Açık Kaynak Projelerin Sosyal Mühendislik Yoluyla Ele Geçirilmesine İlişkin Uyarı

 (openssf.org)
3 puan yazan GN⁺ 2024-05-06 | 1 yorum | WhatsApp'ta paylaş

OpenJS ve OpenSSF, Açık Kaynak Projelerin Sosyal Mühendislik Saldırısı Riski İçin Uyarı Yayınladı

  • Son XZ Utils arka kapı girişimi (CVE-2024-3094), izole bir olay olmayabilir.
  • OpenJS Foundation'ın benzer güvenli devralma girişimlerini engellediği görülmesi nedeniyle bu durum münferit olmayabilir.
  • OpenSSF ile OpenJS Foundation, tüm açık kaynak yöneticilerini sosyal mühendislik yoluyla devralma girişimlerine karşı tetikte olmaya, ilk tehdit kalıplarını tanımaya ve açık kaynak projelerini korumak için adımlar atmaya çağırıyor.

Başarısız Ele Geçirme Girişimi

  • OpenJS Foundation Cross Project Council, benzer mesajlar taşıyan bir dizi şüpheli e-posta aldı.
  • E-posta gönderen, "kritik bir güvenlik açığını çözmek" için popüler bir JavaScript projesini güncellemek amacıyla OpenJS'e harekete geçmesini istedi; ancak somut ayrıntılar vermedi.
  • E-posta sahibinin geçmişte neredeyse hiç kod katkısı olmamasına rağmen projeye yeni bir yönetici olarak atanmasını istediği anlaşılıyor.
  • Bu yaklaşım, XZ/liblzma arka kapısında "Jia Tan" tarafından kullanılan yönteme oldukça benziyor.
  • OpenJS barındırma projelerine bu kişilere erişim izni verilmedi.
  • Projelere, Vakıf güvenlik uygulama grubu tarafından özetlenenler de dahil olmak üzere güvenlik politikaları getirilmiş durumda.
  • OpenJS ekibi, vakfın barındırmadığı iki popüler JavaScript projesinde de benzer şüpheli kalıplar tespit ederek potansiyel güvenlik sorunlarını ilgili OpenJS liderlerine ve ABD İç Güvenlik Bakanlığı bünyesindeki Siber Güvenlik ve Altyapı Güvenliği Kurumu'na (CISA) anında bildirdi.

Sosyal Mühendislik Yoluyla Ele Geçirmeye Dair Şüpheli Kalıplar

  • Kalıplar
    • Görece az bilinen bir topluluk üyesinin, yönetici veya barındırıcı kuruluşu (vakıf veya şirket) dostça ama saldırgan ve ısrarcı biçimde istemesi
    • Yeni ya da tanınmayan birini yönetici konumuna yükseltme talebi
    • Sahte kimlik kullanabilen, tanınmayan başka topluluk üyelerinin desteği; yaygın olarak "sock puppets" denilen yapılar
    • PR'larda Blob içeren artefaktlar
    • Kasıtlı olarak karmaşıklaştırılmış veya anlaşılması zor kaynak kodu
    • Kademeli olarak ağırlaşan güvenlik açıkları
    • Normal proje derleme, yapı ve dağıtım alışkanlıklarından saparak Blob, Zip veya diğer ikili artefaktlara harici kötü amaçlı yükler ekleme olasılığı
    • Özellikle yöneticiye aciliyet baskısı oluşturarak incelemenin titizliğini azaltmaya veya kontrolü aşmaya zorlandığında bu etki daha da artar
  • Bu sosyal mühendislik saldırıları, proje ve topluluğa duyulan sorumluluk duygusunu sömürerek yöneticileri manipüle eder.
  • Etkileşimin verdiği hislere dikkat edin.
    • Öz güven kaybı, uygunsuzluk hissi veya projeye yeterince katkı veremediğiniz duygusunu tetikleyen etkileşimler sosyal mühendislik saldırısının parçası olabilir.
  • XZ/liblzma'da gözlemlenen benzer bir sosyal mühendislik saldırısı OpenJS topluluğu tarafından başarıyla engellendi.
  • Bu tür saldırılar, sosyal mühendislik yoluyla güveni kötüye kullanmayı hedeflediği için otomatik olarak tespit veya savunması zordur.
  • Kısa vadede, yukarıdaki gibi şüpheli faaliyetleri net ve şeffaf biçimde paylaşmak, diğer toplulukların tetikte kalmasına yardımcı olacaktır.
  • Bakımcıları iyi desteklemek, bu sosyal mühendislik saldırılarına karşı güçlü bir caydırıcıdır.

