Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Supply Chain Attacks: Når den digitale forsynin...

Supply Chain Attacks: Når den digitale forsyningslinja blir angrepsvektor

En fellesnevner fysiske og digitale produkter har, er at de begge er avhengige av en forsyningslinje. El-biler trenger kobolt fra Kongo, mens webapp'en trenger biblioteker fra npm.org eller NuGet. Etter hvert som digitale produkter vokser og blir mer avanserte, blir også forsyningslinja lengre. De siste årene har vi sett et økende antall sikkerhetshull og angrep rettet mot nettopp forsyningslinja. I denne talken skal vi se på hva en fysisk forsyningslinje har til felles med en digital en, og identifisere svakheter og gotcha's det er lurt å være klar over når man bygger digitale produkter: Fra biblioteknedlasning til kompilering, verktøy og distribusjon. Det blir eksempler fra virkeligheten hvor svakheter i forsyningslinja førte til innbrudd i store offentlige etater, bitcoins på avveie og hundrevis av timer nattesøvn mistet.

Andreas Mosti

March 10, 2022
Tweet

More Decks by Andreas Mosti

Other Decks in Technology

Transcript

  1. 60 top level packages 20 providers 78 top level packages

    32 providers 279 total packages 39 providers 3516 total packages ???? providers
  2. “In an Internet Security Threat Report, powered by Symantec, it

    is stated that supply chain attacks still continue to be a feature of the threat landscape, with an increase by 78 percent in 2018.”
  3. “None of the package hosting services can ever guarantee that

    all the code its users upload is malware-free”