GitHub, il bazar dei tool (e delle minacce) - Contenuto riservato n. 040

Newsletter premium: approfondimenti, laboratori pratici con vari livelli di difficoltà e tool da inserire nella propria cassetta degli attrezzi informatici.

Ciao a tutti e benvenuti in questa nuova edizione della newsletter premium!

Ecco i temi di cui parleremo oggi:

1. La minaccia della settimana 🕵️

   Github: cos’è e come viene usato (a volte male)

2. Reparto esperimenti 🔬

   Tre laboratori pratici con livelli crescenti di difficoltà. Riuscirai a completarli entrambi?

3. La svolta ✨

   Il tool che (forse) non conoscevi per migliorare la tua sicurezza a partire da oggi.

Iniziamo! 🚀

---

🕵️ La minaccia della settimana

Github: cos’è e come viene usato (a volte male)

Di GitHub penso che ormai tutti, bene o male, abbiamo sentito parlare: è una piattaforma online dove milioni di sviluppatori pubblicano il proprio codice (dentro a delle cartelle chiamate “repository”) e lo condividono con il mondo. Possiamo immaginarlo come una specie di Google Drive pubblico per il software: chiunque può caricare un progetto, renderlo accessibile a tutti e così permettere ad altri di scaricarlo, modificarlo, contribuire. È il posto dove nascono e vivono la maggior parte dei programmi open source che usiamo ogni giorno, da strumenti di sistema a librerie che finiscono dentro le app sul nostro telefono. Firefox, Linux, Visual Studio Code: tutti hanno il loro codice su GitHub. È anche il posto dove i ricercatori di sicurezza pubblicano tool per analizzare reti e cercare vulnerabilità. In altre parole, è un ecosistema enorme, aperto, e (ed è qui che arriva il problema) completamente privo di moderazione editoriale.

Perché dico che è un problema? Perché quando uno sviluppatore (esperto o alle prime armi, non importa) si trova davanti a un problema da risolvere, spesso finisce proprio su GitHub, dove può trovare repository che sembrano perfetti per risolvere la questione. Lo clona, lo esegue, lo implementa in azienda e finisce lì… giusto?

Non sempre.

GitHub, come dicevo, non ha una moderazione vera e propria: l’affidabilità di un codice si capisce dal comportamento della community. Le stelle sono come "mi piace": gli utenti le assegnano ai progetti che trovano utili, e un numero alto viene letto come un segnale di qualità. I fork sono le copie che altri sviluppatori fanno di un progetto per modificarlo o studiarlo: più fork ci sono, più sappiamo che il codice è stato esaminato da occhi diversi. I contributori sono le persone che hanno partecipato allo sviluppo, aggiungendo codice o correggendo bug. Tre metriche che, insieme, danno l'impressione di un progetto solido e seguito.

Ok, quindi basta affidarsi solo ai progetti che hanno tanti contributori, fork e stelle, no?

Purtroppo, queste tre metriche sono facili da falsificare.

Esistono servizi, illegali ma facilmente raggiungibili, che vendono stelle GitHub a pacchetti. Un repository creato ieri può sembrare sicuro e consolidato domani, se qualcuno ha voglia di investirci qualche decina di euro. Anche i contributori e i fork sono semplici da simulare, basta creare più account e lavorarci un attimo ed ecco che il progetto sembra solidissimo.

Inoltre c’è il problema del typosquatting, che si ha quando troviamo repository con nomi quasi identici a tool famosi, che contano sull’errore di battitura o sulla distrazione. Cerchiamo “nmap-scanner-tool” e troviamo cinque risultati. Quale è quello originale? Non è sempre ovvio.

La categoria più pericolosa, però, è quella degli strumenti travestiti. GitHub ospita moltissimi tool di sicurezza offensiva legittimi, come scanner di vulnerabilità, tool per i penetration testing etc, che sono preziosi per ricercatori e professionisti. Ma accanto a quelli legittimi ce ne sono altri che si presentano come tool di ethical hacking e nascondono invece veri e propri malware.

Quando poi ci spostiamo dentro alle aziende, la situazione peggiora ancora. Un singolo sviluppatore che aggiunge una dipendenza da un pacchetto GitHub senza verificarla può introdurre codice malevolo direttamente nei software prodotti dall’azienda. È così che spesso si verificano gli attacchi alla supply chain del software, quelli che negli ultimi anni hanno colpito anche realtà molto strutturate.

Insomma: Github è croce e delizia. Nei laboratori vedremo come tenere solo il bello e lasciare fuori i malintenzionati 😎