Açık kaynak güvenlik uzmanı, bir sonraki saldırı dalgasına hazırlanmak için hala ‘uzun bir yol’ olduğu konusunda uyarıyor
RÖPORTAJ YAPMAK Yazılım tedarik zincirinin güvenliği, o zamandan beri bilgi güvenliği gündemini hızlandırdı. Günlük Swig En son DevSecOps satıcısı Sonatype’ın kurucu ortağı ve CTO’su Brian Fox ile konuştu.
Özellikle Log4j hatası ve SolarWinds tedarik zinciri saldırısı, Beyaz Saray’ı diğer politika alanlarında anlaşılması zor olan netlik, hızlılık ve hatta iki taraflı destekle hareket etmeye sevk etti.
Tedarik zinciri güvenliği konusunda yıllardır alarmı çalan Fox, hükümetin tehdidi geç fark etmesini memnuniyetle karşıladı, ancak siber güvenlik endüstrisinin konuya hala yeterince öncelik vermediği konusunda uyarıyor.
Son görüşmemizden iki yıl sonra, yakın zamanda atanan OpenSSF yönetişim kurulu üyesi aynı zamanda ‘Log4Shell’in mirasını da değerlendiriyor, gönüllülerin yönlendirdiği açık kaynak modeline yönelik eleştirileri reddediyor ve savunucular nihayet mevcut yöntemlere karşı kendilerini ‘aşılarken’ saldırı tekniklerinin değişeceğini öngörüyor. .
Daily Swig: Sonatype, Beyaz Saray’ın yazılım tedarik zincirini güçlendirme çabalarını destekliyor – bu nasıl ilerliyor?
Brian Fox: Log4j olayının ardından bir ilk yaşandı. [open source security] Ocak ayındaki zirve, Senato’da tanıklık ve Senato ve Meclis’te soruşturma, ardından Beyaz Saray bazı toplantılar düzenledi.
Ekosistem genelinde birçok katılımcıyla Mayıs ayında bir takip zirvesi [resulted in a] Geliştiricileri güvenli uygulamalar konusunda daha iyi eğitmekten, daha iyi araçlara, finansmana, popüler açık kaynak projelerinin denetimlerine, en çok kullanılan projelere öncelik vermeye, yazılım malzeme listelerinde daha iyi araçlar oluşturmaya kadar her şeyi içeren 10 noktalı seferberlik planı, [and] dijital imzalar…
KAÇIRMAYIN ABD hükümeti, ‘Endemik’ Log4j böceğinin en az on yıl boyunca vahşi doğada kalmaya ayarlı olduğu konusunda uyardı
Bir dizi şirket parasal taahhütlerde bulundu – [totalling] yaklaşık 30 milyon dolar – bu çabaya yardımcı olmak için çok fazla, ancak tahminler [of the sum needed] 10 akışın tümünü sürmek 150 milyon dolardan fazlaydı [over two years].
Diğer hükümetleri dahil etmeye çalışan başka geçici görüşmeler var, çünkü bu sadece ABD merkezli bir sorun değil; küresel bir sorundur.
DS: Öyleyse, ABD hükümetinin sorunu genel olarak doğru şekilde ele aldığından emin misiniz?
en iyi arkadaş: Genel olarak, evet. Yürütme emri, bir yıldan biraz daha uzun bir süre önce, ABD hükümetine yazılım satan herkesin yeniden üretilebilir bir yazılım malzeme listesine sahip olması için harekete geçme gereksinimlerini belirledi. [SBOM] tüm bileşenleri ifşa etmek için – gıda etiketlerini düşünün.
Ancak, bir [similar] 2013’te Kongre’den önce herhangi bir yayın süresi almayan yasa tasarısı. Yani şimdi olduğunu görmek güzel ama neredeyse on yıl önce olduğunu görmek daha iyi olurdu.
Bir damlama etkisi olacağını düşünüyorum. Doğrudan ABD hükümetine satış yapmayan yazılım şirketleri bile, tüketicileri ABD hükümetine satış yapıyorsa, baştan sona bir malzeme faturası sağlamak zorunda kalacaklar, değil mi?
