Securing Supply Chains
•
0 likes•136 views
An overview of supply chain attack and defense means. (OWASP Saitama MTG #7, talk #1)
More Related Content
What's hot
What's hot (20)
Similar to Securing Supply Chains
Similar to Securing Supply Chains (20)
More from Takahiro Yoshimura
More from Takahiro Yoshimura (14)
Recently uploaded
Recently uploaded (16)
Securing Supply Chains
- 1. SECURING SUPPLY CHAIN 2022.3.29 OWASP SAITAMA MTG #7, TALK #1
- 2. TEXT SESSION FLAGS ▸ 録音・録画・内容公開: OK Image by Nico Kaiser on flickr, CC-BY 2.0
- 3. TEXT WHO I AM ▸ Takahiro Yoshimura (@alterakey) https://keybase.io/alterakey ▸ Monolith Works Inc. Co-founder, CTO Security researcher ▸ 明治大学サイバーセキュリティ研究所 客員研究員
- 4. TEXT WHAT I DO ▸ Security research and development ▸ iOS/Android Apps →Financial, Games, IoT related, etc. (>200) →trueseeing: Non-decompiling Android Application Vulnerability Scanner [2017] ▸ Windows/Mac/Web/HTML5 Apps →POS, RAD tools etc. ▸ Network/Web penetration testing →PCI-DSS etc. ▸ Search engine reconnaissance (aka. Google Hacking) ▸ Whitebox testing ▸ Forensic analysis
- 5. TEXT WHAT I DO ▸ CTF ▸ Enemy10, Sutegoma2 ▸ METI CTFCJ 2012 Qual.: Won ▸ METI CTFCJ 2012: 3rd ▸ DEF CON 21 CTF: 6th ▸ DEF CON 22 OpenCTF: 4th ▸ 発表・講演など DEF CON 25 Demo Labs (2017) DEF CON 27 AI Village (2019) CODE BLUE (2017, 2019) CYDEF (2020) etc. Image by Wiyre Media on flickr, CC-BY 2.0
- 6. TEXT BACKGROUND ▸ ロシアによるウクライナ侵攻 ▸ 国際社会からの非難 ▸ 国際社会による経済制裁 ▸ SWIFT排除 ▸ 送金・輸出制限強化 ▸ 資産凍結 etc. Image by Travis Wiens on flickr, CC-BY-NC-ND 2.0
- 7. TEXT BACKGROUND ▸ ロシアによるウクライナ侵攻 ▸ 反戦デモ ▸ protestware … ? Image by Travis Wiens on flickr, CC-BY-NC-ND 2.0
- 8. TEXT “PROTESTWARE” ▸ 抗議活動を行なうソフトウェアの総称 ▸ いわゆるロジックボム ▸ メッセージを表示、活動を停止する: →Marak Squires氏事件: faker.js, colors.js ▸ 破壊活動を行なう: →node-ipc →いわゆる「サイバー兵器」と同じ側面 Image by Chad Davis on flickr, CC-BY-SA 2.0
- 9. TEXT “PROTESTWARE” ▸ 文化的な背景もある可能性 ▸ core.js, jss, nodemon, styled-components, pouchdb … terminalは広告スペースなのか? ▸ 論議を呼んでいる ▸ Funding (ad library): https://github.com/feross/funding ▸ CLI ad blocker: https://github.com/kethinov/no-cli-ads Image by Chad Davis on flickr, CC-BY-SA 2.0
- 10. TEXT DEPENDENCY MANAGEMENT ▸ 依存関係 ▸ プログラムが使用するライブラリ一般 ▸ 昨今はパッケージシステムによる管理 ▸ Python: pip etc. ▸ JS: npm, yarn, etc. ▸ 膨張傾向 特にJSでナノパッケージの使用傾向 Image by keso s on flickr, CC-BY-NC-ND 2.0
