Yazılım tedarik zincirlerine yönelik saldırılar son yıllarda artmıştır. Saldırganların diğer birçok proje tarafından kullanılan yazılım kitaplıklarına kötü amaçlı kod eklemesi özellikle caziptir. Kod barındırma platformu GitHub, kodla katkıda bulunan tüm kullanıcıların bu yıl içinde bir uygulamadan tek seferlik şifre (2FA) gibi ikinci bir faktörle girişlerini güvence altına almalarını zorunlu kılmayı planlıyor. GitHub, değişikliği birkaç blog gönderisinde duyurdu. 13 Mart’tan bu yana, erken benimseyenlerden geçiş yapmaları isteniyor. Güvenlikten Sorumlu Başkan ve GitHub’ın Kıdemli Başkan Yardımcısı Mike Hanley ile geçiş hakkında konuşmadım.
c’t: GitHub, Mart ayından bu yana kademeli olarak iki faktörlü kimlik doğrulamayı zorunlu hale getiriyor. Süreç yıl sonuna kadar tamamlanmalıdır. Nasıl başladı?
Mike Hanley: Kasım 2021’de başladı. GitHub’a ait npm kayıt defterinde bazı protesto yazılımı örnekleri (not: geliştiriciler depolarını protesto amacıyla çevrimdışına aldı veya sabote etti) ve popüler bir paketin bakımcı hesabı vardı. Bu, saldırganın kötü amaçlı kod dağıtmasına izin verdi. Bu çekici bir saldırı vektörüdür çünkü sorun hızlı bir şekilde çözülse bile kötü amaçlı kodu 10.000 ila 100.000 kez hızlı bir şekilde indirebilir. Yanıt olarak, kısa bir süre sonra npm’de iki faktörlü kimlik doğrulamayı zorunlu hale getirdik. Yol boyunca çok şey öğrendik ve şimdi aynı kullanıcı deneyimini GitHub.com’da sunmak istiyoruz.
c’t: GitHub’ın 100 milyondan fazla kullanıcısı var. Euro’ya geçişin onların işlerini aksatması beklenemez mi?
Hanley: İşletmelerin ve açık kaynak topluluğunun hazırlıklı olması için GitHub.com’a kod katkısı yapan kullanıcılar için 2FA gerekliliğini yaklaşık bir yıl önceden duyurduk. Geçen yılın sonunda, beklenen başlangıç tarihi olarak Mart’ı bildirmiştik. 13 Mart’tan bu yana, oturum açmak için ikinci bir faktöre ihtiyaç duyan kullanıcıları gruplara ayırıyoruz. Bu arada, ilk gruptaki birçok kullanıcı zaten 2FA’yı açmıştı. Ayrıca, bildirimden sonra bir hafta daha uzatılabilen cömert bir 45 gün vardır. Ardından, GitHub.com’da oturum açtığınızda, SMS veya TOTP (zamana dayalı tek seferlik şifre) gibi ikinci bir faktör ayarlamanız veya GitHub Mobile’ı kullanmanız gerekir. WebAuthn protokolü için güvenlik anahtarları öneriyoruz. Bunlar şu anda mevcut olan en güvenli kimlik doğrulama yöntemleridir.
Kodla katkıda bulunan GitHub kullanıcılarından kademeli olarak 2FA’yı etkinleştirmeleri istenecektir.
(Resim: github.blog)
c’t: Ancak herkesin bu güvenlik anahtarlarına erişimi yoktur. Bir FIDO2 anahtarının maliyeti yaklaşık 50 Euro’dur.
Hanley: Evet, ucuz değiller. Güvenli kimlik doğrulama yöntemleri olduğundan emin olmak ve yine de kimseyi dışlamamak istiyoruz. Bu nedenle, değişken diğerlerinden daha az güvenli olmasına rağmen, ikinci bir faktör olarak SMS’e de izin veriyoruz. İnsanların projelere katılmaya devam edebilmesi için uzlaşmanız gerekir. Ancak bir noktada kullanıcıları daha güvenli kimlik doğrulama yöntemlerine yönlendirmeye çalışabiliriz.
c’t: Nasıl olmalı?
Hanley: Halihazırda kullanıcılara hangi iki faktörlü kimlik doğrulama yöntemlerini etkinleştirdiklerini, yedek kodlarını yazdırıp yazdırmadıklarını düzenli aralıklarla gösteriyor ve tüm bu mekanizmaların hala güncel olup olmadığını soruyoruz. Bu kolayca ayarlanabilir. İkinci bir faktör olarak sadece SMS’iniz varsa, GitHub Mobile’ı, bir TOTP uygulamasını veya güvenlik anahtarlarını da kullanabileceklerini belirtebiliriz. Sonunda daha doğrudan bir rotaya geçebiliriz, ancak şimdilik kullanıcıların şu anda sahip oldukları en güvenli ikinci faktörü ezberlemeleri bizim için önemli.
c’t: Kullanıcılar neden gönüllü olarak iki faktörlü kimlik doğrulamayı tercih etmiyor?
Hanley: Bunun iki nedeni var. Bir geliştiriciyseniz, bir güvenlik olayının sonuçlarına katlanmak zorunda değilsiniz. Bu, kötü niyetli olduğunuzu varsaydığım anlamına gelmiyor, tam tersine. Ancak hesabınız ele geçirilirse, kötü amaçlı kod, yazılım tedarik zincirinin bir parçası olduğu için yüzlerce veya binlerce kişi tarafından kullanılan bir pakete hızla girebilir. Bir hesap yalnızca bir parola ile korunuyorsa, bunun önemli bir etkisi olabilir. Ayrıca, birçok iki faktörlü kimlik doğrulama entegrasyonunun iyi uygulanmadığına inanıyorum.
İki faktörlü kimlik doğrulama için SMS, TOTP uygulamaları, GitHub Mobile ve güvenlik anahtarları gibi birkaç yöntem vardır. İkincisi, karmaşık kimlik avı saldırılarına karşı da koruma sağlar.
c’t: Kullanım kolaylığı açısından?
Hanley: Evet, pek çok güvenlik uzmanı, kullanıcılarla konuşmadan onlar için en iyi olduğunu düşündüğümüz çözümleri oluşturma konusunda başarılıdır. Ama bu bir tuzak. Belki bir dizi varsayıma dayanan bir şey inşa ediyorsunuz, ancak güvenlik deneyimi olmayan sıradan kullanıcılar veya geliştiriciler “Ne anlamı var?” İşleyiş şekli bana mantıklı gelmiyor.’
c’t: Geçişi duyuran blog yazısı, son tarihten sonra 2FA’yı etkinleştirmeyen kullanıcıların artık bazı özellikleri etkinleştirene kadar kullanamayacaklarını belirtiyor. Hangileri onlar?
Hanley: Artık kodla katkıda bulunamayacaksınız. Ancak yine de GitHub.com’un diğer özelliklerine erişebilir ve bunları kullanabilirsiniz. Yıl ilerledikçe, daha fazla kohort 2FA’ya bağlandıkça, GitHub’da daha fazla kuruluş ve açık kaynak projesinin 2FA’yı bir üyelik koşulu haline getirmesini bekliyorum. Bu ihtiyacı karşılamak için başka bir teşvik olacağını düşünüyorum.
