מה שלמדנו על אבטחת סודות בכפר AppSec ב-DEF CON 32

אם גדלתם בארה "" ב, סביר שיש לכם זיכרון של נסיעה למחנה קיץ. אפילו אם לא היתם משתתפים במחנה עצמכם, החוויה של לעזוב את הבית, ללמוד כל מיני אמנויות ואמנות, לפגוש חברים חדשים המושלמים, ולעשות משימושים המצפים הוא בנוי בתחום התרבות הפופולרית ובמדיה. באוגוסט, המחנה הקיץ הגדול ביותר על פני כדור הארץ נערך בחומת החום של לאס וג 'יס. השנה הייתה ה-32 ההדמייה של DEF CON.

קשה להסביר את המחנה מבלי לחוות אותו. כן, יש על מנתולים של דיבור, הסעדות רשמיים, ומספר משחקים CTF (קיפור-הערמה), אך יש גם הרבה יותר. אין כיון כנס אחר שכולל כל כך הרבה תחתיות ואירועים מובילים על ידי הקהילה. אפילו המשתתפים שחוזרים שנה אחר שנה אומרים שעדיין לא מאמינים שחוויתם את כל מה שיש להקרין.

לא נפלטה מספר רשמי על ידי הארגונים, אך האירועים הקודמים נמצאו בין 25,000 עד 30,000 משתתפים. כל משתתף מביא את אהבתם לטכנולוגיה והרבה ידע לשיתף. המועדים מלאים באנשים שעובדים על חומרה, כותבים תוכנה, עושים מוסיקה, משתף שטיקרס, ועושים את כל ההנאה של DEF CON.

הכפרים

היו 33 כפרים שנמצאים בתוך דף המפגש 32 של DEF CON. הם מכילים את כל מגוון העניינים, מהacking באויר, הניהול החברתי, והמידע המוטעה עד לצד קבוצות ואיפוס ברישים, ואפיון ביטחון יישומי. כל כפר מארגן באופן עצמאי ומעניק סדנאות ופעילויות ידניות ייחודיות עבור המשתתפים שרוצים להתחבר לאזור המיועד להם.

כפר אפיון ביטחון יישומי היה מרחב משמעותי בתוך הקהילה הגדולה של ההacking והביטחון המקדם על הגנת היישומים שמעצמם את כל חיינו. הסופר שלך היה אחד מהאנשים המקריים שעזר לארגן ולבצע את הכפר האפיוני לשנת 2024.

למציאת הסודות

חזרה בכפר אפיוני במפגש RSA 2024, גיטגוארדיאן חשף את "למציאת הסודות", משחק בסידור כרטיסים שמדמה את החווייה של סקירת קוד ידנית על מנת למצוא סודות פשוטים כמו API מפתחים, סיסמאות, וסודות פשוטים אחרים שאותם התקפים יכולים להשתמש כדי להגיע לגישה נוספת לקבצים של קוד, ציוצים Jira, שירבוטים ומסרים Slack.

למציאת הסודות בכפר אפיוני, עורך על-ידי חוקי התמונות של DEF CON

ב-DEF CON, במשך 2 ימים, יותר מ-120 אנשים עברו דרך ה-POD שלנו ב-AppSec Village כדי לחוות את התרגיל הזה בעצמם. אפילו היה לנו לוח זמנים שבו השחקנים המהירים ביותר, שעשו את הטעויות הפחות, זכו בפרסים מיוחדים.

השאלות הנפוצות ביותר בנושא סודות אבטחה

כשהאנשים התחילו לבדוק את הכרטיסים המכילים קוד, קיבלנו מגוון רחב של שאלות. אנו מאמינים שיהיה זה מועיל לשתף כמה מהשאלות במקרה שגם אתם, לא שמעתם תשובות לדאגות אלו עד כה.

הנה 11 השאלות הנפוצות ביותר ששמענו ותשובותינו.  

1. מה זה קומיט בדיוק?

קומיט הוא יחידת עבודה ב-Git, מערכת בקרת הגרסאות שמשתמשים בה יותר מ-97% מהמפתחים ברחבי העולם. זהו צילום של מערכת הקבצים ברגע נתון, כולל את כל העבודה שהמפתח עשה מאז הקומיט האחרון. אם תסדר קומיטים אחד אחרי השני, תקבל את היסטוריית ה-Git, שמאפשרת לך לבדוק כל שינוי שנעשה בהדרגה בחיי בסיס הקוד. אחד מהאתגרים הסודיים של השימוש ב-Git הוא שההיסטוריה היא רשומת קבע משותפת. אם סוד נוסף לקומיט אחד והוסר בקומיט הבא, הקומיט עם הסוד עדיין נשמר.

2. איך אפשר לדעת אם משהו הוא סוד?

