ما تعلمناه عن أمن الأسرار في قرية AppSec Village في معرض DEF CON 32

الدروس التعليمية
Git

إذا كنت قد نشأت في الولايات المتحدة الأمريكية، فلو كان لديك ذكريات عن زيارة للمخيمات الصيفية. حتى لو لم تحضر أحدها بنفسك، تمتد تجارب المخيمات – التي تتضمن الذهاب بعيداً عن المنزل، وتعلم الأعمال العديدة والفنون، وتقاء أقرب أصدقاء، والذهاب في مغامرات تذكر – في الثقافة العامة والإعلام. كل أبريل، يحدث أكبر مخيم المخترقين الصيفي على 地球 في حرارة مدينة لاس فيجازيس. هذه السنة كان تسعين ثالثة عدة لDEF CON.

قد يكون من الصعب شرح DEF CON بدون مجاورته. نعم، هناك مسارات للمتحدثين، وورشات رسمية، والعديد من مسابقات اختبار العلماء (CTFs), لكن هناك الكثير من الأشياء الأخرى. لا يوجد مؤتمر آخر يحتوي على هذا المقدار من المؤتمرات الفرعية والأنشطة المقامية بواسطة المجموعات. حتى المشاهدين الذين يذهبون بسنوات تعد يقولون بأنهم لا يظنون أنهم شهدوا كل شيء الذي يقدم لهم.

بالرغم من عدم انتشار أعداد رسمية يعطيها منظموه، لقد تراجعت من المؤتمرات السابقة من 25 ألف إلى 30 ألف مشاهدين. كل مشاهدين واحد يحمل به حب للتكنولوجيا ومعلومات كافية للمشاركة. الممرات مليئة بالناس الذين يقومون بالتشغيل على الأجهزة الحاسوبية، وكتابة البرمجيات، وتشكيل الموسيقى، وتقاء الملصقات، وجعل كل شيء يحدث في DEF CON ممتعاً.

الق

كان يتضمن 33 قرية في DEF CON 32. هذه القرية تشمل تنوع كبير في الاهتمامات، من هجمة المجالات الفضائية والهندسة الاجتماعية والمعلومات الخاطئة إلى الفريق الأحمر والأمن التطبيقي. كل قرية منظمة بشكل مستقل وتوفر مجموعة فريدة من المحاضرات والورشات والأنشطة اليدوية للمشاهدين للتفاعل مع مجالهم المحدد.

قرية AppSec كان مساحة قيمة داخل المجموعة الكبيرة للهجمة والأمن التي تركز على دفاع التطبيقات التي تحمل كل حياتنا. وقد كان واحدًا من الأشخاص المحظوظين الذين ساعدوا في تنظيم وتشغيل قرية AppSec 2024.

اكتشاف الأسرار

بالعودة إلى قرية AppSec في مؤتمر RSA Conference 2024، أظهرت GitGuardian لنا Spot the Secrets، لعبة بطاقات التي تمثل التجزئة اليدوية لإيجاد المعلومات السرية البسيطة. يتم إذن لللعبة بجعل اللاعبين يتسابقون لإيجاد جميع أسرار البيانات الخاصة المخفية التي قد تستخدم المهاجمون للحصول على دخول أكبر مجموعة من النسخ البرمجية والتذاكر الجيرا والملفات السجلية ورسائل Slack.

Spot the Secrets at AppSec Village, edited to account for DEF CON photo rules

في DEF CON، خلال فترة يشبه 2 أيام، أتى أكثر من 120 شخص إلى قسمنا في القرية التقنية للأمن السيء لتجربة هذه الممارسة بأنفسهم. حتى أننا حصلنا على قائمة قادرين حيث أفضل اللاعبين، الذين أخطأوا القليل، ربحوا مكافأات خاصة.

أسئلة الأكثر شيوعًا حول الأسرار الأمنيين

حينما بدأ الناس في مراجعة البطاقات التي تحتوي على البرمجيات، حصلنا على مجموعة واسعة من الأسئلة. نعتقد أنه سيكون من الجيد أن نشر بعض الأسئلة في حال أنكم لم تسمعوا إياها بعض الإجابات بعد.