c’t: 2FA’nın kuruluşlar için faydaları açık olabilir, ancak birçok kullanıcı şüpheci olmaya devam ediyor. Haberler online, GitHub’ın 2FA gereksinimini bildirdiğinde, bir okuyucu şu yorumu yaptı: “Ya evim yanarsa ve güvenlik anahtarlarım, akıllı telefonum ve yedek anahtarlarım kaybolursa? GitHub hesabımı sonsuza kadar kilitler miyim?” ” ne cevap verirdin
Hanley: Geliştiriciler, bir yedekleme planıyla ilgilenmekten sorumludur. Bu, yedek anahtarlarını yazdırıp güvenli bir yerde tutma veya birden fazla güvenlik anahtarını hesaba bağlama şeklinde olabilir. Sistemlere ve altyapıya erişimi kaybetmemek için GitHub Mobile’ı akıllı telefonuma ve tümü yerel olmayan birden çok FIDO2 güvenlik anahtarına bağladım. Tüm kullanıcılara benzer bir şey yapmalarını tavsiye ederiz.
Ayrıca, kullanıcıların ikinci faktörlere hâlâ erişip erişemediğini düzenli olarak kontrol ediyoruz ve hesabınıza yeniden erişim kazanmanıza yardımcı olabilmemiz için desteğimize yatırım yapıyoruz. Ancak bunu doğru yapmak en büyük zorluklardan biridir. İstediğimiz son şey, kurtarma işlemi yoluyla geliştiricileri ve hesaplarını riske atan güvenlik açıkları oluşturmaktır.
c’t:2FA güvenliği artırır, ancak sözde MFA yorgunluğu gibi zayıflıklar da vardır: bir saldırganın bir geliştiricinin kullanıcı adını ve parolasını bildiğini ve şimdi kurbanın akıllı telefonunu, kurbanın kabul etmediği zamana kadar izin istekleriyle doldurduğunu varsayalım. Buna nasıl karşı konulabilir?
Hanley: GitHub-Mobile yoluyla yetkilendirme, basit bir doğrulamanın ötesine geçer. Ayrıca görüntülenen rakamları web arayüzündeki rakamlarla karşılaştırmanız gerekir. Bu mükemmel değildir çünkü bir saldırgan, örneğin rakam istemek için bir BT desteği gibi görünebilir, ancak bu, bu mekanizmayı içermeyen diğer itme tabanlı hızlı spam saldırılarından çok daha zordur.
Mike Hanley, Güvenlikten Sorumlu Başkan ve GitHub Kıdemli Başkan Yardımcısıdır ve platform güvenliğinden sorumludur.
(Resim: GitHub)
c’t: TOTP belirteçlerini engellemek veya oturum çerezlerini çalmak için Google veya GitHub gibi siteler gibi davranan ters proxy’ler ne olacak? Bu projelerden bazılarını GitHub’da bulduk.
Hanley: Bu karmaşık kimlik avı saldırılarının çoğu, bir dereceye kadar aldatma veya sosyal mühendislik içerir. Saldırgan olarak kurbana GitHub.com’a benzer bir URL sağlamanız gerekir. Ya da siteyi mağdurların önüne koymak için ağ üzerinde ayrıcalıklı bir konum elde etmek gerekebilir. Bazı kimlik doğrulama yöntemleri bu saldırılara karşı savunmasızdır. En iyi koruma, kimlik avına karşı dirençli oldukları için WebAuthn için FIDO2 güvenlik anahtarlarını ikinci bir faktör olarak kullanmaktır.
c’t: Güvenli kimlik doğrulama, yazılım tedarik zincirlerini korumada önemli bir adımdır. Sırada ne var?
Hanley: Yıl sonunda zorunlu 2FA’ya geçiş tamamlandıktan sonra yapılacak daha çok iş olacağını umuyorum. Bazı geliştirici gruplarının özellikle çekici bir hedef olduğu sonucuna varabilir ve hesaplarını korumak için onlara ek önlemler sunabiliriz. Örneğin, yalnızca GitHub kod alanları içinde, yani bulutta güvenli bir sanal makinede geliştirme yapmak isteyen geliştiriciler ve kuruluşlar için grup ilkeleri sunabiliriz.