Açık Kaynak Proje Güvenliği İçin Adımlar

  • Sektör standartı güvenlik en iyi uygulamaları olarak OpenSSF Kılavuzuna göre hareket etmeyi düşünün.
  • Güçlü kimlik doğrulama kullanın: 2FA, parola yöneticisi, kurtarma kodlarını güvenli bir yerde saklayın, şifreleri ve kimlik bilgilerini farklı servislerde tekrar kullanmayın.
  • Koordine açıklama sürecini de içeren güvenlik politikası oluşturun.
  • Yeni kodu birleştirirken en iyi uygulamaları uygulayın
    • Dal korumasını ve imzalanmış commit'leri etkinleştirin.
    • Mümkünse PR bir yönetici tarafından açılmış olsa bile birleştirmeden önce ikinci bir geliştiricinin kod incelemesi yapmasını sağlayın.
    • Okunabilirlik gereksinimlerini uygulayarak yeni PR'ların obfüsklenmemesini sağlayın ve opak ikili kullanımını en aza indirin.
    • npm yayın yetkisi olan kişileri sınırlayın.
    • Commit edenleri ve yöneticileri tanıyın, düzenli aralıklarla gözden geçirin. Örneğin, bir çalışma grubu toplantısında bu kişilerle karşılaşmış mısınız veya bir etkinlikte onları görüp tanışmış mısınız?
  • Açık kaynak paket deposu işletenler Paket Deposu Güvenliği ilkelerini benimsemeyi düşünebilir.
  • CISA'nın "Sosyal Mühendislik ve Phishing Saldırılarını Önleme" ile/veya ENISA'nın "Sosyal Mühendislik Nedir" sayfalarını inceleyin.

Temel Açık Kaynak Altyapı Güvenliği İçin Endüstri ve Devletin Adımları

  • Sağlam ve güvenli bir açık kaynak projesini ayakta tutma baskısı, yöneticilere doğrudan bir yük bindiriyor.
  • Küçük girişimlerle değil, kamu-özel uluslararası iş birliğiyle büyük ölçekli kaynak sağlanması gerekiyor.
  • Open Source Foundations, Sovereign Tech Fund ve benzer birçok kurum zaten bu alanda önemli çalışmalar yürütüyor.
  • Açık kaynak projelerine güvenlik şemsiyesi sağlamak için Linux Foundation ailesi gibi örgütlerin de benzer şekilde çalışması gerekiyor.
  • Almanya hükümetinin Sovereign Tech Fund girişimiyle kritik açık kaynak altyapılara yatırım yapması umut verici.
  • Daha fazla global kamu yatırımını desteklemek, Almanya'daki Sovereign Tech Fund benzeri girişimlere yönelik küresel kamu yatırımını artırmak anlamına gelir.

GN⁺ Görüşleri

  • Saldırganlar, yönetici sorumluluklarını ustaca kullanarak geliştiricileri etkilemeye çalışıyor. Bu yüzden proje yönetiminde yönetici düzeyinde görülen duygusal değişimlere de dikkat edilmesi gerekiyor.
  • Güvenliğe yatırım artışı yapılması gerektiği konusunda hemfikirim, ancak nihai olarak geliştirici kültürünün kökten güvenliğe öncelik verecek şekilde değişmesi gerektiğine inanıyorum. Güvenliğin geliştirme süreci boyunca doğal olarak harmanlanması şart.
  • Saldırganlar topluluk güvenini kullandığı için, açık kaynak projelerinde üyeler arası güveni sürekli kurup pekiştirme çabası da sürdürülmeli. Karşılıklı yüz yüze iletişim bunun bir başlangıcı olabilir.
  • Alpha-Omega projesi gibi gerçek güvenlik açığı iyileştirmelerine yatırım yapan projeler daha fazla oluşmalı ve desteklenmelidir. Ancak o zaman açık kaynak projelerinin güvenlik seviyesi gerçekten yükselebilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-05-06
Hacker News Yorumları