סוד הוא כל רשות שמעניקה 接入 ישיר למערכת או למידע. הם יכולים להיות בצורה של API מפתחים, סיסמאות, סמיכים וטוקנים, לדוגמא מספרת. חלק מהסיבות שהם קשה לזהות הן בגלל שהם משמשים בדרכים רבות בתוך הקוד ומטעם שורת הפקודות. לדוגמה, בתוך קונFIGורציון מיון משתנה מפתח סיסמאות ספציפי עבור API. אבל למערכות כמו Slack, טוקן הAPI מוטמע בעצמו בURL, אז תצטרכו להיות מודעים למערכת כדי לדעת שזה סוד.

הרבה מערכות משתמשות במספרים ארוכים וייחודיים בURL של מערכת המשתמש, שיכולים להיראות דומים לטוקנים בין השורות. לדוגמה, URL של Figma עשויים להיראותכך שיש בו מסר בסיס64 במסלול. אך אם תעקובות אחר קישור אקראי של Figma, תופגעו במסך ההתחברות, מפני שאתה צריך להיות משתמש מאומן כדי להתחבר לדף הזה. מפני שהוא לא מעניק 接入 למערכת אוטומטית אבל רק מזהה את המיקום של הדף, פעיל ההתקף שאין לו מייצג בFigma יחזיר את השגיאה "אין גישה" וימשיך. זו סיבה נוספת להשתמש בכלים כדי לזהות סודות, כי יש פלטפורמות שיכולות להבחין מהר בין URL שיש בו טוקן הרשרה לאחד שנראה שיש בו.

3. מה זה אומר חוקי?

חוקי, בשימוש שלנו, אומר שרישיון מסויים עדיין פועל להעניק גישה למערכת או למידע הקשורים. אם מוצאים על ידי אתגר פתאום, סוד חוקי יכול להיות באמת משמש. בעוד סודות לא-חוקיים יכולים לספק לאתגר תובנה על הארכיטקטורה הכללית והמערכות המקושרות, רק סודות חוקיים מציעים להם מסלול ישיר לאותם משאבים. סוגים אלה של תנועות צדדיות יכולים להיות קשישים לזיהוי.

4. איך אני אמור לדעת אילו סודות הם הנכונים שאני צריך לחפש?

התשובה הטובה ביותר היא למצוא ולהסיר כל סוד חוקי מוקים. אך כפי שמוכיח Spot the Secrets, זו בעיה קשה לפתרון ללא הכלים הנכונים. בדיקות קטנטניות בקוד או מערכות שתלויות בהתאמה פשוטה יכולות לגרום לך לבלוע זמן בתיקון סודות שכבר אינם חוקיים, במקום להתמקד בסודות חוקיים. מפתחות מתקדמים אינן מאתגרות מאוד, אז המאמצים להסירן צריכים להיות בעלי סדר סיסמה נמוכה בהשתקפות בסודות חוקיים שאתה מוצא.

5. מה ההבדל בין סוד וקוד כותב רע?

אתגרים לא סביר שיקראו את הקוד שלך ברוב הזמן; הם יסקונים עבור דרכים ספציפיות להשתמש בהן במהירות כדי לקבל גישה רחבה. קוד מכוער יכול לכלול הרבה פגיעות שאתגר יכול להשתמש בהן, בעי

שמות משתנים ושמות משתמשים יכולים לשמש כחלק מהתקפה יותר מורכבת. לדוגמה, שמות משתמשים ודוא"ל שנמצאים בקוד יכולים לשמש בהתקפות של פיזור סיסמאות או ניסי כוח גס, אך אלו הרבה יותר קלים לזיהוי מאשר שימוש ישיר בסודות והם מאוד ממושכים עבור התוקף.

6. אבל מה לעשות עם זה ברגע שאני מוצא סוד?

קודם כל, עצור ונשום. זה קורה גם לטובים שבינינו, אז אל תתעצבן יותר מדי אם תמצא סוד דלף. חשוב לפעול בדחיפות, אבל אל תיכנס לפאניקה ותשיב סוד שנמצא מבלי לדעת מה יקרה. זה יכול לגרום למגוון בעיות נוספות.

אנו ממליצים לעקוב אחרי הדרך של:

1. הבנת מה הסוד פותח.
2. גלה כמה קריטי כל נתון או מערכת קשורים.
3. בדוק את הלוגים שלך לשימוש בלתי מורשה בסוד.
4. קבע אם גישה לנתונים או לשירותים דלפה.
5. גלה מה יתמוטט כשאתה מסובב את הסוד.
6. סובב את הסוד ואחסן את האישורים החדשים בבטחה.
7. תיקן כל זרימת עבודה או פריסה בייצור שנפגעה.
8. סקור את האירוע וצור תוכנית פעולה כדי למנוע דליפת סודות נוספת.

קרא עוד על תהליך השיקום במאמר, "מה לעשות אם אתה חושף סוד: איך להישאר רגוע ולגיבוש לאירוע."

7. הצוות שלי תמיד מחדש את היסטוריית הגיט כאשר סוד מתגלה. האם זה כל מה שאנחנו צריכים לעשות?