GitHub’da bu şekilde çalışıyoruz: her şey, müşterilerimize de sunduğumuz Codespace adlı güvenli bir barındırılan geliştirme ortamında oluşturulmuştur. Binlerce çalışanın, yerel yapı ortamlarının ve yerel geliştirme ortamlarının kodunu güvence altına almak yerine, bu noktayı korumaya odaklanabiliriz ve tek yapmamız gereken tüm tarayıcılarının ve cihazlarının güncel olduğundan ve güvenlik standartlarımızı karşıladığından emin olmaktır.
(ndi)
Haberin Sonu
c’t: GitHub, Mart ayından bu yana kademeli olarak iki faktörlü kimlik doğrulamayı zorunlu hale getiriyor. Süreç yıl sonuna kadar tamamlanmalıdır. Nasıl başladı?
Mike Hanley: Kasım 2021’de başladı. GitHub’a ait npm kayıt defterinde bazı protesto yazılımı örnekleri (not: geliştiriciler depolarını protesto amacıyla çevrimdışına aldı veya sabote etti) ve popüler bir paketin bakımcı hesabı vardı. Bu, saldırganın kötü amaçlı kod dağıtmasına izin verdi. Bu çekici bir saldırı vektörüdür çünkü sorun hızlı bir şekilde çözülse bile kötü amaçlı kodu 10.000 ila 100.000 kez hızlı bir şekilde indirebilir. Yanıt olarak, kısa bir süre sonra npm’de iki faktörlü kimlik doğrulamayı zorunlu hale getirdik. Yol boyunca çok şey öğrendik ve şimdi aynı kullanıcı deneyimini GitHub.com’da sunmak istiyoruz.
c’t: GitHub’ın 100 milyondan fazla kullanıcısı var. Euro’ya geçişin onların işlerini aksatması beklenemez mi?
Hanley: İşletmelerin ve açık kaynak topluluğunun hazırlıklı olması için GitHub.com’a kod katkısı yapan kullanıcılar için 2FA gerekliliğini yaklaşık bir yıl önceden duyurduk. Geçen yılın sonunda, beklenen başlangıç tarihi olarak Mart’ı bildirmiştik. 13 Mart’tan bu yana, oturum açmak için ikinci bir faktöre ihtiyaç duyan kullanıcıları gruplara ayırıyoruz. Bu arada, ilk gruptaki birçok kullanıcı zaten 2FA’yı açmıştı. Ayrıca, bildirimden sonra bir hafta daha uzatılabilen cömert bir 45 gün vardır. Ardından, GitHub.com’da oturum açtığınızda, SMS veya TOTP (zamana dayalı tek seferlik şifre) gibi ikinci bir faktör ayarlamanız veya GitHub Mobile’ı kullanmanız gerekir. WebAuthn protokolü için güvenlik anahtarları öneriyoruz. Bunlar şu anda mevcut olan en güvenli kimlik doğrulama yöntemleridir.
Kodla katkıda bulunan GitHub kullanıcılarından kademeli olarak 2FA’yı etkinleştirmeleri istenecektir.
(Resim: github.blog)
c’t: Ancak herkesin bu güvenlik anahtarlarına erişimi yoktur. Bir FIDO2 anahtarının maliyeti yaklaşık 50 Euro’dur.
Hanley: Evet, ucuz değiller. Güvenli kimlik doğrulama yöntemleri olduğundan emin olmak ve yine de kimseyi dışlamamak istiyoruz. Bu nedenle, değişken diğerlerinden daha az güvenli olmasına rağmen, ikinci bir faktör olarak SMS’e de izin veriyoruz. İnsanların projelere katılmaya devam edebilmesi için uzlaşmanız gerekir. Ancak bir noktada kullanıcıları daha güvenli kimlik doğrulama yöntemlerine yönlendirmeye çalışabiliriz.
c’t: Nasıl olmalı?
