引言

事情是這樣的，最近在做開源軟件供應鏈安全相關(guān)的項目，之前沒了解這方面知識的時候感覺服務器被黑，數(shù)據(jù)庫被刪，網(wǎng)站被攻，這些東西都離我們太遙遠了，因為感覺好像都輪不到我們，直到我開始做這個項目，才發(fā)現(xiàn)網(wǎng)絡安全，軟件安全問題真的是無處不在。

今天我們來聊聊刪庫跑路和代碼投毒。 我們從可操作性及易發(fā)現(xiàn)性還有后果及預防策略上來探討一下。

刪庫跑路

在軟件行業(yè)，“刪庫跑路”流傳已久，對，就是刪完庫，跑在監(jiān)獄的路上，這個對于安全來說簡直是小兒科。

可操作性

1. 權(quán)限控制

像數(shù)據(jù)這么敏感的權(quán)限會控制的比較嚴格，比如人員的權(quán)限控制及防范：

• 運維人員需進行雙因素認證；
• 防火墻或其他安全設(shè)備進行網(wǎng)絡限制，僅允許從堡壘機才可訪問至核心資產(chǎn)；
• 數(shù)據(jù)庫等系統(tǒng)資源賬號密碼托管在堡壘機中，堡壘機定期自動改密，運維人員無需知道數(shù)據(jù)庫等系統(tǒng)資源的賬號密碼；
• 嚴格控制后臺資源的訪問權(quán)限，做到訪問權(quán)限最小化原則，給不同運維人員分配最小訪問權(quán)限；
• 設(shè)置數(shù)據(jù)庫等高危操作命令的金庫模式，執(zhí)行高危命令時可觸發(fā)阻斷、二次審批等操作；
• 根據(jù)實際情況設(shè)置更高級別安全限制，比如登錄堡壘機時的IP地址、MAC地址限制，登錄堡壘機的時間限制等等。

看到了沒，首先第一步你讓007來也不一定能搞定。就算僥幸跨過了第一步。。。然后就被警察抓走了。。。豬角卒。。

2. 數(shù)據(jù)備份

• 數(shù)據(jù)定期備份。
• 云廠商數(shù)據(jù)防護。
• 異地多活。

就算刪了也能快速恢復。

綜上：你能刪庫的概率基本為0了，只要地球還在數(shù)據(jù)就還在。

易發(fā)現(xiàn)性

這個不用多講，即使能刪庫，有這個權(quán)限的人一根指頭都能數(shù)清，那就是你了。。

影響后果

刪庫跑路一般是只會影響自己的公司，對其他企業(yè)或者人員沒啥影響。但是對于你。。。。

相信你已經(jīng)做出了你的選擇。

代碼投毒

代碼投毒，是指攻擊者在合法軟件的開發(fā)、傳播和升級過程中進行劫持或篡改，從而達到非法目的的攻擊類型。鑒于當前超過99%的商業(yè)軟件包含開源軟件，一旦具有大規(guī)模用戶基礎(chǔ)的開源軟件存在安全漏洞，勢必會影響整個軟件產(chǎn)業(yè)、甚至其他重要行業(yè)的供應鏈安全。

最近的案例

node-ipc 包的作者 RIAEvangelist 在以反戰(zhàn)名義代碼投毒投毒

他提交的是一段惡意攻擊代碼：如果主機的 IP 地址來自俄羅斯或白俄羅斯，該代碼將對其文件進行攻擊，將文件全部替換成 ?。該作者是個反戰(zhàn)人士，還特意新建了一個 peacenotwar 倉庫來宣傳他的反戰(zhàn)理念。據(jù)悉，該 package 每周下載量達到了百萬。另外，使用 Yarn 的開發(fā)者也受到了影響。

PyPI 官方倉庫遭遇150+惡意包瘋狂投毒

攻擊者mega707通過模仿agoric，datadog等知名軟件包進行釣魚，當用戶安裝攻擊者的惡意包時，攻擊者可竊取用戶信息，環(huán)境地址等敏感信息上傳至指定服務器。

Fastjson官方披露高危漏洞，包括rocketmq、jeecg-boot等近15%的github開源項目受影響

2022年5月23日，fastjson 官方發(fā)布安全通報，fastjson <= 1.2.80 存在反序列化任意代碼執(zhí)行漏洞，在特定條件下可繞過默認autoType關(guān)閉限制，可能會導致遠程服務器被攻擊，風險影響較大。建議使用了 fastjson 的用戶盡快采取安全措施保障系統(tǒng)安全。

可操作性

• 包搶注攻擊

攻擊者通過向主流的軟件包管理員（PyPI、Node.js npm、Maven、RubyGems、Docker Hub）投放大量「相似拼寫名稱」諧音的軟件包或鏡像，仿冒正規(guī)項目，從而讓有惡意代碼的代碼包被安裝到開發(fā)或生產(chǎn)環(huán)境。

• 依賴庫注入惡意代碼

攻擊者通過自身的攻擊能力與掌握的漏洞，入侵軟件、硬件供應商的辦公與開發(fā)環(huán)境，直接向產(chǎn)品代碼內(nèi)植入后門，在設(shè)備上預安裝的惡意軟件 (相機、USB、電話等)，實現(xiàn)惡意代碼與后門的分發(fā)，最終進入被攻擊目標的網(wǎng)絡。

預防策略

1）企業(yè)內(nèi)部維護可信軟件倉庫，盡量減少企業(yè)人員從各種未知渠道下載軟件。

2）監(jiān)測服務器和PC運行軟件的異常操作和流量，甚至提前對軟件進行沙盒檢測，主動發(fā)現(xiàn)潛在隱患。

3）全面梳理和維護企業(yè)在用軟硬件信息，在供應鏈攻擊曝光時做到快速止損定損。

4）使用官方渠道下載的IDE；軟件分發(fā)及升級采用HTTPS等加密傳輸；避免內(nèi)置遠程控制能力；定期自檢官網(wǎng)代碼和執(zhí)行程序是否存在惡意篡改。

對于企業(yè)級的，可以引入DevSecOps ，把安全掃描引入到DevOps流程當中，做好預警通知的能力，第一時間發(fā)現(xiàn)并修復軟件漏洞。

最后

不管是刪庫跑路還是代碼投毒，這些都是法律的紅線，調(diào)侃歸調(diào)侃，玩笑歸玩笑，笑過以后，希望每個開發(fā)者都應該有敬畏之心，不然就只能到包吃包住的地方摸魚了。

以上就是防止刪庫跑路及高級代碼投毒技巧的詳細內(nèi)容，更多關(guān)于防止刪庫跑路代碼投毒的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論