開發(fā)人員發(fā)現(xiàn)自己在黑客網(wǎng)站 灰鴿子使用教程,遠(yuǎn)程控制軟件

admin

開發(fā)人員發(fā)現(xiàn)自己在黑客網(wǎng)站 灰鴿子使用教程,遠(yuǎn)程控制軟件
這是企業(yè)需要做什么為了保護(hù)他們的開發(fā)環(huán)境免受攻擊。
攻擊者長(zhǎng)期目標(biāo)應(yīng)用程序漏洞來(lái)破壞系統(tǒng)和竊取數(shù)據(jù),但最近他們已經(jīng)跳過(guò)一個(gè)步驟后,直接開發(fā)人員使用的工具來(lái)構(gòu)建這些應(yīng)用程序。
考慮今年早些時(shí)候爆發(fā)的消息,引起中情局如何蘋果公司開發(fā)軟件的Xcode據(jù)稱試圖妥協(xié)。這種違反可能意味著每一個(gè)應(yīng)用程序開發(fā)的開發(fā)環(huán)境,反過(guò)來(lái),包含惡意軟件,將使其創(chuàng)造者間諜和窺探的人安裝這些應(yīng)用程序,攔截報(bào)道的故事美國(guó)中央情報(bào)局活動(dòng)竊取機(jī)密�！鞍踩�研究人員還聲稱他們已經(jīng)建立了一個(gè)修改版的蘋果的專有軟件開發(fā)工具,Xcode,可以偷偷監(jiān)視后門到任何應(yīng)用程序或程序使用工具創(chuàng)建的,”
可以肯定的是,感染開發(fā)人員使用的工具,為了妥協(xié)他們最終船的應(yīng)用,使得攻擊者非常多汁的目標(biāo)以及企業(yè)的危險(xiǎn)和嚴(yán)重威脅。
考慮的蠻力攻擊,目標(biāo)是2013年流行源代碼存儲(chǔ)庫(kù)GitHub,無(wú)數(shù)的帳號(hào)被盜后,GitHub禁止它認(rèn)為是弱密碼,并實(shí)現(xiàn)率限制登錄嘗試。
GitHub攻擊和攻擊Xcode不是孤立的事件。就在上周蘋果承認(rèn)其App Store經(jīng)歷了重大違反涉及成千上萬(wàn)的應(yīng)用程序。妥協(xié)是可能的,當(dāng)中國(guó)開發(fā)商的Xcode下載盜版和惡意軟件被稱為XcodeGhost污染。XcodeGhost妥協(xié)Xcode集成開發(fā)環(huán)境的應(yīng)用程序創(chuàng)建Xcode的版本將包括隨后開發(fā)應(yīng)用程序。蘋果移除受感染的應(yīng)用,估計(jì)超過(guò)4000受污染的應(yīng)用已進(jìn)入應(yīng)用商店。同時(shí),在2013年,蘋果的開發(fā)中心拆卸與許多開發(fā)人員在較長(zhǎng)時(shí)間內(nèi)報(bào)道,蘋果強(qiáng)迫他們的密碼重置。
CBI策略師IT風(fēng)險(xiǎn)管理公司,j·沃爾夫?qū)?amp;#8226;格利希曾解釋了為什么最近接二連三的攻擊蘋果的開發(fā)工具是值得注意的�！癘S X計(jì)算機(jī)的數(shù)量繼續(xù)提高在企業(yè)環(huán)境中。一些組織正在考慮mac(從安全的角度來(lái)看)的數(shù)字一直很小,大多數(shù)[安全]控制是基于windows的,”他說(shuō)。
“這種類型的攻擊——感染編譯器——曾經(jīng)是被高度安全的政府組織視為一個(gè)潛在威脅。
你會(huì)認(rèn)為偏執(zhí)出現(xiàn)這樣的場(chǎng)景會(huì)影響公眾的東西。說(shuō),“然而,我們?cè)谶@里Yossi Naar Cybereason創(chuàng)始人之一漏洞檢測(cè)軟件的提供者。
如果這些類型的兩級(jí)攻擊不再威脅只有偏執(zhí)狂,目標(biāo)和企業(yè)發(fā)展環(huán)境,這意味著企業(yè)試圖確保他們開發(fā)和部署安全的應(yīng)用程序。
“從發(fā)展的角度來(lái)看,在持續(xù)集成和部署的最佳實(shí)踐會(huì)阻止攻擊(針對(duì)蘋果的應(yīng)用程序商店),”。說(shuō)格利希曾
威脅和脆弱性分析主管克里斯•Camejo NTT Com安全,同意。“這應(yīng)該是顯而易見(jiàn)的,但開發(fā)人員(和其他人)應(yīng)該只使用軟件來(lái)自受信任來(lái)源的像一個(gè)供應(yīng)商的網(wǎng)站或官方應(yīng)用商店,或驗(yàn)證軟件包下載還沒(méi)有被篡改通過(guò)驗(yàn)證可用的軟件數(shù)字簽名時(shí),“Camejo說(shuō)。
斯里蘭卡拉馬納坦,移動(dòng)應(yīng)用開發(fā)平臺(tái)科尼的首席技術(shù)官說(shuō),同樣的適用于開源軟件�！氨Ｗo(hù)開發(fā)人員,企業(yè)需要確保任何軟件使用用于審查和安全認(rèn)證。必須保持警惕在特定開源軟件模塊,”他說(shuō)在科尼的發(fā)展環(huán)境中,拉馬納坦說(shuō),科尼開發(fā)人員不能使用開源產(chǎn)品,除非特別批準(zhǔn),所有的軟件都是靜態(tài)和動(dòng)態(tài)掃描之前和之后被批準(zhǔn)使用,遠(yuǎn)程控制軟件。
“我們也使用電池的內(nèi)部和外部的筆定期測(cè)試,以證明我們所有的運(yùn)行時(shí)。我們確保任何開源軟件使用源于一個(gè)充滿活力的信任社區(qū),并積極支持,沒(méi)有太多的已知的安全問(wèn)題(已知問(wèn)題可以而且應(yīng)該減輕)和良好的文檔記錄,”拉馬納坦解釋道。
對(duì)企業(yè)來(lái)說(shuō),這是重要的開發(fā)人員和軟件開發(fā)連鎖保護(hù)像任何其他用戶和資產(chǎn),或許在許多情況下�！捌渌�工具鏈,尤其是開源,驗(yàn)證軟件的真實(shí)性是很重要的在你使用它。大多數(shù)開源項(xiàng)目提供密碼散列,您可以使用它們來(lái)驗(yàn)證下載軟件的真實(shí)性,“說(shuō)鮑比Kuzma CISSP,系統(tǒng)工程師,在核心安全。“將構(gòu)建服務(wù)器視為安全的系統(tǒng),先進(jìn)的安全控制,應(yīng)該使用類似于在處理敏感加密材料將有助于控制對(duì)這種類型的威脅,“Kuzma補(bǔ)充道。
好的建議對(duì)于任何開發(fā)團(tuán)隊(duì)。和企業(yè)需要確定開發(fā)人員在清潔環(huán)境中使用獨(dú)立的系統(tǒng)開發(fā)的用于構(gòu)建應(yīng)用程序,。增加了格利希曾“構(gòu)建機(jī)器然后保存在一個(gè)安全的硬化狀態(tài),自動(dòng)編譯。即使開發(fā)人員下載惡意代碼等XcodeGhost在電腦上,構(gòu)建計(jì)算機(jī)保持清潔和提交給應(yīng)用程序商店是保護(hù),”他說(shuō)。
”企業(yè),一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全管理程序,監(jiān)控惡意軟件連接到指揮控制電腦的第一道防線,像XcodeGhost識(shí)別攻擊,“Goerlich補(bǔ)充道。

丶執(zhí)緣唯N1停留

消滅0回復(fù),我要搶沙發(fā)!…