Logotipo de Zephyrnet

Los desarrolladores de aplicaciones se dirigen cada vez más a través de Slack y las herramientas DevOps

Fecha:

Los desarrolladores están cada vez más bajo ataque a través de las herramientas que utilizan para colaborar y producir código, como Docker, Kubernetes y Slack, ya que los ciberdelincuentes y los actores del estado-nación buscan acceder al valioso software en el que los desarrolladores trabajan todos los días.

Por ejemplo, el 18 de septiembre, un atacante afirmó haber utilizado credenciales robadas de Slack para acceder y copiar más de 90 videos que representaban la desarrollo inicial de Grand Theft Auto 6, un popular juego de Rockstar Games de Take-Two Interactive. Y una semana antes, la empresa de seguridad Trend Micro descubrió que los atacantes buscaban sistemáticamente e intentaban comprometer contenedores Docker mal configurados.

Ninguno de los ataques involucró vulnerabilidades en los programas de software, pero los pasos en falso de seguridad o la mala configuración no son infrecuentes por parte de los desarrolladores, quienes a menudo no tienen el cuidado necesario para asegurar su área de superficie de ataque, dice Mark Loveless, ingeniero de seguridad del personal de GitLab, un Proveedor de la plataforma DevOps.

“Muchos desarrolladores no se ven a sí mismos como objetivos porque piensan que el código terminado, el resultado final, es lo que buscan los atacantes”, dice. “Los desarrolladores a menudo asumen riesgos de seguridad, como configurar entornos de prueba en el hogar o eliminar todos los controles de seguridad, para poder probar cosas nuevas, con la intención de agregar seguridad más adelante”.

Y agrega: “Desafortunadamente, esos hábitos se replican y se convierten en cultura”.

Los ataques contra la cadena de suministro de software, y los desarrolladores que producen e implementan el software, han crecido rápidamente en los últimos dos años. En 2021, por ejemplo, los ataques que tenían como objetivo comprometer el software de los desarrolladores, y los componentes de código abierto ampliamente utilizados por los desarrolladores, crecieron un 650 %, según el “2021 Estado de la “Cadena de Suministro de Softwareinforme, publicado por la firma de seguridad de software Sonatype.

Canalizaciones de desarrolladores y colaboración en las vistas

En general, los expertos en seguridad sostienen que el ritmo acelerado de la integración continua y los entornos de implementación continua (CI/CD) que forman la base de los enfoques de estilo DevOps plantean riesgos significativos, porque a menudo se pasan por alto cuando se trata de implementar seguridad reforzada.

Slack, Teams y Zoom encabezan las herramientas sincrónicas utilizadas por los desarrolladores profesionales. Fuente: StackOverflow

Esto afecta a una variedad de herramientas utilizadas por los desarrolladores en sus esfuerzos por crear canalizaciones más eficientes. Slack, por ejemplo, es la herramienta de colaboración sincrónica más popular entre los desarrolladores profesionales, con Microsoft Teams y Zoom en segundo y tercer lugar, según Encuesta para desarrolladores de StackOverflow 2022. Además, más de dos tercios de los desarrolladores usan Docker y otro cuarto usa Kubernetes durante el desarrollo, según la encuesta.

Las infracciones de herramientas como Slack pueden ser "desagradables", porque dichas herramientas a menudo realizan funciones críticas y, por lo general, solo tienen defensas perimetrales, dijo Matthew Hodgson, director ejecutivo y cofundador de la plataforma de mensajería Element, en un comunicado enviado a Dark Reading.

“Slack no está encriptado de extremo a extremo, por lo que es como si el atacante tuviera acceso a todo el conocimiento de la empresa”, dijo. “Una verdadera situación de zorro en el gallinero”.

Más allá de las configuraciones incorrectas: otros problemas de seguridad para los desarrolladores

Cabe señalar que los atacantes cibernéticos no solo buscan configuraciones incorrectas o seguridad laxa cuando se trata de perseguir a los desarrolladores. En 2021, por ejemplo, el acceso de un grupo de amenazas a Slack a través del compra en el mercado gris de un token de inicio de sesión condujo a una violación del gigante de los juegos Electronic Arts, lo que permitió a los ciberdelincuentes copiar casi 800 GB de código fuente y datos de la empresa. Y una investigación de 2020 sobre las imágenes de Docker descubrió que más de la mitad de las últimas construcciones tienen vulnerabilidades críticas que ponen en riesgo cualquier aplicación o servicio basado en los contenedores.

El phishing y la ingeniería social también son plagas en el sector. Esta misma semana, los desarrolladores que usaban dos servicios DevOps, CircleCI y GitHub, estaban blanco de ataques de phishing

Y no hay evidencia de que los atacantes que apuntaron a Rockstar Games explotaron una vulnerabilidad en Slack, solo las afirmaciones del supuesto atacante. En cambio, la ingeniería social probablemente era una forma de eludir las medidas de seguridad, dijo un portavoz de Slack en un comunicado.

“La seguridad de nivel empresarial en la gestión de identidades y dispositivos, la protección de datos y el gobierno de la información está integrada en todos los aspectos de cómo los usuarios colaboran y realizan su trabajo en Slack”, dijo el portavoz, y agregó: “Estas tácticas [de ingeniería social] son ​​cada vez más común y sofisticado, y Slack recomienda que todos los clientes practiquen medidas de seguridad sólidas para proteger sus redes contra ataques de ingeniería social, incluida la capacitación en concientización sobre seguridad”.

Mejoras de seguridad lentas, más trabajo por hacer

Sin embargo, los desarrolladores han aceptado lentamente la seguridad, ya que los profesionales de seguridad de aplicaciones piden mejores controles. muchos desarrolladores siguen filtrando “secretos” — incluidas las contraseñas y las claves de API — en el código enviado a los repositorios. Por lo tanto, los equipos de desarrollo deben centrarse no solo en proteger su código y evitar la importación de componentes no confiables, sino también en garantizar que las capacidades críticas de sus procesos no se vean comprometidas, dice Loveless de GitLab.

“Toda la parte de confianza cero, que generalmente se trata de identificar personas y cosas así, también debería haber los mismos principios que deberían aplicarse a su código”, dice. “Así que no confíes en el código; tiene que ser revisado. Tener personas o procesos en su lugar que asumen lo peor, no voy a confiar en ellos automáticamente, particularmente cuando el código está haciendo algo crítico, como construir un proyecto”.

Además, muchos desarrolladores aún no utilizan medidas básicas para fortalecer la autenticación, como el uso de la autenticación multifactor (MFA). Sin embargo, hay cambios en marcha. Cada vez más, los diversos ecosistemas de paquetes de software de código abierto han comenzado exigir que los grandes proyectos adopten la autenticación multifactor

En términos de herramientas en las que centrarse, Slack ha llamado la atención debido a las últimas infracciones importantes, pero los desarrolladores deben esforzarse por lograr un nivel básico de control de seguridad en todas sus herramientas, dice Loveless.

“Hay flujos y reflujos, pero es lo que funcione para los atacantes”, dice. "Hablando de mi experiencia de usar todo tipo de sombreros de diferentes colores, como atacante, buscas la forma más fácil de entrar, así que si otra forma se vuelve más fácil, entonces dices: 'Probaré eso primero'".

GitLab ha visto este comportamiento de seguir al líder en sus propios programas de recompensas por errores, señala Loveless.

“Vemos que cuando las personas envían errores, de repente algo, una nueva técnica, se vuelve popular y una gran cantidad de envíos resultantes de esa técnica llegarán”, dice. “Definitivamente vienen en oleadas”.

punto_img

Información más reciente

punto_img