Всички разработчици, които участват в проекти с отворен код, трябва да са нащрек за опити за атаки с елементи на социално инженерство (снимка: CC0 Public Domain)
Опитите за атаки чрез социално инженерство, наблюдавани по-рано през април 2024 г. срещу проекти с отворен код, може да не са изолирани случаи. Те дори зачестят, предупредиха фондацията за сигурност на отворения код (OpenSSF) и фондацията OpenJS, които подкрепят множество проекти за софтуер с отворен код (FOSS), базирани на JavaScript. Случаи като този с XZ Utils може да се умножат, казаха фондациите.
Атаката XX Utils представляваше заплаха, дело на мним поддръжник на име „JiaTan“, към проекта XZ Utils, реализирана в период от няколко години. Поддръжникът се постара да спечели доверието на основните инициатори на и да допринесе чрез легитимни актуализации на софтуера, след което се опита да вмъкне уязвимост тип „задна вратичка“. Тя стана известна като CVE-2024-3094. Ако беше успял, това можеше да предизвика същинска „касапница“, ако не бяха бързите действия на изследовател с „орлови поглед“.
Сега OpenSSF и OpenJS призовават всички поддръжници на отворения код да бъдат нащрек за подобни опити. Оказва се, че т. нар. за проекти с кръстосани връзки при OpenJS е получил множество подозрителни имейли, умоляващи екипа да актуализира един от проектите си, „за да се справи с критични уязвимости“ – без обаче да се цитират конкретни подробности.
Авторите на имейлите носят различни имена, но идват от припокриващи се акаунти, свързани с GitHub, обясниха Робин Бендер Гин, изпълнителен директор на фондацията OpenJS, и Омкар Арасаратнам, генерален мениджър на OpenSSF. Изглежда авторите искат да създадат впечатление, че са поддръжници на проекта. Те обаче са имали съвсем скромно участие досега. Ситуацията е подобна на тази с „JiaTan“ и неговото оскъдно участие, преди да се опита да съсипе проекта XZ Utils.
Екипът на OpenJS е разбрал също така за подобен модел на действие в два други JavaScript проекта, които не се хостват при OpenJS. Налице е обаче потенциален риск за сигурността на лидерите на OpenJS. „Никой от [съмнителните] лица не е получил привилегирован достъп до проекта, хостван от OpenJS. Проектът има въведени политики за сигурност, включително тези, очертани от работната група по сигурността на фондацията“, пишат Бендер Гин и Арасаратнам в съвместна блог-публикация, описваща атаката.
„Проектите с отворен код винаги приветстват приноса от всеки и навсякъде. Ала предоставянето на административен достъп на някого до изходния код като поддръжник изисква по-високо ниво на спечелено доверие и не се предоставя като „бързо решение“ на какъвто и да е проблем. Заедно с Linux Foundation ние искаме да повишим осведомеността за тази текуща заплаха за всички поддръжници на отворения код и да предложим практически насоки и ресурси от нашата широка общност от експерти по сигурност и отворен код“, казаха двамата.
За какво да внимаваме
Членовете на OSS проектите трябва да бъдат нащрек за приятелско, но агресивно и упорито преследване на статут на поддръжник от страна на нови или сравнително неизвестни членове на общността. Подозрителни могат да са нови и напористи искания за повишаване и одобрение от други неизвестни членове на общността, които потенциално могат да бъдат акаунти-кукли. Други възможни индикации за нещо нередно могат да бъдат отклонения от типичните процедури за компилиране, изграждане и внедряване на проекти; фалшиво чувство за неотложност, особено ако изглежда, че някой се опитва да убеди някого да заобиколи контрола или да ускори ревизията.
„Тези атаки чрез социално инженерство експлоатират чувството за дълг, което поддържащите имат към съответния проект и общност. Така ги манипулират“, пишат Бендер Гин и Арасаратнам. „Обърнете внимание как се чувствате при взаимодействията. Ако те ви създават съмнение в себе си, чувство на неадекватност, усещане, че не правиш достатъчно за проекта и т.н., може да са част от атака тип социално инженерство“.
Атаките чрез социално инженерство могат да са трудни за разпознаване и защита чрез програмни средства, тъй като те залагат на човешките емоции и доверие. Затова в краткосрочен план е важно разработчиците да споделят възможно най-много информация за възможна подозрителна дейност, без чувство за срам или страх от осъждане.
Масово разпространение
Крис Хюз, главен служител по сигурността на Endor Labs и сътрудник по кибериновации в Агенцията за киберсигурност и инфраструктурна сигурност (CISA), не е изненадан да чуе за по-масовото разпространение на атаки със социално инженерство срещу света с отворен код. Според специалиста, като се има предвид, че атаката XZ вече има значителна публичност, е доста вероятно и други злонамерени участници да опитат подобни тактики.
„Можем да подозираме, че много от тях вече са на ход и може би вече са имали известен успех, но все още не са разкрити или идентифицирани. Повечето проекти с отворен код са недостатъчно финансирани и се управляват от малка група разработчици, така че използването на атаки чрез социално инженерство срещу тях не е изненадващо. И, като се има предвид колко уязвима е екосистемата, разработчиците вероятно ще приветстват „помощта“ в много случаи“, каза той.
Като цяло, предупреждава Хюз, атаките със социално инженерство представляват огромен риск за общността на отворения код като цяло, защото около една четвърт от всички проекти с отворен код имат само един основен ръководител, а 94% разчитат на по-малко от 10 човека. След това този риск се пренася в организациите, които използват в своя софтуер компоненти с отворен код.