Атаки хакеров — последние новости сегодня на РБК.Ру
adv.rbc.ru
adv.rbc.ru
Скрыть баннеры
Ваше местоположение ?
ДаВыбрать другое
Рубрики
Курс евро на 18 февраля
EUR ЦБ: 79,61
(-0,37)
Инвестиции, 17 фев, 16:15
Курс доллара на 18 февраля
USD ЦБ: 74,76
(-0,01)
Инвестиции, 17 фев, 16:15
Даниил Медведев впервые в сезоне вышел в финал турнира ATP Спорт, 18:33
Кадыров исключил смену командующих округов по своему «личному хотенью» Политика, 18:13
Британия пообещала первой поставить Украине дальнобойное вооружение Политика, 18:11
adv.
rbc.ru
adv.rbc.ru
CNN сообщил о проблемах украинских летчиков с советскими Ми-8 Политика, 17:52
«Арсенал» в добавленное время вырвал победу у «Астон Виллы» в матче АПЛ Спорт, 17:31
Министр обороны Японии заявил о способности ракеты КНДР достичь США Политика, 17:28
Глубинные потребности шести сфер бизнеса: от торговли до услуг РБК и СберБизнес, 17:13
Нетворкинг: как заводить полезные знакомства
За 5 дней вы научитесь производить нужное впечатление и извлекать пользу из новых контактов
Прокачать навык
Пасечник заявил об очень сложной ситуации в районе Кременной и Сватово Политика, 16:58
Призер ОИ упала в обморок на финише забега ЧМ по кроссу и упустила победу Спорт, 16:55
Пригожин прокомментировал кадры расстрела портретов Герасимова и Лапина Политика, 16:48
Декантер, фен и массажер: какие подарки выбрать для него и для нее РБК Стиль, 16:42
Число погибших при землетрясении в Турции превысило 40 тыс.
Общество, 16:33
Как начать разбираться в спорте и быть успешным в ставках РБК Спорт, 16:31
Британский миллиардер подал заявку на покупку «Манчестер Юнайтед» Спорт, 16:29
adv.rbc.ru
adv.rbc.ru
adv.rbc.ru
Мощные кибератаки по всему миру устраиваются на крупные сервисы, правительственные учреждения и объекты инфраструктур
Хакерские атаки — Российская газета
Свежий номер
РГ-Неделя
Родина
Тематические приложения
Союз
Свежий номер
14.
01.2022Происшествия
ФСБ показала видео задержания группировки хакеров REvil
26.10.2020Общество
Студенты «Сириуса» отразили «кибератаку» на стадион «Фишт»
21.04.2020Общество
Российские ученые создали нейросеть, нейтрализующую хакерские атаки
24.03.2020Происшествия
В 11 регионах России задержана группировка из 30 хакеров
29.10.2019Происшествия
Как обезопасить свою банковскую карту
06.07.2018Происшествия
В Тюмени хакеры атаковали центр нейрохирургии во время операции
16.02.2023Экономика
Набиуллина: Перелома в борьбе с кибератаками не произошло, но мы должны его добиться
09.02.2023Власть
Госдума одобрила конфискацию имущества хакеров
29.01.2023В мире
Девушка-хакер из Швейцарии выложила в сеть черный список таможенной службы США с 1,5 млн записей
19.
01.2023Экономика
Эксперт Голованов назвал главную опасность от использования онлайн-банка в Telegram
22.12.2022Происшествия
СК расследовал 13 тысяч киберпреступлений за 10 месяцев 2022 года
16.12.2022В мире
Хакеры Killnet получили доступ к паролям сотрудников ФБР
06.12.2022Экономика
ВТБ сообщил, что подвергается крупнейшей кибератаке из-за рубежа
02.12.2022В мире
В США расследуют атаки хакеров Lapsus$, целью которых стали Uber и Microsoft
28.11.2022В мире
Хакеры разместили на сайтах румынских СМИ информацию о преступлениях украинской армии
23.11.2022В мире
Российские хакеры RaHDit опубликовали данные 400 курсантов и преподавателей Академии СБУ
22.11.2022В мире
Российские хакеры взломали сайт Минфина Украины
06.
