Mit Docker wird das Hochfahren von Containern zum Kinderspiel. Aber woher wissen Sie, ob ein aus Docker Hub gezogener Container Backdoors oder Malware enthält? Die Verified Publisher-Initiative von Docker geht genau dieses Problem an.
Popularity macht Sie zum Ziel
Cyberkriminelle mögen nichts anderes als einfache Wege zu den Opfern’ Maschinen und natürlich je mehr, desto besser. Wenn ein Produkt oder eine Plattform sehr beliebt wird, können Sie darauf wetten, dass sie die Aufmerksamkeit der Bedrohungsakteure auf sich zieht, die versuchen werden, diesen Erfolg zu ihrem Vorteil zu nutzen.
Docker ist weltweit führend in der Containerisierung. Für viele Leute ist es der erste Name, der einem in den Sinn kommt, wenn Container erwähnt werden. Container ermöglichen es Entwicklern, eine Anwendung und ihre Abhängigkeiten in ein eigenständiges Paket namens Image einzuschließen. Dies erleichtert die Verteilung des Pakets, da alles, was zum Ausführen der Anwendung erforderlich ist, im Image enthalten ist. Es gibt nie unerfüllte Abhängigkeiten, unabhängig davon, auf welcher Maschine der Container ausgeführt wird.
Container kann man sich als minimalistische virtuelle Maschinen vorstellen. Wenn sie eine Anwendung bereitstellen, benötigen sie kein Betriebssystem im Container. Sie benötigen lediglich die Abhängigkeiten der Anwendung. Dadurch wird die Größe der Bilder reduziert und die Leistung erhöht, wenn der Container ausgeführt wird. Der Inhalt des Containers läuft auf dem Betriebssystem des Host-Computers, isoliert von anderen Prozessen.
Da im Vergleich zu einer virtuellen Maschine weniger Dinge in einem Container benötigt werden, die Ressourcen und Rechenleistung erfordern, können sie auf bescheidenerer Hardware ausgeführt werden. Das bedeutet, dass Sie mehr davon mit guter Leistung auf einer einzigen Hardware ausführen können als auf herkömmlichen virtuellen Maschinen. Sogar Container, die für die Bereitstellung verschiedener Linux-Distributionen erstellt wurden, sind nur Dateisystem-Snapshots der Distribution. Sie werden mit dem Kernel des Host-Computers ausgeführt.
Viele der Technologien und Anwendungen in Containern sind Open Source. Das bedeutet, dass sie von jedem frei verteilt und verwendet werden können. Docker-Container ermöglichen es Ihnen, die Maxime zu übernehmen, dass Server wie Vieh und nicht wie Haustiere behandelt werden sollten. Die Vorteile von Containern haben nicht nur die breite Akzeptanz von Continuous Integration und Continuous Deployment (CI/CD) vorangetrieben, sondern auch ermöglicht.
Mirantis kaufte Docker im November 2019. Damals wurde Docker Enterprise von 30 % der Fortune 100 und 20 % der Global 500 genutzt. Heute bedient der Docker Hub überwältigende 13 Milliarden Image-Pulls & #8212;Container-Downloads& #8212;pro Monat aus fast 8 Millionen Repositorys.
Diese Zahlen sind viel zu beeindruckend, als dass Cyberkriminelle sie ignorieren könnten. Was könnte einfacher sein, als kompromittierte und bösartige Images zu erstellen, sie auf Docker Hub hochzuladen und darauf zu warten, dass ahnungslose Benutzer sie herunterladen und verwenden?
VERWANDTE: Was bringt Docker .? Tun und wann sollten Sie es verwenden?
Das Problem mit unsicheren Bildern
Es gibt ein inhärentes Problem beim Abrufen von Bildern aus einem Repository und deren Verwendung. Sie wissen nicht, ob sie unter Berücksichtigung der Sicherheit erstellt wurden oder ob die Softwarekomponenten im Container die aktuellen Versionen sind und sich noch innerhalb ihres unterstützten Lebenszyklus befinden. Wurden alle verfügbaren Fehlerkorrekturen und Sicherheitspatches auf sie angewendet? Oder noch schlimmer, enthalten sie bösartigen Code, der absichtlich von Bedrohungsakteuren eingeschleust wurde?
Docker steht vor einem ähnlichen Problem wie Apple und Google. Apple und Google müssen versuchen, den App Store und Google Play auf bösartige Apps zu überwachen. Docker verfolgt einen etwas anderen Ansatz. Docker entfernt Container-Images, die sich als bösartig erweisen. Es bietet auch ein Überprüfungsschema für Container-Publisher.
