Prije manje od mjesec dana, Twitter je indirektno priznao da je dio njegovog izvornog koda procurio na platformu za razmjenu koda GitHub tako što je poslao obavijest o kršenju autorskih prava kako bi uklonio inkriminirani repozitorijum. Isti je sada nedostupan, ali je prema pisanju medija bio dostupan javnosti nekoliko mjeseci. Korisnik pod imenom FreeSpeechEnthousiast je napravio hiljade dokumenata koji pripadaju platformi društvenih medija tokom nekoliko mjeseci.
Iako ne postoje konkretni dokazi koji podržavaju ovu hipotezu, vrijeme curenja i ironično korisničko ime koje je počinitelj koristio sugerišu da je curenje bilo namjerno djelo s ciljem nanošenja štete kompaniji.
Iako je još uvijek prerano mjeriti uticaj ovog curenja na Twitter, ovaj incident bi trebao biti prilika za sve proizvođače softvera da postave jednostavno pitanje. Šta ako se to dogodi nama?
Zaštita osjetljivih informacija u softverskoj industriji postaje sve kritičnija jer učestalost i uticaj kršenja podataka i curenja podataka i dalje raste. Uz sve veće oslanjanje na softver, količina osjetljivih informacija pohranjenih u digitalnom obliku stalno se širi.
Prije otprilike godinu dana, hakerska grupa Lapsus$ dospjela je na naslovne strane zbog javnog curenja source koda nekih od najvećih imena u tehnologiji. Trofeji grupe uključivali su skoro 200 GB source koda iz Samsung-a, soruce kod za Nvidia DLSS tehnologiju i 250 internih projekata iz Microsoft-a. Nekoliko drugih softverskih kompanija takođe je na meti, a njihove baze koda su došle u pogrešne ruke: LastPass, Dropbox, Okta i Slack su otkrili da je dio njihovog koda kompromitovan.
Riznica osjetljivih informacija
Izvorni kod sadrži mnoštvo osjetljivih informacija, a to uključuje, većinu vremena, hard kodirane tajne kao što su lozinke, API ključevi i privatni ključevi sertifikata. Ove informacije se često pohranjuju u običnom tekstu unutar izvornog koda, što ih čini privlačnom metom za napadače.
Postoje mnogi potencijalni rizici povezani s procurelim privatnim izvornim kodom, ali otkrivene tajne su možda najviše zabrinjavajuće, u State of Secrets Sprawl-u 2023. godine, pojedinačnoj najvećoj analizi javnih GitHub aktivnosti, GitGuardian je prijavio 10 miliona novootkrivenih tajni samo u 2022. godini, zapanjujući broj koji je porastao za 67% u odnosu na prethodnu godinu. Fenomen se dobrim dijelom objašnjava činjenicom da je vrlo lako kada se koristi kontrola verzija kao što je Git greškom objaviti hard kodirane tajne zakopane u istoriji urezivanja. Ali maliciozne namjere takođe mogu biti uzrok otkrivanja povjerljivih informacija.
Kada dođe do curenja izvornog koda, ove tajne mogu biti razotkrivene, pružajući napadačima pristup sistemima i podacima. Tajne u kodu su posebno značajan problem. Oni omogućavaju napadaču da se kreće brzo kako bi iskoristio brojne sisteme, što otežava organizacijama da obuzdaju štetu. Nažalost, interni izvorni kod je vrlo propustljiva imovina. Široko je dostupan programerima u cijeloj kompaniji, napravljena je sigurnosna kopija na različitim serverima, pa čak i pohranjena na lokalnim mašinama programera. To je jedan od razloga zašto je tako važno osigurati da nijedna tajna nije otkrivena.
Osim rizika od malicioznih aktivnosti, greške koje su napravili programeri takođe mogu dovesti u opasnost kompanije. Na primjer, može doći do slučajnog curenja koda zbog načina na koji je GitHub dizajnirao svoju ponudu kompanija/organizacija. Zbog toga je organizacijama teško spriječiti slučajna curenja i, obrnuto, programerima je previše lako napraviti greške.
