Draqon
Aktif Üye
Yazılım tedarik zincirlerine yönelik saldırılar son yıllarda artmıştır. Saldırganların diğer birçok proje tarafından kullanılan yazılım kitaplıklarına kötü amaçlı kod eklemesi özellikle caziptir. Kod barındırma platformu GitHub, koda katkıda bulunan tüm kullanıcıların, bu yıl içinde bir uygulamadan tek seferlik şifre (2FA) gibi ikinci bir faktörle girişlerini güvence altına almalarını zorunlu kılmayı planlıyor. GitHub, değişikliği birkaç blog gönderisinde duyurdu. 13 Mart’tan bu yana, ilk kullanıcılardan geçiş yapmaları isteniyor. GitHub’da Baş Güvenlik Sorumlusu ve Kıdemli Başkan Yardımcısı Mike Hanley ile geçiş hakkında konuşmadım.
c’t: GitHub, Mart ayından bu yana kademeli olarak iki faktörlü kimlik doğrulamayı zorunlu hale getirdi. Süreç yıl sonuna kadar tamamlanmalıdır. Bu nasıl başladı?
Mike Hanley: Kasım 2021’de başladı. GitHub’a ait npm kayıt defterinde bazı protesto yazılımı örnekleri vardı (not: geliştiricilerin depolarını protesto amacıyla çevrimdışına almaları veya sabote etmeleri) ve popüler bir pakete ilişkin bir bakıcının hesabı ele geçirildi. Bu, saldırganın kötü amaçlı kod dağıtmasına izin verdi. Bu çekici bir saldırı vektörüdür çünkü sorun hızlı bir şekilde çözülse bile kötü amaçlı kodu 10.000 ila 100.000 kez hızlı bir şekilde indirebilir. Yanıt olarak, kısa bir süre sonra npm’de iki faktörlü kimlik doğrulamayı zorunlu hale getirdik. Yol boyunca çok şey öğrendik ve şimdi aynı kullanıcı deneyimini GitHub.com’da sunmak istiyoruz.
c’t: GitHub’ın 100 milyondan fazla kullanıcısı var. Değişimin işlerini aksatması beklenemez mi?
Hanley: Şirketlerin ve açık kaynak topluluğunun hazırlıklı olması için GitHub.com’da koda katkıda bulunan kullanıcılar için 2FA gerekliliğini yaklaşık bir yıl önceden duyurduk. Geçen yılın sonunda, planlanan başlangıç tarihi olarak Mart’ı bildirmiştik. 13 Mart’tan bu yana, oturum açmak için ikinci bir faktöre ihtiyaç duyan kullanıcıları gruplara ayırıyoruz. Bu arada, ilk gruptaki birçok kullanıcı zaten 2FA’yı etkinleştirmişti. Ayrıca, bildirimden sonra bir hafta daha uzatılabilen cömert bir 45 gün vardır. Ardından GitHub.com’a giriş yaptığınızda SMS veya TOTP (Time-based One-time Password) gibi ikinci bir faktör belirlemeniz veya GitHub Mobile kullanmanız gerekiyor. WebAuthn protokolü için güvenlik anahtarları öneriyoruz. Bunlar şu anda mevcut olan en güvenli kimlik doğrulama yöntemidir.
Kodla katkıda bulunan GitHub kullanıcılarından kademeli olarak 2FA’yı etkinleştirmeleri istenecektir.
(Resim: github.blog)
c’t: Ancak herkesin bu tür güvenlik anahtarlarına erişimi yoktur. Bir FIDO2 anahtarının maliyeti yaklaşık 50 Euro’dur.
Hanley: Evet, ucuz değiller. Güvenli kimlik doğrulama yöntemleri olduğundan emin olmak ve yine de kimseyi dışlamamak istiyoruz. Bu nedenle, değişken diğerlerinden daha az güvenli olmasına rağmen, ikinci bir faktör olarak SMS’e de izin veriyoruz. İnsanların projelere katılmaya devam edebilmesi için bir taviz vermeniz gerekiyor. Ancak bir noktada kullanıcıları daha güvenli kimlik doğrulama yöntemlerine yönlendirmeye çalışabiliriz.
c’t: Bu nasıl olmalı?
