
szmoking-hacker
Az XZ-nél történt incidens kétségtelenül nyomot hagy majd amelyre sok éven át emlékezni fognak és az, mint említeni annak idején Az egyik cikkben, ahol megosztjuk az eset nyomon követését, «Jia Tan munkája es az alkalmazott social engineering egyik legjobb példája» és ez lesz az alapja sok más próbálkozásnak és esetnek, amelyek a jövőben ismertté válnak.
ezt Ez olyasmi, amiről jelenleg mind a fejlesztők, mind a projektek és az alapítványok nagyon világosak., és hogy az általuk végrehajtott nagy erőfeszítések és változtatások ellenére sok olyan csomag és projekt van, amelyből hiányzik a személyzet, és a karbantartók is beleeshetnek valami hasonlóba, mint ami az XZ-nél történt.
Ezek az esetek már elkezdtek előfordulni, és az OpenSSF (Open Source Security Foundation, a Linux Foundation égisze alatt létrehozott entitás a nyílt forráskódú szoftverek biztonságának javítására) Már elkezdte észrevenni ezt a fajta tevékenységet, mivel a közelmúltban figyelmeztetést adott ki a közösségnek a népszerű nyílt forráskódú projektek irányításának átvételére tett kísérletekkel kapcsolatos aggasztó tevékenységek miatt.
En Az xz elleni támadáshoz hasonló incidens során kiderült, hogy ismeretlen személyek korábban nyílt forráskódú fejlesztésben megkísérelte manipulálni és irányítani a nyílt forráskódú szoftverprojekteket. Ezek a személyek szociális tervezési módszereket alkalmaztak a kormányzótanács tagjaival való kommunikáció során az OpenJS Alapítványtól, semleges platform JavaScript projektek fejlesztéséhez.
Ezek az egyének harmadik féltől származó fejlesztőket is tartalmaztak kétes múlttal nyílt forráskódú fejlesztésben. Üzeneteikben az OpenJS vezetőségét próbálták meggyőzni arról, hogy sürgősen frissíteni kell az egyik népszerű JavaScript projektet. Azt állították, hogy a frissítésre azért volt szükség, hogy védelmet nyújtsanak a kritikus sérülékenységekkel szemben, bár nem közöltek konkrét részleteket ezekről a sérülékenységekről.
A javasolt változtatások megvalósításához a gyanús fejlesztő felajánlotta, hogy felveszik a projekt fenntartói közé, annak ellenére, hogy addig korlátozott szerepe volt a fejlesztésben. Ezenkívül két másik, az OpenJS-hez nem kapcsolódó népszerű JavaScript-projektben is észleltek hasonló gyanús kódkísérleteket.
Ez az oka annak, hogy az OpenSSF (Nyílt Forrás Biztonsági Alapítvány) és OpenJS (OpenJS Foundation) figyelmeztetést adtak ki A nyílt forráskódú projektek minden fejlesztőjének és karbantartójának figyelnie kell a következő gyanús mintákra, amelyek a projekt irányításának átvételére irányuló kísérletet jelezhetnek.
Hogyan védheti meg nyílt forráskódú projektjét?
Az OpenSSF megemlíti, hogy a nyílt forráskódú projektek kollaboratív jellege miatt hajlamossá válik egy sor biztonsági résre, amelyet a támadók kihasználhatnak, ezért megosztja a leggyakrabban használt biztonsági rések listáját, amelyeket a támadók kihasználnak a közösségi alkalmazásokhoz. mérnöki.
Gyanús minták a kísérletekben:
- Elavult függőségek: Az egyik leggyakoribb sérülékenység az elavult függőségek használata.
- Barátságos, de agresszív és kitartó viselkedés: Egy viszonylag ismeretlen közösségtag a fenntartó vagy az azt üzemeltető entitás (alapítvány vagy cég) után igyekszik.
- Rangsorbeli emelés kérése: Új vagy ismeretlen személyek jelentkeznek az előléptetésre anélkül, hogy jelentős múlttal rendelkeztek volna a projektben.
- A közösség többi tagjának jóváhagyása: A támadók hamis személyazonosságokat használhatnak kéréseik alátámasztására, és hamis bizalomérzetet kelthetnek.
- Lehívási kérések: A rosszindulatú fájlok elrejthetők a bináris fájlokban vagy a blobokban, ami megnehezíti azok észlelését.
- Szándékosan elhomályosított vagy nehezen érthető forráskód: A cél a kód áttekintésének megnehezítése és a lehetséges sebezhetőségek elrejtése.
- A biztonsági problémák fokozatos fokozódása: A támadó kezdheti kisebb sebezhetőségek bevezetésével, majd súlyosabb problémákig terjedhet.
- Eltérés a tipikus projekt-összeállítási, építési és telepítési gyakorlattól: Ezek az eltérések lehetővé teszik rosszindulatú kód beillesztését a binárisokba.
Hamis sürgősség: A támadó sürgős környezetet hozhat létre, hogy nyomást gyakoroljon a karbantartóra a kód felületes áttekintésére.
Ezek a social engineering támadások arra törekszenek, hogy kihasználják a fenntartóknak a projektjeikkel és közösségeikkel szemben fennálló kötelességtudatát, hogy manipulálják őket, mivel nyomást keltenek a változtatások bevezetésére, a sebezhetőségek megoldására vagy a nagyon ragaszkodó tagok nagyobb bizalommal való ellátására. a felelős személy vagy személyek végül megadják magukat a vonatkozó tesztek ellenőrzése vagy elvégzése előtt.
Ha Ön iÉrdekelne többet megtudni róla, a részleteket itt ellenőrizheti a következő link.