IT и обезвредить

Как бороться с закладками в программном обеспечении

В первом полугодии 2022-го количество обнаруженных вредоносных элементов в ПО резко возросло. После рекомендаций Национального координационного центра по компьютерным инцидентам (НКЦКИ), Федеральной службы по техническому и экспортному контролю (ФСТЭК РФ) и других регуляторов многие компании просто перестали обновлять свой софт. Чем вирусная закладка отличается от уязвимости и незадокументированной возможности (НДВ) и как с ними бороться – в материале RSpectr.

ТАМ ЧТО-ТО ШЕВЕЛИТСЯ

Злоумышленники активно внедряют вредоносные фрагменты в ПО с открытым кодом – количество подобных вложений в Open Source за последние месяцы выросло в десятки раз, только в «Лаборатории Касперского» этой весной их обнаружили более сотни.

Но проблема возникла не вчера, еще в 2020 году около 17% уязвимостей в проектах на сервисе для хостинга IT-систем и их совместной разработки GitHub были добавлены намеренно, напомнил бизнес-консультант, ведущий блога «Бизнес без опасности» Алексей Лукацкий в ходе эфира «Внедрение закладок в исходном коде публичных репозиториев».

Если еще десять лет назад многие опытные программисты отрицали само понятие «уязвимость» и признавали существование только НДВ, то сейчас и те, и другие стали рутиной, неотъемлемой частью работы любого специалиста в сфере информационной безопасности, констатировали участники мероприятия. При этом провести четкую границу между этими терминами практически невозможно. В любом случае, подчеркнули эксперты,

некорректный код, вне зависимости от его происхождения, должен быть выявлен и устранен

По сути, закладки и НДВ являются частными случаями одной базовой сущности – уязвимости ПО, отметил в своем выступлении заместитель гендиректора «НПО Эшелон» Виталий Вареница.

Виталий Вареница, «НПО Эшелон»:

– Без непосредственного общения с разработчиком сложно определить, это просто ошибка или здесь присутствовал умысел. Но косвенные технические признаки сознательных действий все-таки можно найти. Например, в коде обнаружена учетная запись с очень хитро замаскированным динамическим паролем. Естественно, возникает вопрос: а зачем делать так сложно?

При этом существуют миллиарды триггеров, запускающих в подобных сюрпризах исполнение негативных сценариев, которые, к счастью, пока еще не сложные, заметил вице-президент, директор департамента информационной безопасности Тинькофф Банка Дмитрий Гадарь.

По его словам, все слабые места IT-системы кредитной организации выявляют разные команды. Например, критические элементы инфраструктуры отслеживают специальные инженеры, которые знакомы со всеми нюансами своего направления.

Отечественные регуляторы всячески продвигают идею внедрения технологий безопасной разработки, отметил Д.Лукацкий. По его оценке,

требования по анализу кода коснутся примерно 60 тыс. организаций, прежде всего из финансовой сферы и критической информационной инфраструктуры (КИИ)

Впрочем, документы контролирующих органов не нужно принимать как догматы, имеющиеся методики под каждый проект необходимо применять творчески, дополняя их задачами по поиску закладок, отметили эксперты.

ОТКРЫВАЯ ЯЩИК ПАНДОРЫ

Контроль обновлений ПО является обязательным для государственных информсистем и объектов КИИ, напомнил В.Вареница. Случаи включения недокументированных возможностей в изменения софта происходили, и они относятся как к софту с открытым кодом, так и к приобретенному у вендоров.

Основная проблема открытых источников – это невозможность выйти на контакт с настоящим автором, и соответственно, иметь обратную связь. Для работы с элементами, взятыми из публичных репозиториев, подойдет фреймворк SLSA (Supply-chain Levels for Software Artifacts), который предполагает набор требований и снижает риски скачиваемого материала, полагают эксперты.

Дмитрий Гадарь, Тинькофф Банк:

– Ежедневно организация выгружает из Open Source большие массивы данных, поэтому для их проверки в компании должны быть средства автоматизации и технический контроль.

Он должен включать в себя перечень стандартов и руководств для предотвращения несанкционированного доступа, обеспечения целостности и безопасности пакетов и инфраструктуры проектов.

Но автоматизированные инструменты способны обнаружить далеко не все. В.Вареница привел пример прошивки программно-аппаратного комплекса, в котором была найдена скрытая учетная запись с правами суперпользователя и динамическим паролем. Ее удалось выявить только с помощью ручного анализа.

По мнению Р.Хайретдинова,

сканеры могут выявлять лишь типовые уязвимости, а для поиска нестандартных необходимо использование ручного анализа

В.Вареница обратил внимание, что ни один российский регулятор не запрещает пользоваться ресурсами Open Source, но как только разработчик добавляет в свой проект код из открытых источников, он берет на себя ответственность.

По мнению экспертов, одним из способов борьбы с закладками может стать создание локального репозитория, куда загружается заимствованный код. Спустя какое-то время, когда станет понятно, что новая выложенная версия ПО не содержит вредоносных вложений и ее используют по всему миру, его можно обновлять, отметили эксперты.

НЕМНОГО ПАРАНОЙИ

С программными закладками можно столкнуться даже в продукции, создаваемой собственными сотрудниками, отмечают эксперты. Поэтому сейчас все больше внимания уделяется контролю деятельности персонала. Как отметили участники эфира,

в нынешних условиях доверие при работе в критических инфраструктурах – это непозволительная роскошь

По словам директора по росту BI.ZONE Рустэма Хайретдинова, компании организуют проверки, используя в том числе методы профайлинга*, а также системы поведенческого анализа (UBA, User Behavior Analitycs) и ПО, предназначенное для защиты от утечек информации.

Рустэм Хайретдинов, BI.ZONE:

– Существуют организации, в которых весь персонал ежемесячно проходит проверку на полиграфе. Другие применяют техническое оборудование, записывают разговоры, постоянно мониторят страницы своих людей в соцсетях.

Эксперты подчеркивают, что

подобные методы негативно влияют на лояльность персонала, но в зависимости от создаваемого софта, его критичности и требований заказчика они могут стать частью процесса безопасной разработки

При этом IT-инженеры – творческие люди, и они вряд ли будут искать отклонения и странности в поведении коллег, добавил Д.Гадарь. По его словам, проверки проводятся службой информационной безопасности, которую отличает «более высокий уровень паранойи».

Как бы то ни было, констатировали эксперты, если закладка оставлена, то обнаружить ее традиционными средствами анализа исходных кодов практически невозможно. Поэтому

необходима комплексная программа выявления всех уязвимостей, включающая контроль сотрудников, а также меры предотвращения угроз и внешнюю оценку

Подобный подход также должен стать неотъемлемой частью процесса создания ПО в нынешних условиях, полагают они.

*Психологические методы, позволяющие проанализировать характер человека и спрогнозировать его поведение с помощью данных о его внешности, вербального и невербального поведения.

Изображение: RSpectr, Adobe Stock