Na začátku roku upoutaly pozornost zprávy o tom, že se americká rozvědka CIA údajně snažila nabourat do vývojového softwaru Xcode společnosti Apple. Úspěch by znamenal, že každá aplikace vyvinutá pomocí tohoto prostředí by obsahovala škodlivý kód, který by útočníkům umožnil špehovat uživatele těchto aplikací nebo zpřístupnil napadené zařízení pomocí zadních vrátek.
Pro počítačové zločince je infikování nástrojů, pomocí nichž se vyvíjejí aplikace pro koncové uživatele, velmi lákavým cílem a zároveň závažnou hrozbou pro podniky. Vzpomeňme na útok hrubou silou na oblíbený repozitář zdrojových kódů GitHub z roku 2013. Po prolomení mnoha účtů provozovatelé serveru zakázali slabá hesla a zavedli časovou prodlevu pro opakované pokusy o přihlášení.
Útok na GitHub a pokus o narušení Xcode nejsou ojedinělé incidenty. Zhruba před týdnem společnost Apple přiznala rozsáhlé narušení svého obchodu s aplikacemi App Store, kde byly postiženy údajně až 4 tisíce aplikací. Dosáhli toho čínští hackeři pomocí nástroje XcodeGhost, který infikuje integrované vývojové prostředí Xcode a aplikace jím vytvořené.
Infikování vývojového prostředí nebo kompilátoru považovaly za nebezpečí pouze vládní organizace s nejvyšším zabezpečením a myšlenka hrozby útoku proti soukromým počítačům tímto způsobem byla přinejmenším paranoidní. Tedy až donedávna.
Dvoufázové útoky pomocí aplikací infikovaných při vývoji se staly realitou v podnikové i soukromé sféře. Co radí bezpečnostní odborníci? Důsledně oddělit vývojová a provozní prostředí, zajistit, aby veškerý software pocházel z důvěryhodných zdrojů, zejména u open source kontrolovat autenticitu pomocí hash kódů a zacházet s vývojovými servery jako se systémy s vysokým zabezpečením, podobným jako u kryptografických strojů.
Zdroj: IDG News Service