Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»

Как защитить DevOps | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В прошлом году на новостных IT-сайтах появилась информация об «отравлении» репозитория RubyGems, официального канала распространения библиотек для языка Ruby. Некий злоумышленник загружал на этот ресурс поддельные сборки кода, дополненные вредоносным скриптом. То есть все программисты, которые использовали этот код в своих разработках, невольно заражали компьютеры своих пользователей зловредом, подменяющим адреса криптовалютных кошельков.

Разумеется, это не первая атака на цепочку поставок, проведенная через открытые репозитории. Но сейчас такой сценарий, похоже, набирает популярность. И это неудивительно — ведь в результате одной успешной атаки можно скомпрометировать десятки или сотни тысяч пользователей. Все зависит только от популярности ПО, разработчики которого воспользуются кодом из «отравленного» репозитория и станут звеньями в цепи.

Как вредоносные пакеты оказываются в репозиториях?

В случае с RubyGems злоумышленник создал в репозитории множество проектов с именами, похожими на популярные легитимные сборки кода. Эта техника называется typosquatting: она подразумевает, что разработчик может опечататься при вводе названия пакета и загрузить вредоносный, или, получив несколько пакетов в ответ на поисковой запрос, не понять, какой из них подлинный. Эту тактику злоумышленники применяли и при атаках через Python Package Index, и при загрузке фальшивых образов на Docker Hub. Да и вообще это самый распространенный метод «отравления».

В инциденте с криптокошельками Copay, о котором мы писали некоторое время назад, злоумышленники использовали библиотеку, репозиторий которой размещался на GitHub. Ее создатель потерял интерес к своему детищу и был только рад, когда какой-то новичок попросил права администратора, чтобы продолжить работу. В результате популярная библиотека, которую использовали многие разработчики в своих продуктах, была скомпрометирована.

Иногда злоумышленникам удается воспользоваться учетной записью легитимного разработчика без его ведома и заменить пакеты поддельными. Так случилось в инциденте с ESLint, библиотеки которого размещались в онлайновой базе данных npm (Node Package Manager).

Компрометация среды компиляции

Не следует забывать также, что компании, разрабатывающие программные продукты, всегда были интересными целями для операторов APT-атак. Инциденты, в ходе которых киберпреступники охотятся на клиентов таких компаний, периодически привлекают внимание экспертов по безопасности:

  • В августе 2017 года в инструменты, созданные компанией NetSarang, были встроены вредоносные модули. По одной из версий — злоумышленники как-то скомпрометировали серверы сборки ПО.
  • В 2018 году каким-то злоумышленникам удалось инфицировать сервер сборки приложений компании Piriform, после чего программы CCleaner с чистым исходным кодом при компиляции получали в довесок вредоносное ПО.
  • В 2019-м наши эксперты рассказали об APT-кампании ShadowHammer, в ходе которой в код нескольких компаний был встроен бэкдор. Согласно результатам расследования, атаковавшие либо имели доступ к исходному коду, либо внедряли вредоносный код на этапе компиляции.

Успешная компрометация среды компиляции позволяет не просто «заразить» конечный продукт — это приводит к выпуску вредоносных программ с легитимной цифровой подписью достойного доверия разработчика. Именно поэтому процесс разработки нуждается в усиленной защите от постороннего вмешательства.

Корень проблемы

На самом деле опасность представляет собой не использование публичных репозиториев, а несовершенство современного подхода к разработке ПО — методологии DevOps. Это набор практик,  цель которых — ускорить цикл разработки программы и доставки ее на рынок без потери качества. Давно известно, что безопасность и удобство находятся на разных чашах весов. А в современных условиях, для того чтобы оставаться конкурентоспособными, разработчикам необходимо оперативно выпускать новые версии программ. Так что любая «просадка» в удобстве выливается либо в падение качества, либо в задержки с выходом на рынок (TTM). В результате разработчики стараются минимизировать или полностью обойти вмешательство безопасников в свою деятельность.

Это приводит к тому, что информационная безопасность практически выпускает из рук эту часть инфраструктуры. Но ведь по факту и разработка, и IT, и безопасность делают одно дело — работают на то, чтобы клиент своевременно получил качественный и безопасный продукт. Самое распрекрасное обновление не обрадует конечного пользователя, если в нем будет бэкдор или шпион. Поэтому, на наш взгляд, для процесса создания качественного и безопасного софта индустрия должна перейти к методологии DevSecOps.

DevSecOps — это попытка подружить безопасность и разработку, внедрив культуру кибербезопасности и практическое применение проверок на всех стадиях процесса создания ПО без ущерба для гибкости и скорости. И мы знаем, как обеспечить техническую сторону этого процесса.

Наше решение

На рынке сейчас не так много инструментов, которые созданы специально для защиты процесса разработки программного обеспечения. Поэтому при обновлении нашего решения Kaspersky Security для виртуальных и облачных сред мы учли потребности программистов. В результате мы снабдили его компоненты технологиями, позволяющими интегрировать в процесс разработки инструменты безопасности, работающие без ущерба для производительности. И в первую очередь — технологии для сканирования репозиториев, образов и контейнеров, как раз для предотвращения атак через цепочку поставок.

