Dan Lorenc es director ejecutivo y cofundador de Guardacadenas. Anteriormente, fue ingeniero de software y líder del equipo de seguridad de código abierto (GOSST) de Google. Ha fundado proyectos como Minikube, Skaffold, TektonCD y Sigstore.
SolarWinds y Log4j han convertido los problemas de seguridad de la cadena de suministro de software en un tema de gran interés y escrutinio para empresas y gobiernos por igual.
SolarWinds fue un ejemplo aterrador de lo que puede salir mal con la integridad de los sistemas de compilación de software: los servicios de inteligencia rusos secuestraron el sistema de compilación de software para el software de SolarWinds, agregaron subrepticiamente una puerta trasera a una pieza de software y se metieron en las redes informáticas de miles de clientes. Log4J personifica el problema de entrada y salida de basura del software de código abierto: si obtiene código sin garantías de Internet, habrá errores, y algunos de estos errores serán explotables.
Sin embargo, de lo que se habla menos es de que estos ataques representan solo una fracción de los diferentes tipos de compromisos de la cadena de suministro de software que son posibles.
Echemos un vistazo a algunos de los tipos de ataques a la cadena de suministro de software menos conocidos, pero no menos graves.
Confirmaciones no autorizadas
Esta clase de ataques describe a un usuario no autorizado que compromete una computadora portátil de desarrollador o un sistema de administración de código fuente (por ejemplo, GitHub) y luego envía código.
Un ejemplo particularmente famoso ocurrió cuando un atacante comprometió el servidor que aloja el PHP lenguaje de programación e insertó código malicioso en el propio lenguaje de programación. Aunque se descubrió rápidamente, el código, si no se corrigió, habría permitido un acceso no autorizado generalizado en grandes franjas de Internet.
El panorama de los proveedores de seguridad está vendiendo una quimera de que los “escáneres” y los productos de “análisis de composición de software” pueden detectar todas las vulnerabilidades críticas a nivel de artefacto de software. ellos no
Afortunadamente, herramientas desarrolladas recientemente como Sigstore y gitsign reducir la probabilidad de este tipo de ataque y el daño si ocurre tal ataque.
Compromiso del servidor de publicación
Recientemente, un atacante, potencialmente los servicios de inteligencia chinos, piratearon los servidores que distribuyen la aplicación de mensajería china MiMi, reemplazando la aplicación de chat normal con una versión maliciosa. El malware permitió a los atacantes monitorear y controlar el software de chat de forma remota.
Este ataque se debe al hecho de que la industria del software no ha tratado los puntos críticos de la cadena de suministro del software (como los servidores de publicación o los sistemas de construcción) con el mismo cuidado que los entornos de producción y los perímetros de red.
Ataques de repositorio de paquetes de código abierto
Desde el Índice de paquetes de Pythonque alberga paquetes de Python, para npmel software del mundo ahora depende literalmente de grandes almacenes de paquetes de software, el equivalente del programador de software de código abierto de la App Store de Apple.
Source link