FeaturedNOTICIAS

Cómo Linux Foundation Software Signature combate los ataques a la cadena de suministro: CloudSavvy IT


Shutterstock / kenary820

Los proyectos de código abierto comprometidos y utilizados para difundir malware pueden ser cosa del pasado. La iniciativa de firma de software de la Fundación Linux está destinada a ser un Let’s Encrypt para las versiones de software.

El problema

La amplia difusión del código abierto es sorprendente. El software, las herramientas y las bibliotecas de código abierto se encuentran en casi todos los desarrollos de software no triviales en curso. Desafortunadamente, lo que hace atractivo el código abierto (tiene acceso al código fuente del software y cualquiera puede enviar correcciones de errores y nuevas funciones) presenta un vector de ataque que puede ser explotado por los actores de amenazas.

Los ciberdelincuentes han inyectado código malicioso en proyectos de código abierto que utilizan la popularidad del producto de código abierto como método de distribución para su propio malware. Por lo general, proporcionará a los atacantes una puerta trasera a las computadoras de la víctima. También puede ejecutar un registrador de teclas o descargar el software malicioso real de los servidores del ciberdelincuente.

Este tipo de ataque es una forma de ataque a la cadena de suministro. En un ataque a la cadena de suministro, las víctimas no se ven directamente comprometidas. La carga útil maliciosa se inyecta en algo en uno de los proveedores de la víctima. Cuando la víctima obtiene el objeto contaminado, la carga útil maliciosa se activa y la víctima se ve comprometida. El ejemplo más famoso de un ataque a la cadena de suministro fue el utilizado en el ataque de Stuxnet a la planta de enriquecimiento de uranio en Natanz, Irán.

El software de código abierto es una plataforma obvia para que los ciberdelincuentes la utilicen para este tipo de ataque. En respuesta, la Fundación Linux está lanzando sigstore. sigstore es un servicio gratuito, desarrollado conjuntamente con Google, Red Hat y Purdue University, que los desarrolladores de software pueden utilizar para firmar digitalmente sus versiones de software.

sigstore protege a los consumidores de código abierto de ataques como ataques de confusión de dependencia. Estos ataques llevan a los administradores de paquetes a instalar una versión alojada remotamente de forma maliciosa de un recurso disponible localmente, como un archivo de biblioteca. Se le dice al administrador de paquetes que existe una dependencia en el software que se está instalando y que el archivo de la biblioteca local debe actualizarse. La versión contaminada alojada de forma remota tiene un número de versión más alto que satisface la dependencia falsa. Se realiza la «actualización» y el sistema se ve comprometido.

¿Cómo sigstore

Como todos los esquemas de firma y certificación, el valor de la firma o certificado está relacionado con el grado de confianza que las personas tienen en la autoridad emisora. sigstore utiliza OpenID Connect de OpenID Foundation, basado en el esquema X.509 estándar de la industria para definir y administrar certificados. sigstore utiliza el protocolo de autenticación OpenID para vincular certificados a la identidad del desarrollador. Por lo general, esta es su dirección de correo electrónico u otro identificador de cuenta.

El cliente sigstore crea un par de claves de corta duración. Consulte la Infraestructura de clave pública (PKI) de sigstore, que verifica una verificación de OpenID Connect válida y emite un certificado si todo va bien. El certificado se crea utilizando los valores del par de claves que se utilizarán para firmar el software.

Se mantiene una pista de auditoría de certificados y firmas como un registro público inmutable. El registro se puede utilizar para verificar versiones de software y certificados. Proporciona una prueba de firma de acceso público en un archivo. Las firmas posteriores serán únicas porque también se registran la fecha y la hora. Esto proporciona una serie de garantías sobre el origen y la procedencia de los archivos de código abierto y permite que las políticas de seguridad basadas en firmas intercepten archivos que no pueden ser verificados ni confiables.

Si se inyecta código malicioso en un proyecto de código abierto y no es detectado por la administración de fusiones o los procesos de revisión de código y por pares, podría compilarse en un archivo binario. Si el binario se firma digitalmente, sigstore no será consciente de esa amenaza incrustada y, en teoría, podría certificar una versión maliciosa.

En esa circunstancia, el registro público de firmas podría ser un recurso para investigar el ataque y como medio de alerta temprana a otros sobre una pista comprometida. Se pueden construir sistemas que comparen certificados binarios con una base de datos de versiones buenas conocidas y versiones defectuosas comprobadas.

Esto puede funcionar de manera similar al sitio web Have I Been Pwned. Puede buscar manualmente su correo electrónico a través de su sitio web. Si se encuentra su correo electrónico, significa que se incluyó en una violación de datos. Se le informa qué violación de datos por qué sitio ha expuesto sus datos personales.

No es difícil imaginar sistemas que verifiquen el número de versión y la autenticidad de la firma con una base de datos de referencia que envió una decisión de aprobar o no aprobar con respecto a una versión de software firmada. Además, los desarrolladores pueden recibir una notificación cada vez que se utilice su dirección de correo electrónico o su ID de OpenID Connect en un evento de firma. Si no han iniciado ese evento, debes investigar.

Encriptamos, pero por el software

En una publicación de blog de marzo de 2021, Google describe sigstore como Let’s Encrypt, pero para versiones de software. Let’s Encrypt es una autoridad de certificación abierta y gratuita que genera certificados SSL / TLS para sitios web HTTPS. Permite que dichos sitios web se autentiquen positivamente para que los visitantes puedan estar seguros de que el sitio web es realmente lo que dice ser. Una vez que se establece la identidad del sitio web, el navegador del visitante utiliza la información de clave pública en el certificado para cifrar las comunicaciones entre su computadora y el sitio web El proceso de obtención de un certificado de Let’s Encrypt es automático.

El blog de Google continúa: «Al igual que Let’s Encrypt proporciona certificados gratuitos y herramientas de automatización para HTTPS, sigstore proporciona certificados y herramientas gratuitos para automatizar y verificar firmas de código fuente. Sigstore también tiene la ventaja adicional de ser compatible con registros de transparencia, lo que significa que todos los certificados y reclamaciones son visibles, detectables y verificables a nivel mundial «.

Domando el salvaje oeste

La forma en que se usa el software de código abierto hoy en día era inimaginable hace solo 10 años. La adopción del código abierto en el mundo más amplio del desarrollo se debe a algo más que la accesibilidad del código fuente, la calidad del código y los tiempos de respuesta para las correcciones de errores y parches.

El código abierto fue considerado con sospecha. Pero organizaciones obtener código abierto ahora. Se reconoce que el modelo de código abierto tiene más que ver con el marketing y la publicación que con la devoción a las muchas variaciones de la Licencia Pública General GNU (GPL).

Principalmente, es una forma de obtener su código o producto allí afuera. Obtenga una cuenta de GitHub, escriba su programa y dígale a la gente que está disponible. Ojalá crezca y esperemos que se formen bolas de nieve. ¿Quieres involucrarte en un proyecto de código abierto? Sencillo. Envíe una solicitud de fusión a su repositorio de Git u ofrezca ayuda con su documentación.

El código abierto ha sido disruptivo de la manera más positiva. Pero también fue gratis para todos. El ecosistema de código abierto ha estado clamando por algo que pueda proporcionar transparencia, verificación y control a la cadena de suministro de software.

sigstore muestra todo el potencial para satisfacer esta necesidad con un sistema gratuito, fácil y escalable.

TE INTERESA>>  Cómo ahorrar dinero como "súper ahorrador"

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba