OpenSSF откри опити за социално инженерство да получи контрол върху проекти с отворен код

Пингвин (тукс) хакер на linux със зло лице

tux-хакер

Инцидентът в XZ несъмнено ще остави отпечатък който ще се помни дълги години и е това, като споменавам по това време В една от статиите, където споделяме продължението на инцидента, «работата, извършена от Jia Tan es един от най-добрите примери за приложно социално инженерство» и това ще бъде основа за много други опити и случаи, които ще станат известни в бъдеще.

Това Това е нещо, за което и разработчиците, и проектите, и фондациите са много ясни в момента., и че въпреки големите усилия и промените, които прилагат, има много пакети и проекти, които нямат персонал и поддържащите, които имат, могат да попаднат в нещо подобно на това, което се случи с XZ.

задна врата XZ
Свързана статия:
Как е възможно Debian да заобиколи задната врата в XZ? Кратък анализ на случая 

Тези случаи вече започнаха да се случват и в OpenSSF (Фондация за сигурност с отворен код, организация, създадена под егидата на Фондация Linux за подобряване на сигурността на софтуера с отворен код) Вече сте започнали да забелязвате този тип дейност, тъй като наскоро издаде предупреждение към общността за тревожни дейности, свързани с опити за поемане на контрол над популярни проекти с отворен код.

En Инцидент, подобен на атаката срещу xz, беше установено, че неизвестни лица преди това в разработка с отворен код се опита да манипулира и контролира софтуерни проекти с отворен код. Тези хора са използвали методи на социално инженерство, за да комуникират с членовете на управителния съвет от OpenJS Foundation, неутрална платформа за разработване на JavaScript проекти.

Тези лица включваше разработчици на трети страни със съмнителни досиета в разработката с отворен код. В своите съобщения те се опитваха да убедят ръководството на OpenJS за спешната необходимост от актуализиране на един от популярните JavaScript проекти. Те твърдяха, че актуализацията е необходима за добавяне на защита срещу критични уязвимости, въпреки че не предоставиха конкретни подробности за тези уязвимости.

За да приложи предложените промени, заподозреният разработчик предложи да бъде включен сред поддържащите проекта, въпреки че имаше ограничена роля в разработката до този момент. Освен това подобни случаи на подозрителни опити за код бяха открити в два други популярни JavaScript проекта, които не са свързани с OpenJS.

Ето защо OpenSSF (Фондация за сигурност с отворен код) и OpenJS (Фондация OpenJS) са издали предупреждение Всички разработчици и поддържащи проекти с отворен код трябва да бъдат нащрек за следните подозрителни модели, които биха могли да показват опит за поемане на контрол над проекта.

Как да защитите своя проект с отворен код?

OpenSSF споменава, че поради съвместния характер на проектите с отворен код, това ги прави податливи на поредица от уязвимости, от които нападателите могат да се възползват, поради което споделя списък с най-често срещаните уязвимости, от които нападателите се възползват, за да прилагат социални инженерство.
Подозрителни модели в опитите:

  • Остарели зависимости: Една от най-честите уязвимости е използването на остарели зависимости.
  • Приятелско, но агресивно и упорито поведение: Сравнително неизвестен член на общността се стреми да преследва поддържащия или субекта, който го хоства (фондация или компания).
  • Молба за повишаване в ранг: Нови или непознати хора кандидатстват за повишение, без да имат значителна история на принос към проекта.
  • Подкрепа от други неизвестни членове на общността: Нападателите могат да използват фалшиви самоличности, за да подкрепят своите заявки и да създадат фалшиво чувство на доверие.
  • Заявки за изтегляне: Злонамерените файлове може да са скрити в двоични файлове или петна, което ги прави трудни за откриване.
  • Умишлено объркан или труден за разбиране изходен код: Целта е да се затрудни прегледът на кода и да се скрият потенциалните уязвимости.
  • Постепенна ескалация на проблемите със сигурността: Нападателят може да започне с въвеждането на незначителни уязвимости и след това да ескалира до по-сериозни проблеми.
  • Отклонение от типичните практики за компилиране, изграждане и внедряване на проекти: Тези отклонения могат да позволят вмъкването на зловреден код в двоичните файлове.

Фалшиво чувство за спешност: Нападателят може да създаде среда на спешност, за да притисне поддържащия да извърши повърхностен преглед на кода.
Тези атаки със социално инженерство се стремят да се възползват от чувството за дълг, което поддържащите имат към своите проекти и общности, за да ги манипулират, тъй като чрез генериране на натиск за въвеждане на промени, разрешаване на уязвимости или предоставяне на по-голямо доверие на член в много настоятелен, те карат отговорно лице или хора в крайна сметка се предават, преди да проверят или извършат съответните тестове.
Ако сте азИнтересува се да науча повече за това, можете да проверите подробностите в следната връзка.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорник за данните: AB Internet Networks 2008 SL
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.