מאגר הקוד הפתוח הרשמי של שפת התכנות Python, Python Package Index (PyPI), ידרוש מכל חשבונות המשתמשים לאפשר אימות דו-גורמי (2FA) עד סוף 2023.
מהלך האבטחה עשוי לסייע במניעת תוקפי סייבר להתפשר על חשבונות מנהלים ולהחדיר קוד זדוני לפרויקטים לגיטימיים קיימים, אבל זה לא כדור כסף כשמדובר בחיזוק אבטחת שרשרת האספקה הכוללת של תוכנה, מזהירים חוקרים.
"בין עכשיו לסוף השנה, PyPI יתחיל להגדיר גישה לפונקציונליות מסויימת של האתר בהתבסס על שימוש ב-2FA", הסביר מנהל PyPI ומתחזק דונלד סטאפט. פרסום לאחרונה בבלוג. "בנוסף, אנו עשויים להתחיל לבחור משתמשים או פרויקטים מסוימים לאכיפה מוקדמת."
כדי ליישם 2FA, למנהלי החבילות יש אפשרות להשתמש באסימון אבטחה או בהתקן חומרה אחר, או באפליקציית אימות; ו-Stufft אמרו שמעודדים את המשתמשים לעבור להשתמש בשניהם המפרסמים המהימנים של PyPI תכונה או אסימוני API כדי להעלות קוד ל- PyPI.
להגביר את פעילות החבילה הזדונית של PyPI
ההכרזה מגיעה בתוך שלל התקפות של פושעי סייבר המחפשים לחדור לתוכנות ואפליקציות שונות עם תוכנות זדוניות שיכולות להמשיך להיות מופצות בהרחבה. מאז PyPI ו מאגרים אחרים כמו npm ו-GitHub מאחסנים את אבני הבניין שמפתחים משתמשים בהן כדי לבנות את ההצעות הללו, התפשרות על התוכן שלהן היא דרך מצוינת לעשות זאת.
חוקרים אומרים כי 2FA במיוחד (אשר גם GitHub יושם לאחרונה) יעזור למנוע השתלטות על חשבון מפתח, וזו אחת הדרכים שבהן שחקנים גרועים מכניסים את ה-hooks שלהם לאפליקציות.
"ראינו התקפות דיוג נפתחו נגד מנהלי הפרויקטים בגין חבילות PyPI בשימוש נפוץ שנועדו לסכן את החשבונות האלה", אומרת אשלי בנג', מנהלת הסברה למודיעין איומים ב-ReversingLabs. "לאחר שנפרצו, ניתן להשתמש בחשבונות האלה בקלות כדי לדחוף קוד זדוני לפרויקט PyPI המדובר ."
אחד התרחישים הסבירים ביותר של זיהום ראשוני יהיה מפתח שיתקין בטעות חבילה זדונית, למשל, הקלדת פקודת התקנת Python בטעות, אומר דייב טרומן, סגן נשיא לסיכוני סייבר ב-Kroll.
"הרבה מהחבילות הזדוניות מכילות פונקציונליות לגניבת אישורים או קובצי Cookie של הפעלת דפדפן ומקודדות כך שיפעלו על החבילה הזדונית המותקנת", הוא מסביר. "בשלב זה, התוכנה הזדונית הייתה גונבת את האישורים וההפעלות שלהן, אשר עשויות לכלול כניסות לשימוש עם PyPI. במילים אחרות... מפתח אחד יכול לאפשר לשחקן להסתובב אל מתקפת שרשרת אספקה גדולה תלוי למה יש למפתח הזה גישה - 2FA ב- PyPI יעזור למנוע מהשחקן לנצל את [זה]."
עוד עבודה לאבטחת שרשרת אספקת התוכנה
Benge של ReversingLabs מציין שבעוד שדרישות ה-2FA של PyPI הן צעד בכיוון הנכון, יש צורך בשכבות אבטחה נוספות כדי לנעול את שרשרת האספקה של התוכנה באמת. הסיבה לכך היא שאחת הדרכים הנפוצות ביותר שבהן פושעי סייבר ממנפים מאגרי תוכנה היא העלאת חבילות זדוניות משלהם בתקווה להטעות מפתחים למשוך אותם לתוכנה שלהם.
