Το επίσημο αποθετήριο ανοιχτού κώδικα για τη γλώσσα προγραμματισμού Python, το Python Package Index (PyPI), θα απαιτήσει από όλους τους λογαριασμούς χρηστών να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων (2FA) μέχρι το τέλος του 2023.
Η κίνηση ασφαλείας μπορεί να αποτρέψει τους κυβερνοεπιτιθέμενους από το να διακινδυνεύουν λογαριασμούς συντηρητών και να εισάγουν κακόβουλο κώδικα σε υπάρχοντα νόμιμα έργα, αλλά δεν είναι ασήμαντη σφαίρα όταν πρόκειται για τη στήριξη της συνολικής ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού, προειδοποιούν οι ερευνητές.
«Από τώρα έως το τέλος του έτους, η PyPI θα αρχίσει να παρέχει πρόσβαση σε ορισμένες λειτουργίες του ιστότοπου με βάση τη χρήση 2FA», εξήγησε ο διαχειριστής και συντηρητής της PyPI, Donald Stufft, σε μια πρόσφατη ανάρτηση ιστολογίου. "Επιπλέον, ενδέχεται να αρχίσουμε να επιλέγουμε ορισμένους χρήστες ή έργα για έγκαιρη επιβολή."
Για την εφαρμογή του 2FA, οι συντηρητές πακέτων έχουν την επιλογή να χρησιμοποιήσουν ένα διακριτικό ασφαλείας ή άλλη συσκευή υλικού ή μια εφαρμογή ελέγχου ταυτότητας. και Stufft είπε ότι οι χρήστες ενθαρρύνονται να στραφούν στη χρήση ενός από τα δύο Αξιόπιστοι εκδότες PyPI χαρακτηριστικό ή διακριτικά API για τη μεταφόρτωση κώδικα στο PyPI.
Πρόκληση δραστηριότητας κακόβουλου πακέτου PyPI
Η ανακοίνωση έρχεται εν μέσω μιας σειράς επιθέσεων από εγκληματίες του κυβερνοχώρου που επιδιώκουν να διεισδύσουν σε διάφορα προγράμματα λογισμικού και εφαρμογές με κακόβουλο λογισμικό που μπορεί στη συνέχεια να συνεχίσει να διαδίδεται ευρέως. Από το PyPI και άλλα αποθετήρια όπως το npm και το GitHub στεγάζουν τα δομικά στοιχεία που χρησιμοποιούν οι προγραμματιστές για τη δημιουργία αυτών των προσφορών, ο συμβιβασμός του περιεχομένου τους είναι ένας πολύ καλός τρόπος για να γίνει αυτό.
Οι ερευνητές λένε ότι συγκεκριμένα το 2FA (το οποίο Το GitHub εφαρμόστηκε επίσης πρόσφατα) θα βοηθήσει στην αποτροπή της κατάληψης λογαριασμού προγραμματιστή, που είναι ένας τρόπος με τον οποίο οι κακοί ηθοποιοί προσελκύουν τις εφαρμογές τους.
«Έχουμε δει εξαπέλυσαν επιθέσεις phishing ενάντια στους συντηρητές έργων για πακέτα PyPI που χρησιμοποιούνται συνήθως και προορίζονται να παραβιάσουν αυτούς τους λογαριασμούς", λέει ο Ashlee Benge, διευθυντής της υποστήριξης πληροφοριών απειλών στο ReversingLabs. "Μόλις παραβιαστούν, αυτοί οι λογαριασμοί μπορούν εύκολα να χρησιμοποιηθούν για την προώθηση κακόβουλου κώδικα στο εν λόγω έργο PyPI ."
Ένα από τα πιο πιθανά σενάρια αρχικής μόλυνσης θα ήταν ένας προγραμματιστής να εγκαταστήσει κατά λάθος ένα κακόβουλο πακέτο, για παράδειγμα, να πληκτρολογήσει μια εντολή εγκατάστασης Python κατά λάθος, λέει ο Dave Truman, αντιπρόεδρος κυβερνοκινδύνου στην Kroll.