Özet:

  • Açık kaynak proje yöneticisi olarak, yeni bir katkıcının PR'larına karşı daha şüpheci oluyorum
    • Üstte iyi görünse bile, gizli bir niyet olabileceğini akılda tutmak gerekiyor
  • Zaman içinde özellikler eklenmeye devam ettikçe yazılım çok karmaşık hale geliyor
    • Kod yalnızca az sayıda kişinin anlayabileceği kadar karmaşıklaşıyor
    • Deneyimli geliştiriciler emekli olduğunda, projenin büyük bir kısmını anlamak mümkün olmayacak
  • Büyük projeler için yönetici değişikliklerini raporlayan bir sisteme ihtiyaç var
    • Sürüm/dağıtımla birlikte npm.js veya Debian paketleriyle eşzamanlı olmalı
    • Avrupa bankası örneğinde olduğu gibi, birden fazla ülkenin kurumlarının denetleyebilmesini sağlayacak şekilde
  • Eve Online oyununda olduğu gibi, değerli bir katkıcı gibi güven kazandıktan sonra ihanet etme sürecine dikkat edilmeli
  • 2FA/MFA yalnızca kendi barındırdığınız sistemlerde kullanılmalı
    • Üçüncü taraf sistemlerde ikinci doğrulama yöntemini kaybederseniz kalıcı olarak kilitlenebilirsiniz
    • Projeyi doğrudan barındırırsanız kontrolü kaybetmezsiniz
  • Açık kaynağın kapsayıcılık ile uzun vadeli güvenlik arasında zor bir tartışma yaşayacağı açıktır
    • İran, Rusya, Çin gibi bazı ülkelerden gelen geliştiriciler zaten şüphe altında
    • Fork’layıp müttefiklerle birlikte katkıda bulunmak daha iyi bir seçenek olabilir
    • Düşman aktörler lisans veya telif hakkı kısıtlamasına takılmadan orijinaldeki değişiklikleri birleştirebilir
  • Her proje kendi eşiğini koymalı ve bakımı yapılmayan bağımlılıklar hızla kaldırılmalı
    • Projenin duyarlılığını değerlendirmek de düşünülebilir
  • XZ saldırısından sonra, bu tür saldırıların ne kadar yaygın olacağına dair düşünceler
    • Açık kaynak, kapalı kaynaklı yazılıma göre daha savunmasız olabilir
    • Herkesin kod yazabilmesi ve kötü niyetli motivasyonların olması yüzünden
  • Mevcut açık kaynak projelerinin geçmiş davranışlarını geriye dönük incelemek zor görünüyor
  • Basit mimari ve kodlama standartlarını iyileştirmeye uzun zamandır odaklanmalıyız demiştik
    • Fakat insanlar TypeScript, React gibi şeyler kullanarak gereksiz bağımlılıkları artırıyor
    • Saldırganlar cehaletimizi ve saflığımızı alaya alıyor
    • Tüm sektör ve hatta siyasi sistemin bile taviz vermiş olabileceği düşünülüyor
  • İnsanlar minimum kod ve bağımlılık içeren projeler aramalıydı
    • Temiz projeler ilgi ve fırsatlardan yoksun bırakılırken, aşırı tasarlanmış projeler öne çıkıyor
    • Artık bunlar kötü niyetli aktörler için kolay hedefler oldu
    • Karmaşıklığın içinde zayıf noktaları saklamak çok kolay