آیا کدهای محصول شما منقضی شده است؟

در هفته های اخیر، یک گروه هکر جدید به نام Lapsus $ بیشتر اخبار مربوط به امنیت سایبری را منتشر کرده است. این گروه کد منبع بزرگ‌ترین شرکت‌های جهان (از جمله سامسونگ و بخش‌هایی از پروژه‌های مایکروسافت بینگ، بینگ مپ و کورتانا) را به سرقت برده و فاش کرد. این خبر چند ماه پس از آن منتشر شد که پلتفرم پخش محبوب Twitch نیز به سرنوشت مشابهی دچار شد.

در سال های اخیر شاهد افزایش منابع شرکت ها به صورت آنلاین بوده ایم. اگرچه تمام موارد ذکر شده توسط هکرهای مخرب انگیزه اعمال فشار بر شرکت ها و دسترسی به داده های آنها بوده است، اما نباید فراموش کرد که اشتباهات افراد نیز در این موارد بی تاثیر نبوده است. به عنوان مثال، یک توسعه دهنده ناخواسته اطلاعاتی را در یک مخزن عمومی منتشر کرده است.

متأسفانه، تصورات غلط زیادی در مورد نشت کد منبع وجود دارد. در این مقاله فراست، به خطرات نشت کد منبع می پردازیم. ما همچنین اطلاعاتی در مورد چگونگی تعیین اینکه آیا شرکت شما قربانی چنین حوادثی شده است ارائه می دهیم. در نهایت به شما آموزش می دهیم که منابع دروازه خود را همین الان با ابزار رایگان ویژه بررسی کنید.

کد منبع و مالکیت معنوی

در دنیای امروز که حدود 95 درصد از بخش آیه متکی به نرم‌افزار متن‌باز است، کاربران اغلب فراموش می‌کنند که کد منبع (از زمان نوشتن خط اول کد) مالکیت معنوی سازمان‌ها است. این امکان وجود دارد که این کدها توسط قانون کپی رایت محافظت می شوند و معمولاً اولین خط فایل های کد منبع به توضیح این مشکل اختصاص دارد.

کدهای منبع به دلیل ماهیت دیجیتالی خود، از جمله دارایی هایی هستند که احتمالا منقضی می شوند و افشا می شوند. در دسترس بودن سیستم‌های کنترل نسخه توزیع‌شده و پلت‌فرم‌های اشتراک‌گذاری کد، کپی و کپی کردن کدها را در اینترنت بسیار آسان می‌کند. این به نوبه خود منجر به رشد جامعه منبع باز و دستاوردهای بزرگ شده است، اما برای بسیاری از شرکت ها که کد منبع یکی از مهم ترین و با ارزش ترین دارایی ها است، مشکل ساز است. بنابراین، تلاش برای محافظت از کپی رایت کد منبع در سراسر جهان تقریبا غیرممکن شده است.

گاهی اوقات کد منبع حاوی اسرار تجاری است که توسط قانون کپی رایت، حق ثبت اختراع یا علامت تجاری محافظت نمی شود. در صنعتی که سرعت و ابتکار بسیار مهم است، افشای این اطلاعات شخصی می‌تواند منجر به راه‌اندازی شود. برای شرکت‌های بزرگ‌تر، پیشگیری از درگیری و تحریم‌های قانونی یکی از مهم‌ترین انگیزه‌های نظارت و حفاظت از کد منبع است.

انتشار کد منبع همچنین به هکرها این امکان را می دهد که از روند کلی تولید محصولاتی که میلیون ها کاربر می توانند به آنها دسترسی داشته باشند آگاه شوند. این هم یک مشکل است.

تهدید در قلب کد منبع پنهان است

کدها تا حدودی شبیه طرح طراحی و ساخت محصولات فیزیکی است. دسترسی به مکانیزم داخلی سیستم‌ها یا نرم‌افزارهای بزرگ امکان تشخیص آسان آسیب‌پذیری‌هایی مانند اعتبار کاربری تعبیه‌شده در کد را فراهم می‌کند. به عنوان مثال، GitGuardian پس از اسکن کدهای سامسونگ، بیش از 6600 کلید خصوصی پیدا کرد.

