Los desarrolladores de aplicaciones se dirigen cada vez más a través de Slack y las herramientas DevOps


Los desarrolladores están cada vez más bajo ataque a través de las herramientas que utilizan para colaborar y producir código, como Docker, Kubernetes y Slack, ya que los ciberdelincuentes y los actores del estado-nación buscan acceder al valioso computer software en el que los desarrolladores trabajan todos los días.

Por ejemplo, un atacante afirmó el 18 de septiembre haber usado credenciales de Slack robadas para acceder y copiar más de 90 films que representan el desarrollo inicial de Grand Theft Automobile 6, un common juego de Rockstar Online games de Get-Two Interactive. Y una semana antes, la empresa de seguridad Pattern Micro descubrió que los atacantes buscaban sistemáticamente e intentaban comprometer contenedores Docker mal configurados.

Ninguno de los ataques involucró vulnerabilidades en los programas de computer software, pero los pasos en falso de seguridad o la mala configuración no son infrecuentes por parte de los desarrolladores, quienes a menudo no tienen el cuidado necesario para asegurar su área de superficie de ataque, dice Mark Loveless, ingeniero de seguridad del individual de GitLab, un Proveedor de la plataforma DevOps.

«Muchos desarrolladores no se consideran objetivos porque piensan que el código terminado, el resultado ultimate, es lo que buscan los atacantes», dice. «Los desarrolladores a menudo asumen riesgos de seguridad, como configurar entornos de prueba en el hogar o eliminar todos los controles de seguridad, para poder probar cosas nuevas, con la intención de agregar seguridad más adelante».

Y agrega: «Desafortunadamente, esos hábitos se replican y se convierten en cultura».

Los ataques contra la cadena de suministro de application, y los desarrolladores que producen e implementan el program, han crecido rápidamente en los últimos dos años. En 2021, por ejemplo, los ataques que tenían como objetivo comprometer el software program de los desarrolladores, y los componentes de código abierto ampliamente utilizados por los desarrolladores, crecieron un 650 %, según el informe «2021 Point out of the Software package Provide Chain», publicado por la empresa de seguridad de software package. Sonatipo.

Canalizaciones de desarrolladores y colaboración en las vistas

En standard, los expertos en seguridad sostienen que el ritmo acelerado de la integración continua y los entornos de implementación continua (CI/CD) que forman la foundation de los enfoques de estilo DevOps plantean riesgos significativos, porque a menudo se pasan por alto cuando se trata de implementar seguridad reforzada.

Herramientas síncronas de desarrolladores profesionales
Slack, Teams y Zoom encabezan las herramientas sincrónicas utilizadas por los desarrolladores profesionales. Fuente: StackOverflow

Esto afecta a una variedad de herramientas utilizadas por los desarrolladores en sus esfuerzos por crear canalizaciones más eficientes. Slack, por ejemplo, es la herramienta de colaboración sincrónica más well-known entre los desarrolladores profesionales, con Microsoft Teams y Zoom en segundo y tercer lugar, según Encuesta para desarrolladores de StackOverflow 2022. Además, más de dos tercios de los desarrolladores usan Docker y otro cuarto united states Kubernetes durante el desarrollo, según la encuesta.

Las infracciones de herramientas como Slack pueden ser «desagradables», porque tales herramientas a menudo realizan funciones críticas y generalmente solo tienen defensas perimetrales, dijo Matthew Hodgson, CEO y cofundador de la plataforma de mensajería Ingredient, en un comunicado enviado a Dim Looking at.

«Slack no está encriptado de extremo a extremo, por lo que es como si el atacante tuviera acceso a todo el conocimiento de la empresa», dijo. «Una verdadera situación de zorro en el gallinero».

Más allá de las configuraciones incorrectas: otros problemas de seguridad para los desarrolladores

Cabe señalar que los atacantes cibernéticos no solo buscan configuraciones incorrectas o seguridad laxa cuando se trata de perseguir a los desarrolladores. En 2021, por ejemplo, el acceso de un grupo de amenazas a Slack a través de la compra en el mercado gris de un token de inicio de sesión condujo a una violación del gigante de los juegos Digital Arts, lo que permitió a los ciberdelincuentes copiar casi 800 GB de código fuente y datos de la empresa. Y una investigación de 2020 sobre las imágenes de Docker descubrió que más de la mitad de las compilaciones más recientes tienen vulnerabilidades críticas que ponen en riesgo cualquier aplicación o servicio basado en los contenedores.

El phishing y la ingeniería social también son plagas en el sector. Solo esta semana, los desarrolladores que usaban dos servicios DevOps, CircleCI y GitHub, fueron objeto de ataques de phishing.

Y no hay evidencia de que los atacantes que apuntaron a Rockstar Games explotaron una vulnerabilidad en Slack, solo las afirmaciones del supuesto atacante. En cambio, la ingeniería social probablemente period una forma de eludir las medidas de seguridad, dijo un portavoz de Slack en un comunicado.

«La seguridad de nivel empresarial en la gestión de identidades y dispositivos, la protección de datos y el gobierno de la información está integrada en todos los aspectos de cómo los usuarios colaboran y realizan su trabajo en Slack», dijo el portavoz, y agregó: «Estos [social engineering] Las tácticas se están volviendo cada vez más comunes y sofisticadas, y Slack recomienda que todos los clientes practiquen medidas de seguridad sólidas para proteger sus redes contra ataques de ingeniería social, incluida la capacitación en concientización sobre seguridad».

Mejoras de seguridad lentas, más trabajo por hacer

Sin embargo, los desarrolladores han aceptado lentamente la seguridad, ya que los profesionales de seguridad de aplicaciones piden mejores controles. Muchos desarrolladores continúan filtrando «secretos», incluidas contraseñas y claves API, en el código enviado a los repositorios. Por lo tanto, los equipos de desarrollo deben centrarse no solo en proteger su código y evitar la importación de componentes no confiables, sino también en garantizar que las capacidades críticas de sus procesos no se vean comprometidas, dice Loveless de GitLab.

«Toda la parte de confianza cero, que generalmente se trata de identificar personas y cosas así, también debería haber los mismos principios que deberían aplicarse a su código», dice. «Así que no confíes en el código debe verificarse. Tener personas o procesos en su lugar que asumen lo peor, no voy a confiar en ellos automáticamente, particularmente cuando el código está haciendo algo crítico, como construir un proyecto. «

Además, muchos desarrolladores aún no utilizan medidas básicas para fortalecer la autenticación, como el uso de la autenticación multifactor (MFA). Sin embargo, hay cambios en marcha. Cada vez más, los diversos ecosistemas de paquetes de program de código abierto han comenzado a requerir que los proyectos importantes adopten la autenticación multifactor.

En términos de herramientas en las que centrarse, Slack ha llamado la atención debido a las últimas infracciones importantes, pero los desarrolladores deben esforzarse por lograr un nivel básico de management de seguridad en todas sus herramientas, dice Loveless.

«Hay flujos y reflujos, pero es lo que funcione para los atacantes», dice. «Hablando de mi experiencia de usar todo tipo de sombreros de diferentes colores, como atacante, buscas la forma más fácil de entrar, así que si otra forma se vuelve más fácil, entonces dices: ‘Probaré eso primero'».

GitLab ha visto este comportamiento de seguir al líder en sus propios programas de recompensas por errores, señala Loveless.

«Vemos que cuando las personas envían errores, de repente algo, una nueva técnica, se vuelve common y una gran cantidad de envíos resultantes de esa técnica llegarán», dice. «Definitivamente vienen en oleadas».



Enlace a la noticia initial