Welche Stil von Fakten werden gestohlen, wenn ein Entwickler kompromittiert wird?

Frage: Welche Stil von Fakten kann ein Angreifer stehlen, nachdem er verknüpfen Entwickler kompromittiert hat?

Louis Weit, Sicherheitsforscher, CTO von Phylum: Wir nach sich ziehen tief Zeit damit verbracht, Menschen davon zu überzeugen, keine Elektronische Post-Anhänge von unbekannten Absendern zu öffnen. Wir nach sich ziehen erheblich weniger Zeit damit verbracht, die breitere Entwicklergemeinde davon zu überzeugen, dass dies Installieren von Paketen aus unbekannten Quellen eine schreckliche Idee ist.

Obwohl Phishing-Kampagnen effektiv bleiben, landen sie den Angreifer oft in einem unabhängigen Teil welcher Organisation und erfordern immer noch verknüpfen Schwenk zum endgültigen Ziel. Angriffe aufwärts die logistische Kette treffen dies Pumpe welcher Organisation und gefährden den Entwickler und seine privilegierten Zugriffe. In einigen Fällen, wie Typosquatting und Abhängigkeitsverwirrung, werden jene Angriffe ohne direkte Kommunikation zwischen dem Angreifer und dem Entwickler durchgeführt. Es muss kein Elektronische Post-Begleitung geöffnet werden, da welcher Entwickler willig den Source (welcher die Schadsoftware enthält) einfügt.

Welches kann ein Angreifer ergo stehlen, wenn er verknüpfen Entwickler kompromittiert? Je nachher Status des Entwicklers so gut wie die Gesamtheit. Unter welcher Vorausnahme, dass eine Kompromittierung stattgefunden hat, hat sich welcher Angreifer im besten Sachverhalt Zugriff aufwärts die Maschine eines Junior-Ingenieurs verschafft. Wir erwarten, dass dieser Ingenieur zumindest Commit-Zugriff aufwärts den Quellcode hat. Wenn die Organisation schlechte Software-Engineering-Praktiken hat (z. B. keine Codeüberprüfungen und keine Beschränkungen, wer sich aufwärts den Hauptzweig festlegen kann), hat welcher Angreifer freie Hand, den Quellcode welcher Organisation nachher Belieben zu modifizieren; dies Produkt, dies Sie an Kunden versenden, zu modifizieren und zu infizieren.

Im schlimmsten und ebenso wahrscheinlichen Sachverhalt verschafft sich welcher Angreifer Zugang zu einem erfahrenen Entwickler mit mehr Privilegien. Dieser Entwickler hat Zugriff aufwärts Quellcode, SSH-Schlüssel, Geheimnisse, Anmeldeinformationen, CI/CD-Pipelines und Produktionsinfrastruktur und wahrscheinlich die Möglichkeit, bestimmte Codeprüfungen zu umgehen. Dieses Szenario, in dem jene Stil von Ingenieur kompromittiert wird, wäre zu Gunsten von eine Organisation verheerend.

Dies ist im gleichen Sinne nicht spekulativ. Schadsoftware-Pakete werden regelmäßig in Open-Source-Ökosystemen veröffentlicht. Nahezu die gesamte Schadsoftware ist darauf zugeschnitten, Anmeldeinformationen und andere Dateien, die qua sensibel oder wichtig erachtet werden, herauszufiltern. In neueren Kampagnen nach sich ziehen Angreifer sogar versucht, Ransomware frei heraus aufwärts Entwicklermaschinen zu stellen, um Kryptowährung von welcher Organisation zu erpressen.

Softwareentwickler nehmen in jeder technischen Organisation eine privilegierte Status ein. Mit ihrem Upstream-Zugang zu den an Kunden gelieferten Produkten und dem Zugang zu Produktionssystemen und Unterbau sind sie welcher Dreh- und Herzstück in jeder modernen Organisation. Ein Versäumnis, den Entwickler zu verteidigen, ist ein Versagen welcher Sicherheitsorganisation qua Ganzes und könnte katastrophale Hinterher gehen nach sich ziehen.