به گفته مکنزی جکسون، یکی از حامیان توسعه دهندگان GitGuardian: «از بیش از 6600 کلید موجود در کد منبع سامسونگ، حدود 90 درصد مربوط به زیرساخت ها و خدمات داخلی سامسونگ است و 10 درصد باقی مانده برای ابزارها یا خدمات خارجی سامسونگ در دسترس است. . آنها مانند AWS، GitHub، Artifactory و Google را ارائه کردند.

این بدان معنا نیست که هکرها می توانند از این اسرار، آسیب پذیری های کنترل دسترسی و سایر آسیب پذیری های امنیتی به محض افشای اطلاعات سوء استفاده کنند، اما این اطلاعات ابزارهای هکر را تقویت می کند. گاهی اوقات برخی از سیگنال های ضعیف مانند اطلاعات در مورد هویت توسعه دهندگان، عادات و روش ها، زبان و فرهنگ سازمان آنها برای مهاجمان ارزشمندتر از خود منطق تجاری است. هزاران خط کد اطلاعاتی فراتر از تصور ما را آشکار می کند.

چگونه نشت کد منبع را تشخیص دهیم؟

همانطور که قبلاً ذکر شد، حتی اگر در یک هک شرکت نکرده باشید، ممکن است همچنان کد شما بدون اطلاع شما به GitHub لو رفته باشد. همچنین ممکن است شرکت شما در این پلتفرم حضور رسمی نداشته باشد، اما برخی از توسعه دهندگان شما ممکن است همچنان در پروژه های منبع باز درگیر باشند یا از مخازن شخصی برای به اشتراک گذاری کد استفاده کنند.

بنابراین باید نقشه برداری از اثر انگشت خود را جدی بگیرید. هوش تهدید معمولاً به سؤالات زیر پاسخ می دهد:

• چه دارایی هایی از طریق اینترنت در دسترس عموم است؟
• آیا این داده ها شامل اطلاعات کاربر می شود؟
• آیا این داده ها حاوی اطلاعات مهم و قابل اعتمادی هستند که مهاجم ممکن است از آنها سوء استفاده کند؟
• آیا می توان با نشت دارایی مقابله کرد (مثلاً با شروع فرآیندی خارج از محدوده DMCA)؟

از نظر فنی، راه حل برای تشخیص نشت کد منبع شامل گرفتن اثر انگشت از یک کد خاص و مقایسه آن با یک پایگاه داده فایل عمومی است. ابزار رایگان HasMyCodeLeaked دقیقاً همین ویژگی را دارد. این ابزار توسط GitGuardian طراحی شده است تا به هر کسی کمک کند تا به سرعت موارد سازگار با اطلاعات مالکیت معنوی خود را پیدا کند. این ابزار جستجوی عمیق اثر انگشت کد (یعنی اطلاعات مهم و فهرست فایل های کد، از جمله تمام اصلاحات در آنها) را در تاریخچه کلی GitHub انجام می دهد. سپس یک گزارش جستجو برای همه مخازن حاوی کد منبع شما با قابلیت‌های فیلتر هوشمند ایجاد می‌شود که به شما امکان می‌دهد مخازن پرخطر را شناسایی کنید.

نتیجه

مشکل لو رفتن کد منبع بسیار مهم است زیرا می تواند به اعتبار برندها آسیب برساند و برخی از دارایی های ارزشمند سازمان را تهدید کند. اگرچه درخواست‌های حذف DMCA می‌تواند به حذف محتوای دارای حق نسخه‌برداری از پلتفرم‌های عمومی کمک کند، اما همچنان می‌توان اسرار تجاری را فاش کرد و طرح‌های شرکت را به خطر انداخت. از نقطه نظر امنیتی، این اطلاعات برای مهاجمان بسیار ارزشمند است، زیرا یک نمای کلی از نحوه عملکرد نرم افزار (از جمله نقص نرم افزار، فرآیندها و افراد درگیر) ارائه می دهد.

با توجه به رشد و توسعه پلتفرم GitHub، نظارت بر ردپای شرکت ها در این فضا به یکی از چالش های اصلی برای تحلیلگران تهدید تبدیل شده است. ابزار رایگان HasMyCodeLeaked همچنین برای کمک به شرکت‌ها طراحی شده است تا نشت مالکیت معنوی خود را شناسایی کنند.

برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.

منبع: infosecurity-magazine