GitHub és Chrome támadások: már nem a tűzfal a fő célpont

Az elmúlt hónapok biztonsági incidensei jól mutatják, hogy a támadók egyre inkább a fejlesztői környezeteket, böngészőket és hitelesítési adatokat veszik célba. A klasszikus hálózati támadások helyett a legitim hozzáférések megszerzése történik, csak gyorsabban, csendesebben és nehezebben észlelhető módon.

GitHub: a fejlesztői ökoszisztéma lett a célpont

Több friss incidens is rámutatott, mennyire sérülékenyek lehetnek a fejlesztői eszközök és ellátási lánc folyamatok.

A GitHubhoz kapcsolódó egyik legismertebb eset során a CISA környezetéből szivároghattak ki adatok kompromittált tokenek miatt. A történet egyik legfontosabb tanulsága, hogy egy rosszul kezelt vagy kiszivárgott hozzáférési token ma már ugyanakkora kockázatot jelenthet, mint egy admin jelszó.

Ezzel párhuzamosan a Github ellen VS Code bővítményeken keresztül ellátási lánc támadások is történtek. A támadók rosszindulatú kódot juttattak fejlesztői környezetekbe, amellyel:

forráskódhoz,
GitHub authentikációkhoz,
API kulcsokhoz,
fejlesztői jelszavakhoz férhettek hozzá.

Egy másik incidens során pedig egy alkalmazott eszközének kompromittálásán keresztül jutottak be a támadók a vállalati környezetbe. Ez ismét rámutatott arra, hogy a fejlesztői végpontok ma már kiemelt célpontnak számítanak.

Chrome: új módszerrel lopják a jelszavakat

A sokak álltal kedvelt Chrome jelszókezelő sincs biztonságban, hívja fel a figyelmet a Nemzeti Kiberbiztonsági Intézet.

A VoidStealer nevű információlopó (infostealer) képes megkerülni a Chrome Application-Bound Encryption (ABE) védelmét, amely elvileg a mentett jelszavakat és cookie-kat védi.

A rosszindulatú program nem klasszikus exploitot használ, hanem debugger technikával figyeli a Chrome működését, és megszerzi a memóriában rövid időre megjelenő titkosítási kulcsot. Ezzel hozzáférhet:

mentett jelszavakhoz,
session cookie-khoz,
authentikációs tokenekhez,
böngészőben tárolt hozzáférésekhez.

A támadás különösen veszélyes, mert:

nem igényel admin jogosultságot,
nehezen észlelhető,
megkerüli a Chrome modern védelmi mechanizmusait.

Egyébként a VoidStealer az első olyan infostealer program, amely valós környezetben, bizonyítottan ilyen mechanizmust használ, ez pedig az információlopás új generációját is jelenti.

Magyar fejlesztésű jelszókezelő hozhatja el a biztonságod?

A fenti incidensek közös tanulsága, hogy a legnagyobb kockázatot ma már sokszor nem maga a rendszer, hanem a rosszul kezelt és tárolt hitelesítési adatok jelentik. A böngészőkben mentett jelszavak, lokálisan tárolt tokenek vagy kontroll nélküli hozzáférések komoly biztonsági réseket nyithatnak a cégek rendszereiben.

Erre jelenthet megoldást a magyar fejlesztésű PassMan céges jelszókezelő, amely központosítva tárolja a céges jelszavakat és jogosultságok alapján teszi azokat hozzáférhetővé.

A Chrome beépített jelszókezelője kényelmesnek tűnhet, de vállalati szempontból komoly problémája, hogy az IT-nak gyakorlatilag nincs kontrollja a tárolt hozzáférések felett. Ha egy munkatárs saját böngészőjében ment el céges jelszavakat (pl. marketinges, fejlesztői, cloud hozzáféréseket), azokat csak ő látja.

A PassMan viszont egy központi, vault alapú megoldás, ami:

a jelszavak titkosítva tárolja,
a hozzáféréseket jogosultságokhoz köti,
a jogosultságokat gyorsan képes visszavonni,
mindezt auditálhatóan (minden eseményt naplózva).

Ha egy munkatárs ma kilépne a cégedtől, az IT azonnal visszavonhatja a hozzáféréseit anélkül, hogy manuálisan kellene végigrotálni minden accountot vagy attól tartani, hogy jelszavak maradtak böngészőkben elmentve.

Közben a felhasználói élmény sem romlik, mert a PassMan böngészőbővítménye ugyanúgy biztosít automatikus jelszókitöltést (vagy akár beléptetést), mint a Chrome, így gyorsan hozzá lehet szokni, betanulási idő nélkül.

Ha szeretnél többet megtudni arról, hogyan tudná a te céged is támogatni a PassMan, jelentkezz az alábbi űrlapon egy online bemutatóra.

Kérj online bemutatót!

Foglalj egy rövid bemutatót és nézd meg, hogyan támogatja a PassMan a napi működést és a jogszabályi megfelelést.