Ist Linux vor einem "Supply Chain Attack" sicher?

Diego Germán González

6 Minuten

Screenshot des CCleaner-Programms.

Ein gefälschtes CCleaner-Update wurde verwendet, um Tausende von Computern durch einen "Supply-Chain-Angriff" zu infizieren.

Letzte Woche wurde das bekannt Tausende von ASUS-Kunden und drei andere nicht identifizierte Unternehmen hatten Malware erhalten. Zumindest bei ASUS waren sie es als Sicherheitsupdates getarnt. Diese Art von Angriff ist bekannt als "Angriffe auf die Vertriebskette. Sind wir Linux-Benutzer sicher?

Laut der Sicherheitsfirma Kasperly gelang es einer Gruppe von Kriminellen, den vom ASUS-Update-System verwendeten Server zu kompromittieren. Dies erlaubte ihnen Installation einer Datei mit Malware, die jedoch mit authentischen digitalen Zertifikaten signiert ist. Die Informationen wurden auch von Symantec bestätigt.

Was ist ein Supply-Chain-Angriff?

En Bei einem Angriff auf die Vertriebskette wird die Malware während des Hardware-Montageprozesses eingefügt. Es kann auch während auftreten die Installation des Betriebssystems oder nachfolgende Updates. Vergessen wir auch nicht Treiber oder Programme später installiert. Wie der Fall von ASUS zeigt, scheint die Überprüfung der Authentizität mithilfe digitaler Zertifikate nicht erfolgreich zu sein.

Im Jahr 2017 erlitt CCleaner, ein beliebtes Windows-Programm, einen Angriff auf die Vertriebskette. Ein gefälschtes Update infizierte mehr als zwei Millionen Computer.

Arten von Angriffen auf die Vertriebskette

Im selben Jahr waren vier weitere ähnliche Fälle bekannt. Kriminelle infiltrierten die Serverinfrastruktur, um gefälschte Updates zu verbreiten. Um diese Art von Angriff auszuführen, wird die Ausrüstung eines Mitarbeiters kompromittiert. Auf diese Weise können sie auf das interne Netzwerk zugreifen und die erforderlichen Zugangsdaten erhalten. Wenn Sie in einem Softwareunternehmen arbeiten, öffnen Sie keine lustigen Präsentationen und besuchen Sie keine Pornoseiten bei der Arbeit.

Dies ist jedoch nicht der einzige Weg, dies zu tun.  Angreifer können einen Dateidownload abfangen, schädlichen Code einfügen und an den Zielcomputer senden. Dies wird als Lieferkettenverbot bezeichnet. Unternehmen, die keine verschlüsselten Protokolle wie HTTPS verwenden, ermöglichen diese Art von Angriffen durch kompromittierte Wi-Fi-Netzwerke und -Router.

Bei Unternehmen, die Sicherheitsmaßnahmen nicht ernst nehmen, Kriminelle kann auf Download-Server zugreifen. Es reicht jedoch aus, digitale Zertifikate und Validierungsverfahren zu verwenden, um sie zu neutralisieren.

Eine weitere Gefahrenquelle sind Programme, die Updates nicht als separate Dateien herunterladen.  Anwendungen laden und führen es direkt im Speicher aus.

Kein Programm wird von Grund auf neu geschrieben. Viele benutzen Bibliotheken, Frameworks und Entwicklungskits, die von Dritten bereitgestellt werden.  Falls einer von ihnen kompromittiert wird, wird sich das Problem auf die Anwendungen ausbreiten, die ihn verwenden.

Auf diese Weise haben Sie sich für 50 Apps aus dem Google App Store entschieden.

Abwehr gegen "Angriffe auf die Lieferkette"

Hast du jemals einen gekauft? billige Tablette mit Android? Viele von ihnen sie kommen mit In Ihrer Firmware vorinstallierte schädliche Anwendungen. Vorinstallierte Anwendungen verfügen häufig über Systemberechtigungen und können nicht deinstalliert werden. Mobile Antivirenprogramme haben dieselben Berechtigungen wie normale Anwendungen, daher funktionieren sie auch nicht.