- 11. TEXT SUPPLY CHAIN ATTACKS ▸ 依存関係を狙った攻撃 ▸ ライブラリ名の打ち間違い ▸ スコープ内ライブラリの横取り ▸ 開発者アカウント奪取による不適切な改変 ▸ 開発者自身による不適切な改変(→裏切り) Image by Richard Says on flickr, CC-BY-NC-ND 2.0
- 12. TEXT TYPOSQUATTING ▸ ライブラリ名の打ち間違い ▸ 似た名前をregisterしておく, 例) ▸ cross-env (←crossenv) ▸ python3-dateutil (←python-dateutil) ▸ aiosocks5 (←aiosocks) ▸ etc. Image by XJ on flickr, CC-BY-NC 2.0
- 13. TEXT DEPENDENCY CONFUSION ▸ スコープ内ライブラリの横取り ▸ 同名でパブリックスペースにregister, 例) ▸ core-tracing (←@azure/…) ▸ 社内ライブラリ ▸ etc. Image by MShukla Photography on flickr, CC-BY-NC-ND 2.0
- 14. TEXT ACCOUNT TAKEOVER ▸ パッケージの制御を奪取し不正コードを挿入 ▸ coa (2018) ▸ 2818のnpmアカウントにおいて 期限切れメールアドレスの使用 ▸ npm/PyPIにおける脆弱性の存在 Image by Tim Vrtiska on flickr, CC-BY-ND 2.0
- 15. TEXT DELIBRATE SABOTAGE ▸ メンテナ自身が不正コードを挿入 ▸ faker.js, colors.js ▸ node-ipc Image by Nurettin Mert Ardin on flickr, CC-BY-NC-ND 2.0
- 16. TEXT CLEANING..? ▸ 修羅場… 浄化に向けた取り組みは: ▸ JS: パッケージの報告 ナノパッケージ主眼の削除推奨事業まで ▸ Python: 報告機構はないが、たまに一斉摘発 ▸ 頼れるものではない→自衛が必要 Image by ryan harvey on flickr, CC-BY-SA 2.0
- 17. TEXT DEFENSIVE MEASURES ▸ Typosquatting/account takeover/sabotage: ▸ SBOM (Software Bill of Materials) ▸ pinされたdependency graph ▸ Python: poetry / pip-tools ▸ JS: package lock + npm ci Image by Jazz DiMauro on flickr, CC-BY-NC-ND 2.0
- 18. TEXT PYTHON: POETRY ▸ 新しいパッケージシステム ▸ pyproject.toml ▸ 依存関係管理 ▸ venvの管理 ▸ プロジェクトテンプレ生成 etc, etc. ▸ All in one; 概ね好評価
- 19. TEXT PYTHON: PIP-TOOLS ▸ pip-compile / pip-sync ▸ バージョンを固定したrequirements.txt互換 ファイルを生成・適用 →pip freezeでもできるが使いにくかった… ▸ pip 8.0以降用にhash固定もできる ▸ pyproject.tomlにも対応している (→poertyを使いたくない場合の救世主)
- 20. TEXT JS: PACKAGE LOCK + NPM CI ▸ npm ci: lock fi leに従ってインストール
- 21. TEXT DEFENSIVE MEASURES ▸ Dependency confusion ▸ SBOM + Private indexがある場合優先利用 ▸ Private index ▸ Python: private-pypi etc. ▸ JS: verdaccio etc. Image by Jazz DiMauro on flickr, CC-BY-NC-ND 2.0
- 22. TEXT AUDITING MEASURES ▸ SBOMに対する脆弱性解析・改修提案 ▸ Python: pip-audit ▸ JS: npm audit Image by EGUE on flickr, CC-BY-NC-ND 2.0
- 23. TEXT TAKEAWAYS ▸ FLOSSエコシステムに潜む問題 ▸ 基本的に善意で成り立っている ▸ エコシステムの問題を突いた攻撃が サプライチェーン攻撃 ▸ typosquatting ▸ dep. confusion ▸ Account takeover ▸ Delibrate sabotage Image by Richard Says on flickr, CC-BY-NC-ND 2.0
- 24. TEXT TAKEAWAYS ▸ SBOMの正確な把握・メンテナンスが大事 ▸ SBOM: pinされたdependency graph ▸ Private indexを使うならいつでも最優先に ▸ 事故もあったがツールチェインもそろってきた ▸ Python: pip-tools / poetry ▸ JS: package lock + npm ci Image by Jazz DiMauro on flickr, CC-BY-NC-ND 2.0
- 25. FIN. 2022.3.29 TAKAHIRO YOSHIMURA (@ALTERAKEY)