كيف تستجيب تواقيع برامج مؤسسة Linux لهجمات سلسلة التوريد – CloudSavvy IT

شترستوك / kenary820

قد تكون المشاريع مفتوحة المصدر التي تم تدميرها واستخدامها لنشر البرامج الضارة شيئًا من الماضي. يأمل برنامج توقيع البرامج الخاص بمؤسسة Linux Basis أن يصبح برنامج Let us Encrypt لتوزيعات البرامج.

مشكلة

إن الاستخدام الواسع النطاق للمصادر المفتوحة أمر مثير للدهشة. يمكن العثور على البرامج والأدوات والمكتبات مفتوحة المصدر في جميع عمليات تطوير البرامج غير التافهة تقريبًا. لسوء الحظ ، ما يجعل المصدر المفتوح أكثر جاذبية هو أنه يمكنك الوصول إلى الكود المصدري للبرنامج ويمكن لأي شخص إرسال إصلاحات للأخطاء وميزات جديدة.إنه يشكل ناقل هجوم يمكن استغلاله من قبل الجهات المهددة.

قام مجرمو الإنترنت بحقن كود خبيث في مشاريع مفتوحة المصدر ، واستخدمت هذه الأكواد الخبيثة شعبية المنتجات مفتوحة المصدر كطريقة لتوزيع برمجياتهم الخبيثة. عادة ، سيوفر بابًا خلفيًا لجهاز الكمبيوتر الخاص بالضحية لممثل التهديد. يمكنه أيضًا تشغيل مسجلات ضغطات المفاتيح أو تنزيل برامج ضارة فعلية من خوادم مجرمي الإنترنت.

هذا الهجوم هو شكل من أشكال هجوم سلسلة التوريد. في هجوم على سلسلة التوريد ، لا تتضرر الضحية بشكل مباشر. يتم إدخال الحمولة الخبيثة في شيء من أحد بائعي الضحية. عندما تحصل الضحية على العنصر الملوث ، سيتم تشغيل الحمولة الخبيثة وستعرض الضحية للخطر. المثال الأكثر شهرة لهجوم سلسلة التوريد هو مثال استخدم أثناء هجوم Stuxnet على مصنع نطنز لتخصيب اليورانيوم الإيراني.

البرمجيات مفتوحة المصدر هي منصة واضحة يستخدمها مجرمو الإنترنت لمثل هذه الهجمات. رداً على ذلك ، تطلق Linux Basis sigstore. Sigstore هي خدمة مجانية تم تطويرها بالاشتراك بين Google و Red Hat وجامعة بوردو. يمكن لمطوري البرامج استخدام sigstore للتوقيع رقميًا على إصدارات برامجهم.

يحمي sigstore مستخدمي المصدر المفتوح من الهجمات مثل هجمات التعتيم على التبعية. سمحت هذه الهجمات لمدير الحزم بخداع الإصدار الضار المستضاف عن بُعد لتثبيت الموارد المتاحة محليًا (مثل ملفات المكتبة). يتم إخبار مدير الحزم أن هناك تبعيات في البرنامج الجاري تثبيته وأن ملفات المكتبة المحلية بحاجة إلى ترقية. يحتوي الإصدار الملوث المستضاف عن بُعد على رقم إصدار أعلى ، والذي يمكن أن يلبي التبعيات الخاطئة. حدثت “ترقية” وتم اختراق النظام.

كيف يعمل sigstore

مثل جميع برامج التوقيع والشهادات ، ترتبط قيمة التوقيع أو الشهادة بمدى ثقة الناس بالسلطة المصدرة. يستخدم sigstore OpenID Join من OpenID Basis استنادًا إلى حل X.509 القياسي في الصناعة لتحديد الشهادات وإدارتها. يستخدم sigstore بروتوكول مصادقة OpenID لربط الشهادة بهوية المطور. عادةً ما يكون هذا هو عنوان بريدهم الإلكتروني أو معرّف حساب آخر.

سيُنشئ عميل sigstore زوج مفاتيح قصير المدى. يستعلم عن البنية التحتية للمفتاح العام sigstore (PKI) ، والتي تتحقق من التحقق من صحة OpenID Link ، وإذا كان كل شيء على ما يرام ، ثم يصدر شهادة. يتم إنشاء الشهادة باستخدام قيمة زوج المفاتيح التي سيتم استخدامها لتوقيع البرنامج.

سيتم الاحتفاظ بسجل تدقيق الشهادات والتوقيعات كسجل عام غير قابل للتغيير. يمكن استخدام هذا السجل للتحقق من إصدار البرنامج والشهادات. يوفر دليلاً متاحًا للجمهور على التوقيع على المستند. ستكون التوقيعات اللاحقة فريدة لأنه سيتم أيضًا تسجيل الوقت والتاريخ. يوفر هذا سلسلة من الضمانات لمصدر وأصل الملفات مفتوحة المصدر ، ويسمح لسياسات الأمان القائمة على التوقيع بالتقاط الملفات التي لا يمكن التحقق منها والوثوق بها.

