攻击者很早就针对应用程序的漏洞,以破坏系统,窃取数据,但最近他们已经跳过步骤和工具的开发后直接去用实际构建这些应用程序。
让我们来看看今年早些时候爆出的一则新闻:据称中情局试图入侵苹果的开发软件Xcode。这样的入侵可能意味着,在这种开发环境下开发的每一个应用程序都将包含恶意软件,使其开发者能够监视和窥探安装这些应用程序的用户截距报道中提到中情局窃取机密的行动。“安全研究人员还声称,他们已经开发了苹果专有软件开发工具Xcode的一个修改版本,该工具可以在使用该工具开发的任何应用或程序中窃取监控后门。”
可以肯定,感染开发商使用的工具,为了妥协,他们最终出货的应用程序,使得对攻击者非常多汁的目标以及为企业危险而显著的威胁。考虑蛮力攻击,有针对性流行的源代码库GitHub的2013年,众多的账户已经被破坏后,GitHub禁止了它认为是弱密码的密码并实现了登录尝试的速率限制。
这GitHub的攻击和Xcode的攻击并非孤立事件。就在上周,苹果公司承认,其应用程序商店忍受涉及数以千计的应用程序的显著漏洞。妥协成为可能时,中国的开发者下载了被污染的恶意软件被称为XcodeGhost的Xcode的假冒软件。XcodeGhost损害了Xcode的在应用程序与该版本的Xcode将包括后续开发的应用程序创建这样的集成开发环境。虽然苹果删除受感染的应用程序,超过估计有4000个受污染的应用程序已经使它进入App Store。此外,在2013年,苹果公司的开发中心被撤下了许多开发人员报告说,苹果公司被迫他们的密码重置较长的时间。
IT风险管理公司CBI的策略师沃尔夫冈•格利希(J. Wolfgang Goerlich)解释了为什么最近苹果开发工具受到的一连串攻击值得关注。“在企业环境中,OS X电脑的数量持续增加。很少有组织考虑使用mac(从安全角度来看),因为mac的数量一直很小,而且大多数(安全)控制都是基于windows的。
“这些类型的攻击 - 感染的编译器 - 过去被认为是高安全性政府组织的潜在威胁。你会被认为是偏执到目前这种情况下的东西,可能会影响公众。然而我们在这里,”贝纳纳尔,Cybereason的联合创始人,检测破坏的软件供应商说。
如果这些类型的两阶段攻击不再只是对偏执者的威胁,并且针对的是企业开发环境,那么这对于试图确保开发和部署安全应用程序的企业意味着什么呢?
Goerlich说:“从开发的角度来看,持续集成和部署的最佳实践可以防止(针对苹果应用商店的)攻击。”
NTT Com安全公司的威胁与漏洞分析主管克里斯·卡梅霍(Chris Camejo)同意这一观点。Camejo说:“这应该是显而易见的,但是开发者(以及其他任何人)应该只使用来自可靠来源的软件,比如供应商的网站或官方应用商店,或者通过验证软件的数字签名来验证他们下载的软件包没有被篡改。”
移动应用开发平台Kony的首席技术官斯里•拉马纳坦(Sri Ramanathan)表示,开源软件也是如此。“为了保护开发人员,企业需要确保所使用的任何软件都经过了审查和认证,可以安全使用。尤其要对开源软件模块保持警惕。当谈到Kony的开发环境时,Ramanathan说Kony的开发人员在产品上不能使用开放源码,除非它得到了特别的批准,并且每一个软件片段在被批准使用之前和之后都是静态和动态扫描的。
“我们也使用的内部和外部的笔测试,以保证定期所有的运行时间。而且我们要确保我们使用源自从一个充满活力的任何开源软件的信任社区,并积极支持,并没有太多的已知的安全问题(已知问题可以而且应当减轻),并是有据可查的,”拉马纳坦解释。
对于企业来说,是非常重要的开发者和软件开发链在许多情况下被保护像任何其他用户和资产,或许更是这样。“对于其他工具链,特别是开源的,它在使用前验证软件的真实性是非常重要的。大多数开源项目提供密码散列,你可以用它来验证下载的软件的真伪,”鲍比·库兹马,CISSP,系统工程师,在核心安全说。“治疗构建服务器的安全系统,具有先进的安全控制,类似于敏感的加密处理的材料将有助于对这类威胁的增益控制时,应该使用什么,”库兹马补充道。
对任何开发团队都是很好的建议。Goerlich补充说,企业需要让某些开发人员在一个干净的环境中工作,使用与构建应用程序不同的开发系统。然后,构建机器将保持在安全加固状态,编译过程将自动进行。即使开发者在自己的电脑上下载了XcodeGhost等恶意代码,构建的电脑也会保持干净,提交到应用商店的内容也会受到保护,”他说。
Goerlich补充说:“对于企业来说,一个强大的网络安全管理程序是识别像XcodeGhost这样的攻击时的第一道防线,它可以监控连接到命令和控制计算机的恶意软件。”
这个故事,“开发人员发现自己在黑客的准星”最初是由CSO 。