Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 21 ноября 2022 года на блоге компании Formtek.
«Единственный существующий в настоящее время метод надежной защиты информации в этом мире - это шифрование», - писал Эдвард Сноуден (Edward Snowden) в статье для газеты «Гардиан» (Guardian) (см. https://www.theguardian.com/commentisfree/2019/oct/15/encryption-lose-privacy-us-uk-australia-facebook ). «В результате Интернет стал более безопасным».
Шифрование – отличное дело! Однако шифрование также может стать причиной головной боли! Защита ключей шифрования и паролей должна осуществляться продуманно.
Криптовалютные спекулянты, например, потеряли целые состояния, когда утратили или забыли свой пароль или же потеряли свои криптоключи (см. https://www.nytimes.com/2021/01/12/technology/bitcoin-passwords-wallets-fortunes.html ). Средства испарились за ночь – и, в отличие от обычных финансовых транзакций, криптовалютные транзакции нельзя отменить.
Живущий в Сан-Франциско программист немецкого происхождения Стефан Томас (Stefan Thomas, https://www.linkedin.com/in/justmoon ), известный тем, что забыв свой пароль, потерял доступ к своей учетной записи в криптовалютной системе и к средствам, оценивавшийся в несколько миллионов долларов, сказал, что « вся эта идея быть своим собственным банком - позвольте мне сказать так: Вы сами делаете себе обувь? Причина, по которой у нас есть банки, заключается в том, что мы не хотим иметь дело со всеми теми вещами, которые делают банки» (см. https://www.nytimes.com/2021/01/12/technology/bitcoin-passwords-wallets-fortunes.html ).
Хакеры всё чаще ищут в репозиториях программного обеспечения с открытым исходным кодом неуместные или забытые криптосекреты: пароли, токены доступа и ключи. Открытая разработка позволяет легко делиться программным обеспечением с другими людьми. Программное обеспечение часто использует вызовы API-интерфейсов и служб, которые нередко требуют настройки для обеспечения надёжной связи с внешним API. Разработчик легко может забыть о необходимости удалить свою личную конфигурацию ключей и паролей перед загрузкой пакета программного обеспечения для совместного использования в открытом репозитории, таком как GitHub.
Проблема стала настолько распространенной, что в настоящее время существует целый класс сканеров программного обеспечения (см. https://spectralops.io/blog/top-9-git-secret-scanning-tools/ ), единственной задачей которых является выявление непреднамеренно подвергнутых риску секретов безопасности. При разработке этих сканеров предполагалось, что люди будут использовать эти инструменты до того, как сделать свое программное обеспечение общедоступным, с тем, чтобы очистить свой код, - но эти же инструменты, очевидно, также являются очень полезными и для хакеров.
Пишущий для веб-сайта Comparitech технический писатель Пол Бишофф (Paul Bischoff, https://www.linkedin.com/in/paul-bischoff-0671a067/ ) отмечает, что «злоумышленникам потребовалась всего одна минута для того, чтобы найти уязвимый секретный ключ облачного решения AWS и начать злоупотреблять им. Исходя из скорости атак, исследователи предполагают, что злоумышленники используют специальные или модифицированные инструменты и сценарии для таких атак. Это плохая новость для программистов и разработчиков. Даже если разработчик быстро осознает свою ошибку после выкладывания кода на GitHub, он может не успеть удалить его до того, как злоумышленники приберут к рукам подверженные риску учетные данные». (см. https://www.comparitech.com/blog/information-security/github-honeypot/ ).
Дик Вейсингер (Dick Weisinger)
Источник: блог компании Formtek
https://formtek.com/blog/encryption-security-and-open-source-exposed-secrets-can-be-catastrophic/
Комментариев нет:
Отправить комментарий