Hanley: Kullanıcılara zaten düzenli aralıklarla hangi iki faktörlü kimlik doğrulama yöntemlerini etkinleştirdiklerini, yedek kodlarını yazdırıp yazdırmadıklarını gösteriyor ve tüm bu mekanizmaların hala güncel olup olmadığını soruyoruz. Bu kolayca ayarlanabilirdi. İkinci bir faktör olarak sadece SMS’iniz varsa, bir TOTP uygulaması olan GitHub Mobil’i veya güvenlik anahtarlarını da kullanabileceklerini belirtebiliriz. Sonunda daha doğrudan bir yola geçebiliriz, ancak şimdilik, kullanıcıların şu anda sahip oldukları en güvenli ikinci faktörü depolamaları bizim için önemli.
c’t: Kullanıcılar neden gönüllü olarak iki faktörlü kimlik doğrulamayı tercih etmiyor?
Hanley: Bunun iki nedeni var. Bir geliştiriciyseniz, bir güvenlik olayının sonuçlarına katlanmak zorunda değilsiniz. Bu, kötü niyetli olduğunuzu varsaydığım anlamına gelmiyor, tam tersi. Ancak hesabınız ele geçirilirse, yazılım tedarik zincirinin bir parçası olduğu için kötü amaçlı kod, yüzlerce veya binlerce kişi tarafından kullanılan bir pakete hızla sızabilir. Bir hesabın güvenliği yalnızca bir parolayla sağlanıyorsa, bunun önemli bir etkisi olabilir. Ayrıca, birçok iki faktörlü kimlik doğrulama entegrasyonunun iyi uygulanmadığına inanıyorum.
İki faktörlü kimlik doğrulama için SMS, TOTP uygulamaları, GitHub Mobile ve güvenlik anahtarları gibi çeşitli yöntemler mevcuttur. İkincisi, karmaşık kimlik avı saldırılarına karşı da koruma sağlar.
c’t: Kullanım kolaylığı açısından mı?
Hanley: Evet, pek çok güvenlik uzmanı, kullanıcılarla konuşmadan onlar için en iyi olduğuna inandığımız çözümleri oluşturma konusunda başarılıdır. Ama bu bir tuzak. Belki bir dizi varsayıma dayanan bir şey inşa ediyorsunuz, ancak sıradan kullanıcılar veya güvenlik geçmişi olmayan geliştiriciler ‘Ne anlamı var? İşleyiş şekli bana mantıklı gelmiyor.’
c’t: Geçişi duyuran blog yazısı, son tarihten sonra 2FA’yı etkinleştirmeyen kullanıcıların artık bazı özellikleri etkinleştirene kadar kullanamayacaklarını belirtiyor. Onlar hangileri?
Hanley: Artık kodla katkıda bulunamayacaksınız. Ancak yine de giriş yapabilir ve GitHub.com’un diğer özelliklerini kullanabilirsiniz. Yıl ilerledikçe, 2FA’ya daha fazla kohort taahhüt ettikçe, GitHub’da daha fazla kuruluş ve açık kaynak projesinin 2FA’yı üye olmanın bir koşulu haline getirmesini bekliyorum. Bu şartı yerine getirmek için başka bir teşvik olacağını düşünüyorum.