إذا تم إدخال تعليمات برمجية ضارة في مشروع مفتوح المصدر ، ولم يتم العثور على أية تعليمات برمجية ضارة في إدارة الدمج أو عملية مراجعة الكود والنظراء ، فيمكن تجميعها في ملف ثنائي. إذا تم توقيع الملف الثنائي رقميًا ، فلن يكون sigstore على دراية بالتهديد المضمن ويمكنه نظريًا إثبات الإصدار الضار.

في هذه الحالة ، قد يكون سجل التوقيع العام أحد الأصول للتحقيق في الهجوم ، ويمكن استخدامه كوسيلة لتنبيه الآخرين إلى الملف الثنائي المخترق. من الممكن بناء نظام يقارن الشهادات الثنائية بإصدارات قاعدة البيانات الجيدة والمعروفة والتي ثبت أنها سيئة.

يمكن أن يعمل هذا بطريقة مشابهة لموقع “أنا مملوك”. يمكنك البحث يدويًا عن رسائل البريد الإلكتروني من خلال موقع الويب الخاص بهم. إذا تم العثور على بريدك الإلكتروني ، فهذا يعني أنه تم تضمينه في خرق البيانات. سيخبرك النظام عن حادث خرق البيانات بالموقع الذي كشف عن معلوماتك الشخصية.

ليس من الصعب تخيل أن النظام سوف يتحقق من رقم الإصدار ومصداقية التوقيع مقابل قاعدة بيانات مرجعية ، والتي سترسل قرار نجاح / فشل بشأن إصدار البرنامج الموقع. بالإضافة إلى ذلك ، سيتم إخطار المطور في كل مرة يتم فيها استخدام عنوان بريده الإلكتروني أو معرف OpenID Link الخاص به في حدث التوقيع. إذا لم يشرعوا في الحادث ، فيجب التحقيق معهم.

دعونا نقوم بالتشفير ، ولكن من أجل البرامج

في منشور مدونة في مارس 2021 ، وصفت Google متجر sigstore بأنه “Let us Encrypt” ولكن لإصدار البرنامج. Let’s Encrypt هو مرجع مصدق مجاني ومفتوح يمكنه إنشاء شهادات SSL / TLS لمواقع HTTPS. يسمح لتلك المواقع بمصادقة نفسها بنشاط حتى يتمكن الزوار من تحديد المعنى الحقيقي للموقع. بمجرد تحديد هوية موقع الويب ، يستخدم متصفح الزائر معلومات المفتاح العام في الشهادة لتشفير الاتصال بين جهاز الكمبيوتر الخاص به والموقع الإلكتروني. عملية الحصول على شهادة من “التشفير” عملية تلقائية.

تابع مدونة Google: “تمامًا مثل Let’s Encrypt يوفر شهادات وأدوات أتمتة مجانية لـ HTTPS ، يوفر sigstore أيضًا شهادات وأدوات مجانية لأتمتة توقيعات رمز المصدر والتحقق منها. يتمتع Sigstore أيضًا بميزة إضافية تتمثل في دعمه بتسجيل شفاف ، مما يعني كل الشهادات والبراهين مرئية عالميًا وقابلة للاكتشاف والتدقيق “.

ترويض الغرب المتوحش

كانت طريقة استخدام البرامج مفتوحة المصدر اليوم لا يمكن تصورها قبل عشر سنوات فقط. إن اعتماد المصدر المفتوح في بيئة تطوير أوسع لا يرجع فقط إلى إمكانية الوصول إلى الكود المصدري ، وجودة الكود ، والوقت المستغرق لإصلاح الأخطاء والتصحيحات.

المصدر المفتوح كان يشتبه مرة واحدة.لكن المنظمة احصل على المصدر المفتوح الآن. يُعتقد أن نموذج المصدر المفتوح يتعلق بالتسويق والنشر أكثر من العمل على العديد من المتغيرات من رخصة جنو العمومية العامة (GPL).

طريقة أساسية للحصول على الرموز أو المنتجات هناك. احصل على حساب GitHub ، واكتب برنامجك وأخبر الناس أنه متاح. إذا كان هناك أي فائدة ، فسوف تنمو أقوى ، ونأمل أن تأتي كرات الثلج. هل تريد المشاركة في مشروع مفتوح المصدر؟ بسيط. ادفع طلب الدمج إلى مستودع Git الخاص بهم ، أو قدم المساعدة بشأن وثائقهم.

لقد عطل المصدر المفتوح حياة الناس بأكثر الطرق إيجابية. لكن هذا أيضًا مجاني للجميع. يبحث النظام البيئي مفتوح المصدر دائمًا عن الوظائف التي يمكن أن توفر الشفافية والتحقق والتدقيق لسلسلة توريد البرامج.

يُظهر sigstore كل الإمكانيات لتلبية الطلب بنظام مجاني ومريح وقابل للتطوير.

Exit mobile version