11.2022В мире
Sunday Times: Лондон становится центром всемирных хакерских атак
02.11.2022В мире
Хакер «Джокер» рассказал о работе его «шпионов» в офисе Зеленского, СБУ и ВСУ
15.10.2022В мире
Microsoft сообщила об атаках на украинские и польские компании новым вирусом-«вымогателем»
24.09.2022Экономика
«Коммерсант»: Украинские хакеры атаковали российскую платежную систему «Мир»
16.09.2022Происшествия
Криминалист Михайлов: Смартфоны регулярно передают данные о владельцах третьим лицам
09.09.2022Власть
Система онлайн-голосования в Москве отразила 350 хакерских атак
08.09.2022Происшествия
Мошенники взломали сайт уральского заповедника «Аркаим» и начали сбор денег
07.09.2022Digital
Чернышенко: Во всех регионах России работают штабы по борьбе с киберугрозами
01.
09.2022Экономика
Минпромторг сообщил о серии DDoS-атак на систему документооборота в России
Главное сегодня
Медведев назвал слова Столтенберга про риск победы РФ проявлением ненависти и страха
Журналист Херш: США своими действиями сплотили российский народ вокруг Путина
FT: Шольц разочарован позицией союзников по поставкам танков Украине
Подача российского газа через Украину для Европы увеличилась на 9,5%
Ван И предупредил Бербок о риске инцидентов по типу подрыва «Северных потоков»
РИА Новости: В ЛНР ликвидировали украинскую женщину-снайпера
DevOps в течение всего дня: треть загрузок Log4j по-прежнему загружает уязвимую версию, несмотря на угрозу атак на цепочку поставок
Адам Баннистер
14 ноября 2022 г., 16:16 UTC
Обновлено: 24 ноября 2022 г., 12:50 UTC. — сказал инженер по безопасности приложений Шон Райт на пятничной конференции All Day DevOps.
Основной докладчик призвал службы безопасности иметь «надлежащие средства контроля доступа», чтобы защитить себя от 742-процентного роста числа атак «следующего поколения» цепочки поставок, угроза, которая резко возросла после инцидента с SolarWinds, потрясшего экосистему с открытым исходным кодом. в декабре 2020 г.
Среди других методов злоумышленники используют опечатку, смешение зависимостей, внедрение вредоносного кода, уязвимости в пакетах, протестное ПО и захват учетных записей авторов пакетов (последнее побуждает менеджеров пакетов внедрять многофакторную аутентификацию (MFA)) .
СВЯЗАННЫЕ Исследователи обнаружили увеличение числа кибератак на репозитории с открытым исходным кодом на 633% его виртуальная программная презентация после технических сбоев прервала его живое выступление.
«Ваши серверы никогда, никогда не должны иметь открытый исходящий доступ», — посоветовал Райт.
Многие современные атаки на цепочки поставок «используют тот факт, что многие организации фильтруют входящие вещи, но никогда не обращают внимания на то, что выходит», — добавил Райт.
Плавание вверх по течению
Значительное увеличение размера экосистемы с открытым исходным кодом убедило злоумышленников не только атаковать приложения, но и нацеливаться на их вышестоящие компоненты, отметил он. Во всяком случае, Райт был удивлен, что они не сделали этого раньше и в большем масштабе.
Для контекста: его собственное исследование показало, что в период с 2015 по 2022 год через различные менеджеры пакетов поступили триллионы запросов на загрузку, при этом количество загрузок Java выросло на 3870%, JavaScript выросло на 13,900%, а скачок .NET — 34 100%.
Когда типичное приложение имеет 20-30 зависимостей, которые сами часто имеют 5-10 зависимостей с примерно 10 000 строк кода каждая, поиск уязвимостей — это не столько проблема «иголки в стоге сена», сколько «иголки в «Открытый океан», по словам Райта.
Инженер AppSec Шон Райт демонстрирует значительный рост экосистемы с открытым исходным кодом
Таким образом, такие ресурсы, как Google Open Source Insights, бесценны.
Этот «потрясающий» инструмент строит графики зависимостей для пакетов с открытым исходным кодом и аннотирует их с указанием прав собственности, лицензии, популярности и других метаданных.
Райт также рекомендовал использовать Dependancy Track для централизованного просмотра спецификаций вашего программного обеспечения (SBOM).
При обнаружении уязвимости он посоветовал группам безопасности уделять больше внимания вектору, чем оценке серьезности, поскольку рейтинг CVSS часто меняется по мере углубления понимания ошибки.
Очистите вашу систему сборки
Бывший разработчик программного обеспечения предупредил, что хотя менеджеры пакетов быстро удаляют мошеннические пакеты из общедоступных репозиториев, использование ими кэширования означает, что разработчики должны «очистить» свои частные репозитории и локальные системы сборки.