c’t: 2FA’nın kuruluşlar için faydaları açık olabilir, ancak birçok kullanıcı şüpheci olmaya devam ediyor. Haberler online GitHub’ın 2FA gerekliliği hakkında rapor verdiğinde, bir okuyucu şu yorumu yaptı: “Ya evim yanarsa ve güvenlik anahtarlarım, akıllı telefonum ve yedek anahtarlarım kaybolursa? GitHub hesabımı sonsuza kadar kaybeder miyim?” ne cevap verirdin
Hanley: Geliştiriciler, bir yedekleme planıyla ilgilenme sorumluluğuna sahiptir. Bu, yedek anahtarlarını yazdırıp güvenli bir yerde tutma veya birden fazla güvenlik anahtarını hesaba bağlama şeklinde olabilir. Sistemlere ve altyapıya erişimi kaybetmemek için akıllı telefonumdaki GitHub Mobile ile tümü şirket içinde olmayan birden çok FIDO2 güvenlik anahtarı arasında bağlantı kurdum. Tüm kullanıcılara benzer bir şey yapmalarını tavsiye ederiz.
Ayrıca, kullanıcıların ikinci faktörlerine hala erişip erişemediklerini düzenli olarak kontrol ediyoruz ve hesaba yeniden erişim kazanmalarına yardımcı olabilmek için desteğimize yatırım yapıyoruz. Ancak bunu iyi yapmak en büyük zorluklardan biridir. İstediğimiz son şey, kurtarma işlemi yoluyla geliştiricileri ve hesaplarını riske atan güvenlik açıkları oluşturmaktır.
c’t: 2FA güvenliği artırır, ancak MFA yorgunluğu olarak adlandırılan zayıflıklar da vardır: Bir saldırganın bir geliştiricinin kullanıcı adını ve parolasını bildiğini ve şimdi kurbanın akıllı telefonunu kabul edene kadar yetkilendirme istekleriyle doldurduğunu varsayalım. Buna nasıl karşı konulabilir?
Hanley: GitHub-Mobile yoluyla yetkilendirme, basit bir doğrulamanın ötesine geçer. Ayrıca görüntülenen rakamları web arayüzündeki rakamlarla karşılaştırmanız gerekir. Bu mükemmel değildir çünkü bir saldırgan, örneğin rakamları istemek için BT desteği gibi görünebilir, ancak bu, bu mekanizmayı içermeyen push tabanlı yöntemlerle yapılan diğer anında spam gönderme saldırılarından çok daha zordur.
Mike Hanley, GitHub’da Baş Güvenlik Sorumlusu ve Kıdemli Başkan Yardımcısıdır ve platformun güvenliğinden sorumludur.
(Resim: GitHub)
c’t: TOTP belirteçlerini engellemek veya oturum çerezlerini çalmak için Google veya GitHub gibi siteler gibi davranan ters proxy’ler ne olacak? GitHub’da buna benzer bazı projeler bulduk.
Hanley: Bu karmaşık kimlik avı saldırılarının çoğu, bir dereceye kadar aldatma veya sosyal mühendislik içerir. Saldırgan olarak kurbana GitHub.com gibi görünen bir URL sağlamanız gerekir. Veya siteyi kurbanların önüne koymak için ağda ayrıcalıklı bir konuma sahip olmanız gerekebilir. Bazı kimlik doğrulama yöntemleri bu saldırılara karşı savunmasızdır. En iyi koruma, kimlik avına karşı dirençli oldukları için WebAuthn için FIDO2 güvenlik anahtarlarını ikinci bir faktör olarak kullanmaktır.
c’t: Güvenli kimlik doğrulama, yazılım tedarik zincirlerinin güvenliğini sağlamak için önemli bir adımdır. Sırada ne var?
Hanley: Yıl sonunda zorunlu 2FA’ya geçişi tamamladığımızda yapılacak daha çok iş olacağını umuyorum. Belirli geliştirici gruplarının özellikle çekici bir hedef olduğu sonucuna varabilir ve hesaplarını korumak için onlara ek önlemler sunabiliriz. Örneğin, yalnızca GitHub kod alanları içinde, yani bulutta güvenli bir sanal makinede geliştirme yapmak isteyen geliştiriciler ve kuruluşlar için grup ilkeleri sunabiliriz.