Hanley: Halihazırda kullanıcılara hangi iki faktörlü kimlik doğrulama yöntemlerini etkinleştirdiklerini, yedek kodlarını yazdırıp yazdırmadıklarını düzenli aralıklarla gösteriyor ve tüm bu mekanizmaların hala güncel olup olmadığını soruyoruz. Bu kolayca ayarlanabilir. İkinci bir faktör olarak sadece SMS’iniz varsa, GitHub Mobile’ı, bir TOTP uygulamasını veya güvenlik anahtarlarını da kullanabileceklerini belirtebiliriz. Sonunda daha doğrudan bir rotaya geçebiliriz, ancak şimdilik kullanıcıların şu anda sahip oldukları en güvenli ikinci faktörü ezberlemeleri bizim için önemli.
c’t: Kullanıcılar neden gönüllü olarak iki faktörlü kimlik doğrulamayı tercih etmiyor?
Hanley: Bunun iki nedeni var. Bir geliştiriciyseniz, bir güvenlik olayının sonuçlarına katlanmak zorunda değilsiniz. Bu, kötü niyetli olduğunuzu varsaydığım anlamına gelmiyor, tam tersine. Ancak hesabınız ele geçirilirse, kötü amaçlı kod, yazılım tedarik zincirinin bir parçası olduğu için yüzlerce veya binlerce kişi tarafından kullanılan bir pakete hızla girebilir. Bir hesap yalnızca bir parola ile korunuyorsa, bunun önemli bir etkisi olabilir. Ayrıca, birçok iki faktörlü kimlik doğrulama entegrasyonunun iyi uygulanmadığına inanıyorum.
İki faktörlü kimlik doğrulama için SMS, TOTP uygulamaları, GitHub Mobile ve güvenlik anahtarları gibi birkaç yöntem vardır. İkincisi, karmaşık kimlik avı saldırılarına karşı da koruma sağlar.
c’t: Kullanım kolaylığı açısından?
Hanley: Evet, pek çok güvenlik uzmanı, kullanıcılarla konuşmadan onlar için en iyi olduğunu düşündüğümüz çözümleri oluşturma konusunda başarılıdır. Ama bu bir tuzak. Belki bir dizi varsayıma dayanan bir şey inşa ediyorsunuz, ancak güvenlik deneyimi olmayan sıradan kullanıcılar veya geliştiriciler “Ne anlamı var?” İşleyiş şekli bana mantıklı gelmiyor.’
c’t: Geçişi duyuran blog yazısı, son tarihten sonra 2FA’yı etkinleştirmeyen kullanıcıların artık bazı özellikleri etkinleştirene kadar kullanamayacaklarını belirtiyor. Hangileri onlar?
Hanley: Artık kodla katkıda bulunamayacaksınız. Ancak yine de GitHub.com’un diğer özelliklerine erişebilir ve bunları kullanabilirsiniz. Yıl ilerledikçe, daha fazla kohort 2FA’ya bağlandıkça, GitHub’da daha fazla kuruluş ve açık kaynak projesinin 2FA’yı bir üyelik koşulu haline getirmesini bekliyorum. Bu ihtiyacı karşılamak için başka bir teşvik olacağını düşünüyorum.
c’t: 2FA’nın kuruluşlar için faydaları açık olabilir, ancak birçok kullanıcı şüpheci olmaya devam ediyor. Haberler online, GitHub’ın 2FA gereksinimini bildirdiğinde, bir okuyucu şu yorumu yaptı: “Ya evim yanarsa ve güvenlik anahtarlarım, akıllı telefonum ve yedek anahtarlarım kaybolursa? GitHub hesabımı sonsuza kadar kilitler miyim?” ” ne cevap verirdin
Hanley: Geliştiriciler, bir yedekleme planıyla ilgilenmekten sorumludur. Bu, yedek anahtarlarını yazdırıp güvenli bir yerde tutma veya birden fazla güvenlik anahtarını hesaba bağlama şeklinde olabilir. Sistemlere ve altyapıya erişimi kaybetmemek için GitHub Mobile’ı akıllı telefonuma ve tümü yerel olmayan birden çok FIDO2 güvenlik anahtarına bağladım. Tüm kullanıcılara benzer bir şey yapmalarını tavsiye ederiz.
