Incidentas XZ neabejotinai paliks pėdsaką kuris bus prisimenamas daugelį metų ir yra tai, kaip paminėti tuo metu Viename iš straipsnių, kuriame dalijamės incidento tolesniais veiksmais, „Jia Tan atliktas darbas es vienas geriausių taikomosios socialinės inžinerijos pavyzdžių» ir tai bus daugelio kitų bandymų ir atvejų, kurie paaiškės ateityje, pagrindas.
tai Šiuo metu tiek kūrėjams, tiek projektams, tiek fondams tai labai aišku., ir kad nepaisant didelių pastangų ir pakeitimų, kuriuos jie įgyvendina, yra daug paketų ir projektų, kuriems trūksta personalo, o jų turimi prižiūrėtojai gali patekti į kažką panašaus į tai, kas nutiko XZ.
Šie atvejai jau prasidėjo ir OpenSSF (Open Source Security Foundation, subjektas, sukurtas globojant Linux fondą, siekiant pagerinti atvirojo kodo programinės įrangos saugumą) Jūs jau pastebėjote tokio pobūdžio veiklą, nes neseniai paskelbė įspėjimą bendruomenei apie nerimą keliančią veiklą, susijusią su bandymais perimti populiarių atvirojo kodo projektų kontrolę.
En Įvykis, panašus į xz išpuolį, buvo nustatyta, kad nežinomi asmenys anksčiau buvo kuriamas atvirojo kodo bandė manipuliuoti ir valdyti atvirojo kodo programinės įrangos projektus. Šie asmenys bendraudami su valdančiosios tarybos nariais naudojo socialinės inžinerijos metodus iš OpenJS fondo, neutrali platforma JavaScript projektams kurti.
Šie asmenys įtraukė trečiųjų šalių kūrėjus, turinčius abejotinų rezultatų atvirojo kodo kūrime. Savo žinutėmis jie bandė įtikinti OpenJS vadovybę, kad reikia skubiai atnaujinti vieną iš populiarių JavaScript projektų. Jie teigė, kad naujinimas buvo būtinas norint pridėti apsaugą nuo kritinių spragų, nors nepateikė konkrečios informacijos apie šiuos pažeidžiamumus.
Siūlomiems pakeitimams įgyvendinti įtariamasis kūrėjas pasiūlė būti įtrauktas į projekto prižiūrėtojus, nors iki tol jam teko ribotas vaidmuo kuriant. Be to, panašūs įtartinų kodų bandymų atvejai buvo aptikti dar dviejuose populiariuose „JavaScript“ projektuose, nesusijusiuose su OpenJS.
Štai kodėl OpenSSF (Atviro kodo saugumo fondas) ir OpenJS („OpenJS Foundation“) paskelbė įspėjimą Visi atvirojo kodo projektų kūrėjai ir prižiūrėtojai turėtų stebėti toliau nurodytus įtartinus modelius, kurie galėtų reikšti bandymą perimti projekto kontrolę.
Kaip apsaugoti savo atvirojo kodo projektą?
OpenSSF mini, kad dėl atvirojo kodo projektų bendradarbiavimo pobūdžio jie yra linkę į daugybę pažeidžiamumų, kuriais gali pasinaudoti užpuolikai, todėl bendrinamas sąrašas dažniausiai pasitaikančių pažeidžiamumų, kuriais pasinaudoja užpuolikai, kad pritaikytų socialinius tinklus. inžinerija.
Įtartini modeliai bandymuose:
- Pasenusios priklausomybės: Vienas iš labiausiai paplitusių pažeidžiamumų yra pasenusių priklausomybių naudojimas.
- Draugiškas, bet agresyvus ir atkaklus elgesys: Santykinai nežinomas bendruomenės narys siekia sekti prižiūrėtoją arba jį priglobiantį subjektą (fondą ar įmonę).
- Prašymas būti aukštesniu rangu: Nauji arba nepažįstami žmonės kreipiasi dėl paaukštinimo, neturėdami reikšmingos indėlio į projektą istorijos.
- Kitų nežinomų bendruomenės narių pritarimas: Užpuolikai gali naudoti klaidingą tapatybę, kad palaikytų savo prašymus ir sukurtų klaidingą pasitikėjimo jausmą.
- Ištraukimo užklausos: Kenkėjiški failai gali būti paslėpti dvejetainiuose failuose arba dėmėse, todėl juos sunku aptikti.
- Tyčia užtemdytas arba sunkiai suprantamas šaltinio kodas: Tikslas yra apsunkinti kodo peržiūrą ir paslėpti galimus pažeidžiamumus.
- Laipsniškas saugumo problemų eskalavimas: Užpuolikas gali pradėti įvesdamas nedidelius pažeidžiamumus, o vėliau pereiti prie rimtesnių problemų.
- Nukrypimas nuo įprastų projektų rengimo, konstravimo ir diegimo praktikos: Dėl šių nukrypimų į dvejetainius failus gali būti įterptas kenkėjiškas kodas.
Klaidingas skubos jausmas: Užpuolikas gali sukurti skubią aplinką, kad priverstų prižiūrėtoją atlikti paviršutinišką kodo peržiūrą.
Šiomis socialinės inžinerijos atakomis siekiama pasinaudoti prižiūrėtojų pareigos jausmu savo projektams ir bendruomenėms manipuliuoti jais, nes kurdami spaudimą imtis pokyčių, pašalinti pažeidžiamumą arba suteikti didesnį pasitikėjimą nariu labai atkakliai atsakingas asmuo ar asmenys pasiduoda prieš patikrindami ar atlikdami atitinkamus bandymus.
Jei esate ašNorite sužinoti daugiau apie tai, išsamią informaciją galite sužinoti šią nuorodą.