GitHub’da bu şekilde çalışıyoruz. Her şey, müşterilerimize de sunduğumuz Codespace adlı güvenli, barındırılan bir geliştirme ortamında oluşturulur. Binlerce çalışanın kodunu, yerel yapı ortamlarını ve yerel geliştirme ortamlarını korumak yerine, bu noktayı korumaya odaklanabiliriz ve tek yapmamız gereken tüm tarayıcılarının ve cihazlarının güncel olduğundan ve güvenlik standartlarımızı karşıladığından emin olmaktır.
(ndi)
Haberin Sonu
c’t: GitHub, Mart ayından bu yana kademeli olarak iki faktörlü kimlik doğrulamayı zorunlu hale getirdi. Süreç yıl sonuna kadar tamamlanmalıdır. Bu nasıl başladı?
Mike Hanley: Kasım 2021’de başladı. GitHub’a ait npm kayıt defterinde bazı protesto yazılımı örnekleri vardı (not: geliştiricilerin depolarını protesto amacıyla çevrimdışına almaları veya sabote etmeleri) ve popüler bir pakete ilişkin bir bakıcının hesabı ele geçirildi. Bu, saldırganın kötü amaçlı kod dağıtmasına izin verdi. Bu çekici bir saldırı vektörüdür çünkü sorun hızlı bir şekilde çözülse bile kötü amaçlı kodu 10.000 ila 100.000 kez hızlı bir şekilde indirebilir. Yanıt olarak, kısa bir süre sonra npm’de iki faktörlü kimlik doğrulamayı zorunlu hale getirdik. Yol boyunca çok şey öğrendik ve şimdi aynı kullanıcı deneyimini GitHub.com’da sunmak istiyoruz.
c’t: GitHub’ın 100 milyondan fazla kullanıcısı var. Değişimin işlerini aksatması beklenemez mi?
Hanley: Şirketlerin ve açık kaynak topluluğunun hazırlıklı olması için GitHub.com’da koda katkıda bulunan kullanıcılar için 2FA gerekliliğini yaklaşık bir yıl önceden duyurduk. Geçen yılın sonunda, planlanan başlangıç tarihi olarak Mart’ı bildirmiştik. 13 Mart’tan bu yana, oturum açmak için ikinci bir faktöre ihtiyaç duyan kullanıcıları gruplara ayırıyoruz. Bu arada, ilk gruptaki birçok kullanıcı zaten 2FA’yı etkinleştirmişti. Ayrıca, bildirimden sonra bir hafta daha uzatılabilen cömert bir 45 gün vardır. Ardından GitHub.com’a giriş yaptığınızda SMS veya TOTP (Time-based One-time Password) gibi ikinci bir faktör belirlemeniz veya GitHub Mobile kullanmanız gerekiyor. WebAuthn protokolü için güvenlik anahtarları öneriyoruz. Bunlar şu anda mevcut olan en güvenli kimlik doğrulama yöntemidir.
Kodla katkıda bulunan GitHub kullanıcılarından kademeli olarak 2FA’yı etkinleştirmeleri istenecektir.
(Resim: github.blog)
c’t: Ancak herkesin bu tür güvenlik anahtarlarına erişimi yoktur. Bir FIDO2 anahtarının maliyeti yaklaşık 50 Euro’dur.
Hanley: Evet, ucuz değiller. Güvenli kimlik doğrulama yöntemleri olduğundan emin olmak ve yine de kimseyi dışlamamak istiyoruz. Bu nedenle, değişken diğerlerinden daha az güvenli olmasına rağmen, ikinci bir faktör olarak SMS’e de izin veriyoruz. İnsanların projelere katılmaya devam edebilmesi için bir taviz vermeniz gerekiyor. Ancak bir noktada kullanıcıları daha güvenli kimlik doğrulama yöntemlerine yönlendirmeye çalışabiliriz.
c’t: Bu nasıl olmalı?
