Proiectele open source care sunt compromise și utilizate pentru răspândirea malware-ului ar putea fi un lucru din trecut. Inițiativa de semnare a software-ului Linux Foundation dorește să fie un Cifrare Să lansăm software.
Problema
Utilizarea pe scară largă a open source este uimitoare. Software-ul open source, instrumentele și bibliotecile se găsesc în aproape toate dezvoltările de software non-banale care au loc. Din păcate, chiar ceea ce face open source atractiv – aveți acces la codul sursă al software-ului și oricine poate trimite remedieri de erori și noi caracteristici – prezintă un vector de atac care poate fi exploatat de către actorii de amenințare.
Proiectelor open source li s-a injectat cod rău intenționat de infractorii cibernetici care folosesc popularitatea produsului open source ca metodă de distribuție a malware-ului lor. De obicei, acesta va oferi actorilor de amenințare o ușă din spate pe computerele victimelor. De asemenea, poate rula un instrument de înregistrare a tastelor sau poate descărca software-ul rău intenționat de pe serverele criminalului cibernetic.
Acest tip de atac este o formă de atac pe lanțul de aprovizionare. Într-un atac pe lanțul de aprovizionare, victimele nu sunt compromise direct. Sarcina utilă rău intenționată este introdusă în ceva la unul dintre furnizorii victimei. Când victima procură obiectul contaminat, sarcina utilă rău intenționată este declanșată și victima este compromisă. Cel mai faimos exemplu de atac pe lanțul de aprovizionare a fost cel folosit în atacul Stuxnet asupra fabricii de îmbogățire a uraniului din Natanz, Iran.
Software-ul open source este o platformă evidentă pe care criminalii cibernetici o pot folosi pentru acest tip de atac. Ca răspuns, Linux Foundation lansează sigstore. sigstore este un serviciu gratuit – dezvoltat în comun cu Google, Red Hat și Universitatea Purdue – pe care dezvoltatorii de software îl pot utiliza pentru a semna digital versiunile lor de software.
sigstore protejează consumatorii open source de astfel de atacuri precum atacurile de confuzie a dependenței. Aceste atacuri înșeală administratorii de pachete în instalarea unei versiuni periculoase găzduite de la distanță a unei resurse disponibile la nivel local, cum ar fi un fișier de bibliotecă. Managerului de pachete i se spune că există o dependență în software-ul care este instalat și că fișierul bibliotecii locale trebuie actualizat. Versiunea găzduită de la distanță are un număr de versiune mai mare care satisface dependența falsă. „Actualizarea” are loc și sistemul este compromis.
Cum funcționează sigstore
La fel ca toate schemele de semnare și certificare, valoarea semnăturii sau certificatului este legată de gradul de încredere pe care îl au oamenii în autoritatea emitentă. sigstore folosește OpenID Connect a Fundației OpenID, care se bazează pe schema X.509 standard din industrie pentru definirea și gestionarea certificatelor. sigstore folosește protocolul de autentificare OpenID pentru a lega certificatele de identitatea dezvoltatorului. De obicei, aceasta este adresa lor de e-mail sau un alt identificator de cont.
Clientul sigstore creează o pereche de chei de scurtă durată. Interogă sigstore Public Key Infrastructure (PKI) care verifică o verificare validă OpenID Connect și emite un certificat dacă totul este bine. Certificatul este creat folosind valorile perechii de chei care vor fi utilizate pentru semnarea software-ului.
O pistă de audit a certificatelor și semnăturilor este menținută ca un jurnal public imuabil. Jurnalul poate fi utilizat pentru a verifica versiunile și certificatele de software. Acesta oferă o dovadă accesibilă publicului a semnăturii dintr-un fișier. Semnăturile ulterioare vor fi unice, deoarece data și ora sunt înregistrate, de asemenea. Aceasta oferă un set de asigurări cu privire la originile și proveniența fișierelor open source și permite politicilor de securitate bazate pe semnături să capteze fișiere care nu pot fi verificate și de încredere.