Он высоко оценил ряд недавних инициатив по укреплению цепочки поставок программного обеспечения — SLSA, Sigstore Cosign, руководство NIST и системы показателей безопасности OSSF — но, несмотря на эти ресурсы, предстоит еще много работы.
Узнайте больше о последних новостях об атаках на цепочку поставок программного обеспечения
В конце концов, критическая ошибка Log4j показала, что организации не усвоили урок, полученный от ошибки Apache Struts, которая подорвала репутацию Equifax в 2017 году — «мы обнаружили 33% загрузок по-прежнему являются уязвимой версией», — посетовал он.
«Обычно вы не позволите какому-либо незнакомому человеку вносить код в вашу кодовую базу», — заключил Райт. «Но когда мы получаем пакеты от случайных разработчиков, это именно то, что мы делаем».
All Day DevOps — это круглосуточная конференция для разработчиков программного обеспечения. Презентации по-прежнему доступны для просмотра по запросу.
НЕ ПРОПУСТИТЕ Обход аутентификации Passport-SAML инициирует исправление критической ошибки исходного XMLDOM
Исследователи обнаружили увеличение числа кибератак на репозитории с открытым исходным кодом на 633%
Чарли Осборн
18 октября 2022 г.
, 15:21 UTC
Обновлено: 24 ноября 2022 г., 13:38 UTC .
Компоненты с открытым исходным кодом, платформы, библиотеки и целые платформы используются организациями на нескольких этапах жизненного цикла разработки программного обеспечения. Эти компоненты обеспечивают основу для связи, программных возможностей, безопасности и взаимодействия с пользователем, а поскольку они разрабатываются и проверяются сообществами, открытый исходный код способствует инновациям в области программного обеспечения.
Однако обратная сторона медали заключается в том, что участники с открытым исходным кодом являются добровольцами; поэтому проблемы с безопасностью иногда могут проскакивать через сеть. Кроме того, ИТ-команды могут не знать, какое программное обеспечение с открытым исходным кодом используется, и поэтому они могут легко пропустить оповещения об исправлениях и обновлениях, которые влияют на их бизнес.
Будьте в курсе последних новостей и анализа программного обеспечения с открытым исходным кодом
Новое исследование показывает, что кибер-злоумышленники – хорошо осведомленные о том, что организации полагаются на программное обеспечение с открытым исходным кодом, – с каждым годом все чаще пытаются скомпрометировать репозитории.
Согласно 8-му ежегодному отчету Sonatype о состоянии цепочки поставок программного обеспечения, количество известных атак на репозитории с открытым исходным кодом увеличилось на 633% по сравнению с прошлым годом, а с 2019 года общий ежегодный рост составил 742%.
После Анализируя данные из общедоступных и проприетарных источников, компания по обеспечению безопасности цепочки поставок программного обеспечения заявила, что популярность и рост программного обеспечения с открытым исходным кодом продолжает расти. Четыре основные экосистемы — Java, JavaScript, Python и .NET, связанные с разработкой с открытым исходным кодом, в ближайшем будущем превысят три триллиона загрузок.
Однако эта популярность имеет последствия для безопасности.
Технический долг
«Объем стороннего кода, проходящего через цепочки поставок программного обеспечения, достигает огромных масштабов», — говорят исследователи. «Тем не менее, опубликованный код со временем накапливает технический долг, создавая потенциал для сложных уязвимостей безопасности, если его не поддерживать в актуальном состоянии».
По данным исследователей, например, 1,2 миллиарда зависимостей Java, которые, как известно, уязвимы, загружаются каждый месяц, в то время как новые, исправленные или улучшенные версии игнорируются.
Sonatype сказал, что это яркий пример «неоптимального поведения при потреблении как корень риска открытого исходного кода».
«Это контрастирует с публичным обсуждением, которое часто связывает угрозу безопасности с мейнтейнерами с открытым исходным кодом», — говорится в отчете.
Рискованный бизнес
Рискованное поведение не обязательно является чьей-либо ошибкой. Разработчики, которым поручено управление зависимостями, сталкиваются с большей сложностью своих ролей, чем когда-либо: среднее приложение Java содержит 148 зависимостей — на 20 больше, чем в среднем в 2021 году — и проходит в среднем десять обновлений в год.
Каждая зависимость может содержать уязвимости, поэтому разработчики должны отслеживать потенциально тысячи изменений в год для каждого приложения.