Hanley: Kullanıcılara zaten düzenli aralıklarla hangi iki faktörlü kimlik doğrulama yöntemlerini etkinleştirdiklerini, yedek kodlarını yazdırıp yazdırmadıklarını gösteriyor ve tüm bu mekanizmaların hala güncel olup olmadığını soruyoruz. Bu kolayca ayarlanabilirdi. İkinci bir faktör olarak sadece SMS’iniz varsa, bir TOTP uygulaması olan GitHub Mobil’i veya güvenlik anahtarlarını da kullanabileceklerini belirtebiliriz. Sonunda daha doğrudan bir yola geçebiliriz, ancak şimdilik, kullanıcıların şu anda sahip oldukları en güvenli ikinci faktörü depolamaları bizim için önemli.
c’t: Kullanıcılar neden gönüllü olarak iki faktörlü kimlik doğrulamayı tercih etmiyor?
Hanley: Bunun iki nedeni var. Bir geliştiriciyseniz, bir güvenlik olayının sonuçlarına katlanmak zorunda değilsiniz. Bu, kötü niyetli olduğunuzu varsaydığım anlamına gelmiyor, tam tersi. Ancak hesabınız ele geçirilirse, yazılım tedarik zincirinin bir parçası olduğu için kötü amaçlı kod, yüzlerce veya binlerce kişi tarafından kullanılan bir pakete hızla sızabilir. Bir hesabın güvenliği yalnızca bir parolayla sağlanıyorsa, bunun önemli bir etkisi olabilir. Ayrıca, birçok iki faktörlü kimlik doğrulama entegrasyonunun iyi uygulanmadığına inanıyorum.
İki faktörlü kimlik doğrulama için SMS, TOTP uygulamaları, GitHub Mobile ve güvenlik anahtarları gibi çeşitli yöntemler mevcuttur. İkincisi, karmaşık kimlik avı saldırılarına karşı da koruma sağlar.
c’t: Kullanım kolaylığı açısından mı?
Hanley: Evet, pek çok güvenlik uzmanı, kullanıcılarla konuşmadan onlar için en iyi olduğuna inandığımız çözümleri oluşturma konusunda başarılıdır. Ama bu bir tuzak. Belki bir dizi varsayıma dayanan bir şey inşa ediyorsunuz, ancak sıradan kullanıcılar veya güvenlik geçmişi olmayan geliştiriciler ‘Ne anlamı var? İşleyiş şekli bana mantıklı gelmiyor.’
c’t: Geçişi duyuran blog yazısı, son tarihten sonra 2FA’yı etkinleştirmeyen kullanıcıların artık bazı özellikleri etkinleştirene kadar kullanamayacaklarını belirtiyor. Onlar hangileri?
Hanley: Artık kodla katkıda bulunamayacaksınız. Ancak yine de giriş yapabilir ve GitHub.com’un diğer özelliklerini kullanabilirsiniz. Yıl ilerledikçe, 2FA’ya daha fazla kohort taahhüt ettikçe, GitHub’da daha fazla kuruluş ve açık kaynak projesinin 2FA’yı üye olmanın bir koşulu haline getirmesini bekliyorum. Bu şartı yerine getirmek için başka bir teşvik olacağını düşünüyorum.
c’t: 2FA’nın kuruluşlar için faydaları açık olabilir, ancak birçok kullanıcı şüpheci olmaya devam ediyor. Haberler online GitHub’ın 2FA gerekliliği hakkında rapor verdiğinde, bir okuyucu şu yorumu yaptı: “Ya evim yanarsa ve güvenlik anahtarlarım, akıllı telefonum ve yedek anahtarlarım kaybolursa? GitHub hesabımı sonsuza kadar kaybeder miyim?” ne cevap verirdin
Hanley: Geliştiriciler, bir yedekleme planıyla ilgilenme sorumluluğuna sahiptir. Bu, yedek anahtarlarını yazdırıp güvenli bir yerde tutma veya birden fazla güvenlik anahtarını hesaba bağlama şeklinde olabilir. Sistemlere ve altyapıya erişimi kaybetmemek için akıllı telefonumdaki GitHub Mobile ile tümü şirket içinde olmayan birden çok FIDO2 güvenlik anahtarı arasında bağlantı kurdum. Tüm kullanıcılara benzer bir şey yapmalarını tavsiye ederiz.