Izložene logičke mane takođe izazivaju zabrinutost. Mogu postojati ranjivosti u načinu na koji softverske aplikacije rukuju funkcijama i podacima koji bi mogli biti prisutni u source kodu. Kada je source kod otkriven, napadači ga mogu analizirati u potrazi za ovim ranjivostima i iskoristiti ih za neovlašteni pristup. Isto važi i za arhitekturu aplikacije. Organizacije često očekuju da arhitektura njihovih aplikacija bude skrivena, što je koncept koji se naziva bezbjednost opskurnošću. Kada je source kod otkriven, napadače može odvesti do mape kako aplikacije rade, dajući im priliku da pronađu skrivenu imovinu.
Zaštitite svoj source kod
Problem nije nov, a mnogi u sigurnosnoj industriji već neko vrijeme zvone na uzbunu. Međutim, nedavne inicijative Bajdenove administracije za jačanje kibernetičke otpornosti infrastrukture i malih i srednjih kompanije povećale su fokus na odgovornost dobavljača softvera. Kako kibernetička bezbjednost postaje nacionalni prioritet, postojaće povećan pritisak da se promovišu sigurne razvojne prakse i oblikuju tržišne snage da daju prioritet zaštiti osjetljivih informacija.
Dakle, šta proizvođači softvera mogu učiniti da zaštite svoj izvorni kod i osjetljive informacije? Prije svega, moraju prepoznati potencijalne rizike i poduzeti odgovarajuće korake da ih ublaže. Ovo uključuje implementaciju bezbjednosnih mjera za zaštitu od malicioznih aktivnosti i osiguravanje da se hard kodirane tajne ne pohranjuju u običnom tekstu unutar izvornog koda.
Međutim, potrebno je više od jednog pristupa za zaštitu osjetljivih informacija u softverskoj industriji. Korištenje kombinacije rešenja za upravljanje tajnama, prakse sigurnog kodiranja i automatskog otkrivanja tajni može pružiti sveobuhvatnu sigurnosnu strategiju.
Otkrivanje tajni uključuje skeniranje source koda i drugih digitalnih sredstava u potrazi za hard kodiranim tajnama, upozoravajući programere na potencijalne ranjivosti koje bi napadači mogli iskoristiti. Ovim proaktivnim pristupom, organizacije mogu bolje zaštititi svoje osjetljive informacije i identifikovati potencijalne sigurnosne rizike ranije u životnom ciklusu razvoja softvera.
Kombinovanje rešenja za otkrivanje tajni u kombinaciji sa upravljanjem tajnama i praksama bezbjednog kodiranja obezbeđuje slojevit bezbjednosni pristup koji može pomoći da se ublaže rizici povezani sa procurelim source kodom i drugim potencijalnim ranjivostima.
Pored ovih tehničkih mjera, takođe je važno osigurati da zaposleni budu obučeni i edukovani o najboljim praksama kibernetičke bezbjednosti. Ovo uključuje redovnu obuku i programe podizanja svijesti kako bi se osiguralo da su zaposleni svjesni rizika i da znaju kako zaštititi osjetljive informacije.
Kontinuirana bezbjednost
Sve u svemu, zaštita source koda i osjetljivih informacija je kritično pitanje za proizvođače softvera. Kako učestalost malicioznih aktivnosti i slučajnih curenja i dalje raste, od suštinske je važnosti da dobavljači preduzmu korake kako bi umanjili rizike i zaštitili podatke svojih kupaca. Implementacijom bezbjednih praksi kodiranja, korišćenjem rešenja za upravljanje tajnama i obezbeđivanjem programa obuke i podizanja svesti zaposlenih, dobavljači mogu pomoći u stalnom poboljšanju prakse razvoja softvera na duge staze.
Važno je napomenuti da zaštita source koda i osjetljivih informacija nije jednokratni događaj. To je stalan proces koji zahtijeva stalnu pažnju i budnost. Prodavci softvera moraju kontinuirano pratiti svoje sisteme za potencijalne ranjivosti i osigurati da su njihove sigurnosne mjere ažurne.
Izvor: The Hacker News