We leven in een tijdperk waarin digitale handtekeningen het authenticiteitskenmerk vertegenwoordigen. De wereld groeit tegenwoordig zo snel dat alles op internet geverifieerd moet worden, of het nu gaat om broncodes, scripts, sleutelparen of andere hulpmiddelen die een derde partij aanbiedt. Alle content die we op internet zien, moet authentiek zijn voordat we het kunnen gebruiken. Het moet gecontroleerd worden voordat het gebruikt wordt, en dat keurmerk wordt geleverd door Code ondertekening.
Het merkteken waar we het over hebben is het belangrijkste aantrekkingspunt van codeondertekening. Het is de unieke hashwaarde die wordt berekend voordat de softwarecode wordt geleverd. Software of hulpprogramma's worden voorzien van een digitale handtekening en een hashwaarde om te vergelijken of de ontvangen service afkomstig is van de oorspronkelijke auteur of dat er mee is geknoeid door kwaadwillende actoren.
Nu komen we bij de beveiliging van de softwaretoeleveringsketen. De gehele SDLC, de softwareontwikkelingscyclus, met alle stappen of activiteiten die interacteren met applicaties of anderszins bijdragen aan hun ontwikkeling, wordt de softwaretoeleveringsketen
Beveiliging van de softwaretoeleveringsketen is het proces van het beschermen van de elementen, processen en procedures die worden gebruikt bij de ontwikkeling en distributie van software. Dit omvat ontwikkelaarstechnieken, ontwikkeltools, interfaces, code van derden en bedrijfscode, implementatiestrategieën, infrastructuur en interfaces.
Deze beveiligingsgerelateerde taken vallen onder de verantwoordelijkheid van een organisatie. Dat geldt ook voor het tonen van bewijs van dergelijke inspanningen aan consumenten.
Hoe kan Code Signing helpen bij het bestrijden van aanvallen op de softwaretoeleveringsketen?
Het hoofdconcept van codeondertekening is gericht op de integriteit van de code en garandeert dat het stukje code dat aan de klant wordt geleverd, afkomstig is van de oorspronkelijke auteur. De auteur van de software ondertekent de code telkens wanneer hij of zij wijzigingen aanbrengt, zodat er geen ongeautoriseerde actie kan worden ondernomen.
Dat betekent dat alles wat naar u wordt verzonden, voorzien is van een door de auteur vrijgegeven hash, een sleutel en een digitaal certificaat, zodat u altijd eerst kunt worden geverifieerd voordat u het kunt gebruiken.
Code ondertekening Is ook handig wanneer u in een teamomgeving werkt. U kunt codeondertekening gebruiken tijdens het uitwisselen van broncode binnen de SDLC om dubbele authenticatie te garanderen, aanvallen te voorkomen en zelfs naamruimteconflicten te voorkomen.
Codeondertekening verloopt via een proces van drie stappen
- Een unieke publieke-private sleutel creëren
- Hashing
- Decodering en verificatie
Recente aanvallen op de software-toeleveringsketen
SolarWinds
Bedreigingen voor de softwaretoeleveringsketen kwamen voor het eerst onder de aandacht na de SolarWinds-hack. Hackers kregen toegang tot Orion, het IT-monitoringsysteem van het bedrijf, dat wordt gebruikt door meer dan 30,000 bedrijven, waaronder gemeentelijke, provinciale en federale overheden.
Via een software-update van Orion konden de hackers backdoor-malware verspreiden.
Dus wat is hier gebeurd?
De malware kon niet alleen toegang krijgen tot systeemgegevens en functioneren naast de normale SolarWinds-activiteiten, waarbij zelfs antivirussoftware werd omzeild. Daarnaast konden de hackers toegang krijgen tot de accounts en gebruikers van slachtoffers en zich voordoen als slachtoffers.
Vanaf het moment dat de hackers in september 2019 voor het eerst het systeem kraakten tot het moment dat het incident voor het eerst werd ontdekt of openbaar werd gemaakt in december 2020, bleven de daders onopgemerkt.
U kunt de gedetailleerde video waarin de aanval wordt uitgelegd, bekijken op ons YouTube-kanaal door op onderstaande link te klikken:
Kaseja
Leverancier van IT-beheersoftware Kaseya verklaarde dat het doelwit was van een aanval op de toeleveringsketen vanwege een fout in zijn VSA-software waar hackers in juli 2021 misbruik van maakten.