هذه أكثر الأسئلة ال11 أكثر شيوعًا التي سمعناها وإجابتنا بها.

1. ما هو التعهد بالضبط؟

التعهد هو وحدة العمل في Git، النظام المسؤول عن التحكم في النسخ المتوازية الذي يستخدمه أكثر من 97% من المطورين العالميين. هو تصور للنظام الملون في موقع معين من الوقت، يشمل جميع العمل الذي قم المطور به منذ التعهد السابق. إذا ما أخذت تعهدات بعدة بعد البعد، ستحصل على التاريخ التقني لGit، وهو يسمح لك بالبحث في كل تغيير قام به بالتدريج في حياة نسخ المبرمجيات. أحد التحديات الأمنية السرية التي يواجه الاستخدام من Git هو أن التاريخ هو سجل دائم مشترك. إذا أضاف السر في تعهد وأزيل بعدها في التعهد التالي، يبقى التعهد الذي كان يحمل السر.

2. كيف يمكنك معرفة إ

سر هو أي معلومة تمنح الوصول المباشر إلى نظام أو البيانات. قد تأخذ تشكيلاً من أي مفاتيح API، كلمات مرور، شهادات، ورموز، وهذه مجرد عدد قليل. جزء من السبب أنهم صعب الإكتشاف هو أنهم يستخدمون بطرق متعددة داخل البرمجيات ومن خلال خط الأمر. على سبيل المثال، قد يتم تعيين متغير معين للمفتاح الخاص بالAPI في ملف إعدادات. لكن لأنظمة مثل Slack، سيكون المفتاح الخاص بالAPI مدمج في الURL نفسه، مما يعني أن عليك أن تكون مألوفًا بهذا النظام لتعرف أنه سر.

يستخدم معظم الأنظمة أرقام طويلة وفريدة في URL الواجهة المستخدمة، التي قد تشبه تمامًا الرموز الفريدة المدمجة. على سبيل المثال، قد تبدو Figma URL وكأنها تحتوي على سلسلة مكونة بالبايس64 في المسار. ومع ذلك، إذا تتبعت رابط عشوائي لFigma، سوف تصطدم بشاشة الدخول، لأنك تحتاج لتكون مستخدم مصرح للوصول إلى تلك الصفحة. ولأنه لا يمنح الوصول المباشر إلى النظام ولكن يُحدد مجرد موقع الصفحة، سيعود المهاجم بخطأ “لا توجد صلاحية” ويتحرك إلى أي مكان. هذا سبب آخر للتوفر على أدوات لتحديد الأسرار، لأن هناك منابع تمكنك من تمييز بسرعة بين URL التي تحتوي على مفتاح تفويض وأحدها التي قد تبدو وكأنها قد تحتوي عليه.

3. ما معنى الموافقة؟

“سليم” في استخدامنا يعني أن شهادة معينة تقوم لتمكين الوصول إلى النظام المتصل أو البيانات. إذا وجد مهاجم هذه الأسرار السليمة يمكن استخدامها على الفور. بينما قد تعطي أسرارًا غير سليمًا للمهاجم أي معرفة في تشكيل البنية التحتية والأنظمة المترابطة، فقط الأسرار السليمة توفر لهم مسارًا مباشرًا إلى تلك الموارد. هذا النوع من التحركات الجانبية قد يكون صعب الاكتشاف أيضًا.

4. كيف يمكنني معرفة أي أسرار هي الصحيحة التي يجب أن أبحث عنها؟

الإجابة الأفضل هي إيجاد وإزالة جميع الأسرار السليمة. ومع أن Spot the Secrets يثبت أن هذه مشكلة صعبة الحل بدون أدوات صحيحة، فإن المراجعات البشرية المدمجة أو الأدوات التي تعتمد فقط على التطابق البسيط قد توجهك إلى قضاء وقت في تصحيح أسرار قد تم تخطيطهم بدلاً عن تركيزك على الأسرار السليمة. المفاتيح المنتهية ليست خطرة كافية، لذا يجب أن تؤخذ أولوية أقل في تقليصها مقارنة بأي أسرار سليمة تكتشف.

