Последние месяцы злоумышленники немножко обнаглели и атаковали цепочку поставок практичес…

Последние месяцы злоумышленники немножко обнаглели и атаковали цепочку поставок практически каждую неделю. Ну серьезно, я постоянно натыкаюсь на новости про различные громкие взломы. То npm, то еврокомиссия, то еще что-то интересное и заметное. Может это я своей статьей (https://t.me/maxienergy_channel/376) накаркал? Не припомню, чтобы тема безопасности цепочки поставок была хоть когда-то актуальнее, чем сейчас 🧐

Поэтому я решил, что разберу все последние новости, связанные с атаками на цепочку поставок. По одной атаке на пост. А сегодня давайте разберемся с тем, что мы вообще называем цепочкой поставок и основные вектора ее взлома. Погнали ⤵

Если объяснять максимально просто, цепочка поставок в ИТ представляет из себя путь, по которому к нам попадает итоговый продукт. Не только код, но и чужие библиотеки, пакеты, контейнеры, плагины, образы, репозитории, облачные сервисы, подрядчики и даже люди, которые имеют право что-то выпускать в прод. В статье я чуть подробнее про это писал, но по сути своей, сейчас разработка не выглядит так, как раньше. ПО стало сложнее, а бизнес требует, чтобы разработка шла как можно быстрее. Поэтому сейчас уже никто не пишет весь код с нуля. Мы все пользуемся библиотеками и пакетами. Ну не будете вы писать собственную реализацию HTTP-клиента для своего проекта просто чтобы в вашей приложухе можно было отправлять запросы к API. Обычно для этого просто подключают библиотеку вроде axios (https://github.com/axios/axios). И это нормально, потому что иначе мы бы очень долго топтались на одном месте. Другой разговор, что библиотеку то мы не пишем. Мы не можем отвечать за корректность кода, который написали другие разработчики. И уязвимости, которые в этой библиотеке есть (а они, скорее всего там есть). А этим может воспользоваться злоумышленник, чтобы через такую зависимость компрометировать и наш продукт

Поэтому атака на цепочку поставок такая мерзкая. Потому что злоумышленник ломает нас через других людей, их процессы и их код. Мы то у себя просто подтянули обновление пакета, а в нем может оказаться что-то нехорошее. А мы и не в курсе. А нас взломали через эту зависимость. Обидно даже 🙁

Обычно атаки на цепочку можно разделить на несколько сценариев:

Сценарий 1: компрометация зависимости. Это когда злоумышленник подсовывает вредоносный пакет или получает контроль над уже популярной библиотекой. Снаружи все выглядит легитимно (знакомое имя, знакомый пакет, обычное обновление), а вот внутри... ну там ужас и мрак

Сценарий 2: компрометация аккаунта разработчика или мейнтейнера. Если у злоумышленника появился доступ к учетке человека, который публикует релизы, нужно ли говорить, что он сможет сделать с таким богатством? Подписанный легитимным аккаунтом релиз выглядит нормальным, хотя по факту там затесался человек, который вообще не должен был иметь доступ к таким изменениям

Сценарий 3: удар по инфраструктуре сборки и доставки. Если влезть в этап сборки, то на выходе можно получить уже официально собранный вредоносный артефакт. И это один из самых мерзких сценариев, потому что формально продукт пришел из правильного места, но пайплайны/репозитории/реестры образов/скрипты сборки были любезно доработаны злоумышленниками под их цели

Сценарий 4: атака через подрядчиков и внешние сервисы. Ни одна компания или команда не существует в мире, где есть только они одни. Есть интеграторы, провайдеры доступа и тд. И вот иногда слабым звеном оказывается не сама цель, а кто-то рядом с ней (атакуешь подрядчика — получаешь возможность атаки на саму цель)

Есть и более приземленные техники. Например, typosquatting (https://cheatsheetseries.owasp.org/cheatsheets/NPM_Security_Cheat_Sheet.html), когда создается пакет с почти таким же именем, как у популярной библиотеки (своеобразный фишинг от мира зависимостей). Или dependency confusion (https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html?utm_source=chatgpt.com), когда внутренняя зависимость внезапно подменяется внешней из публичного репозитория. Но это все же более частные случаи

Дальше я постараюсь разобрать наиболее популярные новости об атаках на цепочку поставок, о которых я слышал и читал в последние месяцы (ура, серия постов). Заодно постепенно разберемся, как защищают цепочку поставок на практике

#информационная_безопасность