«Πολλά από τα κακόβουλα πακέτα περιέχουν λειτουργικότητα για την κλοπή διαπιστευτηρίων ή cookie περιόδου λειτουργίας προγράμματος περιήγησης και είναι κωδικοποιημένα για να εκτελούνται στο κακόβουλο πακέτο που εγκαθίσταται», εξηγεί. "Σε αυτό το σημείο, το κακόβουλο λογισμικό θα έκλεβε τα διαπιστευτήριά τους και τις περιόδους σύνδεσης που θα μπορούσαν ενδεχομένως να περιλαμβάνουν συνδέσεις που μπορούν να χρησιμοποιηθούν με το PyPI. Με άλλα λόγια… ένας προγραμματιστής θα μπορούσε να επιτρέψει στον ηθοποιό να περιστραφεί σε μια μεγάλη επίθεση στην εφοδιαστική αλυσίδα ανάλογα με το σε τι έχει πρόσβαση αυτός ο προγραμματιστής — το 2FA στο PyPI θα βοηθούσε να σταματήσει ο ηθοποιός να εκμεταλλευτεί [αυτό]."
Περισσότερες εργασίες για την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού
Ο Benge της ReversingLabs σημειώνει ότι ενώ οι απαιτήσεις 2FA του PyPI είναι ένα βήμα προς τη σωστή κατεύθυνση, χρειάζονται περισσότερα επίπεδα ασφαλείας για να κλειδωθεί πραγματικά η αλυσίδα εφοδιασμού λογισμικού. Αυτό συμβαίνει επειδή ένας από τους πιο συνηθισμένους τρόπους με τους οποίους οι εγκληματίες του κυβερνοχώρου αξιοποιούν τα αποθετήρια λογισμικού είναι ανεβάζουν τα δικά τους κακόβουλα πακέτα με την ελπίδα να εξαπατήσουν τους προγραμματιστές να τους τραβήξουν στο λογισμικό τους.
Σε τελική ανάλυση, οποιοσδήποτε μπορεί να εγγραφεί για έναν λογαριασμό PyPI, χωρίς ερωτήσεις.
Αυτές οι προσπάθειες συνήθως περιλαμβάνουν κοσμικές τακτικές κοινωνικής μηχανικής, λέει:Το typosquatting είναι συχνό — για παράδειγμα, ονομάζοντας ένα πακέτο «djanga» (που περιέχει κακόβουλο κώδικα) έναντι «django» (η νόμιμη και συνήθως χρησιμοποιούμενη βιβλιοθήκη).»
Μια άλλη τακτική είναι να κυνηγάμε εγκαταλελειμμένα έργα για να επαναφέρουμε στη ζωή. "Ένα πρώην καλοήθη έργο εγκαταλείπεται, αφαιρείται και στη συνέχεια επαναπροορίζεται για φιλοξενία κακόβουλου λογισμικού, όπως με το termcolour», εξηγεί. Αυτή η προσέγγιση ανακύκλωσης προσφέρει στους κακόβουλους παράγοντες το πλεονέκτημα της χρήσης της νόμιμης φήμης του προηγούμενου έργου για να δελεάσουν τους προγραμματιστές.
«Οι αντίπαλοι βρίσκουν συνεχώς πολλούς τρόπους ωθήστε τους προγραμματιστές να χρησιμοποιούν κακόβουλα πακέτα, γι' αυτό είναι κρίσιμο για την Python και άλλες γλώσσες προγραμματισμού με αποθετήρια λογισμικού όπως η PyPi να έχουν μια ολοκληρωμένη προσέγγιση της αλυσίδας εφοδιασμού λογισμικού στην ασφάλεια», λέει ο Javed Hasan, Διευθύνων Σύμβουλος και συνιδρυτής της Lineaje.