אחרי הכל, כל אחד יכול להירשם לחשבון PyPI, בלי לשאול שאלות.
מאמצים אלה כוללים בדרך כלל טקטיקות הנדסיות חברתיות ארציות, היא אומרת: "טיפוסקוואט שכיח - למשל, מתן שם לחבילה 'djanga' (המכילה קוד זדוני) לעומת 'django' (הספרייה הלגיטימית והנפוץ בשימוש)."
טקטיקה נוספת היא לחפש פרויקטים נטושים כדי להחזיר לחיים. "פרויקט שפיר בעבר נזנח, מוסר ולאחר מכן נועד מחדש לאירוח תוכנות זדוניות, כמו עם צבע מונח", היא מסבירה. גישת המיחזור הזו מציעה לשחקנים זדוניים את היתרון בשימוש במוניטין הלגיטימי של הפרויקט הקודם כדי לפתות מפתחים.
"היריבים מוצאים כל הזמן דרכים רבות לעשות זאת לגרום למפתחים להשתמש בחבילות זדוניות, וזו הסיבה שחשוב ל-Python ולשפות תכנות אחרות עם מאגרי תוכנה כמו PyPi גישה מקיפה של שרשרת אספקת תוכנה לאבטחה", אומר ג'ווד חסן, מנכ"ל ומייסד שותף, Lineaje.
כמו כן, ישנן מספר דרכים להביס את 2FA, הערות Benge, כולל החלפת ה- SIM, ניצול OIDC וחטיפת הפעלה. למרות שאלו נוטים להיות עתירי עבודה, תוקפים בעלי מוטיבציה עדיין יטרחו לנסות לעקוף את MFA ובוודאי 2FA, היא אומרת.
"התקפות כאלה דורשות רמות גבוהות בהרבה של מעורבות של תוקפים ושלבים רבים נוספים שירתעו גורמי איומים פחות מוטיבציה, אבל התפשרות על שרשרת האספקה של ארגון מציעה פוטנציאל תמורה עצומה עבור גורמי האיומים, ורבים עשויים להחליט שהמאמץ הנוסף שווה את זה. " היא אומרת.
בעוד שמאגרים נוקטים בצעדים כדי להפוך את הסביבה שלהם לבטוחה יותר, ארגונים ומפתחים צריכים לנקוט באמצעי זהירות משלהם, מייעץ חסן.
"ארגונים זקוקים לכלים מודרניים לזיהוי חבלה בשרשרת האספקה המסייעים לחברות לפרק את מה שיש בתוכנה שלהן ולהימנע מפריסה של רכיבים לא ידועים ומסוכנים", הוא אומר. כמו כן, מאמצים כמו רשימות חומרי תוכנה (SBOM) ו ניהול משטח התקפה יכול לעזור.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 2023
- 2FA
- a
- גישה
- חֶשְׁבּוֹן
- השתלטות על חשבון
- חשבונות
- שחקנים
- תוספת
- נוסף
- יתרון
- סנגור
- נגד
- תעשיות
- להתיר
- גם
- בתוך
- an
- ו
- הַכרָזָה
- כל אחד
- API
- האפליקציה
- גישה
- אפליקציות
- ARE
- סביב
- At
- המתקפות
- אימות
- לְהִמָנַע
- בחזרה
- רע
- מבוסס
- BE
- כי
- להתחיל
- להיות
- תועלת
- בֵּין
- שטרות
- אבני
- בלוג
- לשבור
- להביא
- דפדפן
- לִבנוֹת
- בִּניָן
- אבל
- by
- CAN
- מנכ"ל
- מסוים
- בהחלט
- שרשרת
- מייסד שותף
- קוד
- מקודד
- מגיע
- Common
- בדרך כלל
