Cómo SolarWinds rompió nuestras suposiciones sobre el código …



Con tanta automatización en el proceso de escritura de código, los resultados rara vez se verifican dos veces, lo que abre la puerta a vulnerabilidades y un peligro absoluto.

A medida que se amplían las consecuencias del hack de SolarWinds, continuamos aprendiendo más sobre cómo sucedió en primer lugar. Ahora ha habido cuatro cepas de malware identificadasUno de ellos es Sunspot, que se instaló en el servidor de compilación SolarWinds que los desarrolladores utilizan para ensamblar aplicaciones de computer software.

Cuando se trata de cadenas de suministro de software, la firma de código es una práctica de uso común para indicar la procedencia del program. En teoría, el proceso valida la autenticidad e integridad del código. Pero como todos sabemos ahora, ese no es siempre el caso.

Resulta que la firma de código es el último paso en lo que a menudo es un proceso complicado para pasar del código fuente initial al software empaquetado finalizado. Un atacante que pueda inyectar cambios en una tubería de compilación de software o en un proceso de integración continua (CI), como fue el caso de SolarWinds, podrá realizar cambios que se incluyen en el producto final firmado, anulando por completo el propósito de la firma.

Es posible que muchos proveedores de software package no hayan pensado en tener mucho cuidado al asegurar su canal de lanzamiento de program, pero estos ataques recientes tienen cada vez más una mirada profunda a cómo pueden hacerlo de manera efectiva. Necesitan un sistema que certifique que cada paso, desde el código fuente hasta el application, se ha ejecutado correctamente.

El verdadero problema con la firma de código: asumiendo que es infalible
El proceso de firma de código no es intrínsecamente malo. El problema es que puede (y con frecuencia lo hace) dar a las personas una falsa sensación de seguridad. La concept detrás de la firma de código es que verifica que el código en sí no haya sido modificado por nadie que no tenga el acceso adecuado.

Gran parte del proceso suele estar automatizado, y la gente no suele volver a comprobar las cosas cuando está todo configurado, simplemente se supone que funciona. Ahí es cuando la vulnerabilidad y el peligro absoluto pueden atacar.

Si un ciberdelincuente o cualquier otra persona con intenciones maliciosas puede hacer un cambio antes de que se lleve a cabo la firma del código, puede parecer que todo funciona perfectamente y nadie se sumergirá en profundidad porque se espera que todo funcione. En otras palabras, la firma de código está diseñada para verificar que la cadena de suministro de software package sea legítima, pero si está firmando algo que ya está mal o ha sido manipulado, no importa.

Además, el tamaño de un proyecto particular person puede correlacionarse con la cantidad de riesgo involucrado. Si un proveedor de teléfonos móviles está preparando una gran versión de un sistema operativo como Android, por ejemplo, hay tantos componentes involucrados que ni una sola persona entiende todo. Y más gente involucrada crea más riesgo.

Fortalecimiento de la integridad de las cadenas de suministro de application
Afortunadamente, existen algunos pasos que los proveedores pueden tomar para proteger mejor su cadena de suministro de software package. En el nivel más básico, pueden buscar en una lista de todos los componentes del código utilizados para ayudar a identificar posibles vulnerabilidades. Este tipo de «auditoría de código» a través de una lista de materiales de application puede ayudar a eliminar los riesgos de seguridad para una versión específica en la que está trabajando el proveedor, así como también proporcionar orientación sobre qué buscar con versiones futuras.

En mi opinión, una solución emergente que los proveedores deberían considerar es la informática confidencial, que ya se utiliza en industrias centradas en la seguridad, como la atención médica, para mejorar los algoritmos de IA clínica o los servicios financieros para prevenir el fraude. Esto también puede implicar un nivel de inversión significativo, especialmente en lo que se refiere a las infraestructuras subyacentes, pero no debería ser un problema para muchos proveedores de software, ya que consideran que la tubería de lanzamiento de software es una de las piezas más críticas de su negocio.

Como ha demostrado SolarWinds, el riesgo de que el código de un proveedor de application sea la fuente de una violación de datos para sus clientes puede dañar para siempre su reputación y las relaciones con sus clientes. Con este precedente establecido, las empresas aumentarán el nivel de escrutinio aplicado a la cadena de suministro de sus proveedores de computer software. Los fabricantes de aplicaciones de software program como Sign ya están aprovechando el uso de una mejor privacidad y seguridad como diferenciador para alentar a los usuarios a muévete de WhatsApp.

La clave para implementar la informática confidencial es un entorno de ejecución confiable que protege las claves de cifrado dentro de enclaves seguros para protegerlas de amenazas externas como usuarios raíz, una red comprometida, dispositivos de components no autorizados o, como fue el caso en el ataque SolarWinds, malware avanzado. .

Una regla standard a seguir, especialmente para las organizaciones más grandes, es operar bajo el supuesto de que ya se ha visto comprometido. Esa suposición no debería desaparecer a medida que la informática confidencial se adopte más ampliamente, pero será mucho menos condenatoria. Veo esto como la próxima evolución lógica en la automatización y seguridad de las versiones de software package, y los proveedores que aprovechen ahora se prepararán para el futuro en los próximos años.

El Dr. Jethro Beekman es director técnico y trabaja en la seguridad informática en la nube de próxima generación en Fortanix. Jethro recibió su M.S. y Ph.D. grados en Ingeniería Eléctrica y Ciencias de la Computación de la Universidad de California en Berkeley en 2014 y 2016, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic