Er Linux sikkert fra et "Supply Chain Attack"?

I sidste uge blev det kendt tusinder af ASUS-kunder og tre andre uidentificerede virksomheder havde modtaget malware. I det mindste i tilfældet med ASUS var de det forklædt som sikkerhedsopdateringer. Denne type angreb er kendt som "Angreb på distributionskæden. Er vi Linux-brugere sikre?

Ifølge sikkerhedsfirmaet Kasperly formåede en gruppe kriminelle at kompromittere den server, der blev brugt af ASUS-opdateringssystemet. Dette tillod dem installation af en fil med malware, men underskrevet med autentiske digitale certifikater. Oplysningerne blev også bekræftet af Symantec.

Hvad er et supply chain-angreb?

En I et angreb på distributionskæden indsættes malware under hardware-samlingsprocessen. Det kan også forekomme under installation af operativsystemet eller efterfølgende opdateringer. Lad os heller ikke glemme det drivere eller programmer installeret senere. Som tilfældet med ASUS indikerer, synes verifikation af ægthed ved hjælp af digitale certifikater ikke at være en succes.

I 2017 led CCleaner, et populært Windows-program, et distributionskædeanfald. En falsk opdatering inficerede mere end to millioner computere.

Typer af angreb på distributionskæden

Samme år var fire andre lignende tilfælde kendt. Kriminelle infiltrerede serverinfrastrukturen for at distribuere falske opdateringer. For at udføre denne type angreb er udstyret til en medarbejder kompromitteret. På denne måde kan de få adgang til det interne netværk og få de nødvendige adgangsoplysninger. Hvis du arbejder i et softwarefirma, skal du ikke åbne sjove præsentationer eller besøge pornosider på arbejdspladsen.

Men det er ikke den eneste måde at gøre det på.  Angribere kan opfange en fildownload, indsætte ondsindet kode i den og sende den til målcomputeren. Dette er kendt som et forbud mod forsyningskæde. Virksomheder, der ikke bruger krypterede protokoller som HTTPS, letter disse typer angreb gennem kompromitterede Wi-Fi-netværk og routere.

I tilfælde af virksomheder, der ikke tager sikkerhedsforanstaltninger alvorligt, kriminelle kan få adgang til download-servere. Det er dog nok, at digitale certifikater og valideringsprocedurer bruges til at neutralisere dem.

En anden kilde til fare er Programmer, der ikke downloader opdateringer som separate filer.  Applikationer indlæser og kører det direkte i hukommelsen.

Intet program er skrevet fra bunden. Mange bruger biblioteker, rammer og udviklingssæt leveret af tredjeparter.  Hvis nogen af ​​dem er kompromitteret, spredes problemet til de applikationer, der bruger det.

Det var sådan, du forpligtede dig til 50 apps fra Google App Store.

Forsvar mod "angreb på forsyningskæden"

Har du nogensinde købt en billig tablet med Android? Mange af dem de kommer med Ondsindede applikationer forudindlæst i din firmware. Forudinstallerede applikationer har ofte systemrettigheder og kan ikke afinstalleres. Mobilt antivirus har de samme privilegier som normale applikationer, så de fungerer heller ikke.

Rådgivningen er, at du ikke køber denne type hardware, selvom du nogle gange ikke har et valg. En anden mulig måde er at installere LineageOS eller en anden variant af Android, selvom det kræver et visst niveau af viden.

Det eneste og bedste forsvar, som Windows-brugere har mod denne type angreb, er en hardwareenhed. Tænd lys til helgenen, der beskæftiger sig med denne slags ting, og bede om beskyttelse.

Det sker det ingen slutbrugerbeskyttelsessoftware er i stand til at forhindre sådanne angreb. Enten saboterer den modificerede firmware dem, eller så udføres angrebet i RAM.

Det er et spørgsmål om stole på virksomheder til at tage ansvar for sikkerhedsforanstaltninger.

Linux og "supply chain attack"

For mange år siden troede vi, at Linux var usårlig for sikkerhedsproblemer. De sidste par år har vist, at det ikke er tilfældet. Selvom han er retfærdig, Disse sikkerhedsproblemer blev opdaget og rettet, inden de kunne udnyttes.

Softwarelagre

I Linux kan vi installere to typer software: fri og open source eller proprietær. I tilfælde af den første, koden er synlig for alle, der ønsker at gennemgå den. Selv om dette er en mere teoretisk beskyttelse end reel, da der ikke er nok mennesker til rådighed med tiden og viden til at gennemgå al koden.

Hvad hvis det udgør bedre beskyttelse er arkivsystemet. De fleste af de programmer, du har brug for, kan downloades fra serverne i hver distribution. Y dens indhold kontrolleres omhyggeligt, før det tillades download.

Sikkerhedspolitik

Nogle distributioner som Debian tager lang tid at inkludere et program i sin stabile gren. I tilfælde af Ubuntu, ud over open source-samfundet, tHar ansat medarbejdere, der verificerer integriteten af ​​hver pakke samlet. Meget få mennesker tager sig af udstationering af opdateringer. Distributionen krypterer pakkerne og underskrifter kontrolleres lokalt af Software Center af hvert udstyr, inden installationen tillades.

En interessant tilgang er den af Pop! OS, det Linux-baserede operativsystem inkluderet i System76 notebooks.

Firmwareopdateringer leveres ved hjælp af en build-server, der indeholder den nye firmware, og en signeringsserver, der bekræfter, at den nye firmware kommer fra virksomheden. De to servere tilslut kun via serielt kabel. Manglen på et netværk mellem de to betyder, at der ikke er adgang til en server, hvis input foretages via den anden server

System76 konfigurerer flere build-servere sammen med den vigtigste. For at en firmwareopdatering skal verificeres, skal den være identisk på alle servere.

I dag, ca.Flere og flere programmer distribueres i selvstændige formater kaldet Flatpak og Snap. Da eDisse programmer interagerer ikke med systemkomponenter, en ondsindet opdatering kan ikke forårsage skade.

Alligevel, ikke engang det mest sikre operativsystem er beskyttet mod brugernes hensynsløshed. Installation af programmer fra ukendte kilder eller forkert konfiguration af tilladelser kan forårsage nøjagtigt de samme problemer som i Windows.