Kas sugadino atvirojo kodo bibliotekas ir kaip tai kelia grėsmę Rusijos IT specialistams

Kaip pranešė „BleepingComputer“, amerikiečių kūrėjas įtraukė kenkėjišką kodą į populiarų atvirojo kodo paketą. Jis

šifruoja vartotojų duomenis iš Rusijos irBaltarusija. Daugelis žmonių prarado savo projektus dėl to, kad naujose programavimo bibliotekos versijose be įspėjimo pasirodė išpirkos reikalaujančios programos. Autorius tai pavadino „taikiu protestu“ prieš politinę situaciją, tačiau kūrėjai iš Rusijos sureagavo su pykčiu ir apkaltino jį diskriminacija.

Tuo pačiu metu „GitHub“ (didžiausia bendra IT projektų kūrimo paslauga) pranešimų apie avarijas skaičius išaugo.

Šaltinis: GitHub

Что происходит в сообществе разработчиков и насколько это опасно?

Yra populiarių atvirojo kodo bibliotekų -atvira ir nemokama programinė įranga, kurią naudoja daugelis Rusijos įmonių. Dabar šios bibliotekos pradėjo reguliariai gauti atnaujinimus, kuriuose yra kenkėjiškų programų. Kai kuriuose tiesiog yra politinių šūkių, kurie kūrėjams atspausdinami į konsolę. Kol kas neaišku, ar tai užpuolikai, platinantys kenkėjiškas programas siekdami gauti išpirką, ar nepriklausomi aktyvistai, norintys tokiu būdu išreikšti politinę poziciją.

Šaltinis: BleepingComputer. „Roskomnadzor“ pažymi, kad specialioji operacija Ukrainoje nėra „ataka, invazija ar karas“.

Daug atvirojo kodoRusijos verslo sistemos. Kenkėjiška programinė įranga gali visam laikui užšifruoti visą kūrėjo serverių ar darbo vietos failų sistemą. Užpuolikai gali gauti nuotolinę prieigą prie kūrėjų sistemų arba pažeisti serverius, kuriuose veikia programos. Tai gali lemti ne tik didelius finansinius ir reputacijos nuostolius, bet ir gamybos, pardavimų, logistikos ir kitų verslo procesų sustabdymą.

Moduliuose, kurie platina kenkėjiškas programasŠiuo metu programose naudojamos įvairios programavimo kalbos: PHP, JS ir kitos, todėl rusų bendruomenė skubiai suformavo atvirą duomenų bazę, kurioje renkami paketai, platinantys kenkėjiškas programas ir skambučius. Žinoma, tai yra silpna apsaugos priemonė. Bibliotekos atnaujinimai išleidžiami nuolat, o kai kurių paketų lentelėje gali tiesiog nebūti.

Šaltinis: Tehdir klubas

Panaši problema iškilo dar gerokai prieš sankcijas,bet tai darė tik piktadariai, norėdami gauti išpirką. Dabar situacija įgavo politinį pobūdį ir tapo daug platesnė. Kai kurie paketai su kenkėjiškomis programomis tinka ne visiems, o tik tiems, kurių geografinis IP adresas sutampa su Rusija, o sistemos kalba yra rusų.

Ką kūrėjai gali padaryti, kad apsaugotų savo sistemas?

Pagrindinė rekomendacija visiems dabar yraįrašyti esamas bibliotekų versijas, atnaujinant paketus ir naudojant naujus, būtina atlikti rankinę peržiūrą ir išnagrinėti atnaujinimams įtakos turinčius įsipareigojimus (kodo pakeitimus). Tuo atveju, kai galutinis vartotojas gauna užkrėstą kenkėjišką programą, jis turi du galimus apsaugos vektorius:

  • Tinklo lygiuapsauga apima atsisiųsto patikrinimąvartotojas iš išorinių failų ir programų šaltinių, blokuodamas atsisiuntimus, jei aptinkama grėsmė. Jei vartotojas įdiegia ir paleidžia kenkėjišką programą, apsauga turėtų blokuoti jos veikimą ir platinimą visame vidiniame tinkle.
  • Galutiniame įrenginio lygyjeantivirusinės programos ir pažangios anomalijų stebėjimo sistemos turėtų užtikrinti, kad galimai kenkėjiška programinė įranga būtų identifikuota ir užblokuota.

Antroji gynybos linija yra atsarginėduomenys sunaikinimo arba šifravimo atveju. Įmonėje turi būti reguliuojamas procesas, kuris nustato, kokią programinę įrangą turi įdiegti vartotojai, ir atsarginę sistemą.

Atsarginiam serveriui turi būti suteiktas atskirasapsauginė kilpa, kad užkrėstas tinklas kenkėjiškos programos negalėtų patekti į atsarginę jo kopiją. Galite žymiai padidinti saugumą dviejų kilpų atleidimo schemoje, kurioje atsarginė kopija, savo ruožtu, yra sukonfigūruota reguliariai kurti atsargines kopijas serveryje, kuris yra fiziškai izoliuotas nuo pagrindinio tinklo.

Ne mažiau svarbus ir žmogiškasis faktorius.Saugos specialistai turi užtikrinti, kad naudotojai ir darbuotojai laikytųsi nurodymų. Priėmimo proceso metu naujas darbuotojas turi būti supažindintas su visomis įmonės taisyklėmis ir taisyklėmis bei įpareigojamas jų laikytis.

Kokia esmė?

Tiesą sakant, panašūs precedentai su sferakibernetinio saugumo problemos nėra neįprastos, tiesiog anksčiau šie reiškiniai nebuvo taip plačiai paplitę. Atakos prieš programinės įrangos tiekėjus ir įvairių sistemų pardavėjus vadinamos Supply chain atakomis – atakomis prieš tiekimo grandinę ir pastaruosius kelerius metus buvo viena iš svarbiausių saugumo problemų.

Piratai nori ne komplikuoti, o rastipažeidžiamiausias taikinys. Nereikia „frontalinio šturmo“ atidaryti banko serverių apsaugos ir „kovoti“ su jo apsaugos sistemomis, jei galite užpulti, pavyzdžiui, biblioteką, kuri naudojama internetinės bankininkystės programoje ir įterpti į ją pažeidžiamumą, atvers prieigą prie infrastruktūros. Kadangi įmonė negali kontroliuoti tiekėjų, 100% apsisaugoti nuo tokių grėsmių nėra.

Gali būti, kad didžiuliai sistemų gedimai išmokys Rusijos IT bendruomenę rimčiau ir atidžiau žiūrėti į savo infrastruktūros saugumo problemas.

Vis tiek galite sumažinti priepuolio tikimybę.Pagrindinis gynybos tikslas turėtų būti sustabdyti ataką ankstyvoje stadijoje, kol užpuolikas gali įsitvirtinti infrastruktūros viduje ir padaryti žalos. Verta atkreipti dėmesį į reagavimo į incidentus procesą. Sukurkite ir perduokite visiems darbuotojams dokumentą, kuriame nurodoma, kaip reaguoti kritinėse situacijose. Pavyzdžiui, kam pranešti, jei darbo kompiuteryje radote nepažįstamų failų, jei sistema elgiasi keistai arba gaunate nuorodą į išorinį šaltinį. Pastarasis gali būti išsiųstas, pavyzdžiui, iš kolegos, į kurio paskyrą įsilaužė užpuolikai.

Skaityti daugiau

„James Webb“ padarė ryškiausią žvaigždės nuotrauką istorijoje

Maskvos radiologų AI tyrimai tapo federalinių standartų pagrindu

Kvantinis įkrovimas leis rekordiškai greitai įkrauti elektromobilius