Теперь благодаря Kaspersky Security для виртуальных и облачных сред разработчики могут добавить дополнительные шаги проверки в процессы непрерывной интеграции (CI) и непрерывной доставки (CD), в том числе и с использованием инструментов TeamCity и Jenkins. Причем интеграция возможна как при помощи командной строки, так и через программный интерфейс приложения (API).

Разумеется, это не все, что мы изменили в нашем решении. Узнать больше о Kaspersky Security для виртуальных и облачных сред и в целом о защите процесса DevOps можно на странице продукта.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Кража денег с банковских карт через NFC: как защититься | Блог Касперского
      Автор KL FC Bot
      Безопасность банковских карт непрерывно улучшается, но злоумышленники находят все новые способы воровать с них деньги. Когда-то, выманив у жертвы информацию о карте на поддельном сайте магазина или в другой мошеннической схеме, преступники изготавливали физическую карту-двойник, записывая украденные данные на магнитную полосу. С такой картой можно было идти в магазин или даже в банкомат. Появление карт с чипом и одноразовых SMS-кодов сильно усложнило жизнь мошенников, но они адаптировались. Переход к мобильным платежам при помощи смартфонов повысил устойчивость к мошенничеству — но и открыл новые пути для него. Теперь мошенники пытаются привязать карты, номера которых им удалось выманить, к своему аккаунту Apple Pay или Google Wallet. Затем смартфон с этим аккаунтом используется, чтобы оплачивать товары с чужой карты — в обычном магазине или в фальшивой торговой точке с платежным терминалом, поддерживающим NFC.
      Как выманивают данные
      Череде кибератак предшествует серьезная подготовка, проводимая в промышленном масштабе. Злоумышленники создают сеть фальшивых сайтов по выманиванию платежных данных. Сайты могут имитировать службы доставки, крупные онлайн-магазины и даже сайты по оплате коммунальных услуг или дорожных штрафов. Одновременно преступники закупают десятки физических телефонов, создают на них учетные записи Apple или Google и устанавливают приложение для бесконтактных платежей.
      Дальше — самое интересное. Когда жертва попадает на сайт-приманку, ей предлагают привязать карту или совершить необходимый небольшой платеж. Для этого нужно указать данные банковской карты, а затем подтвердить свое владение этой картой, введя SMS-код. В этот момент с карты не происходит никаких списаний.
      Что происходит на самом деле? Почти мгновенно данные жертвы передаются преступникам, которые пытаются привязать карту к мобильному кошельку на смартфоне. SMS-код нужен, чтобы подтвердить эту операцию. Для ускорения и упрощения манипуляций злоумышленники используют специальный софт, который по введенным жертвой данным создает изображение карты, полностью повторяющее реальные карточки нужного банка. Теперь эту картинку достаточно сфотографировать из Apple Pay или Google Wallet. Процесс привязки карточки к мобильному кошельку зависит от конкретной страны и банка, но обычно для этого не требуется никаких данных, кроме номера, срока действия, имени владельца, CVV/CVC и SMS-кода. Все это можно выманить в рамках одной фишинговой сессии и сразу использовать.
       
      View the full article
    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Kaspersky для Linux расширяет возможности защиты частных пользователей | Блог Касперского
      Автор KL FC Bot
      Отличная новость для всех пользователей Linux: в нашей линейке продуктов для частных пользователей появилось защитное решение Kaspersky для Linux. Теперь наша защита, завоевавшая больше всех наград в мире, позволяет домашним пользователям максимально обезопасить все свои устройства с самыми популярными операционными системами — Windows, Linux, macOS, Android и iOS — от киберугроз c помощью единой подписки Kaspersky для Linux.
      Если вы считали, что киберугрозы обходят Linux стороной, пора пересмотреть взгляды. За последние пять лет количество вредоносов для этой ОС выросло в 20 раз! Среди них — майнеры, шифровальщики и даже зловреды, внедряемые в исходный код популярных программ: так, недавняя атака с бэкдором в утилите архивации XZ, встроенной во многие популярные дистрибутивы Linux, могла стать самой массовой атакой на экосистему Linux за всю историю ее существования.
      Помимо вирусов, не менее актуальны для пользователей Linux и другие угрозы, распространенные на всех платформах, — фишинг, вредоносные сайты, кража паролей, банковских и персональных данных.
      При этом интерес к устройствам под управлением Linux растет из года в год. И для того чтобы обеспечить наших пользователей стопроцентной защитой на любых операционных системах, мы адаптировали наше защитное решение Kaspersky Endpoint Security для бизнеса, уже много лет используемое по всему миру, под нужды домашних пользователей.
      Что умеет Kaspersky для Linux?
      Среди ключевых функций Kaspersky для Linux:
      проверка системы и устройства, а также отдельных файлов для поиска и удаления вредоносных программ; проверка на наличие угроз съемных носителей, включая USB-накопители и жесткие диски, при их подключении к компьютеру; обнаружение вредоносных программ благодаря анализу поведения на устройстве, обеспечивающее проактивную защиту; защита от вредоносных программ в Интернете; уведомления о попытке перейти по фишинговой ссылке. Надежный антивирус просканирует и заблокирует зараженные файлы, папки и приложения при обнаружении вирусов, троянов-шифровальщиков, программ-вымогателей, стилеров паролей и других зловредов, предотвращая заражение вашего компьютера, других устройств и всей сети.
      Анти-фишинг предупреждает о фишинговых ссылках в электронных письмах и на веб-сайтах, защищая ваши пароли, логины и банковские данные от кражи.
      Защита онлайн-платежей проверит безопасность сайтов банков и интернет-магазинов перед выполнением денежных операций.
      Защита от криптоджекинга предотвратит несанкционированный майнинг криптовалюты на вашем устройстве и снижение скорости его работы.
      Проверка съемных носителей — USB-накопителей и внешних жестких дисков — при подключении к компьютеру защитит от распространения вирусов самым старым и традиционным методом.
       
