新的火辣:用有针对性的有毒堆栈击打DEVS

2020-09-05 08:16:17

勤奋但天真的开发人员是组织中一个鲜为人知但高度危险的弱点,攻击者可以加以利用。

这是安全咨询公司Gun.io的联合创始人里奇·琼斯(Rich Jones)说的。琼斯在2020年披露大会上发表讲话,概述了许多开发人员对他们的软件栈和共享代码的信任,再加上令人不安的缺乏在线理解力,使得他们很容易成为黑客的目标。

系统通常是强化的--他们有补丁,有防火墙,有监控,琼斯解释说,但是[一些]开发人员会运行他们在Stack Overflow上发现的任何胡说八道的东西。他们把证书放在地上,很明显,他们的硬件上也会有源代码和一些生产数据。

作为这种策略的一个例子,琼斯指出了7月份Twitter发生的袭击事件,在那次袭击中,员工被鱼叉式网络钓鱼,导致130个名人账户被接管。

他指出,这不是对Twitter生产系统的黑客攻击:这是Twitter员工使用经典的社会工程技巧进行黑客攻击。这是相当强大的东西,它很实用,而且你可以用它造成严重的破坏。

琼斯说,这在很大程度上是因为利用了开发人员对共享代码和软件堆栈的信任。通过选择开发人员并研究他们的项目,攻击者将能够绘制出正在使用的软件堆栈。

从那里,攻击者会找出堆栈中的一个薄弱环节--比如说,依赖项或GitHub项目--然后把有毒代码放进去。这可能很简单,只需将攻击代码滑入StackOverflow即可。

因为许多开发人员会毫不犹豫地获取、复制和共享他们的开放源代码,所以他们会很高兴地利用他们自己的机器。琼斯说,甚至当开发人员的计算机试图警告他们将会有不好的事情发生时,情况也是如此。

他说,这在很大程度上是由于习得的行为,而不是无知。在多年与其他开发人员共享代码和提示,并看到他们的同行在处理项目时忽略警告之后,许多程序员忘记了其他用户遵循的一些基本规则。

琼斯若有所思地说,大多数开发人员认为自己还算聪明,但并不愚蠢。我发现大多数开发人员都非常聪明,但也非常愚蠢。

开发商也是极高价值的目标,这一事实放大了这个问题。除了他们自己的代码,许多开发人员还将拥有安全密钥或其他联网设备的管理员访问权限。这可以为任何事情打开大门,从服务器接管到DNS重新绑定或中间人攻击。

琼斯说,开发人员在笔记本电脑上放着所有有趣的生产系统。这将给你提供完全接管他们组织所需的立足点。

看来,解决方案是让开发人员重新学习一些最佳实践。琼斯建议开发人员的基本步骤,比如不要将生产代码存储在他们的本地机器上,仔细检查他们在软件堆栈中使用的项目,不要在社交媒体上过度分享他们项目的信息,以及,呃,实际上要注意警告消息。®。

The Register-独立于科技界的新闻和观点。情况发布的一部分