Криминалистическое исследование инцидентов, связанных с утечкой исходного кода

Опубликовано 1 февраля 2021, 13:13

Семь из десяти крупнейших по рыночной капитализации компаний — представители IT-индустрии. Они разрабатывают сервисы, продукты, локальное или облачное программное обеспечение, чей исходный код является одним из их самых ценных активов.

Инциденты безопасности, связанные с исходным кодом, происходят постоянно — недавно с этим столкнулись Nissan и Microsoft. В то время как векторы и сценарии атак могут быть разными, финансовые и репутационные потери компании в результате компрометации исходного кода всегда одинаковые и они огромны.

Чаще других причиной компрометации исходного кода являются:
— неправильная конфигурация безопасности (например, общедоступный веб-сервис)
— проблемная аутентификация (отсутствие двухфакторной аутентификации, слабые пароли или некорректно сконфигурированное хранилище секретов).

Недавно во время реагирования DFIR-криминалисты Group-IB обнаружили, что атакующие получили доступ к неправильно сконфигурированному серверу CI, чтобы украсть исходный код продукта, запустив конвейер CI и загрузив артефакты сборки. Этот инцидент побудил Анатолия Тыкушина, специалиста по компьютерной криминалистике Group-IB, написать статью «The source of everything: forensic examination of incidents involving source code leaks», в которой автор рассмотрел источники цифровых криминалистических доказательств и следы различных действий пользователей систем, необходимые при расследовании инцидентов компрометации исходных кодов продукта.

Читать: group-ib.com/blog/gitlab_jenki...