Està Linux fora de perill d'un «atac a la cadena de distribució»?

Diego Germán González

6 minuts

Captura de el programa CCleaner.

Una falsa actualització de CCleaner va ser usada per infectar milers d'ordinadors mitjançant un «atac a la cadena de distribució».

La setmana passada es va saber que milers de clients d'ASUS, i altres tres companyies no identificades, havien rebut malware. A el menys en el cas d'ASUS estaven disfressats d'actualitzacions de seguretat. Aquest tipus d'atacs és conegut com «Atacs a la cadena de distribució. ¿Estem els usuaris de Linux fora de perill?

Segons l'empresa de seguretat Kasperly, un grup de delinqüents va aconseguir comprometre el servidor utilitzat pel sistema d'actualitzacions de ASUS. Això els va permetre la instal·lació d'un arxiu amb malware, però signat amb certificats digitals autèntics. La informació també va ser confirmada per Symantec.

Què és un atac a la cadena de distribució?

En un atac a la cadena de distribució, el malware s'insereix durant el procés d'acoblament d'el maquinari. També pot ocórrer durant la instal·lació de sistema operatiu o actualitzacions posteriors. No oblidem tampoc a els drivers o programes instal·lats posteriorment. Com indica el cas d'ASUS, la comprovació d'autenticitat mitjançant certificats digitals sembla no donar resultat.

En 2017, CCleaner, un popular programa per a Windows, va patir un atac a la cadena de distribució. Mitjançant una falsa actualització es van infectar més de dos milions d'ordinadors.

Tipus d'atacs a la cadena de distribució

Aquest mateix any es van conèixer altres quatre casos similars. Els delinqüents es van infiltrar en la infraestructura de servidors per distribuir falses actualitzacions. Per realitzar aquest tipus d'atacs es compromet l'equip d'algun empleat. Així aconsegueixen accedir a la xarxa interna i obtenir les credencials d'accés necessàries. Si treballes en una empresa de programari no obris presentacions gracioses ni visites pàgines porno a la feina.

Però aquest no és l'única forma de fer-ho.  Els atacants poden interceptar la descàrrega d'un arxiu, inserir-codi maliciós i enviar-lo a l'equip de destinació. Això es coneix com interdicció de la cadena de distribució. Les empreses que no fan servir protocols xifrats com HTTPS faciliten aquest tipus d'atacs mitjançant xarxes Wi Fi i encaminadors compromesos.

En el cas d'empreses que no es prenguin seriosament les mesures de seguretat, els delinqüents poden accedir als servidors de descàrrega. No obstant això, només cal que es facin servir certificats digitals i procediments de validació per neutralitzar-los.

Un altre focus de perill són els programes que no descarreguen les actualitzacions com arxius independents.  Les aplicacions el carreguen i executen directament en la memòria.

Cap programa s'escriu des de zero. molts utilitzen llibreries, frameworks i kits de desenvolupament proveïts per tercers.  En cas que algun d'ells es vegi compromès, el problema s'estendrà a les aplicacions que l'utilitzin.

Aquesta va ser la forma en què es va comprometre a 50 aplicacions de la botiga d'aplicacions de Google.

Defenses contra els «atacs a la cadena de distribució»

Alguna vegada vas comprar XNUMX tablet barata amb Android? Moltes d'elles vénen amb aplicacions malicioses precarregades en el seu microprogramari. Les aplicacions preinstal·lades sovint tenen privilegis de sistema i no poden ser desinstal·lades. Els antivirus per a mòbils tenen els mateixos privilegis que les aplicacions normals, de manera que tampoc serveixen.

El consell és que no compris aquest tipus de maquinari, encara que de vegades no tens opció. Un altre camí possible és instal·lar-li LineageOS o alguna altra variant d'Android, encara que fer-ho requereix cert nivell de coneixements.

L'única i millor defensa que tenen els usuaris de Windows contra aquest tipus d'atac és un dispositiu de maquinari. Calar espelmes a el sant que s'ocupi d'aquest tipus de coses i demanar-li protecció.

passa que cap programari de protecció dedicat als usuaris finals està en condicions de prevenir aquest tipus d'atacs. O el firmware modificat els saboteja, o l'atac es fa a la RAM.

És qüestió de confiar que les empreses es facin responsables de les mesures de seguretat.

Linux i el «atac a la cadena de distribució»

Fa anys crèiem que Linux era invulnerable als problemes de seguretat. Els últims anys es va demostrar que no. Encara que sent justos, aquests problemes de seguretat van ser detectats i corregits abans que poguessin ser explotats.

Repositoris de programari

A Linux podem instal·lar dos tipus de programari: lliure i de codi obert o privatiu. En el cas de el primer, el codi està a la vista de qui vulgui revisar-lo. Tot i que aquesta és una protecció més teòrica que real atès que no hi ha les suficients persones disponibles amb el temps i els coneixements per revisar tot el codi.

El que si constitueix una millor protecció és el sistema de repositoris. La majoria dels programes que necessites els pots descarregar des dels servidors de cada distribució. I el seu contingut és curosament revisat abans de permetre la descàrrega.

Polítiques de seguretat

Gestor de paquets Synaptic

L'ús d'un gestor de paquets al costat dels repositoris oficials, redueix el risc d'instal·lar programari maliciós.

Algunes distribucions com Debian es prenen molt de temps per incloure un programa en la seva branca estable. En el cas de Ubuntu, A més de la comunitat de codi obert, té empleats rentados verificant la integritat de cada paquet agregat. Molt poques persones s'ocupen de publicar actualitzacions. La distribució xifra els paquets, i les signatures són comprovades localment pel Centre de Programari de cada equip abans de permetre la instal·lació.

Un enfocament interessant és el de Pop! OS, el sistema operatiu basat en Linux inclòs en els notebook de System76.

Les actualitzacions de firmware es lliuren utilitzant un servidor de compilació, que conté el nou firmware, i un servidor de signatura, que verifica que el nou firmware procedeix de l'interior de l'empresa. Els dos servidors només es connecten a través d'un cable sèrie. La manca d'una xarxa entre els dos vol dir que no es pot accedir a un servidor si l'entrada es realitza a través d'l'altre servidor

System76 configura diversos servidors de compilació juntament amb el principal. Perquè una actualització de firmware sigui verificada, ha de ser idèntica en tots els servidors.

Avui en dia, cada vegada més programes es distribueixen en formats autocontenidos anomenats Flatpak i Snap. Atès que isos programes no interactuen amb components de sistema, una actualització maliciosa no pot causar dany.

De tota manera, ni el sistema operatiu més segur està protegit de la imprudència dels usuaris. La instal·lació de programes d'origen desconegut, o una mala configuració de permisos pot causar exactament els mateixos problemes que en Windows.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.