DS: Hala “birçok şirketin açık kaynak bileşenlerinin envanteri yok” diye yakındığınız 2020’deki kadar sinirli misiniz?
en iyi arkadaş: İyileşiyor, ama sabırsızım. Log4j’nin ardından, Mayıs 2022 itibariyle, merkezi depodan son 24 saat içinde yapılan Log4j indirmelerinin %33’ü bilinen güvenlik açığı olan sürümlerdi.
Altı artı ay [from the Log4j bug surfacing], bu kabul edilebilir miydi? Herkesin ortak bir çılgınlığı vardı, herkes bunun hakkında yazıyordu – bunu bilmemeniz için sıfır neden var.
Çoğu zaman, gerçekten iyi fiziksel parça uygulamalarına sahip şirketler korkunç dijital ürün uygulamalarına sahiptir – bu aklımı başımdan alıyor. Onları neden eğitmem gerektiğini anlamıyorum.
ÖNCEKİ RÖPORTAJ Sonatype’dan Brian Fox, açık kaynak güvenliği ve ‘drama içermeyen’ DevSecOps hakkında
Mobilizasyon planı büyük ölçüde açık kaynak projelerini geliştirmeye odaklanmaktadır. Bunun yapılması gerekiyor, ancak kuruluşların hangi bileşenleri kullandıklarını anlama sorumluluğu olduğu noktayı büyük ölçüde gözden kaçırıyor.
Takata hava yastığı olayını ele alalım. tüm diyelim [automotive] üreticiler “Daha iyi hava yastıkları yapmak için Takata’ya daha fazla para vereceğiz, bu yüzden artık arabalarımıza hangi parçaların girdiğini takip etmemize gerek yok” gibiydi – onlara gülerdik. Ama şu anda olan şey bu [in the software supply chain].
Log4j, Şükran Günü’nde düzeltildi ve yamalandı [within a day of the proof of concept surfacing] – ama bu sorunu çözmez [of users not updating their systems].
DS: Açık kaynak ekosisteminin gönüllü güdümlü modeline yönelik eleştiriler hakkında ne düşünüyorsunuz?
en iyi arkadaş: Bakıcılara para atmanın sorunu çözeceğini sanmıyorum. Aslında, çoğu zaman işleri karmaşık hale getirebilir, çünkü o zaman sadece parayla motive olan yeni insanlar olur.
Çoğu sorun o kadar basit değil [maintainers] korkunç bir iş yapıyor. Log4j’yi alın – kodda gerçekten bir hata bile değildi. Log4j’deki bir özellik ile JNDI kodunu çalıştıran Java çalışma zamanındaki bir özellik arasındaki garip bir etkileşimdi.
Ani tepki, “Onlar gönüllüler, bu yüzden amatör olmalılar” şeklindedir – ve bu doğru değildir. Bu projelerde çalışan çoğu kişi aslında gün içinde büyük şirketler için çalışan çok iyi yazılımcılardır. Çoğu zaman şirketler bu projelerde çalışmaları için onlara para ödüyor.
DS: Mevcut açık kaynak tehdit ortamını ve Sonatype’ın geliştiricilerin ekosistemi korumasına nasıl yardımcı olduğunu özetleyebilir misiniz?
en iyi arkadaş: Kötü niyetli bir işleyicinin popüler bir projeye geldiği ve kötü niyetli bir şeyi gerçek bir pakete koyduğu teorik bir saldırı var. Şimdiye kadar bu olmuyor.
Tüketiciler yeterince dikkat etmedikleri için, içinde gerçek bileşene benzeyen kötü amaçlı yazılım bulunan sahte bir bileşen oluşturarak onları şaşırtmak gerçekten çok kolay.
Bileşenlerin ne zaman kötü niyetli veya anormal olduğunu tespit etmeye ve tüketicilerin güvenlik duvarı ürünümüz aracılığıyla bunlara erişmesini engellemeye çalışıyoruz. bu [attack] hedefler, geliştiriciler ve geliştirme altyapısıdır ve kötü davranış – arka kapı – indirdiğiniz anda tetiklenir. Son kullanıcınıza veya üretime dağıtılması için yazılımınıza kod eklemeye çalışmıyorlar.