Der Rat ist, diese Art von Hardware nicht zu kaufen, obwohl Sie manchmal keine Wahl haben. Eine andere Möglichkeit ist die Installation von LineageOS oder einer anderen Android-Variante, obwohl hierfür ein gewisses Maß an Wissen erforderlich ist.

Die einzige und beste Verteidigung, die Windows-Benutzer gegen diese Art von Angriff haben, ist ein Hardwaregerät. Zünde dem Heiligen Kerzen an, der sich mit solchen Dingen befasst und um Schutz bittet.

Es passiert das Keine Endbenutzerschutzsoftware ist in der Lage, solche Angriffe zu verhindern. Entweder sabotiert die modifizierte Firmware sie oder der Angriff erfolgt im RAM.

Es ist eine Frage von Vertrauen Sie darauf, dass Unternehmen die Verantwortung für Sicherheitsmaßnahmen übernehmen.

Linux und der "Supply Chain Attack"

Vor Jahren glaubten wir, dass Linux für Sicherheitsprobleme unverwundbar ist. Die letzten Jahre haben gezeigt, dass dies nicht der Fall ist. Obwohl fair, Diese Sicherheitsprobleme wurden erkannt und behoben, bevor sie ausgenutzt werden konnten.

Software-Repositorys

Unter Linux können wir zwei Arten von Software installieren: Free und Open Source oder proprietär. Im Fall des ersten, Der Code ist für jeden sichtbar, der ihn überprüfen möchte. Dies ist zwar ein eher theoretischer als realer Schutz, da nicht genügend Personen mit der Zeit und dem Wissen zur Verfügung stehen, um den gesamten Code zu überprüfen.

Was ist, wenn es konstituiert Besserer Schutz ist das Repository-System. Die meisten der benötigten Programme können von den Servern jeder Distribution heruntergeladen werden. Y. Der Inhalt wird sorgfältig geprüft, bevor der Download zugelassen wird.

Sicherheitspolitik

Synaptischer Paketmanager

Die Verwendung eines Paketmanagers neben offiziellen Repositorys verringert das Risiko der Installation schädlicher Software.

Einige Distributionen mögen Debian braucht lange, um ein Programm in seinen stabilen Zweig aufzunehmen. Bei Ubuntu, zusätzlich zur Open-Source-Community, tHat Mitarbeiter eingestellt, die die Integrität jedes Pakets überprüfen Aggregat. Sehr wenige Leute kümmern sich um das Posten von Updates. Die Verteilung verschlüsselt Pakete und Signaturen werden lokal vom Software Center geprüft jedes Geräts, bevor die Installation zugelassen wird.

Ein interessanter Ansatz ist der von Pop! OS, das Linux-basierte Betriebssystem, das in den System76-Notebooks enthalten ist.

Firmware-Updates werden mithilfe eines Build-Servers bereitgestellt, der die neue Firmware enthält, und eines Signaturservers, der überprüft, ob die neue Firmware aus dem Unternehmen stammt. Die zwei Server Nur über serielles Kabel anschließen. Das Fehlen eines Netzwerks zwischen den beiden bedeutet, dass auf einen Server nicht zugegriffen werden kann, wenn die Eingabe über den anderen Server erfolgt

System76 konfiguriert mehrere Build-Server zusammen mit dem Hauptserver. Damit ein Firmware-Update überprüft werden kann, muss es auf allen Servern identisch sein.

Heute cImmer mehr Programme werden in eigenständigen Formaten namens Flatpak und Snap verteilt. Da eDiese Programme interagieren nicht mit Systemkomponenten. Ein böswilliges Update kann keinen Schaden anrichten.

Wie auch immer, Nicht einmal das sicherste Betriebssystem ist vor Rücksichtslosigkeit der Benutzer geschützt. Das Installieren von Programmen unbekannter Herkunft oder die falsche Konfiguration von Berechtigungen kann genau dieselben Probleme verursachen wie unter Windows.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.