستغلال.
كدليل ، عليك فقط النظر إلى الانتهاكات التي تم الكشف عنها مؤخرًا: مفضل للعديد من المشاريع المفتوحة المصدر ، Codecov هو أداة تغطية الرمز.
في العام الماضي ، تعرضت للخطر من قبل المهاجمين الذين تمكنوا من الوصول عن طريق استخراج بيانات اعتماد حساب سحابة ثابتة من صورة Docker الرسمية.
بعد الوصول إلى مستودع رمز المصدر الرسمي بنجاح ، تمكنوا من العبث باستخدام برنامج نصي CI وحصاد مئات الأسرار من قاعدة مستخدمو Codecov.
في الآونة الأخيرة ، تم تسريب قاعدة الكود الكاملة من Twitch ، حيث كشفت أكثر من 6000 مستودع GIT و 3 ملايين وثيقة.
على الرغم من الكثير من الأدلة التي تظهر مستوى معين من نضج AppSec ، يمكن أن يظهر ما يقرب من 7000 أسرار! نحن نتحدث عن مفاتيح AWS و Google و Stripe و Github.
فقط عدد قليل منهم سيكونون كافيين لنشر هجوم واسع النطاق على أنظمة الشركة الأكثر أهمية.
هذه المرة لم يتم تسريب بيانات العميل ، لكن هذا محظوظ في الغالب.
قبل بضع سنوات ، لم يكن أوبر محظوظًا جدًا.
نشر موظف عن طريق الخطأ بعض مدونة الشركات على مستودع GitHub العام ، وكان هذا هو خاص به.
اكتشف المتسللون واكتشفوا مفاتيح مزود الخدمة السحابية تمنح الوصول إلى البنية التحتية لـ Uber. تلا ذلك خرق هائل.
خلاصة القول هي أنه لا يمكنك التأكد حقًا من موعد استغلال السر ، ولكن ما يجب أن تكون على دراية به هو أن الجهات الفاعلة الضارة تراقب مطوريك ، وهم يبحثون عن الكود الخاص بك.
ضع في اعتبارك أيضًا أن هذه الحوادث هي مجرد غيض من الجبل الجليدي ، وربما لا يتم الكشف عن الكثير من الانتهاكات التي تنطوي على أسرار.
خاتمة
تعد الأسرار مكونًا أساسيًا في أي مكدس برامج ، وهي قوية بشكل خاص ، وبالتالي فهي تتطلب حماية قوية للغاية.
تجعل طبيعتها الموزعة وممارسات تطوير البرمجيات الحديثة من الصعب للغاية التحكم في المكان الذي ينتهي بهم الأمر ، سواء أكان ذلك رمز المصدر أو سجلات الإنتاج أو صور Docker أو تطبيقات المراسلة الفورية.
إمكانية اكتشاف الأسرار والعلاج أمر لا بد منه لأنه حتى الأسرار يمكن استغلالها في هجوم يؤدي إلى خرق كبير.
تحدث مثل هذه السيناريوهات كل أسبوع ومع استخدام المزيد والمزيد من الخدمات والبنية التحتية في عالم المؤسسات ، فإن عدد التسريبات ينمو بمعدل سريع للغاية.
يتم اتخاذ الإجراء السابق ، وكلما كان من الأسهل حماية رمز المصدر من التهديدات المستقبلية.
ملحوظة – كتب هذا المقال توماس سيغورا ، كاتب المحتوى الفني في Gitguardian. عمل توماس كمحلل محلل ومهندس البرمجيات في مختلف الشركات الفرنسية الكبرى.
