Oficjalne repozytorium kodu open source dla języka programowania Python, Python Package Index (PyPI), będzie wymagać od wszystkich kont użytkowników włączenia uwierzytelniania dwuskładnikowego (2FA) do końca 2023 r.
To posunięcie w zakresie bezpieczeństwa może pomóc uniemożliwić cyberprzestępcom włamywanie się na konta opiekunów i wstrzykiwanie złośliwego kodu do istniejących legalnych projektów, ale nie jest to złoty środek, jeśli chodzi o wzmocnienie ogólnego bezpieczeństwa łańcucha dostaw oprogramowania – ostrzegają badacze.
„Od teraz do końca roku PyPI zacznie zapewniać dostęp do niektórych funkcji witryny w oparciu o wykorzystanie 2FA” – wyjaśnił administrator i opiekun PyPI Donald Stufft w ostatnie wpisy na blogu. „Ponadto możemy rozpocząć wybieranie określonych użytkowników lub projektów do wcześniejszego wdrożenia”.
Aby wdrożyć 2FA, opiekunowie pakietów mają możliwość użycia tokena zabezpieczającego lub innego urządzenia sprzętowego lub aplikacji uwierzytelniającej; i Stufft powiedział, że użytkownicy są zachęcani do korzystania z któregokolwiek z nich Zaufani wydawcy PyPI funkcji lub tokenów API, aby przesłać kod do PyPI.
Powstrzymanie aktywności złośliwego pakietu PyPI
Ogłoszenie pojawia się pośród wielu ataków cyberprzestępców, którzy chcą infiltrować różne programy i aplikacje za pomocą złośliwego oprogramowania, które następnie może być szeroko rozpowszechniane. Ponieważ PyPI i inne repozytoria, takie jak npm i GitHub zawierają cegiełki, których programiści używają do tworzenia tych ofert, narażanie ich zawartości na szwank to świetny sposób na zrobienie tego.
Naukowcy twierdzą, że w szczególności 2FA (które GitHub również niedawno wdrożony) pomoże zapobiec przejęciu konta programisty, co jest jednym ze sposobów, w jaki złoczyńcy włamują się do aplikacji.
"Widzieliśmy przeprowadzono ataki phishingowe przeciwko opiekunom projektów w związku z powszechnie używanymi pakietami PyPI, których celem jest włamanie się na te konta” – mówi Ashlee Benge, dyrektor ds. wspierania analityki zagrożeń w ReversingLabs. „Po przejęciu zabezpieczeń konta te można z łatwością wykorzystać do przesyłania złośliwego kodu do danego projektu PyPI .”
Jednym z najbardziej prawdopodobnych scenariuszy początkowej infekcji byłoby przypadkowe zainstalowanie przez programistę złośliwego pakietu, na przykład przez pomyłkę wpisanie komendy instalacyjnej Pythona, mówi Dave Truman, wiceprezes ds. cyber-ryzyka w Kroll.
„Wiele złośliwych pakietów zawiera funkcję kradzieży danych uwierzytelniających lub plików cookie sesji przeglądarki i jest zakodowanych tak, aby uruchamiały się na instalowanym złośliwym pakiecie” – wyjaśnia. „W tym momencie złośliwe oprogramowanie kradnie ich dane uwierzytelniające i sesje, które mogą obejmować loginy możliwe do wykorzystania w PyPI. Innymi słowy… jeden programista mógłby pozwolić aktorowi na przejście do poważny atak na łańcuch dostaw w zależności od tego, do czego programista ma dostęp — 2FA na PyPI pomogłoby powstrzymać aktora przed wykorzystywaniem [tego]”.
