Con 10 millones de nuevos secretos descubiertos en los compromisos públicos de GitHub en 2022, el número de secretos codificados secretos detectados aumentó en un 67 % el año pasado en comparación con 2021. Esto es lo que revela el informe Estado de secretos Explaus 2023 De Gitguardian según el cual esta práctica amenaza la seguridad del software de la cadena de suministro. Expone a riesgos de seguridad significativos, ya que los identificadores a menudo se almacenan en texto transparente, lo que permite a los piratas informáticos extraerlos más fácilmente del código fuente. Los secretos también se pueden divulgar o expuestos inadvertidamente a través de otros defectos de seguridad, como inyección de código o fugas de datos.

Índice
  1. 2022: un año muy rico en el vuelo de los secretos
  2. Una amenaza para el software de la cadena de suministro
  3. Estrategias para protegerse

2022: un año muy rico en el vuelo de los secretos

Al analizar más de mil millones de comodidades de Github, Gitguardian descubrió que una gran cantidad de secretos se habían filtrado el año pasado. De los 13.3 millones de autores separados que han cultivado código en GitHub en 2022, 1.35 millones expusieron accidentalmente un secreto, mientras que 5.5 se compromete de 1,000 expuestos al menos un secreto, un aumento del 50 % en comparación con 2021, según el informe. Gitguardian clasificó secretos en dos categorías: específicos y genéricos. Los primeros corresponden a secretos reconocibles, como claves de acceso AWS o identificadores de base de datos MongoDB. Los secretos específicos representan el 33 % de los secretos detectados en la investigación.

Los genéricos representan el 67 % de los secretos detectados. Se corresponden a secretos como el correo electrónico de una empresa y las contraseñas codificadas en un archivo en un archivo. Los principales secretos específicos detectados en 2022 por Gitguardian son: Google_api_Key, private_key_rsa, private_key_generic, Googlectloud_keys y PostgreSQL_Credentials. "Las contraseñas, los secretos de alta entropía y los nombres/contraseñas de usuario son los secretos genéricos más frecuentes", dijo Gitguardian. El informe cita ejemplos recientes de secretos explotados en ataques contra Uber y Circleci, estándares robados del código fuente que afectan a las empresas como LastPass, Microsoft, Okta y Samsung, y secretos expuestos públicamente que afectan a Android, Toyota e Infosys.

Una amenaza para el software de la cadena de suministro

Según el informe, los secretos codificados secretos y la proliferación de secretos son amenazas importantes para la seguridad del desarrollo de software. "Los secretos se pueden revelar de varias maneras, y el código fuente es un activo que se puede perder rápidamente a favor de los subcontratistas y, por supuesto, la fuente del código fuente. Discusiones y actividades relacionadas con el intercambio de secretos de API en la web oscura también Representar un problema creciente ", agregó el informe. "Un fenómeno relativamente nuevo, que ha aparecido durante algunos años, es el de las discusiones sobre el vuelo y la venta de las claves API en Darknet, y creemos que deberían continuar desarrollándose", dijo Gitguardian. "Los actores de amenaza que buscan extender la distribución de malware más ampliamente al comprometer la cadena de suministro también discutieron identificadores y puntos de pivote de los estándares abiertos", continúan los expertos.

"El principal problema es que un secreto secreto no solo es difícil de modificar, lo cual es una característica muy deseable tanto por razones de seguridad como por razones que no están vinculadas a la seguridad como las actualizaciones de la infraestructura, sino que también puede estar expuesto a cualquier persona que tenga acceso al código fuente ", dijo Fernando Montenegro, analista principal de Omdia. Este es un problema importante, porque un hacker podría usar esta información para fingir ser otra persona o obtener otra información ambiental confidencial ", agregó." Las consecuencias pueden variar desde los resultados de auditoría negativos hasta el compromiso completo de la infraestructura y la masiva Exfiltración de datos. "Los secretos codificados con codificación pueden estar expuestos y comprometidos y constituir una amenaza interna con recursos familiares con secretos", dijo Sohail Iqbal, RSSI de Veracode. “Los secretos codiciosos en los productos comerciales abren el camino hacia los ataques DDoS a gran escala. Un número significativo de ataques de suministro crecientes indica un alto riesgo de tuberías de CI/CD con secretos integrados ", agregó el RSSI.

Estrategias para protegerse

"Las empresas deben comprender que el código fuente es uno de sus activos más preciosos y que debe estar protegido", concluye el informe. "El primer paso es obtener una auditoría clara de la postura de seguridad de la compañía con respecto a los secretos: ¿dónde y cómo se usan? ¿Dónde huyen? ¿Cómo prepararse para lo peor? Como muchos otros problemas de seguridad, higiene deficiente en términos de los secretos implica el trío a la mesa habitual. Un enfoque de cambio izquierdo para construir una defensa profunda durante todo el ciclo de desarrollo ", agregó Gitguardian.

Entre las estrategias útiles, podemos citar:

- Vigilancia de compromisos y solicitudes de fusión/extracción de tiempo real para todos los puntos de referencia con VC o integración de CI.

- Activación de cheques antes de la recepción para fortalecer los estándares centrales contra las fugas.

- Planificación a largo plazo para desarrollar una estrategia para tratar incidentes descubiertos gracias al análisis histórico.

- La implementación de un programa de campeones secretos.

"Los entornos de diseño que no usan secretos codificados por los cuidados deben ser una prioridad para la mayoría de las empresas", agregó Montenegro. “Las soluciones varían, incluidas las herramientas de gestión de secretos, el examen del código fuente y muchas otras cosas. El primer paso es hacerle comprender en todas partes dentro de la empresa, desde desarrolladores e ingenieros de seguridad hasta sus respectivas cadenas de gestión, que los secretos secretos codificados son un defecto de diseño de seguridad que debe corregirse ».