Docker gör det lättare att snurra containrar. Men hur vet du om en container från Docker Hub innehåller bakdörrar eller skadlig kod? Docker: s Verifierade utgivarinitiativ tar itu med detta mycket bekymmer.
Popularitet gör dig till ett mål
Cyberbrottslingar gillar inget annat än enkla vägar till offren & # 8217; maskiner och, naturligtvis, ju mer desto bättre. Om en produkt eller plattform blir enormt populär kan du satsa på att den fångar uppmärksamheten hos hotaktörerna som kommer att försöka utnyttja den framgången till deras fördel.
Docker är världsledande inom containerisering. För många är det förnamnet som kommer att tänka på när containrar nämns. Behållare gör det möjligt för utvecklare att lägga in ett program och dess beroenden i ett fristående paket som kallas en bild. Detta gör distributionen av paketet enklare eftersom allt som krävs för att köra programmet finns i bilden. Det finns aldrig ouppfyllda beroenden, oavsett vilken maskin containern körs på.
Behållare kan betraktas som minimalistiska virtuella maskiner. Om de tillhandahåller en ansökan behöver de inte ett operativsystem inuti containern. De behöver bara applikationens beroenden. Detta minskar storleken på bilderna och ger prestandaförbättringar när containern är igång. Innehållet i behållaren körs på värddatorns operativsystem, isolerat från andra processer.
Eftersom det finns färre saker i en container som kräver resurser och beräkningskraft jämfört med en virtuell maskin, kan de köras på mer blygsam hårdvara. Det betyder att du kan ha fler av dem som körs på en enda hårdvara med bra prestanda än vad du kan på traditionella virtuella maskiner. Även behållare som är byggda för att ge olika Linux-distributioner är bara filsystem snapshots av distributionen. De körs med hjälp av kärnan på värddatorn.
Mycket av tekniken och applikationerna i containrar är öppen källkod. Detta innebär att de kan distribueras fritt och användas av vem som helst. Docker-behållare låter dig anta maximalt att servrar ska behandlas som boskap, inte husdjur. Fördelarna med behållare har inte bara drivit den utbredda antagandet av kontinuerlig integration och kontinuerlig distribution (CI/CD), de har också aktiverat det.
Mirantis köpte Docker i november 2019. Vid den tiden användes Docker Enterprise av 30% av Fortune 100 och 20% av Global 500. Idag tjänar Docker Hub en imponerande 13 miljarder bilddrag & # 8212; containernedladdningar & # 8212; per månad från nästan 8 miljoner arkiv.
Dessa siffror är alldeles för imponerande för att cyberbrottslingar ska kunna ignoreras. Vad kan vara enklare än att skapa komprometterade och skadliga bilder, ladda upp dem till Docker Hub och vänta på intet ont anande användare att ladda ner och använda dem?
RELATERAD: Vad gör Docker Gör och när ska du använda det?
Problemet med osäkra bilder
Det finns ett inneboende problem med att dra bilder från ett arkiv och använda dem. Du vet inte om de har skapats med säkerhet i åtanke, eller om mjukvarukomponenterna i behållaren är de aktuella versionerna och fortfarande inom deras stödda livscykel. Har de alla tillgängliga buggfixar och säkerhetsuppdateringar tillämpats på dem? Eller värre, innehåller de skadlig kod som medvetet har planterats av hotaktörer?
Docker står inför ett liknande problem som Apple och Google. Apple och Google måste försöka polisera App Store och Google Play för skadliga appar. Docker tar ett något annat tillvägagångssätt. Docker tar bort behållarbilder som visar sig vara skadliga. Det ger också ett verifieringsschema för containerutgivare.
Tidigare tog Docker bort en samling bilder som laddades upp av Docker-kontot docker123321. Det fanns 17 eller så containrar från detta enda konto som innehöll skadlig kod. Bilderna erbjöds som oskyldiga behållare som stöder appar som Apache Tomcat och MySQL, men dessutom innehöll behållarna kod som gav omvända SSH-skal till angriparna, så att de kunde komma åt behållarna när det passade dem. >Python-omvända skal och Bash-omvända skal hittades, och en behållare innehöll till och med hotaktörens SSH-nyckel. Detta gav dem fjärråtkomst utan att behöva lösenord. Andra containrar hittades vara värd för kryptomining-programvara. Detta innebar att containrarna kryptojackades i förväg. Den intet ont anande användaren skulle betala för elen och förlora processorkraft för att finansiera cyberbrotts Monero-kryptomining.
Dessa attacker är en blandning av trojanska häst- och försörjningskedjanattacker.
RELATERAD: Hur Linux Foundations programvarusignering bekämpar attacker från leverantörskedjor
Det verifierade utgivarprogrammet
Docker tillhandahåller redan en samling containerbilder som kallas Official Images. Dessa bilder är en samlad uppsättning containrar som har granskats av ett dedikerat Docker-team.
Teamet samarbetar med uppströms underhållare och leverantörer av programvaran i behållarna. De officiella bilderna är exempel på bästa metoder för Docker-containrar, inklusive tydlig dokumentation och tillämpning av säkerhetsuppdateringar. Docker Official Images har nyligen varit tillgängliga för en bredare publik genom fler arkiv.
Initiativet Verified Publisher ger åtkomst till Docker-innehåll som differentieras genom att komma från kända, verifierade och betrodda leverantörer. Det finns över 200 programvaruleverantörer som registrerats och ratificerats av systemet, och siffrorna ökar snabbt. Bilder från verifierade utgivare kan användas med stort förtroende för verksamhetskritiska applikationer och infrastruktur.
Programmet Verified Publisher och Official Images är kompletterande system. Många av containerbilderna som tillhandahålls av Verified Publishers kommer också att vara officiella bilder. Med ett par kryssrutor på Docker Hub Explore-sidan kan du ange att sökresultaten är begränsade till att inkludera officiella bilder, bilder från Verified Publishers eller båda.
Ett välkomstinitiativ
SolarWinds och CodeCov-attackerna har visat hur effektiva supply chain-attacker kan vara. Att attackera en central punkt som sedan kompromissar nedströms konsumenter av produkter och tjänster är en effektiv distributionsmetod. Komprometterade behållare är ett perfekt sätt att distribuera denna typ av attack. Det spelar på tron att vissa källor till information och programvara är i sig säkra och kan lita på. Och i allmänhet är det så. Men som vi har sett är det ett stort antagande.
Det är viktigt att organisationer är klara om behållarens härkomst och integritet som de drar tillbaka från förvar. Officiella bilder och verifierade utgivare kan ses som en form av certifiering som gör det lättare att veta vad man kan lita på direkt ur lådan.
Om du gör Docker-bilder som är offentligt tillgängliga och du tror att det blir en fördel för dig att bli en verifierad utgivare, du kan starta processen att ansöka om att vara med i systemet på den verifierade utgivarens webbsida.
RELATERAD: Codecov Hackat! Vad du ska göra nu om du använder Codecov