5. ما هي فرق السر من الكود المكتظ؟

يبدو أن المهاجمون لا يقرأون ما تكون في برمجياتك معظم الوقت، بل يقومون ببحث عن طرق واحدة للحصول على وصول أوسع بشكل سريع قدر الممكن. البرمجيات الجيدة الكود قد تحتوي على العديد من الأخطاء التي يمكن للمهاجم استخدامها، خاصة حول تكوين الب

يمكن استخدام أسماء المتغيرات وأسماء المستخدمين كجزء من هجوم أكثر تعقيدًا. على سبيل المثال، يمكن استخدام أسماء المستخدمين والبريد الإلكتروني الموجود في الشيفرة في هجمات رش كلمات المرور أو محاولات القوة الغاشمة، لكن هذه الهجمات أسهل بكثير في الكشف عنها من الاستخدام المباشر للأسرار وتستغرق وقتًا طويلاً بالنسبة للمهاجم.

6. ماذا أفعل بهذا السر بمجرد أن أجده؟

أولاً، توقف وخذ نفسًا عميقًا. يحدث هذا لأفضلنا، لذلك لا تشعر بالضيق إذا وجدت سرًا مسربًا. من الجيد التصرف بشكل عاجل، لكن لا ترتبك وتلغي السر الذي وجدته دون معرفة ما سيحدث. يمكن أن يتسبب ذلك في العديد من المشكلات الأخرى.

نوصي باتباع مسار:

  1. افهم ما الذي يفتح السر.
  2. حدد مدى أهمية أي بيانات أو نظام مرتبط.
  3. تحقق من سجلاتك لاستخدام غير مصرح به للسر.
  4. حدد ما إذا كانت أي بيانات أو خدمة قد تم تسريبها.
  5. اكتشف ما الذي سينكسر عند تغيير السر.
  6. قم بتغيير السر واحفظ بيانات الاعتماد الجديدة بأمان.
  7. قم بإصلاح أي تدفقات عمل معطلة أو نشرات إنتاجية.
  8. راجع الحادث وضع خطة عمل لتجنب تسرب أسرار إضافية.

اقرأ المزيد عن عملية الإصلاح في المقال، “ماذا تفعل إذا كشفت عن سر: كيف تبقى هادئًا وتستجيب لحادث.”

7. فريقي دائمًا يعيد كتابة تاريخ Git عندما يتم اكتشاف سر. هل هذا كل ما نحتاج إلى فعله؟

بسبب أنه وبشكل لا يُمْكِنُ إجابة المشاكل بعد التعريف، نحن نحب الخطوة النهائية لتنظيف الGit، ولكنها بالحقيقة خطوة خاصة وهي تُرى الكثير من المنظمات بمجرد خيار اختياري. نوصي بتغيير أي أسرار تم تعريفه كتابة ببساطة (رجاء الاتصال بالرابط الأعلاه لنصائح عملية تنظيف).

8. أليس من الكافي إزالة المستودع من العام؟

نتمنى لأن يكون هذا صحيحًا، ولكن لسبب لا نرغب به ، عندما يتم تعريف عن قاعدة البيانات على GitHub بشكل عام ، ينبغي دائمًا أن يتم تخيلها مستهدفة. تقوم GitGuardian بفحص كل تعريف جديدcommit وأي حدثisPublic يحدث عبر API العام للGitHub.

وهذا هو طريقة بناء تقريرنا السنوي الخاص بأوضاع الأسرار المتندمة وهي أساس خدمة مراقبة العام الخاصة بGitGuardian. بينما نريد إخبار المشاركين بأنهم قد قموا بعمل شيء خطر بشكل محتمل ، لكننا لسنا فقط المشاهير الوحيدون الذين يراقبون هذه الAPI العامة. يجب أن تفترض أن هناك نسخة من أي شيء قمت بتحميله العام أو ملفات تم تحميلها من قبل شخص لا تعرف عنه وتم تخزينه في مكان لا تعرف عنه. نوصي دائمًا بتغيير أي أسرار قد تكون معروفة.