En son yazılım tedarik zinciri saldırı haberlerini yakalayın
Bu yüzden bunu önlemenin tek yolu, gerçek zamanlı olarak, o bileşen halka açık depoya ulaştığında, onda yanlış bir şey olduğunu bilmek ve onu durdurabilmektir.
Zamanlılık çok önemlidir. Altı hafta sonra bulmak bir işe yaramaz çünkü o sırada [time] ona dokunan herkes lekelendi.
MLAI kullanıyoruz [machine learning, artificial intelligence] teknik, böylece yeni saldırılar konusunda eğitim alabiliriz ve model giderek daha iyi hale gelir. Geçen ay itibariyle, bu tekniği kullanan 88.000’den fazla kötü amaçlı paket bildirdik, bu yüzden yüzlerce sipariş daha fazla [productive] sıfır gün araştırmasından daha iyidir.
DS: Saldırganların sizin öngördüğünüz şekilde yenilikler yaptığını, geliştiricileri kandırmak yerine projeleri doğrudan zehirlediğini, yakın zamanda herhangi bir zamanda görmemiz olası mı?
en iyi arkadaş: Bahsettiğim hedef vektörü bazen daha gelişmiş saldırılarla kullanmaya devam ediyorlar, ancak çoğu taklitçi gibi görünüyor.
Bu modeli daha önce görmüştük. Biraz Covid’e benziyor – eğer herkes aşıyı alırsa, bir mutasyon onu aşmanın bir yolunu bulur ve hayatta kalan o olur.
Ancak mevcut saldırılara karşı yeterli sayıda insan bağışık değil, bu nedenle bir ton yenilik görmüyoruz.
Bu yüzden her gün bunlardan düzinelercesini buluyor ve raporluyoruz. Bu saçmalık.
Ama gerçekten iyi olduğumuzda ne olur? [defense]? On yıldan fazla bir süredir saldırganların tedarik zincirine odaklanmaya başlamasından korktum. Bu, 2019’a kadar gerçekleşmeye başlamadı.
Bu yüzden, bu tespit edilmesi kolay şeyleri engellemede başarılı olursak, onların projelere daha sinsi ve tespit edilmesi zor saldırılarla hareket ettiğini göreceksiniz.
bu [White House] seferberlik planı, açık kaynaklı projelerin doğası gereği daha güvenli hale gelmesine yardımcı olacak, ancak bu uzun bir yol, bu yüzden oraya yeterince hızlı varamayacağımızdan endişeleniyorum.
DS: Tedarik zincirini koruma konusundaki mesajınıza sektör ne kadar duyarlı?
en iyi arkadaş: Endüstrinin çoğu, statik analiz yapmak, güvenlik açıklarına öncelik vermek ve ürünleri üretime girmeden veya alt akışa dağıtılmadan önce taramak olan son on yılın savaşıyla hala mücadele ediyor.
1990’larda tarayıcıların her yerde güvenlik açıkları vardı ve çok az şey biliyordunuz, sadece kötü niyetli bir web sitesi yükleyerek saldırıya uğrayabilirsiniz.
Bu kötü niyetli saldırılarla olan şey bu. Geliştiriciler, derlemeye çalışmayan yanlış bileşeni alırlar – bu, kelimenin tam anlamıyla, bir arka kapı teslim etmek veya her ne yapıyorsa onu yapmak için bir yüktür. Böylece geliştiricinin derlemesi başarısız olur ve istedikleri bileşenin bu olmadığını anlarlar. [but not only that] potansiyel olarak saldırıya uğradılar.
Yalnızca geliştiricilerin ne taahhüt ettiğini veya yayınlamak için neler oluşturduğunu kontrol ederseniz, bu 88.000 artısını görmezsiniz. [monthly] geliştiricilerin makinelerine saldırılar.
Bu mesajlaşmaya gerçekten çok eğildik ve birçok insan sonunda buna kilitlendi.
ÖNERİLEN 2FA sürücüsünde ‘kritik projelerin’ sahiplerine 4.000 güvenlik anahtarı dağıtmak için PyPI deposu