Do You Trust Your Registries? - a podcast by Dotan Nahum, Uri Shamay

פיתוח תוכנה כיום נשען הרבה על registries פומביים שזמינים ברשת שמאפשרים להוריד את שלל ספריות התוכנה שהקוד שלנו משתמש במגוון סטאקים טכנולוגיים כגון:
Pypi, Npm, Maven, Docker Hub ועוד. השאלה העולה היא: עד כמה אנחנו סומכים על אותם האבים שמחזיקים ספריות תוכנה קריטיות שהקוד שלנו מתחבר איתן? מה קורה אם מה שיש בהאב הוא בעצם קוד זדוני?? תדמיינו שהספרייה שעוזרת לכם להוריד דאטה מהקלאוד הפרטי שלכם, מחליטה לעשות עוד משהו עם הדאטה או עם המפתח לדאטה.. נשמע כמו משהו שלא יכול לקרות נכון... שהרי ה registries הם קומפוננטה קריטית שכול העולם משתמש, ולכן יש אלפי עיניים ומנגנוני בטיחות שימנעו מדבר שכזה לקרות.. אז זהו שלא, וזה בדיוק מה שדיברנו עליו בפרק, דיברנו על מקרה נוסף שקרה בשפת התכנות פייתון, וספציפית ב registry הראשי PyPi שאנשים זדוניים דחפו בעזרת משחק מילים של שמות הספריות, ספרייה זדונית שגונבת מפתחות של SSH ו GPG, וכשתפסו אותה על חם כעבור כמה שבועות שהיא הייתה ב registry, נזכרו להסיר אותה אחרי שכבר היה בה מספר שימושים בעולם.

 

 

Two malicious Python libraries caught stealing SSH and GPG keys

https://www.zdnet.com/article/two-malicious-python-libraries-removed-from-pypi/

Reflections on Trusting Trust 

https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustingTrust.pdf

Further episodes of Root Cause

Further podcasts by Dotan Nahum, Uri Shamay

Website of Dotan Nahum, Uri Shamay