Επίσης, υπάρχουν πολλοί τρόποι για να νικήσετε το 2FA, σημειώνει ο Benge, μεταξύ των οποίων Ανταλλαγή κάρτας SIM, εκμετάλλευση OIDC και αεροπειρατεία συνεδρίας. Ενώ αυτά τείνουν να είναι εντάσεως εργασίας, οι επιτιθέμενοι με κίνητρα θα συνεχίσουν να μπαίνουν στον κόπο να προσπαθήσουν να εργαστούν γύρω από το MFA και σίγουρα το 2FA, λέει.
«Τέτοιες επιθέσεις απαιτούν πολύ υψηλότερα επίπεδα δέσμευσης από τους επιτιθέμενους και πολλά πρόσθετα βήματα που θα αποτρέψουν λιγότερους παράγοντες απειλής, αλλά ο συμβιβασμός της εφοδιαστικής αλυσίδας ενός οργανισμού προσφέρει δυνητικά τεράστια ανταμοιβή για τους παράγοντες απειλών και πολλοί μπορεί να αποφασίσουν ότι αξίζει τον κόπο η επιπλέον προσπάθεια. " αυτή λέει.
Ενώ τα αποθετήρια λαμβάνουν μέτρα για να κάνουν το περιβάλλον τους ασφαλέστερο, οι οργανισμοί και οι προγραμματιστές πρέπει να λαμβάνουν τις δικές τους προφυλάξεις, συμβουλεύει ο Hasan.
«Οι οργανισμοί χρειάζονται σύγχρονα εργαλεία ανίχνευσης παραβίασης της αλυσίδας εφοδιασμού που βοηθούν τις εταιρείες να διασπούν ό,τι υπάρχει στο λογισμικό τους και να αποφεύγουν την ανάπτυξη άγνωστων και επικίνδυνων στοιχείων», λέει. Επίσης, προσπάθειες όπως λογαριασμούς υλικών λογισμικού (SBOM) και διαχείριση επιφανειών επίθεσης μπορεί να βοηθήσει.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :έχει
- :είναι
- :δεν
- $UP
- 2023
- 2FA
- a
- πρόσβαση
- Λογαριασμός
- εξαγορά του λογαριασμού
- Λογαριασμοί
- φορείς
- Επιπλέον
- Πρόσθετος
- Πλεονέκτημα
- συνηγορία
- κατά
- Όλα
- επιτρέπουν
- Επίσης
- ενδιάμεσα
- an
- και
- Ανακοίνωσεις
- κάποιος
- api
- app
- πλησιάζω
- εφαρμογές
- ΕΙΝΑΙ
- γύρω
- At
- Επιθέσεις
- Πιστοποίηση
- αποφύγετε
- πίσω
- Κακός
- βασίζονται
- BE
- επειδή
- αρχίζουν
- είναι
- όφελος
- μεταξύ
- Γραμμάτια
- Μπλοκ
- Blog
- Διακοπή
- φέρω
- πρόγραμμα περιήγησης
- χτίζω
- Κτίριο
- αλλά
- by
- CAN
- Διευθύνων Σύμβουλος
- ορισμένες
- σίγουρα
- αλυσίδα
- Συνιδρυτής
- κωδικός
- κωδικοποιημένο
- έρχεται
- Κοινός
- συνήθως
- Εταιρείες
- εξαρτήματα
- περιεκτικός
- συμβιβασμός
- Συμβιβασμένος
- συμβιβασμός
- περιεχόμενα
- συνεχώς
- μπισκότα
- θα μπορούσε να
- Διαπιστεύσεις
- κρίσιμης
- εγκληματίες του κυβερνοχώρου
- Επικίνδυνες
- Ο Dave
- αποφασίζει
- Σε συνάρτηση
- ανάπτυξη
- Ανίχνευση
- Εργολάβος
- προγραμματιστές
- συσκευή
- κατεύθυνση
- Διευθυντής
- Django
- do
- Don
- Donald
- κάτω
- Νωρίς
- εύκολα
- προσπάθεια
- προσπάθειες
- είτε
- ενεργοποιήσετε
- ενθαρρύνονται
- τέλος
- επιβολή
- δέσμευση
- αρκετά
- περιβάλλοντα
- Αιθέρας (ΕΤΗ)
- παράδειγμα
- υφιστάμενα
- εξήγησε
- Εξηγεί
- εκμετάλλευση
- επιπλέον
- μακριά
- Χαρακτηριστικό
- Για
- Πρώην
- προηγουμένως
- από
- λειτουργικότητα
- παίρνω
- GitHub
- Go
- εξαιρετική
- υλικού
- συσκευή υλικού
- Έχω
- he
- βοήθεια
- υψηλότερο
- άγκιστρα
- ελπίζει
- φιλοξενία
- Σπίτι
- HTTPS
- τεράστιος
- κυνήγι
- εφαρμογή
- in
- Σε άλλες
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- ευρετήριο
- λοίμωξη
- αρχικός
- εγκαθιστώ
- εγκατάσταση
- Νοημοσύνη
- προορίζονται
- σε
- εμπλέκω
- IT
- jpg
- εργασία
- Γλώσσα
- Γλώσσες
- στρώματα
- νόμιμος
- μείον
- επίπεδα
- Μόχλευση
- Βιβλιοθήκη
- ζωή
- Μου αρέσει
- Πιθανός
- κοιτάζοντας
- Παρτίδα
- μεγάλες
- κάνω
- malware
- πολοί
- υλικά
- Ενδέχεται..
- ΣΠΙ
- λάθος
- ΜΟΝΤΕΡΝΑ
- περισσότερο
- πλέον
- κίνητρα
- μετακινήσετε
- πολύ
- πολλαπλούς
- ονοματοδοσία
- Ανάγκη
- που απαιτούνται
- Όχι.
- Notes
- τώρα
- of
- Offerings
- προσφορές
- επίσημος ανώτερος υπάλληλος
- on
- μια φορά
- ONE
- ανοίξτε
- ανοικτού κώδικα
- Επιλογή
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- έξω
- φόρμες
- δική
- πακέτο
- Packages
- Ειδικότερα
- άξονας περιστροφής
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- πιθανώς
- ενδεχομένως
- πρόεδρος
- πρόληψη
- Προγραμματισμός
- γλώσσες προγραμματισμού
- Προγράμματα
- σχέδιο
- έργα
- τραβώντας
- Σπρώξτε
- Python
- ερώτηση
- Ερωτήσεις
- πραγματικά
- πρόσφατα
- ανακύκλωση
- Καταργήθηκε
- Αποθήκη
- φήμη
- απαιτούν
- απαιτήσεις
- ερευνητές
- δεξιά
- τρέξιμο
- s
- Ασφαλέστερο
- Είπε
- λένε
- λέει
- σενάρια
- ασφάλεια
- σημείωμα ασφαλείας
- δει
- επιλογή
- Συνεδρίαση
- συνεδρίες
- αυτή
- υπογράψουν
- Ασημένιο
- αφού
- ιστοσελίδα
- λογισμικό
- Πηγή
- πρωτογενής κώδικας
- Βήμα
- Βήματα
- Ακόμη
- στάση
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- Επιφάνεια
- διακόπτης
- τακτική
- Πάρτε
- εξαγοράς
- λήψη
- ότι
- Η
- τους
- Τους
- τότε
- Εκεί.
- Αυτοί
- αυτό
- εκείνοι
- απειλή
- απειλή
- απειλή νοημοσύνης
- προς την
- ένδειξη
- κουπόνια
- εργαλεία
- ταλαιπωρία
- Έμπιστος
- άγνωστος
- χρησιμοποιήσιμος
- Χρήση
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- συνήθως
- διάφορα
- Ve
- Εναντίον
- Vice President
- Τρόπος..
- τρόπους
- we
- Τι
- πότε
- Ποιό
- ενώ
- WHY
- ευρέως
- θα
- με
- λόγια
- Εργασία
- αξία
- θα
- έτος
- zephyrnet