De aanvallers hadden het gemunt op meerdere Managed Service Providers (MSP's) en hun klanten, die later werden geïdentificeerd als REvil, die de kwetsbaarheid gebruikten om ransomware operaties.
Hackers zouden via een valse update toegang kunnen krijgen tot computers door de VSA-server te hacken, die wordt gebruikt om een verscheidenheid aan geautomatiseerde IT-taken en applicaties te distribueren
Volgens Kaseya werden in totaal 1,500 bedrijven getroffen door de hack, waarvan er ongeveer 60 klant waren.
Later verklaarde Kaseya ook dat het het vermeende losgeld van 70 miljoen dollar (50 miljoen dollar) van de hacker niet had betaald.
log4j
Miljoenen systemen liepen gevaar door de kwetsbaarheid die bekendstaat als Log4Shell. Deze kwetsbaarheid trof eind 2021 Log4j, een Java-gebaseerde loggingapplicatie.
log4j is een open-sourceprogramma van de Apache Software Foundation dat diagnostische gegevens over systemen registreert en doorgeeft aan gebruikers en beheerders om ervoor te zorgen dat alles goed blijft werken.
De Log4Shell-kwetsbaarheid gaf hackers in december 2021 echter toegang tot netwerken, waardoor ze gegevens konden stelen, inloggegevens en wachtwoorden konden achterhalen en andere schadelijke software konden lanceren.
Bovendien werden veel mensen en bedrijven blootgesteld aan aanvallen vanwege het wijdverbreide gebruik van Log4j.
Er is een kwetsbaarheid voor Log4j gemeld CVE-2021-44832, een RCE-kwetsbaarheid die instanties van Log4j 2 treft in gevallen waarin een aanvaller toestemming heeft om het configuratiebestand voor logboekregistratie te wijzigen en op zijn beurt een schadelijke configuratie kan construeren met behulp van een JDBC Appender.
CodeSign Secure: een helpende hand
Onze organisatie biedt een robuuste en betrouwbare oplossing- CodeSign beveiligd. Onze oplossing onderscheidt zich doordat CodeSign Secure klanten helpt om voorop te blijven lopen. CodeSign Secure biedt een veilige Code Signing-oplossing met fraudebestendige opslag voor de sleutels en volledige zichtbaarheid en controle over Code Signing-activiteiten.
Belangrijkste kenmerk dat ons op een voorsprong zet: –
- Ondersteuning voor aangepaste workflows van een "M of N"-quorum met multi-tier ondersteuning van goedkeurders
- Met de tool voor ondertekening op de opdrachtregel kunt u sneller grote aantallen aanvragen ondertekenen.
- Robuuste toegangscontrolesystemen kunnen worden geïntegreerd met LDAP en aanpasbare workflows om de risico's te beperken die samenhangen met het verlenen van onjuiste toegang aan ongeautoriseerde gebruikers, waardoor zij code kunnen ondertekenen met schadelijke certificaten.
- Validatie van code aan de hand van actuele antivirusdefinities voor virussen en malware voordat de code digitaal wordt ondertekend, verkleint de risico's die samenhangen met het ondertekenen van schadelijke code.
Conclusie
Code Signing is van groot belang in de huidige situatie, omdat piraterij en de dreiging die kwaadwillende actoren vormen voor het internet te gigantisch zijn en het in gevaar brengen van organisaties miljoenen dollars kost.
We bieden een platform voor het aanmaken/genereren en importeren van certificaten voor een organisatie. Documenten (env – Windows, Linux, Jar Signing en Doc Signing) worden ondertekend met een privésleutel en geverifieerd met het betreffende certificaat. Een correcte en gedetailleerde loggingfunctie met een uitgebreide GUI-weergave (statistische analyse) is aanwezig. Het beheer van tools is een van de belangrijkste voordelen van CodeSign Secure.
Voorkomen is altijd beter dan genezen. Voorkomen dat kwaadwillenden de controle over persoonsgegevens en klantgegevens overnemen, is altijd beter dan herstel na een ramp. Onze organisatie helpt mensen bij het voorkomen van een ramp voordat deze plaatsvindt.