Więcej zadań związanych z bezpieczeństwem łańcucha dostaw oprogramowania
Benge z ReversingLabs zauważa, że chociaż wymagania PyPI dotyczące 2FA są krokiem we właściwym kierunku, potrzeba więcej warstw zabezpieczeń, aby naprawdę zablokować łańcuch dostaw oprogramowania. Dzieje się tak dlatego, że jednym z najpowszechniejszych sposobów wykorzystania repozytoriów oprogramowania przez cyberprzestępców jest przesyłanie własnych złośliwych pakietów w nadziei na oszukanie programistów, aby wciągnęli ich do swojego oprogramowania.
W końcu każdy może założyć konto PyPI, bez zadawania pytań.
Wysiłki te zwykle obejmują przyziemne taktyki inżynierii społecznej, mówi: „Typosquatting jest powszechny — na przykład nazwanie pakietu „Djanga” (zawierającego złośliwy kod) zamiast „Django” (legalna i powszechnie używana biblioteka).”
Inną taktyką jest polowanie na porzucone projekty, aby je przywrócić do życia. „Poprzednio łagodny projekt zostaje porzucony, usunięty, a następnie ponownie przeznaczony do hostowania złośliwego oprogramowania, jak z termcolorem”, wyjaśnia. Takie podejście do recyklingu zapewnia złośliwym podmiotom korzyść polegającą na wykorzystaniu legalnej reputacji poprzedniego projektu w celu zwabienia programistów.
„Przeciwnicy nieustannie wymyślają różne sposoby skłonić programistów do używania złośliwych pakietów, dlatego też w przypadku języka Python i innych języków programowania wyposażonych w repozytoria oprogramowania, takie jak PyPi, tak istotne jest posiadanie kompleksowego podejścia do bezpieczeństwa w ramach łańcucha dostaw oprogramowania” – mówi Javed Hasan, dyrektor generalny i współzałożyciel firmy Lineaje.
Istnieje również wiele sposobów na pokonanie 2FA, zauważa Benge, w tym Wymiana SIM, wykorzystywanie OIDC i przejmowanie sesji. Chociaż zwykle są one pracochłonne, zmotywowani napastnicy nadal zadają sobie trud, próbując obejść MFA, a na pewno 2FA, mówi.
„Takie ataki wymagają znacznie wyższego poziomu zaangażowania ze strony atakujących i wielu dodatkowych kroków, które odstraszą mniej zmotywowanych aktorów zagrażających, ale naruszenie łańcucha dostaw organizacji oferuje potencjalnie ogromne korzyści dla cyberprzestępców i wielu może zdecydować, że dodatkowy wysiłek jest tego wart. " ona mówi.
Podczas gdy repozytoria podejmują kroki w celu zwiększenia bezpieczeństwa swoich środowisk, organizacje i programiści muszą podjąć własne środki ostrożności, radzi Hasan.
„Organizacje potrzebują nowoczesnych narzędzi do wykrywania manipulacji w łańcuchu dostaw, które pomogą firmom rozbić zawartość oprogramowania i uniknąć wdrażania nieznanych i niebezpiecznych komponentów” – mówi. Również wysiłki takie jak zestawienia materiałowe oprogramowania (SBOM) i zarządzanie powierzchnią ataku może pomóc.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/pypi-2fa-requirements-dont-go-far-enough
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 2023
- 2FA
- a
- dostęp
- Konto
- przejęcie konta
- Konta
- aktorzy
- dodatek
- Dodatkowy
- Korzyść
- rzecznictwo
- przed
- Wszystkie kategorie
- dopuszczać
- również
- wśród
- an
- i
- Zapowiedź
- ktoś
- api
- Aplikacja
- podejście
- mobilne i webowe
- SĄ
- na około
- At
- Ataki
- Uwierzytelnianie
