کمیته رکن چهارم – اخیراً کارشناسان در کنفرانس امنیتی کلاه سیاهها در لاسوگاس نشان دادند که عاملان مخرب میتوانند از گیتهاب و سایر خدماتی که میزبان مخازن گیت هستند، برای حملات پنهانی که توسعهدهندگان نرمافزار را هدف قرار میدهند، سوءاستفاده کنند.
اخیراً کارشناسان در کنفرانس امنیتی کلاه سیاهها در لاسوگاس نشان دادند که عاملان مخرب میتوانند از گیتهاب و سایر خدماتی که میزبان مخازن گیت هستند، برای حملات پنهانی که توسعهدهندگان نرمافزار را هدف قرار میدهند، سوءاستفاده کنند.
کلینت گیبلِر، محقق امنیتی گروه NCC، و نوح بِددوم، محقق امنیتی و مدیر امنیت زیرساخت Datadog، سامانههای سازمانهای توسعهدهندهی نرمافزار را بررسی کرده و متوجه شدند که در بسیاری موارد، نکتهی اصلی شکست امنیتی، مدیریت نادرست و یا درک نادرست از روابط درست معرفی شده است. تجزیه و تحلیل عمیق روابط درست میان یک سازمان، توسعهدهندگان آن، بسترها و کد، مجموعهای از حفرههای امنیتی را نشان میدهد که میتواند برای گریز از راهکارهای امنیتی و دسترسی مداوم به سامانههای آن، مورد بهرهبرداری قرار گیرد.
محیطهای متمرکز بر توسعه عبارتند از: ایستگاههای کاری، کاربران عمومی، توسعهدهندگان محلی و از راه دور، سامانههای کنترل نسخه، مخازن کد، سامانههای یکپارچهی پیوسته و سامانههای طراحی و تولید. گیبلِر و بِددوم نشان دادند که روابط درست بین این مولفهها، بهویژه در محیطهای توسعهی نرمافزارهای چابک، اگر بهدرستی مدیریت نشوند، خطرات جدی امنیتی در پی دارند. علاوه بر این، کارشناسان هشدار دادند که سازمانها اغلب میتوانند سطوح ناخواستهای از روابط درست را معرفی کنند. برای مثال، حذف کنترلهای امنیتی برای انجام سریعتر کارها و جلسات فوری.
بهمنظور نشان دادن چگونگی سوءاستفاده از این روابط مبتنی بر اعتماد، گیبلِر و بِددوم یک ابزار تست نفوذ با نام GitPwnd ایجاد کردند. GitPwnd به مهاجمان اجازهی ارتباط با دستگاههای به خطر افتاده از طریق مخازن گیت، که اطلاعات تاریخچهی نرمافزار را ذخیره میکنند، را میدهد. دستورات از طریق مخزن گیت به دستگاه نفوذ شده ارسال شده و پاسخ بر روی همان لایهی انتقالی دریافت میشود. احتمال اینکه قربانی متوجه ترافیک مخرب شود، کم است، چرا که معمولاً توسط یک توسعهدهنده بهعنوان یک عملیات پنهان انجام میشود. GitPwnd از گیتهاب برای میزبانی مخازن گیت مهاجم استفاده میکند، اما محققان اشاره کردند که سایر خدمات مانند بیتباکِت یا گیتلب نیز بهخوبی کار میکنند.
مهاجم میتواند یک نسخه از مخزن عمومی را برای غیرقابل مشاهده کردن ارتباطات تا حد ممکن ایجاد کند. بهمنظور پنهان کردن بیشتر ترافیک مخرب بهعنوان گردشکار کاربر عادی، مهاجم میتواند از تلههای گیت سوءاستفاده کند. تلههای گیت اسکریپتهایی هستند که بهصورت خودکار اجرا میشوند، زمانیکه توسعهدهنده دستورات گیت را در فهرست مخزن اجرا میکند و از آنجاییکه تلهها تحت کنترل نسخه قرار ندارند، هنگام استفاده از گیت برای تعیین تغییرات پرونده، تغییرات ایجاد شده در آنها نمایش داده نمیشود و درنتیجه شناسایی کد مخرب مشکلتر است.
هنگامیکه مهاجم از طریق عملیات فیشینگ یا دیگر روشها به سامانههای قربانی دسترسی پیدا میکند، GitPwnd میتواند تمام این فرآیند را بهصورت خودکار انجام دهد. نفوذگر میتواند دستورات دلخواه پایتون را در دستگاههای آسیبدیده اجرا کند تا به آرامی اطلاعات را سرقت کرده و کارهای دیگر را تکمیل نماید. ابزار GitPwnd متنباز بوده و بر روی گیتهاب در دسترس است. درحالیکه عاملان مخرب میتوانند از آن سوءاستفاده کنند، محققان به سکیوریتیویک گفتند که هنوز برای استفادهی مؤثر از این ابزار، به یک مهاجم ماهر نیاز است. علاوه بر این، این ابزار در برخی از جنبههای خاص برای جلوگیری از سوءاستفاده بهصورت دارای نویز طراحی شدهاند.
حمله به توسعهدهندگان نرمافزار، بیسابقه نیست. چند ماه پیش، شرکتهای امنیتی ایسِت و پالوآلتو گزارش دادند یک گروه تهدیدکننده که توسعهدهندگان متنباز، بهویژه آنهایی که از گیتهاب استفاده میکردند، را هدف قرار داده بود، توانست برای بیش از سه سال زیر رادار باقی بماند. در مورد سوءاستفاده از گیتهاب، گروه تهدیدکنندهی مرتبط با چین که با عنوان Winnti شناخته شده است، از این خدمات برای دستیابی به آدرس IP و تعداد درگاههای کارگزارهای C & C استفاده میکند، که در حمله به سازمانهای آسیای جنوب شرقی مورد استفاده قرار میگیرد.
منبع : asis
