

در هفته های اخیر، یک گروه هکر جدید به نام Lapsus $ بیشتر اخبار مربوط به امنیت سایبری را منتشر کرده است. این گروه کد منبع بزرگترین شرکتهای جهان (از جمله سامسونگ و بخشهایی از پروژههای مایکروسافت بینگ، بینگ مپ و کورتانا) را به سرقت برده و فاش کرد. این خبر چند ماه پس از آن منتشر شد که پلتفرم پخش محبوب Twitch نیز به سرنوشت مشابهی دچار شد.
در سال های اخیر شاهد افزایش منابع شرکت ها به صورت آنلاین بوده ایم. اگرچه تمام موارد ذکر شده توسط هکرهای مخرب انگیزه اعمال فشار بر شرکت ها و دسترسی به داده های آنها بوده است، اما نباید فراموش کرد که اشتباهات افراد نیز در این موارد بی تاثیر نبوده است. به عنوان مثال، یک توسعه دهنده ناخواسته اطلاعاتی را در یک مخزن عمومی منتشر کرده است.
متأسفانه، تصورات غلط زیادی در مورد نشت کد منبع وجود دارد. در این مقاله فراست، به خطرات نشت کد منبع می پردازیم. ما همچنین اطلاعاتی در مورد چگونگی تعیین اینکه آیا شرکت شما قربانی چنین حوادثی شده است ارائه می دهیم. در نهایت به شما آموزش می دهیم که منابع دروازه خود را همین الان با ابزار رایگان ویژه بررسی کنید.
کد منبع و مالکیت معنوی
در دنیای امروز که حدود 95 درصد از بخش آیه متکی به نرمافزار متنباز است، کاربران اغلب فراموش میکنند که کد منبع (از زمان نوشتن خط اول کد) مالکیت معنوی سازمانها است. این امکان وجود دارد که این کدها توسط قانون کپی رایت محافظت می شوند و معمولاً اولین خط فایل های کد منبع به توضیح این مشکل اختصاص دارد.
کدهای منبع به دلیل ماهیت دیجیتالی خود، از جمله دارایی هایی هستند که احتمالا منقضی می شوند و افشا می شوند. در دسترس بودن سیستمهای کنترل نسخه توزیعشده و پلتفرمهای اشتراکگذاری کد، کپی و کپی کردن کدها را در اینترنت بسیار آسان میکند. این به نوبه خود منجر به رشد جامعه منبع باز و دستاوردهای بزرگ شده است، اما برای بسیاری از شرکت ها که کد منبع یکی از مهم ترین و با ارزش ترین دارایی ها است، مشکل ساز است. بنابراین، تلاش برای محافظت از کپی رایت کد منبع در سراسر جهان تقریبا غیرممکن شده است.
گاهی اوقات کد منبع حاوی اسرار تجاری است که توسط قانون کپی رایت، حق ثبت اختراع یا علامت تجاری محافظت نمی شود. در صنعتی که سرعت و ابتکار بسیار مهم است، افشای این اطلاعات شخصی میتواند منجر به راهاندازی شود. برای شرکتهای بزرگتر، پیشگیری از درگیری و تحریمهای قانونی یکی از مهمترین انگیزههای نظارت و حفاظت از کد منبع است.
انتشار کد منبع همچنین به هکرها این امکان را می دهد که از روند کلی تولید محصولاتی که میلیون ها کاربر می توانند به آنها دسترسی داشته باشند آگاه شوند. این هم یک مشکل است.
تهدید در قلب کد منبع پنهان است
کدها تا حدودی شبیه طرح طراحی و ساخت محصولات فیزیکی است. دسترسی به مکانیزم داخلی سیستمها یا نرمافزارهای بزرگ امکان تشخیص آسان آسیبپذیریهایی مانند اعتبار کاربری تعبیهشده در کد را فراهم میکند. به عنوان مثال، GitGuardian پس از اسکن کدهای سامسونگ، بیش از 6600 کلید خصوصی پیدا کرد.
