A nyílt forráskódú projektek veszélyeztetése és a rosszindulatú programok terjesztése a múlté lehet. A Linux Alapítvány szoftveraláírási kezdeményezése Titkosítanunk kell a szoftverkiadásokat.
A probléma
Megdöbbentő a nyílt forráskód széles körű használata. A nyílt forráskódú szoftverek, eszközök és könyvtárak szinte minden nem triviális szoftverfejlesztésben megtalálhatók. Sajnos éppen az, ami vonzóvá teszi a nyílt forráskódot – hozzáfér a szoftver forráskódjához, és bárki beküldhet hibajavításokat és új funkciókat – egy olyan támadási vektort mutat be, amelyet a fenyegetés szereplői kihasználhatnak.
A nyílt forráskódú projektekbe kiberbűnözők adtak be rosszindulatú kódokat, amelyek a nyílt forráskódú termék népszerűségét terjesztési módszerként használják rosszindulatú programjaikhoz. Jellemzően a fenyegetés szereplőinek egy hátsó ajtót biztosít az áldozatok számítógépén. Futtathat billentyűleütést is, vagy letöltheti a tényleges rosszindulatú szoftvert a számítógépes bűnöző szervereiről.
Ez a típusú támadás a ellátási lánc támadás. Az ellátási lánc támadása során az áldozatok nincsenek közvetlenül veszélyeztetve. A rosszindulatú teher az áldozat egyik beszállítójánál kerül beillesztésre valamibe. Amikor az áldozat beszerzi a megrontott tárgyat, akkor elindul a rosszindulatú teher, és az áldozat veszélybe kerül. Az ellátási lánc támadásának leghíresebb példája volt a Stuxnet támadás az iráni Natanzban található urándúsító üzem ellen.
A nyílt forráskódú szoftver nyilvánvaló platform az internetes bűnözők számára az ilyen típusú támadásokhoz. Válaszul a Linux Alapítvány elindul sigstore. sigstore egy ingyenes szolgáltatás—Együtt fejlődött Google, piros kalap, és Purdue Egyetem—Az szoftverfejlesztők felhasználhatják a szoftverkiadások digitális aláírására.
A sigstore megvédi a nyílt forráskódú fogyasztókat az olyan támadásoktól, mint a függőségi zavarok támadása. Ezek a támadások arra késztetik a csomagkezelőket, hogy telepítsenek egy helyileg elérhető erőforrás, például egy könyvtárfájl távolról tárolt rosszindulatú verzióját. A csomagkezelőnek azt mondják, hogy a telepítendő szoftver függőséget mutat, és a helyi könyvtár fájlt frissíteni kell. A távvezérelt, szennyezett verzió magasabb verziószámmal rendelkezik, amely kielégíti a hamis függőséget. A „frissítés” megtörténik, és a rendszer sérül.
Hogyan működik a sigstore
Mint minden aláírási és tanúsítási rendszer, az aláírás vagy a tanúsítvány értéke ahhoz is kötődik, hogy az emberek mennyire bíznak a kibocsátó hatóságban. sigstore használja a OpenID Alapítvány OpenID Connect amely az iparági szabványon alapszik X.509 a tanúsítványok meghatározásának és kezelésének rendszere. A sigstore az OpenID hitelesítési protokollal köti össze a tanúsítványokat a fejlesztő személyével. Általában ez az e-mail címük vagy egy másik azonosítójuk.
A sigstore kliens rövid ideig tartó kulcspárt hoz létre. A sigstore-t kérdezi Nyilvános kulcsú infrastruktúra (PKI), amely ellenőrzi az érvényes OpenID Connect ellenőrzést, és igazolást állít ki, ha minden rendben van. A tanúsítvány a szoftver aláírásához használt kulcspár értékek felhasználásával jön létre.
A tanúsítványok és az aláírások ellenőrzési nyomvonalát változatlan nyilvános naplóként vezetik. A napló felhasználható a szoftverkiadások és tanúsítványok ellenőrzésére. Nyilvánosan hozzáférhető igazolást nyújt a fájlban található aláírásról. A későbbi aláírások egyediek lesznek, mert az időt és a dátumot is rögzítik. Ez biztosítékot nyújt a nyílt forráskódú fájlok eredetére és eredetére vonatkozóan, és lehetővé teszi az aláíráson alapuló biztonsági házirendek olyan fájlok befogását, amelyek nem ellenőrizhetők és nem megbízhatók.