Ayrıca, kullanıcıların ikinci faktörlerine hala erişip erişemediklerini düzenli olarak kontrol ediyoruz ve hesaba yeniden erişim kazanmalarına yardımcı olabilmek için desteğimize yatırım yapıyoruz. Ancak bunu iyi yapmak en büyük zorluklardan biridir. İstediğimiz son şey, kurtarma işlemi yoluyla geliştiricileri ve hesaplarını riske atan güvenlik açıkları oluşturmaktır.
c’t: 2FA güvenliği artırır, ancak MFA yorgunluğu olarak adlandırılan zayıflıklar da vardır: Bir saldırganın bir geliştiricinin kullanıcı adını ve parolasını bildiğini ve şimdi kurbanın akıllı telefonunu kabul edene kadar yetkilendirme istekleriyle doldurduğunu varsayalım. Buna nasıl karşı konulabilir?
Hanley: GitHub-Mobile yoluyla yetkilendirme, basit bir doğrulamanın ötesine geçer. Ayrıca görüntülenen rakamları web arayüzündeki rakamlarla karşılaştırmanız gerekir. Bu mükemmel değildir çünkü bir saldırgan, örneğin rakamları istemek için BT desteği gibi görünebilir, ancak bu, bu mekanizmayı içermeyen push tabanlı yöntemlerle yapılan diğer anında spam gönderme saldırılarından çok daha zordur.
Mike Hanley, GitHub’da Baş Güvenlik Sorumlusu ve Kıdemli Başkan Yardımcısıdır ve platformun güvenliğinden sorumludur.
(Resim: GitHub)
c’t: TOTP belirteçlerini engellemek veya oturum çerezlerini çalmak için Google veya GitHub gibi siteler gibi davranan ters proxy’ler ne olacak? GitHub’da buna benzer bazı projeler bulduk.
Hanley: Bu karmaşık kimlik avı saldırılarının çoğu, bir dereceye kadar aldatma veya sosyal mühendislik içerir. Saldırgan olarak kurbana GitHub.com gibi görünen bir URL sağlamanız gerekir. Veya siteyi kurbanların önüne koymak için ağda ayrıcalıklı bir konuma sahip olmanız gerekebilir. Bazı kimlik doğrulama yöntemleri bu saldırılara karşı savunmasızdır. En iyi koruma, kimlik avına karşı dirençli oldukları için WebAuthn için FIDO2 güvenlik anahtarlarını ikinci bir faktör olarak kullanmaktır.
c’t: Güvenli kimlik doğrulama, yazılım tedarik zincirlerinin güvenliğini sağlamak için önemli bir adımdır. Sırada ne var?
Hanley: Yıl sonunda zorunlu 2FA’ya geçişi tamamladığımızda yapılacak daha çok iş olacağını umuyorum. Belirli geliştirici gruplarının özellikle çekici bir hedef olduğu sonucuna varabilir ve hesaplarını korumak için onlara ek önlemler sunabiliriz. Örneğin, yalnızca GitHub kod alanları içinde, yani bulutta güvenli bir sanal makinede geliştirme yapmak isteyen geliştiriciler ve kuruluşlar için grup ilkeleri sunabiliriz.
GitHub’da bu şekilde çalışıyoruz. Her şey, müşterilerimize de sunduğumuz Codespace adlı güvenli, barındırılan bir geliştirme ortamında oluşturulur. Binlerce çalışanın kodunu, yerel yapı ortamlarını ve yerel geliştirme ortamlarını korumak yerine, bu noktayı korumaya odaklanabiliriz ve tek yapmamız gereken tüm tarayıcılarının ve cihazlarının güncel olduğundan ve güvenlik standartlarımızı karşıladığından emin olmaktır.
(ndi)
Haberin Sonu