9. لماذا الخطأ الجيد؟

في تمرير تحدي الأسرار، نطلب من المستخدمين إيجاد جميع الأسرار الموجودة داخل 100 تعريف ممكن من

في نطاق محدود للتمرين، قد يبدو أن الحذف الضئيل وإرمال الأشياء التي لا تحتوي على أسرار هو شيء جيد للتحذير والتوعية بشكل زائف، ولكن في الواقع الحقيقي، يمضي وقت قيم لكم ولمستخدمي التقارير، وأيضًا لأي شخص يتم تسليمه مهمة عمل بحلول.

أي أداة أو عملية تقوم بإبلاغ الكثير من الأشياء الخاطئة تؤدي إلى ملل التنبيهات. يغلق المستخدمون بالتنبيهات ويبدؤون بتجاوب بها بشكل سلبي. ينتهي هذا بعدم ثقة بالأدوات واستخدام غير متوازن، وقد يتسبب ذلك أيضًا في إعادة إصلاح الأمور بأكملها ويعني أن بعض الأسرار الصحيحة التي تُبلغ لا تتم إتخاذ تدابير تصحيحها في الوقت المناسب.

10. كيف يتم تحديد أسرار من خلال إسم ملف؟

ببساطة: ال context. الأسرار العامة قد تكون صعب العثور عليها من خلال محاولة التطابق النمطي وحده. إذا كان هناك سطر طويل في ملف ماركتاوند ، توجهاتنا تشير إلى منحنى عالٍ للاحتمال أنه مثال لمرور كلمة مرور ، لذلك فإنك قد لا تتوجب عليك معالجته. على العكس ، إذا ظهر هذا السطر بعد خطوط password= في ملف يُدعى project.env ، فإن قابلية إيجاد سر حقيقي على متناولك أكبر بكثير.

الإسم الملفي هو واحد من العناصر التي نراها في التحقق قبل وبعد التصدي في محرك الكشف القائم على الأسرا

11. هل يقوم بالفعل الناس بمراجعات البرمجيات اليدوية لإيجاد الأسرار؟

نعم، 27% كامل من منظمي القرارات التكنولوجية الذين قمنا بإستبيانهم أخبروا بأنهم يعتمدون على مراجعات البرمجيات اليدويةلتصحيح توسعة الأسرار، حتى و尽管75% منهم قالوا أنهم تأثروا بتسرب سر.

تم تصميم “إيجاد الأسرار” لإظهار قضايا الإعتماد على البشر لإيجاد هذه القضايا. الآلات أفضل بشكل كبير في تطابق الأنماط عبر آلاف أو ملايين الأخطوات البرمجية.

التعلم معا هو ما يتعلق بDEF CON

تعلمنا الكثير من الدروس في DEF CON، بما في ذلك الاستمرار في الحصول على الماء، و الحصول على عشرات الساعات الصغيرة من النوم كل ليلة، و ببقاء أنفسنا داخل حيث يكون ما بالأعلى 110°F/43°C من الخارج.

كان هناك العديد من المحاضرات الممتازة في الجدول التنظيمي؛ نحن نتوقع بشدة أن تصبح متاحة لنشر فيديوهات المحاضرات التي تعود على ما نفسره بمساعدة الناس على تعلم عن “توسعة الأسرار”. خلال هذه الرحلة، تعلمنا الكثير عن كيف يرى الأشخاص الأمنيين، والمطورين، والبشر بعمق بهذه المشكلة وكيف يفكرون في الحلول. نحن في GitGuardian نأمل أن ندمج تلك الدروس لجعل حل هذه المشكلة أكثر وصولاً وسهلاً لنا جميعًا.

إذا لم يكن لديك أي تخمينات عن الذهاب إلى DEF CON، نحن نأيد بشدة ذ


Source:
https://dzone.com/articles/secrets-security-at-appsec-village-at-def-con-32