Ayrıca, kullanıcıların ikinci faktörlere hâlâ erişip erişemediğini düzenli olarak kontrol ediyoruz ve hesabınıza yeniden erişim kazanmanıza yardımcı olabilmemiz için desteğimize yatırım yapıyoruz. Ancak bunu doğru yapmak en büyük zorluklardan biridir. İstediğimiz son şey, kurtarma işlemi yoluyla geliştiricileri ve hesaplarını riske atan güvenlik açıkları oluşturmaktır.
c’t:2FA güvenliği artırır, ancak sözde MFA yorgunluğu gibi zayıflıklar da vardır: bir saldırganın bir geliştiricinin kullanıcı adını ve parolasını bildiğini ve şimdi kurbanın akıllı telefonunu, kurbanın kabul etmediği zamana kadar izin istekleriyle doldurduğunu varsayalım. Buna nasıl karşı konulabilir?
Hanley: GitHub-Mobile yoluyla yetkilendirme, basit bir doğrulamanın ötesine geçer. Ayrıca görüntülenen rakamları web arayüzündeki rakamlarla karşılaştırmanız gerekir. Bu mükemmel değildir çünkü bir saldırgan, örneğin rakam istemek için bir BT desteği gibi görünebilir, ancak bu, bu mekanizmayı içermeyen diğer itme tabanlı hızlı spam saldırılarından çok daha zordur.
Mike Hanley, Güvenlikten Sorumlu Başkan ve GitHub Kıdemli Başkan Yardımcısıdır ve platform güvenliğinden sorumludur.
(Resim: GitHub)
c’t: TOTP belirteçlerini engellemek veya oturum çerezlerini çalmak için Google veya GitHub gibi siteler gibi davranan ters proxy’ler ne olacak? Bu projelerden bazılarını GitHub’da bulduk.
Hanley: Bu karmaşık kimlik avı saldırılarının çoğu, bir dereceye kadar aldatma veya sosyal mühendislik içerir. Saldırgan olarak kurbana GitHub.com’a benzer bir URL sağlamanız gerekir. Ya da siteyi mağdurların önüne koymak için ağ üzerinde ayrıcalıklı bir konum elde etmek gerekebilir. Bazı kimlik doğrulama yöntemleri bu saldırılara karşı savunmasızdır. En iyi koruma, kimlik avına karşı dirençli oldukları için WebAuthn için FIDO2 güvenlik anahtarlarını ikinci bir faktör olarak kullanmaktır.
c’t: Güvenli kimlik doğrulama, yazılım tedarik zincirlerini korumada önemli bir adımdır. Sırada ne var?
Hanley: Yıl sonunda zorunlu 2FA’ya geçiş tamamlandıktan sonra yapılacak daha çok iş olacağını umuyorum. Bazı geliştirici gruplarının özellikle çekici bir hedef olduğu sonucuna varabilir ve hesaplarını korumak için onlara ek önlemler sunabiliriz. Örneğin, yalnızca GitHub kod alanları içinde, yani bulutta güvenli bir sanal makinede geliştirme yapmak isteyen geliştiriciler ve kuruluşlar için grup ilkeleri sunabiliriz.
GitHub’da bu şekilde çalışıyoruz: her şey, müşterilerimize de sunduğumuz Codespace adlı güvenli bir barındırılan geliştirme ortamında oluşturulmuştur. Binlerce çalışanın, yerel yapı ortamlarının ve yerel geliştirme ortamlarının kodunu güvence altına almak yerine, bu noktayı korumaya odaklanabiliriz ve tek yapmamız gereken tüm tarayıcılarının ve cihazlarının güncel olduğundan ve güvenlik standartlarımızı karşıladığından emin olmaktır.
(ndi)
Haberin Sonu