Dacă codul rău intenționat este injectat într-un proiect open source și nu este găsit de gestionarea îmbinării sau de procesele de cod și de evaluare inter pares, acesta ar putea fi compilat într-un sistem binar. Dacă binarul este semnat digital, sigstore nu va ști despre acea amenințare încorporată și ar putea certifica teoretic o versiune dăunătoare.
În această circumstanță, jurnalul de semnare publică ar putea fi un atu pentru investigațiile asupra atacului și ca mijloc de avertizare timpurie pentru alții cu privire la un binar compromis. Ar putea fi construite sisteme care să compare certificatele binare cu o bază de date de versiuni cunoscute bune și proaste.
Acest lucru ar putea funcționa în mod similar cu site-ul web Have I Been Pwned. Puteți căuta manual e-mailul dvs. prin intermediul site-ului lor web. Dacă e-mailul dvs. este găsit, înseamnă că a fost inclus într-o încălcare a datelor. Vi se spune ce încălcare a datelor de pe site-ul dvs. a expus datele dvs. personale.
Nu este greu să ne imaginăm sisteme care să verifice numărul versiunii și să semneze autenticitatea cu o bază de date de referință care a trimis înapoi o decizie de go / no-go cu privire la o versiune de software semnată. În plus, dezvoltatorii ar putea fi informați de fiecare dată când adresa lor de e-mail sau ID-ul OpenID Connect este utilizat într-un eveniment de semnare. Dacă nu au inițiat acel eveniment, trebuie investigat.
Să criptăm, dar pentru software
Într-o postare pe blog din martie 2021, Google descrie sigstore ca fiind ca Let’s Encrypt, dar pentru versiunile software. Let’s Encrypt este o autoritate de certificare gratuită și deschisă care generează certificate SSL / TLS pentru site-urile web HTTPS. Permite acelor site-uri web să se autentifice pozitiv, astfel încât vizitatorii să poată fi siguri că site-ul web este cu adevărat ceea ce spune că este. Odată ce identitatea site-ului web a fost stabilită, informațiile cheii publice din certificat sunt utilizate de browserul vizitatorului pentru a cripta comunicațiile dintre computerul lor și site-ul web. Procesul de a obține un certificat de la Let’s Encrypt este automat.
Blogul Google continuă: „La fel ca modul în care Let’s Encrypt oferă certificate gratuite și instrumente de automatizare pentru HTTPS, sigstore oferă certificate și instrumente gratuite pentru automatizarea și verificarea semnăturilor codului sursă. Sigstore are, de asemenea, avantajul suplimentar de a fi susținut de jurnale de transparență, ceea ce înseamnă că toate certificatele și atestările sunt vizibile la nivel global, pot fi descoperite și auditate. ”
Îmblânzind Vestul Sălbatic
Modul în care software-ul open source este utilizat astăzi era de neimaginat în urmă cu doar 10 ani. Adoptarea sursei deschise în lumea dezvoltării mai largă se datorează mai mult decât accesibilitatea la codul sursă, calitatea codului și timpul de redare pentru remedierea erorilor și corecțiile.
Open source a fost considerat cu suspiciune. Dar organizațiile obține open source acum. Modelul open source este recunoscut ca având mai mult de-a face cu marketingul și publicarea decât o devotament față de numeroasele variante ale GNU General Public License (GPL).
În principal, este o modalitate de a obține codul sau produsul acolo. Obțineți un cont GitHub, scrieți-vă programul și spuneți oamenilor că este disponibil. Dacă este ceva bun, va crește și, sperăm, bulgăre de zăpadă. Vrei să te implici într-un proiect open source? Simplu. Împingeți o cerere de îmbinare în depozitul lor Git sau oferiți-vă ajutor cu documentația lor.
Open source a fost perturbator în cele mai pozitive moduri. Dar a fost, de asemenea, gratuit pentru toți. Ecosistemul open source a strigat pentru ceva care poate oferi lanțului de aprovizionare cu software transparență, verificare și audit.
sigstore arată tot potențialul de a satisface acea nevoie cu un sistem gratuit, ușor și scalabil.