به گفته مکنزی جکسون، یکی از حامیان توسعه دهندگان GitGuardian: «از بیش از 6600 کلید موجود در کد منبع سامسونگ، حدود 90 درصد مربوط به زیرساخت ها و خدمات داخلی سامسونگ است و 10 درصد باقی مانده برای ابزارها یا خدمات خارجی سامسونگ در دسترس است. . آنها مانند AWS، GitHub، Artifactory و Google را ارائه کردند.
این بدان معنا نیست که هکرها می توانند از این اسرار، آسیب پذیری های کنترل دسترسی و سایر آسیب پذیری های امنیتی به محض افشای اطلاعات سوء استفاده کنند، اما این اطلاعات ابزارهای هکر را تقویت می کند. گاهی اوقات برخی از سیگنال های ضعیف مانند اطلاعات در مورد هویت توسعه دهندگان، عادات و روش ها، زبان و فرهنگ سازمان آنها برای مهاجمان ارزشمندتر از خود منطق تجاری است. هزاران خط کد اطلاعاتی فراتر از تصور ما را آشکار می کند.
چگونه نشت کد منبع را تشخیص دهیم؟
همانطور که قبلاً ذکر شد، حتی اگر در یک هک شرکت نکرده باشید، ممکن است همچنان کد شما بدون اطلاع شما به GitHub لو رفته باشد. همچنین ممکن است شرکت شما در این پلتفرم حضور رسمی نداشته باشد، اما برخی از توسعه دهندگان شما ممکن است همچنان در پروژه های منبع باز درگیر باشند یا از مخازن شخصی برای به اشتراک گذاری کد استفاده کنند.
بنابراین باید نقشه برداری از اثر انگشت خود را جدی بگیرید. هوش تهدید معمولاً به سؤالات زیر پاسخ می دهد:
- چه دارایی هایی از طریق اینترنت در دسترس عموم است؟
- آیا این داده ها شامل اطلاعات کاربر می شود؟
- آیا این داده ها حاوی اطلاعات مهم و قابل اعتمادی هستند که مهاجم ممکن است از آنها سوء استفاده کند؟
- آیا می توان با نشت دارایی مقابله کرد (مثلاً با شروع فرآیندی خارج از محدوده DMCA)؟
از نظر فنی، راه حل برای تشخیص نشت کد منبع شامل گرفتن اثر انگشت از یک کد خاص و مقایسه آن با یک پایگاه داده فایل عمومی است. ابزار رایگان HasMyCodeLeaked دقیقاً همین ویژگی را دارد. این ابزار توسط GitGuardian طراحی شده است تا به هر کسی کمک کند تا به سرعت موارد سازگار با اطلاعات مالکیت معنوی خود را پیدا کند. این ابزار جستجوی عمیق اثر انگشت کد (یعنی اطلاعات مهم و فهرست فایل های کد، از جمله تمام اصلاحات در آنها) را در تاریخچه کلی GitHub انجام می دهد. سپس یک گزارش جستجو برای همه مخازن حاوی کد منبع شما با قابلیتهای فیلتر هوشمند ایجاد میشود که به شما امکان میدهد مخازن پرخطر را شناسایی کنید.
نتیجه
مشکل لو رفتن کد منبع بسیار مهم است زیرا می تواند به اعتبار برندها آسیب برساند و برخی از دارایی های ارزشمند سازمان را تهدید کند. اگرچه درخواستهای حذف DMCA میتواند به حذف محتوای دارای حق نسخهبرداری از پلتفرمهای عمومی کمک کند، اما همچنان میتوان اسرار تجاری را فاش کرد و طرحهای شرکت را به خطر انداخت. از نقطه نظر امنیتی، این اطلاعات برای مهاجمان بسیار ارزشمند است، زیرا یک نمای کلی از نحوه عملکرد نرم افزار (از جمله نقص نرم افزار، فرآیندها و افراد درگیر) ارائه می دهد.
با توجه به رشد و توسعه پلتفرم GitHub، نظارت بر ردپای شرکت ها در این فضا به یکی از چالش های اصلی برای تحلیلگران تهدید تبدیل شده است. ابزار رایگان HasMyCodeLeaked همچنین برای کمک به شرکتها طراحی شده است تا نشت مالکیت معنوی خود را شناسایی کنند.
برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.
منبع: infosecurity-magazine