Журнал "Information Security/ Информационная безопасность" #6, 2023

Что такое Protestware? Protestware – это программное обес- печение, которое используется для выражения политических или социаль- ных протестов. Обычно такое ПО содержит функции, которые могут нарушить работу компьютерной систе- мы или причинить другой вред. Про- тестное программное обеспечение может быть создано отдельными лица- ми или группами, которые хотят выра- зить свое несогласие с политикой, дей- ствиями или решениями организаций или правительств. Точно определить, когда появилось это явление, достаточно сложно. Однако можно сказать, что само протестное ПО существует с того момента, как появи- лась возможность создавать программы. Термин Protestware появился в начале 2000-х гг., когда протестное ПО стало более распространенным. Тогда это было связано с появлением таких программ, как NetSurf, которые позволяли пользо- вателям обходить цензуру в Интернете. В России Protestware получило широкую известность в начале 2022 г. Тогда в пакетах с открытым исходным кодом начали появляться закладки, в которых можно было встретить лозунги политиче- ского характера. Но, к сожалению, одними лозунгами не ограничилось. Так, в 2022 г. создатели прошивки Tasmota для доволь- но популярных контроллеров ESP8266 и ESP32 внедрили в код скрипт, который способен блокировать работу устройства. Еще один пример – es5-ext, достаточно популярный пакет с GitHub, имеющий порядка 6 млн скачиваний. В прошлом году в одном из коммитов была найдена проверка тайм-зоны, в которой он рабо- тает. Как только пакет понимал, что попал в российский часовой пояс, то начинал выводить слоганы политиче- ского характера. Опасность явления сегодня В последние недели 2023 г. специали- сты по кибербезопасности вновь начали фиксировать инциденты с Protestware. Так, был обнаружен пакет npm e2eakarev (версия 7.1.0), опубликованный в октябре 2023 г., который описывает себя как "бесплатный пакет протеста в Палести- не". Исследователи ReversingLabs выяснили, что в Израиле установка паке- та запускается с политическим сообще- нием на английском языке. С июля этого года эксперты обнару- жили 179 пакетов npm с использованием пакета es5-ext. Сценарии es5-ext пока не наносят существенного ущерба, но наглядно демонстрируют, что разработ- чики готовы использовать свой код в качестве платформы для различного рода действий, никак не связанных с заявленной функциональностью. Очевидно, что явление закрепилось в нашей реальности и практически любые геополитические события будут провоци- ровать появление новых Protestware. Они могут влиять на организации по-разному, но основной риск – это атака на цепочку поставок, поскольку в этом случае затра- гивается более широкая группа пользо- вателей и приложений. Риски, с которыми сталкиваются разработчики и потребите- ли программного обеспечения, сегодня как никогда высоки. Как обнаружить Protestware? Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки. 1. SCA (Software Composition Analy- sis) – композиционный анализ опреде- ляет состав программного обеспечения, сканирует каждый элемент на наличие проблем безопасности и уведомляет о них разработчиков. SCA помогает про- вести инвентаризацию вашего ПО, кото- рая включает в себя разбор манифеста разработки, разрешение транзитивных зависимостей и определение Open- Sourse-включений в код продукта. Для поиска уязвимостей инструментами SCA генерируется SBOM (Software Bill Of Materials) – это список, который содержит названия, версии и другие части ПО, помогающие определить все зависимо- сти с версиями пакетов. Далее каждый элемент списка проверяется на наличие общеизвестных уязвимостей. Для этого используются публичные базы данных, например National Vulnerability Database, Snyk Vulnerability Database, GitHub Advi- sory Database, Exploit Database, OSVDB. 2. SAST (Static Application Security Test- ing) – это инструмент обнаружения уязви- мостей в программном обеспечении путем анализа исходного кода без его запуска. Этот метод позволяет находить ошибки в логике программы, уязвимости к атакам на систему и проблемы с без- опасностью данных. 3. Создайте процесс для обнаружения протестного ПО. Важно проводить регу- лярные проверки безопасности и иметь готовый план действий в случае обна- ружения уязвимостей. Использование открытого исходного кода без предва- рительного тестирования и анализа его возможного поведения является риском. Тестируйте весь код перед тем, как использовать его в производстве, чтобы убедиться в его работоспособности. Заключение Protestware является угрозой для без- опасности данных и конфиденциально- сти пользователей. В качестве контрме- ры существуют инструменты безопасной разработки, логику которых необходимо адаптировать для анализа используемых пакетов на наличие Protestware. l 64 • ТЕХНОЛОГИИ Protestware: как защитить код? огласно исследованию 1 , недавно обнаруженные пакеты программного обеспечения с открытым исходным кодом на платформе npm (пакетный менеджер для JavaScript, работающий на Node.js) содержат сценарии, которые передают сообщения политического характера. Эти пакеты являются свежими примерами так называемого Protestware (от англ. “протестное программное обеспечение"). С Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.reversinglabs.com/blog/protestware-taps-npm-to-call-out-wars-in- ukraine-gaza