- uniknąć
- z powrotem
- Łazienka
- na podstawie
- BE
- bo
- rozpocząć
- jest
- korzyści
- pomiędzy
- Banknoty
- Bloki
- Blog
- przerwa
- przynieść
- przeglądarka
- budować
- Budowanie
- ale
- by
- CAN
- ceo
- pewien
- na pewno
- łańcuch
- Współzałożyciel
- kod
- kodowane
- byliśmy spójni, od początku
- wspólny
- powszechnie
- Firmy
- składniki
- wszechstronny
- kompromis
- Zagrożone
- kompromis
- treść
- nieustannie
- cookies
- mógłby
- Listy uwierzytelniające
- krytyczny
- cyberprzestępcy
- Niebezpieczny
- Dave
- zdecydować
- W zależności
- Wdrożenie
- Wykrywanie
- Deweloper
- deweloperzy
- urządzenie
- kierunek
- Dyrektor
- Django
- do
- darowizna
- donald
- na dół
- Wcześnie
- z łatwością
- wysiłek
- starania
- bądź
- umożliwiać
- zachęcać
- zakończenia
- egzekwowanie
- zaręczynowy
- dość
- środowiska
- Eter (ETH)
- przykład
- Przede wszystkim system został opracowany
- wyjaśnione
- Objaśnia
- eksploatacja
- dodatkowy
- daleko
- Cecha
- W razie zamówieenia projektu
- Dawny
- dawniej
- od
- Funkcjonalność
- otrzymać
- GitHub
- Go
- wspaniały
- sprzęt komputerowy
- urządzenie sprzętowe
- Have
- he
- pomoc
- wyższy
- Haczyki
- ma nadzieję,
- Hosting
- dom
- HTTPS
- olbrzymi
- polowanie
- wdrożenia
- in
- W innych
- zawierać
- Włącznie z
- wskaźnik
- infekcja
- początkowy
- zainstalować
- Instalacja
- Inteligencja
- zamierzony
- najnowszych
- angażować
- IT
- jpg
- praca
- język
- Języki
- nioski
- prawowity
- mniej
- poziomy
- Dźwignia
- Biblioteka
- życie
- lubić
- Prawdopodobnie
- poszukuje
- Partia
- poważny
- robić
- malware
- wiele
- materiały
- Może..
- MSZ
- błąd
- Nowoczesne technologie
- jeszcze
- większość
- zmotywowani
- ruch
- dużo
- wielokrotność
- nazywania
- Potrzebować
- potrzebne
- Nie
- Uwagi
- już dziś
- of
- Oferty
- Oferty
- urzędnik
- on
- pewnego razu
- ONE
- koncepcja
- open source
- Option
- or
- organizacja
- organizacji
- Inne
- na zewnątrz
- ogólny
- własny
- pakiet
- Pakiety
- szczególny
- Pivot
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- możliwie
- potencjalnie
- prezydent
- zapobiec
- Programowanie
- języki programowania
- Programy
- projekt
- projektowanie
- ciągnięcie
- Naciskać
- Python
- pytanie
- pytania
- naprawdę
- niedawno
- recyklingu
- Usunięto
- składnica
- reputacja
- wymagać
- wymagania
- Badacze
- prawo
- run
- s
- bezpieczniej
- Powiedział
- powiedzieć
- mówią
- scenariusze
- bezpieczeństwo
- token bezpieczeństwa
- widziany
- wybierając
- Sesja
- Sesje
- ona
- znak
- Srebro
- ponieważ
- witryna internetowa
- Tworzenie
- Źródło
- Kod źródłowy
- Ewolucja krok po kroku
- Cel
- Nadal
- Stop
- taki
- Dostawa
- łańcuch dostaw
- Powierzchnia
- Przełącznik
- taktyka
- Brać
- Przejęcie
- biorąc
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- Te
- to
- tych
- groźba
- podmioty grożące
- inteligencja zagrożeń
- do
- żeton
- Żetony
- narzędzia
- kłopot
- zaufany
- nieznany
- nadający się do użytku
- Stosowanie
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- zazwyczaj
- różnorodny
- Ve
- Przeciw
- Wiceprezes
- Droga..
- sposoby
- we
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- dlaczego
- szeroko
- będzie
- w
- słowa
- Praca
- wartość
- by
- rok
- zefirnet