Ha egy nyílt forráskódú projektbe rosszindulatú kódot fecskendeznek be, és az egyesítés menedzsmentje vagy a kód- és szakértői felülvizsgálati folyamatok nem találják meg, binárisra fordítható. Ha a bináris dokumentumot digitálisan aláírják, a sigstore nem fog tudni erről a beágyazott fenyegetésről, és elméletileg igazolhatja egy rosszindulatú kiadást.
Ebben a helyzetben a nyilvános aláíró napló előnyt jelenthet a támadás kivizsgálásában, és korai figyelmeztetésként szolgálhat a kompromittált bináris fájlok másai számára. Ki lehetne építeni olyan rendszereket, amelyek összehasonlítják a bináris tanúsítványokat az ismert jó és bizonyítottan rossz verziók adatbázisával.
Ez hasonló módon működhet, mint a Voltam már Pwned webhely. Manuálisan megkeresheti e-mailjét a weboldalukon keresztül. Ha megtalálta az e-mailt, az azt jelenti, hogy az adatvédelmi jogsértésbe került. Megmondják, hogy melyik webhely adatvédelme tárta fel személyes adatait.
Nem nehéz elképzelni olyan rendszereket, amelyek ellenőriznék a verziószámot és az aláírás hitelességét egy olyan referencia-adatbázissal szemben, amely visszaküldte a go / no-go döntést az aláírt szoftverkiadással kapcsolatban. Ezenkívül a fejlesztőket értesíteni lehet minden alkalommal, amikor e-mail címüket vagy OpenID Connect azonosítójukat aláíró eseményben használják. Ha nem ők kezdeményezték ezt az eseményt, vizsgálatot igényel.
Titkosítsuk, de szoftverre
A 2021. március blogbejegyzés, A Google a sigstore-t olyannak írja le Titkosítsuk, hanem a szoftverkiadásokhoz. A Let’s Encrypt egy ingyenes és nyílt tanúsító hatóság, amely létrehoz SSL / TLS tanúsítványok HTTPS webhelyekhez. Lehetővé teszi ezeknek a webhelyeknek a pozitív hitelesítést, így a látogatók biztosak lehetnek abban, hogy a webhely valóban az, aminek mondja. Miután megállapították a webhely identitását, a tanúsítványban szereplő nyilvános kulcs adatait a látogató böngészője felhasználja a számítógépe és a webhely közötti kommunikáció titkosításához. Automatizált a tanúsítvány megszerzésének folyamata a Let’s Encrypt-től.
A Google blog így folytatja: „Ahogy a Let’s Encrypt ingyenes tanúsítványokat és automatizálási eszközöket kínál a HTTPS számára, a sigstore ingyenes tanúsítványokat és eszközöket is kínál a forráskód aláírásainak automatizálásához és ellenőrzéséhez. A Sigstore további előnye, hogy átláthatósági naplók támogatják, ami azt jelenti, hogy az összes tanúsítvány és tanúsítvány világszerte látható, felfedezhető és ellenőrizhető. „
A vadnyugat megszelídítése
A nyílt forráskódú szoftverek mai használata csak 10 évvel ezelőtt volt elképzelhetetlen. A nyílt forráskód elterjedése a tágabb fejlesztési világban nemcsak a forráskód elérhetőségének, a kódminőségnek, másrészt a hibajavítások és javítások átfutási idejének köszönhető.
A nyílt forrást régebben gyanakodva tekintették. De szervezetek kap nyílt forráskódú. A nyílt forráskódú modellről úgy ismerik el, hogy több köze van a marketinghez és a közzétételhez, mint az, hogy odaadja a GNU General Public License (GPL).
Főleg ez a kód vagy termék megszerzésének módja kint. Kap egy GitHub fiókot, írja meg a programját, és mondja el az embereknek, hogy elérhető. Ha jó, akkor megnő, és remélhetőleg hógolyó. Szeretne bekapcsolódni egy nyílt forráskódú projektbe? Egyszerű. Az egyesítési kérelmet küldje el nekik Git adattár, vagy felajánlja, hogy segítséget nyújt a dokumentációjukban.
A nyílt forráskód a legpozitívabb módon volt zavaró. De mindenki számára ingyenes volt. A nyílt forráskódú ökoszisztéma valamiért kiált, amely átláthatóságot, ellenőrzést és auditálást biztosíthat a szoftver-ellátási lánc számára.
A sigstore megmutatja az összes lehetőséget arra, hogy ezt az igényt egy ingyenes, könnyű és méretezhető rendszerrel töltse ki.