In der Vergangenheit hat Docker eine Sammlung von Bildern entfernt, die vom Docker-Konto docker123321 hochgeladen wurden. Es gab ungefähr 17 Container von diesem einzelnen Konto, die bösartigen Code enthielten. Die Images wurden als unschuldige Container angeboten, die Apps wie Apache Tomcat und MySQL unterstützten, aber zusätzlich enthielten die Container Code, der den Angreifern Reverse-SSH-Shells zur Verfügung stellte, sodass sie jederzeit auf die Container zugreifen konnten.
Python-Reverse-Shells und Bash-Reverse-Shells wurden gefunden, und ein Container enthielt sogar den SSH-Schlüssel des Bedrohungsakteurs. Dies ermöglichte ihnen den Fernzugriff, ohne dass ein Passwort erforderlich war. Andere Container wurden gefunden, um Kryptomining-Software zu hosten. Dies bedeutete, dass die Container im Voraus Krypto-jacked wurden. Der ahnungslose Benutzer würde für den Strom bezahlen und Rechenleistung verlieren, um das Monero-Kryptomining des Cyberkriminellen zu finanzieren.
Diese Angriffe sind eine Mischung aus Trojanischen Pferden und Lieferkettenangriffen.
VERWANDTE: Wie die Software-Signierung der Linux Foundation Angriffe auf die Lieferkette bekämpft
Das Verified Publisher-Programm
Docker bietet bereits eine Sammlung von Container-Images, die als offizielle Images bekannt sind. Diese Images sind ein kuratierter Satz von Containern, die von einem dedizierten Docker-Team überprüft wurden.
Das Team arbeitet mit den vorgelagerten Betreuern und Anbietern der Software in den Containern zusammen. Die offiziellen Images sind Beispiele für Best Practices für Docker-Container, einschließlich einer klaren Dokumentation und der Anwendung von Sicherheitspatches. Offizielle Docker-Images sind seit kurzem über mehr Repositorys einem breiteren Publikum zugänglich.
Die Initiative “Verified Publisher” bietet Zugriff auf Docker-Inhalte, die sich dadurch unterscheiden, dass sie von bekannten, bestätigten und vertrauenswürdigen Anbietern stammen. Es gibt über 200 Softwareanbieter, die sich für das Programm angemeldet und ratifiziert haben, und die Zahl steigt schnell. Bilder von verifizierten Herausgebern können mit hohem Vertrauen in geschäftskritische Anwendungen und Infrastruktur verwendet werden.
Die Programme Verified Publisher und Official Images sind komplementäre Programme. Viele der Container-Images, die von verifizierten Publishern bereitgestellt werden, sind auch offizielle Images. Mithilfe von Kontrollkästchen auf der Erkundungsseite von Docker Hub können Sie festlegen, dass die Suchergebnisse auf offizielle Bilder, Bilder von verifizierten Publishern oder beides beschränkt sind.
Eine Willkommensinitiative
Die Angriffe von SolarWinds und CodeCov haben gezeigt, wie effektiv Supply-Chain-Angriffe sein können. Der Angriff auf einen zentralen Punkt, der dann nachgeschaltete Verbraucher von Produkten und Dienstleistungen kompromittiert, ist eine effiziente Vertriebsmethode. Kompromittierte Container sind eine perfekte Möglichkeit, diese Art von Angriffen zu verteilen. Es basiert auf der Überzeugung, dass bestimmte Informationsquellen und Software von Natur aus sicher und vertrauenswürdig sind. Und im Allgemeinen ist das der Fall. Aber wie wir gesehen haben, ist dies eine große Annahme.
Es ist wichtig, dass Unternehmen sich über die Herkunft und Integrität der Container, die sie aus Repositorys zurückziehen, im Klaren sind. Offizielle Images und verifizierte Herausgeber können als eine Form der Zertifizierung angesehen werden, die es einfacher macht, sofort zu wissen, was vertrauenswürdig ist.
Wenn Sie Docker-Images erstellen, die öffentlich verfügbar sind, und Sie denken dass es für Sie von Vorteil ist, ein bestätigter Publisher zu werden, können Sie auf der Webseite des bestätigten Publishers mit dem Bewerbungsprozess für das Programm beginnen.
VERWANDTE: Codecov Gehackt! Was jetzt zu tun ist, wenn Sie Codecov verwenden