2021/11/03 11:10:36

Trojan Source (кибератака)


Содержание

Основная статья: Кибератаки

2021: Демонстрация атаки

1 ноября 2021 года ученые из Кембриджского университета опубликовали подробности атаки, которая может быть использована для вставки вредоносного кода в легитимные программы через поля комментариев. Речь идет о заражении ПО на стадии исходного кода.

Атака, получившая название Trojan Source, основана на использовании двунаправленных управляющих символов в комментариях исходного кода. Известные также как BiDi, это управляющие символы Unicode, стандарт кодирования символов, которые используются внутри строки текста для сигнализации перехода от режима слева направо и справа налево или наоборот. На практике эти символы предназначены исключительно для программных приложений и невидимы для человеческого глаза, поскольку используются только для вставки текста с другим направлением чтения внутри больших блоков текста к примеру, вставка арабских или ивритских строк внутри больших блоков латинского текста.

Хакеры начали заражать ПО на стадии исходного кода

Исследовательская группа из Кембриджа заявила, что обнаружила, что большинство компиляторов кода и редакторов кода не имеют протоколов для обработки символов BiDi или сигнализации об их присутствии внутри комментариев исходного кода. По словам исследователей, злоумышленники могут вставлять управляющие символы BiDi в комментарии, которые не видят люди проверяющие код и которые при компиляции перемещают текст из поля комментария в исполняемый код. Также есть возможность перемещать код в закомментированный раздел, открывая приложения для атак, сводя на нет, различные проверки безопасности.

«
Мы проверили, что эта атака работает против C, C++, C#, JavaScript, Java, Rust, Go и Python, и подозреваем, что она будет работать против большинства других современных языков, - объяснил один из двух исследователей, стоящих за техникой Trojan Source Росс Андерсон (Ross Anderson).
»

Помимо компиляторов кода, Андерсон и его коллега Николас Баучер сообщили, что уязвимыми оказались также несколько редакторов кода и сервисов хостинга исходного кода. Помимо атаки, связанной с BiDi, исследователи обнаружили, что компиляторы исходного кода также уязвимы для второй проблемы, известной как гомоглифная атака, это когда классические латинские буквы заменяются похожими символами из других наборов семейства Unicode. Исследователи заявили, что эта вторая атака может быть использована для создания двух различных функций, которые выглядят одинаково в глазах специалиста по проверке кода, но на самом деле отличаются друг от друга. Андерсон и Баучер утверждают, что злоумышленник может использовать зависимость или же плагин для определения функции гомоглифа, вне основной кодовой базы приложения, а также у него есть возможность добавить вредоносный код в проект без ведома сопровождающего.TAdviser Security 100: Крупнейшие ИБ-компании в России 58.6 т

Поскольку большая часть современных процессов кодирования зависит от вклада команды из нескольких разработчиков, а то и команд. Кембриджские исследователи утверждают, что важно, чтобы компиляторы кода и редакторы кода обнаруживали BiDi и гомоглифные символы и сигнализировали людям об этом, проверяющим код, что в исходном коде используются нестандартные глифы Unicode, они обычно написанные в латинском наборе символов. По словам двух исследователей, они предоставили всем пострадавшим сторонам 99-дневное эмбарго на исправление двух атак в своих инструментах, прежде чем опубликовать подробности об атаке Trojan Source.

Команда разработчиков официального компилятора Rust выпустила обновление безопасности для исправления обеих атак CVE-2021-42574 (атака BiDi) и CVE-2021-42694 (атака гомоглиф), а другие исправления ожидаются до конца ноября 2021 года.[1]

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания