Содержание |
История
2024: Хакеры пытаются перехватить контроль в Open Source сообществах
Организация Open Source Security Foundation (OpenSSF), которая в структуре Linux Foundation занимается повышением безопасности открытого кода проектов, опубликовала в середине апреля предупреждение[1] о попытках вмешательства с целью перехвата контроля в сообщества разработки различных проектов OpenJS Foundation.
Эта организация выступает платформой для развития проектов на базе языка JavaScript, таких как Node.js, jQuery, Appium, Dojo, PEP, Mocha и webpack. По мнению Омара Арасаратнама, главного менеджера OpenSSF и Робина Джинна, операционного директора OpenJS Foundation, деятельность некоторых разработчиков похожа на ту, которую развернули хакеры для перехвата контроля над проектом XZ Utils и встраивания в эту утилиту закладки (бэкдора) для компрометации SSH-серверов.
Попытка встроить в XZ Utils вредоносную закладку была обнаружена мировым сообществом в конце марта этого года. Вот как ситуацию с этим проектом характеризует «Лаборатория Касперского» в своём ТГ-канале:
Главный вывод — атакующие хотели добиться запуска произвольного кода через sshd, что давало бы им возможность свободного доступа к огромному количеству серверов, на которых запущен SSH. Ради решения амбициозной задачи была разработана многоэтапная операция и очень хитроумная цепочка заражения, в том числе скрывающая части бэкдора в тест-кейсах, чтобы снизить вероятность обнаружения при анализе исходников. |
Естественно, что после выявления подобной атаки на цепочку поставок открытых компонент остальные институты, занимающиеся развитием проектов с открытым кодами, начали пересматривать правила контроля измерений особенно по ключевым проектам.
Экосистема языка JavaScript является одной из важнейших в современных условиях, поскольку именно ее используют в большинстве веб-приложений. Поэтому-то OpenSSF и решила подготовить соответствующий доклад.
В частности, его авторы выделили следующие шаблоны подозрительного поведения, которое позволяет заподозрить социальную инженерию в действиях разработчиков:
- Дружелюбное, но агрессивное и настойчивое преследование сопровождающего или поддерживаемой им организации со стороны относительно неизвестных членов сообщества.
- Запрос на повышение статуса конкретного разработчика от новых или неизвестных лиц.
- Одобрение новых кодов исходит от неизвестных членов сообщества, которые также могут использовать фальшивые идентификаторы.
- Публичная активность и попытка внедрения в коды больших двоичные объекты в качестве артефактов. Например, закладка в XZ Utils представляла собой специально созданный файл как часть набора тестов, который невозможно было проанализировать человеком.
- Намеренно запутанный или трудный для понимания исходный код.
- Постепенно усиливающиеся проблемы в безопасности. Например, проблема XZ Utils началась с относительно безобидной замены функции safe_fprintf() на fprintf(), чтобы протестировать, кто и как ее исправит.
- Использование нетипичных методов компиляции, сборки и развертывания проектов, которые могут позволить вставлять внешние вредоносные бинарные вкрапления.
- Внушение ложного чувства срочности, особенно если оно вынуждает сопровождающего снижать тщательность проверки или пропускать этапы контроля кода.
Интересно, что если проанализировать эти признаки опасного поведения разработчиков в проектах с открытыми кодами, то под них могут подойти в том числе и участники российской программы обеспечения безопасности открытых проектов, которая координируется ФСТЭК России. В них проверку и устранение уязвимостей в ключевых открытых компонентах выполняют российские компании-разработчики, которые анализируют коды с целью поиска дефектов и их устранения. Естественно, что при этом приходится внедрять своих инженеров в цепочку принятия решений. В результате, такие действия могут быть расценены владельцами продуктов как попытка их перехвата.
В целом, можно констатировать, что работа с открытым кодами сейчас меняется. Уже нельзя просто так взять и использовать сторонний программный код даже с открытой лицензией. Компаниям, которые занимаются разработкой программного обеспечения на базе открытых кодов, приходиться заводить отдельное подразделение в рамках обеспечения цикла безопасной разработки - безопасность открытых проектов (Open source security — OSS). Такие подразделения занимаются применением мер и технологий для защиты от уязвимостей, угроз и атак, которые могут возникнуть в процессе разработки, использования и распространения программного обеспечения с открытым кодом.
В рамках OSS осуществляется анализ кода на наличие уязвимостей, регулярные обновления и патчи для исправления обнаруженных проблем, контроль цепочек поставок компонентов, аутентификация и авторизация пользователей, шифрование данных и другие меры, направленные на обеспечение безопасности проектов с открытым кодом, — пояснил ситуацию для TAdviser Александр Чернов, руководитель направления киберразведки Innostage CyberART. — Также важно поддерживать активное сообщество разработчиков и пользователей для оперативного реагирования на уязвимости и обмена информацией о безопасности. Стоит отметить, что данное направление относительное новое, и процессы OSS внедряют только очень зрелые компании. Инциденты, связанные с открытыми кодами, показывают, что данному вопросу нужно уделять должное внимание. |
2020: Создание организации
В начале августа 2020 года Microsoft, Google, Red Hat, IBM и несколько других технологических компаний запустили организацию Open Source Security Foundation (OpenSSF), участники которой займутся вопросами безопасности программного обеспечения с открытым исходным кодом. Этот альянс создан под крылом Linux Foundation.
Основная цель OpenSSF заключается в том, что упростить усилия отрасли по защите продуктов Open Source, объединив самые популярные проекты и компании, вовлечённые в эти инициативы. Создатели OpenSSF отмечают, что ПО с открытыми исходниками стало распространенным явлением в технологической отрасли и используется повсеместно: от дата-центров до потребительского оборудования.
Как пояснили в Microsoft, развитием софта Open Source занимается открытое сообщество при отсутствии единого центра, отвечающего за его качество и сопровождение. А поскольку исходный код подвергается копированию и модификации, процесс управления версиями усложняется и увеличивается риск внедрения вредоносных элементов. Это обуславливает необходимость создания общими усилиями способов повышения безопасности открытого ПО, отметили в компании.
Под эгиду OpenSSF, в частности, переходит проект Core Infrastructure Initiative, ставший реакцией на открытие в 2014 году печально знаменитой уязвимости Heartbleed в протоколе Open SSL, а также организация Open Source Security Coalition, основанная в 2019 году по инициативе лаборатории GitHub Security.
Помимо этого, планируется использовать при разработке открытого ПО защищенные сборочные системы. OpenSSF будет работать над скоординированным раскрытием информации об уязвимостях, разработкой инструментов обеспечения безопасности и механизмами защиты софта от вирусов.[3]