      View the full article
    • KL FC Bot
      Защита от спама: как его распознать и как с ним бороться | Блог Касперского
      Автор KL FC Bot
      «Здравствуйте, это ваш дальний родственник из Нигерии. Дело в том, что я болен смертельной болезнью, другой родни у меня нет, поэтому хочу еще при жизни перечислить вам свое наследство в размере $100 млн», — сообщения с подобным посылом приходили на почту, наверное, каждому пользователю Интернета. Эти письма прозвали «нигерийскими», потому что мошенники представлялись богатыми и состоятельными людьми из Нигерии. Сейчас на смену «богатым нигерийским четвероюродным дядям по маминой линии» приходят фейковые представители банков, онлайн-магазинов, служб доставок и даже президенты.
      Сегодня расскажем про самые популярные виды спама и ответим на вопрос, что делать, если на почту пришел спам.
      Письма от инвесторов, меценатов и прочих богачей
      Это, пожалуй, самый древний и вместе с тем популярный сценарий спама. Даже в 2025 году в почту стучатся всевозможные благодетели, жаждущие отдать свои кровные именно вам. Подобные письма выглядят как под копирку: якобы невероятно богатый человек рассказывает про источник своего богатства, описывает свою проблему и предлагает ее решение. Обо всем по порядку:
      Источником богатства может быть что угодно: наследство, невероятно прибыльный бизнес в далекой стране или даже внезапно обнаруженный криптокошелек с миллионами денег. Проблема тоже вариативна: от смертельной болезни до желания пожертвовать все свои деньги на благотворительность — и сделать это нужно обязательно с вашей помощью. Решение всегда одно — нужно как можно скорее перевести деньги на ваш счет. Конечно, если в ответ на такое письмо вы отправите свои глубочайшие соболезнования и номер банковской карты, то никто не перечислит вам ни миллионы, ни даже тысячи денег. Наоборот, мошенники будут всеми правдами и неправдами вынуждать вас перевести им свои средства. Как вариант, оплатить несуществующую комиссию на перевод их миллионов денег.
      Не стоит верить письму, даже если оно отправлено якобы президентом США. Сейчас спамеры на волне популярности Дональда Трампа запустили новую-старую мошенническую схему: рассылают потенциальным жертвам письма, в которых представляются Дональдом Трампом, почему-то решившим отправить по $15 млн нескольким десяткам счастливчиков по всему миру. Получить миллионы можно, лишь отправив ответное письмо, где фейковый мистер Дональд Трамп попросит перейти по ссылочке и ввести свои банковские данные либо оплатить комиссию за перевод средств на ваш счет.
       
      View the full article
    • KL FC Bot
      Все способы мошенничества и защиты при покупке мемкоинов | Блог Касперского
      Автор KL FC Bot
      Хотя про криптовалюты, блокчейн и биткоин слышали почти все, далеко не все понимают, как этот рынок работает, зачем люди вкладывают в него деньги, на чем зарабатывают, а на каких ошибках молниеносно теряют вложенное. Азы криптовалют мы объясняли в серии из трех материалов (про блокчейн и криптовалюты, NFT и метаверс), а сегодня разберемся в теме, которая стала широко известна благодаря победе на выборах президента США Дональда Трампа, — альтернативных криптовалютах, таких как мемкоины.
      Если у вас совсем мало времени разбираться в технических подробностях, то мы сократим все объяснения до двух предложений. С 2021 по начало 2025 года рынок «мемкоинов», или «мемных токенов», неоднократно менял свою капитализацию в диапазоне от $8 млрд до $103 млрд, испытывая взлеты и падения более чем на порядок. Возможностей потерять на нем деньги кратно больше, чем шансов заработать, а плотность мошеннических предложений высока даже по меркам криптовалютного рынка — поэтому просто не вкладывайте в него деньги, которые боитесь потерять, даже если криптоинструмент связан с нынешним президентом США.
      Для тех, у кого времени чуть больше, расскажем, что представляют собой шуточные криптовалюты, есть ли у них что-то общее с NFT и какие предосторожности потребуются, если вы решительно настроены вкладывать деньги на этом высокорисковом рынке.
      Посмотрите, как менялась капитализация рынка мемкоинов за последние годы. Источник
       
      View the full article
×
×
  • Создать...