Soru: Bir saldırgan, bir geliştiricinin güvenliğini ihlal ettikten sonra ne tür verileri çalabilir?
Louis Lang, güvenlik araştırmacısı, Phylum CTO’su: İnsanları bilinmeyen göndericilerden gelen e-posta eklerini açmamaları konusunda ikna etmeye uzun zaman harcadık. Daha geniş geliştirici topluluğunu, bilinmeyen kaynaklardan paketler kurmanın korkunç bir fikir olduğuna ikna etmek için çok daha az zaman harcadık.
Kimlik avı kampanyaları etkili olmaya devam etse de, genellikle saldırganı kuruluşun alakasız bir bölümüne yerleştirir ve yine de nihai hedefe bir dönüş gerektirir. Tedarik zinciri saldırıları, geliştiriciyi ve ayrıcalıklı erişimlerini tehlikeye atarak kuruluşun kalbini keser. Typosquatting ve bağımlılık karışıklığı gibi bazı durumlarda bu saldırılar, saldırgan ile geliştirici arasında doğrudan iletişim olmadan gerçekleştirilir. Geliştirici isteyerek kodu (kötü amaçlı yazılımı içeren) aldığından, açılacak bir e-posta eki yoktur.
Öyleyse, bir saldırgan bir geliştiricinin güvenliğini ihlal ederse ne çalabilir? Geliştiricinin konumuna bağlı olarak, neredeyse her şey. Bir gizliliğin ihlal edildiğini varsayarsak, en iyi durumda, saldırgan genç bir mühendisin makinesine erişim elde etmiş olabilir. Bu mühendisin en azından kaynak koduna taahhüt erişimine sahip olmasını beklerdik. Kuruluşun zayıf yazılım mühendisliği uygulamaları varsa (örneğin, kod incelemeleri yoksa ve ana şubeye kimlerin taahhütte bulunabileceğine ilişkin sınırlamalar yoksa), saldırganın kuruluşun kaynak kodunu istediği zaman değiştirme özgürlüğü vardır; müşterilere gönderdiğiniz ürünü değiştirmek ve bulaştırmak için.
En kötü ve aynı derecede olası durumda, saldırgan daha fazla ayrıcalığa sahip kıdemli bir geliştiriciye erişim elde edecektir. Bu geliştirici, kaynak koduna, SSH anahtarlarına, sırlara, kimlik bilgilerine, CI/CD ardışık düzenlerine ve üretim altyapısına erişebilecek ve muhtemelen belirli kod kontrollerini atlayabilecektir. Bu tür bir mühendisin tehlikeye atıldığı bu senaryo, bir organizasyon için yıkıcı olacaktır.
Bu varsayımsal da değil. Kötü amaçlı yazılım paketleri, açık kaynaklı ekosistemlerde rutin olarak yayınlanmaktadır. Bu kötü amaçlı yazılımların neredeyse tamamı, kimlik bilgilerini ve hassas veya önemli kabul edilen diğer dosyaları sızdırmak için özel olarak yapılmıştır. Daha yeni kampanyalarda, saldırganlar kripto para birimini kuruluştan zorla almanın bir yolu olarak fidye yazılımını doğrudan geliştirici makinelerine bırakmaya bile çalıştılar.
Yazılım geliştiriciler, herhangi bir teknik organizasyonda ayrıcalıklı bir konuma sahiptir. Müşterilere sevk edilen ürünlere yukarı akış erişimleri ve üretim sistemleri ile altyapısına erişimleri ile her türlü modern organizasyonun temel taşıdırlar. Geliştiriciyi savunmadaki başarısızlık, güvenlik organizasyonunun bir bütün olarak başarısızlığıdır ve feci sonuçlara yol açabilir.