Docker rende la rotazione dei container un gioco da ragazzi. Ma come fai a sapere se un container estratto da Docker Hub contiene backdoor o malware? L'iniziativa di Docker Verified Publisher affronta proprio questo problema.
La popolarità ti rende un bersaglio
I cybercriminali non amano altro che percorsi facili per le vittime’ macchine e, manco a dirlo, più siamo meglio è. Se un prodotto o una piattaforma diventa estremamente popolare, puoi scommettere che attirerà l'attenzione degli attori delle minacce che cercheranno di sfruttare quel successo a loro vantaggio.
Docker è un leader mondiale nella containerizzazione. Per molte persone, è il primo nome che viene in mente quando vengono menzionati i contenitori. I contenitori consentono agli sviluppatori di racchiudere un'applicazione e le sue dipendenze in un pacchetto autonomo chiamato immagine. Ciò semplifica la distribuzione del pacchetto perché tutto ciò che è necessario per eseguire l'applicazione è contenuto all'interno dell'immagine. Non ci sono mai dipendenze non soddisfatte, indipendentemente dalla macchina su cui è in esecuzione il contenitore.
I container possono essere pensati come macchine virtuali minimaliste. Se forniscono un'applicazione, non hanno bisogno di un sistema operativo all'interno del contenitore. Hanno solo bisogno delle dipendenze dell'applicazione. Ciò riduce le dimensioni delle immagini e aumenta le prestazioni quando il contenitore è in esecuzione. Il contenuto del contenitore viene eseguito sul sistema operativo del computer host, isolato da altri processi.
Poiché ci sono meno cose all'interno di un contenitore che richiedono risorse e potenza di calcolo rispetto a una macchina virtuale, possono essere eseguite su hardware più modesto. Ciò significa che puoi averne più in esecuzione su un singolo componente hardware, con buone prestazioni, rispetto alle macchine virtuali tradizionali. Anche i contenitori creati per fornire diverse distribuzioni Linux sono solo istantanee del filesystem della distribuzione. Vengono eseguiti utilizzando il kernel del computer host.
Gran parte della tecnologia e delle applicazioni all'interno dei container sono open source. Ciò significa che possono essere liberamente distribuiti e utilizzati da chiunque. I container Docker ti consentono di adottare la massima secondo cui i server dovrebbero essere trattati come bestiame, non come animali domestici. I vantaggi dei container non solo hanno guidato l'adozione diffusa dell'integrazione continua e della distribuzione continua (CI/CD), ma l'hanno anche resa possibile.
Mirantis ha acquistato Docker nel novembre del 2019. A quel tempo, Docker Enterprise era utilizzata dal 30% di Fortune 100 e dal 20% di Global 500. Oggi, Docker Hub offre 13 miliardi di download di container e di immagini strabilianti. #8212;al mese da quasi 8 milioni di repository.
Queste cifre sono troppo impressionanti per essere ignorate dai criminali informatici. Cosa potrebbe esserci di più semplice che creare immagini compromesse e dannose, caricarle su Docker Hub e aspettare che utenti ignari le scarichino e le utilizzino?
RELAZIONATO: Cosa fa Docker Cosa fare e quando dovresti usarlo?
Il problema delle immagini non sicure
C'è un problema intrinseco con l'estrazione di immagini da un repository e il loro utilizzo. Non sai se sono stati creati pensando alla sicurezza o se i componenti software all'interno del contenitore sono le versioni correnti e sono ancora nel loro ciclo di vita supportato. Hanno avuto tutte le correzioni di bug disponibili e le patch di sicurezza applicate? O peggio, contengono codice dannoso che è stato deliberatamente impiantato da autori di minacce?
Docker affronta un problema simile ad Apple e Google. Apple e Google devono cercare di controllare l'App Store e Google Play per app dannose. Docker sta adottando un approccio leggermente diverso. Docker rimuove le immagini del contenitore ritenute dannose. Fornisce inoltre uno schema di verifica per i publisher di contenitori.
In passato, Docker ha rimosso una raccolta di immagini caricate dall'account Docker docker123321. C'erano circa 17 container di questo singolo account che contenevano codice dannoso. Le immagini sono state offerte come contenitori innocenti che supportano app come Apache Tomcat e MySQL, ma in aggiunta, i contenitori ospitavano codice che forniva shell SSH inverse agli aggressori, consentendo loro di accedere ai contenitori ogni volta che lo desideravano.
Sono state trovate shell inverse Python e shell inverse Bash e un contenitore conteneva persino la chiave SSH dell'autore della minaccia. Questo ha dato loro l'accesso remoto senza la necessità di una password. Sono stati trovati altri contenitori per ospitare software di cryptomining. Ciò significava che i contenitori venivano crittografati in anticipo. L'ignaro utente pagherebbe per l'elettricità e perderebbe potenza di elaborazione per finanziare il cryptomining Monero del criminale informatico.
Questi attacchi sono una combinazione di cavalli di Troia e attacchi alla catena di approvvigionamento.
RELAZIONATO: Come la firma del software della Linux Foundation combatte gli attacchi alla supply chain
Il programma per editori verificati
Docker fornisce già una raccolta di immagini container note come Immagini ufficiali. Queste immagini sono un insieme curato di contenitori che sono stati esaminati da un team Docker dedicato.
Il team collabora con i manutentori a monte e i fornitori del software nei contenitori. Le immagini ufficiali sono esempi di best practice per container Docker, inclusa una documentazione chiara e l'applicazione di patch di sicurezza. Le immagini ufficiali di Docker sono state recentemente disponibili per un pubblico più ampio attraverso più repository.
L'iniziativa Verified Publisher fornisce l'accesso a contenuti Docker che si differenziano per la provenienza da fornitori noti, verificati e affidabili. Ci sono oltre 200 fornitori di software iscritti e ratificati dallo schema e i numeri stanno aumentando rapidamente. Le immagini di editori verificati possono essere utilizzate con grande fiducia in applicazioni e infrastrutture mission-critical.
I programmi Editore verificato e Immagini ufficiali sono schemi complementari. Molte delle immagini del contenitore fornite dagli editori verificati saranno anche immagini ufficiali. Una coppia di caselle di controllo nella pagina Docker Hub Explore ti consente di specificare che i risultati della ricerca devono includere immagini ufficiali, immagini fornite da editori verificati o entrambi.
Un'iniziativa di benvenuto
Gli attacchi SolarWinds e CodeCov hanno dimostrato quanto possano essere efficaci gli attacchi alla catena di approvvigionamento. Attaccare un punto centrale che poi compromette i consumatori a valle di prodotti e servizi è un metodo di distribuzione efficiente. I contenitori compromessi sono un modo perfetto per distribuire questo tipo di attacco. Si basa sulla convinzione che determinate fonti di informazioni e software siano intrinsecamente sicure e affidabili. E in generale, è così. Ma, come abbiamo visto, è un presupposto importante.
È fondamentale che le organizzazioni siano chiare sulla provenienza e l'integrità dei contenitori che prelevano dai repository. Le immagini ufficiali e gli editori verificati possono essere considerati una forma di certificazione che rende più facile sapere subito di cosa ci si può fidare.
Se rendi le immagini Docker che sono pubblicamente disponibili e pensi che diventare un Publisher verificato sarà vantaggioso per te, puoi iniziare il processo di applicazione per essere nello schema sulla pagina web di un Publisher verificato.
RELAZIONATO: Codecov Violato! Cosa fare ora se usi Codecov