- חברות
- רכיבים
- מַקִיף
- פשרה
- התפשר
- מתפשר
- תוכן
- תמיד
- עוגיות
- יכול
- אישורים
- קריטי
- עברייני אינטרנט
- מסוכן
- דייב
- להחליט
- תלוי
- פריסה
- איתור
- מפתח
- מפתחים
- מכשיר
- כיוון
- מְנַהֵל
- ג'נגו
- do
- דון
- דונלד
- מטה
- מוקדם
- בקלות
- מאמץ
- מַאֲמָצִים
- או
- לאפשר
- עודד
- סוף
- אַכִיפָה
- התעסקות
- מספיק
- סביבות
- Ether (ETH)
- דוגמה
- קיימים
- מוסבר
- מסביר
- ניצול
- נוסף
- רחוק
- מאפיין
- בעד
- לשעבר
- לשעבר
- החל מ-
- פונקציונלי
- לקבל
- GitHub
- Go
- גדול
- חומרה
- מכשיר חומרה
- יש
- he
- לעזור
- גבוה יותר
- הוקס
- מקווה
- אירוח
- בית
- HTTPS
- עצום
- ציד
- ליישם
- in
- באחר
- לכלול
- כולל
- מדד
- זיהום
- בתחילה
- להתקין
- התקנה
- מוֹדִיעִין
- התכוון
- אל תוך
- לערב
- IT
- jpg
- עבודה
- שפה
- שפות
- שכבות
- לגיטימי
- פחות
- רמות
- תנופה
- סִפְרִיָה
- החיים
- כמו
- סביר
- הסתכלות
- מגרש
- גדול
- לעשות
- תוכנות זדוניות
- רב
- חומרים
- מאי..
- משרד חוץ
- טעות
- מודרני
- יותר
- רוב
- מוטיבציה
- המהלך
- הרבה
- מספר
- שמות
- צורך
- נחוץ
- לא
- הערות
- עַכשָׁיו
- of
- הצעות
- המיוחדות שלנו
- רשמי
- on
- פעם
- ONE
- לפתוח
- קוד פתוח
- אפשרות
- or
- ארגון
- ארגונים
- אחר
- הַחוּצָה
- מקיף
- שֶׁלוֹ
- חבילה
- חבילות
- מסוים
- Pivot
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- יִתָכֵן
- פוטנציאל
- נשיא
- למנוע
- תכנות
- שפות תכנות
- תוכניות
- פּרוֹיֶקט
- פרויקטים
- מושך
- דחוף
- פיתון
- שאלה
- שאלות
- בֶּאֱמֶת
- לאחרונה
- מיחזור
- הוסר
- מאגר
- מוניטין
- לדרוש
- דרישות
- חוקרים
- תקין
- הפעלה
- s
- בטוח יותר
- אמר
- לומר
- אומר
- תרחישים
- אבטחה
- בטח
- לראות
- בחירה
- מושב
- הפעלות
- היא
- סִימָן
- כסף
- since
- אתר
- תוכנה
- מָקוֹר
- קוד מקור
- שלב
- צעדים
- עוד
- עצור
- כזה
- לספק
- שרשרת אספקה
- משטח
- מתג
- טקטיקה
- לקחת
- השתלטות
- נטילת
- זֶה
- אל האני
- שֶׁלָהֶם
- אותם
- אז
- שם.
- אלה
- זֶה
- אלה
- איום
- איום שחקנים
- איום מודיעיני
- ל
- אסימון
- מטבעות
- כלים
- צרה
- מהימן
- לא ידוע
- שָׁמִישׁ
- נוֹהָג
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- בְּדֶרֶך כְּלַל
- שונים
- Ve
- נגד
- סגן הנשיא
- דֶרֶך..
- דרכים
- we
- מה
- מתי
- אשר
- בזמן
- למה
- באופן נרחב
- יצטרך
- עם
- מילים
- תיק עבודות
- ראוי
- היה
- שנה
- זפירנט