Jesteśmy świadomymi użytkownikami technologii, którzy nie odwiedzają podejrzanych serwisów ani nie instalują żadnych badziewia. Mimo to nadal padamy ofiarą ataków, w których nasze loginy i hasła wpadają w ręce złoczyńców.
Co tak naprawdę się stało z Trivi?
Z końcem marca narzędzie do skanowania bezpieczeństwa o nazwie Trivi zostało zhakowane przez niepowołane osoby. Nie było to jednak pojedyncze zdarzenie, lecz początek kaskadowego ataku na łańcuch dostaw oprogramowania.
Jaka jest rola Trivi w ekosystemie?
Trivi to popularne narzędzie otwartoźródłowe służące do wykrywania podatności w środowisku IT. Sprawia ono, że jesteśmy bezpieczni przed atakami na naszych komputerach i kontenerach.
Mechanizm działania ataku supply chain
Atakujący wysłał pozornie bez znaczenia poprawkę do publicznego repozytorium kodu. Ta zmiana uruchomiła automatyzacje przygotowane przez firmę Aquasek z brakiem należytej ostrożności.
Błąd w konfiguracji kontenera
Automatyzacja testująca używała mechanizmu pull request target, który działał w pełnym kontekście głównego repozytorium. Oznaczało to, że skrypt miał dostęp do sekretów i poświadczeń, które nie powinny być widoczne.
Dlaczego automatyzacje są tak podatne?
Gdy atakujący ukrył złośliwy kod w proponowanej zmianie, ten został wykonany na produkcyjnym środowisku. Skrypt działał bez generowania błędów i usypiał czujność naszych systemów.
Wyciek klucz dostępowych
Narzędzie wykradało wszystkie klucze do naszego królestwa cyfrowego, w tym tokeny dostępowe. Straciliśmy kontrolę nad naszymi serwerami i danymi bez naszej wiedzy.
Co to oznacza dla nas jako programistów?
Nawet jeśli robimy wszystko zgodnie z instrukcjami, nie jesteśmy bezpieczni przed atakami na łańcuch dostaw. Nasze narzędzia mogą zostać skażone przez innych deweloperów.
Jaka jest przyszłość bezpieczeństwa?
Firma Aquasek opublikowała raport postmortem wyjaśniający szczegóły incydentu. Pokazuje to, że musimy być bardziej ostrożni w doborze narzędzi i sprawdzaniu ich kodu źródłowego.