לצערנו, לא. למרות שאנחנו אוהבים את שלב הניקוי בגיט של התהליך התיקון, הוא באמת השלב האחרון והוא נתפס על-ידי רבות מהארגונים כאלטרנטי. אנחנו ממליצים לסיים את כל הסודות שאי פעם נחשפו בפועל (ראו את הקישור העליון עבור עצה בתהליך התיקון).

8. אני פשוט מסיר את המאגר מהפוביקציה הציבורית. האם זה מספיק?

אנחנו למען האמת רוצים שזה יהיה המצב הנכון, אך לצערנו, לא לאחר מכן, ברגע שהם נחשפו בציבור בגיטהביס, עליהם להיות תמיד מודעים שהם פגועים. גיטגוארדיאן סורק את כל ההעליצות חדשות ואירועי isPublic שמתרחשים ברשת הציבורית של גיטהביס.

זו דרכנו לבניית הדוח השנתי של התפרץ הסודים והיסוד להצגת העדכון הציבורי של גיטגוארדיאן. למרות שהכוונה שלנו היא להתרעם למחזרים שעשו משהו מסוכן במובן מסויים, אנחנו לא הינו אלה היחידים שמעקבים אחר רשת הציבורית הזו. תמיד צריך להעלות את הסימנים של כל הסודות שיכולים להיות נחשפים.

9. מדוע פעמים רעות מסעירים מהות בעיה?

בתרגיל המציאת הסודות, אנחנו מבקשים מהמשתמשים למצוא את כל הסודות שנמצאים בתוך 100 ההעליצות האפשריות, בג 'ירה, בסלאק ובכרטיסי לוג, וליישם

בעוד שבקשר למימון המגבלה של התרגיל, זה יכול להישמע כדבר טוב להיות שווה זהירות מדי ולדגל בדברים שאינם מכילים סודות, בעולם האמת, זה מבזבז זמן יקר לך, המדינים, ולכל מי שמאחרים במשימה לעבוד על פתרון.

כלי או תהליך שמדווח יותר מדי שגיאות מוקדמות יוביל לעיצוב דעת. המשתמשים מתעברים באלרטות ומתחילים להתעלמ מהן. זה יוביל לאמון פחות בכלים ולשימוש אקראי. זה יכול גם לעקועקע את התהליך הכללי להתרמום ולהריץ את הסיפור של סודות אמיתיים שמדווחים אך לא נטפלים בהם בזמן מספק.

10. מה קשר שם שם של שם הקבצים עם זיהוי סוד?

בפשטות: ההקשר. סודות גנריים יכולים להיות בעלי קשר קשה למציאה דרך התאמת דפוסים בלבד. אם יש מסרט ארוך בקובץ מאקסאמד, התבררות שלנו מוכיחות שסביר מאד שזה מודל סיסמה, אז מעט סביר שתצטרך להתמודד איתו. אם לעומת זאת, אותו מסרט מופיע אחרי המילים password= בקובץ נקרא project.env, אז יש סיכוי הרבה יותר גבוה שיש לך סוד אמיתי בידיך.

שם הקבצים הוא רק אחד מהרכיבים שאנחנו מקבלים באבטחת קדם ואחריו במנגנון חיסון סודות GitGuardianוהוא אחד מהגורמים המסיביים שעוזרים לנו למנוע שגיאות שגיאות

11. האם אנשים באמת מבצעים בדוגמאות מידע על מנת למצוא סודות?

כן. 27% מול 100% של מחלקת ההחלטות במדעני הרשת שבחנו אמרו שהם מסתמכים על בדיקות קוד ידניות כדי לתקן את ההתפרצות של הסודות, אף על-פי ש-75% אמרו שהם נפגעו על-ידי פרץ סוד.

המיזם "אתם יכולים למצוא את הסודות" מעוצב כדי להראות את הבעיות שבהן מסתמכים על בני-אדם למציאת הבעיות האלה. מכונות הן טובות הרבה יותר באיתור דפוסים במשך אלפים או מליוני שורות קוד.

ללמוד ביחד זה מה שדה קונ עוסק בו

למדנו הרבה שיעורים אחרים בדה קונ, כולל לשמור על הידרדרה, לקבל לפחות כמה שעות שינה בלילה, ולשמור על עצמנו בפנים כשחורף החום מעל 110°F/43°C בחוץ.

היו הרבה הרצאות מעולות בלוג הזמן; אנחנו מקווים לוידאויות להיות זמינות כדי לעמוד על התוכן שאיננו חווים בעזרת לעמיד אנשים בסודות ההתפרצות. במהלך הדרך, למדנו הרבה על איך אנשי הביטחון, הפיתוחאים והאנשים באופן כללי רואים בבעיה הזו וחושבים על פתרונות. אנחנו בגיטגארדיאן מקווים להשתלב בלקחים האלה כדי להפוך פתרון הבעיה הזה ליותר נגיש וקל לכולנו.

אם מעולם לא חשבתם על ללכת לדה קונ, אנחנו ממלי