Χρησιμοποιήθηκε μια ψεύτικη ενημέρωση CCleaner για να μολύνει χιλιάδες υπολογιστές μέσω μιας «επίθεσης αλυσίδας εφοδιασμού».
Την περασμένη εβδομάδα έγινε γνωστό ότι χιλιάδες πελάτες ASUS και τρεις άλλες άγνωστες εταιρείες είχαν λάβει κακόβουλο λογισμικό. Τουλάχιστον στην περίπτωση του ASUS ήταν μεταμφιεσμένη ως ενημερώσεις ασφαλείας. Αυτός ο τύπος επίθεσης είναι γνωστός ως "Επιθέσεις στην αλυσίδα διανομής. Είμαστε ασφαλείς οι χρήστες Linux;
Σύμφωνα με την εταιρεία ασφαλείας Kasperly, μια ομάδα εγκληματιών κατάφερε να θέσει σε κίνδυνο τον διακομιστή που χρησιμοποιεί το σύστημα ενημέρωσης ASUS. Αυτό τους επέτρεψε εγκατάσταση ενός αρχείου με κακόβουλο λογισμικό, αλλά υπογεγραμμένο με αυθεντικά ψηφιακά πιστοποιητικά. Οι πληροφορίες επιβεβαιώθηκαν επίσης από τη Symantec.
Τι είναι μια επίθεση αλυσίδας εφοδιασμού;
En Σε μια επίθεση στην αλυσίδα διανομής, το κακόβουλο λογισμικό εισάγεται κατά τη διαδικασία συναρμολόγησης υλικού. Μπορεί επίσης να συμβεί κατά τη διάρκεια την εγκατάσταση του λειτουργικού συστήματος ή τις επόμενες ενημερώσεις. Ας μην ξεχνάμε ούτε προγράμματα οδήγησης ή προγράμματα εγκατεστημένα αργότερα. Όπως δείχνει η περίπτωση του ASUS, η επαλήθευση της αυθεντικότητας με τη χρήση ψηφιακών πιστοποιητικών δεν φαίνεται να είναι επιτυχής.
Το 2017, το CCleaner, ένα δημοφιλές πρόγραμμα Windows, υπέστη επίθεση αλυσίδας διανομής. Μια ψεύτικη ενημέρωση μολύνει περισσότερους από δύο εκατομμύρια υπολογιστές.
Τύποι επιθέσεων στην αλυσίδα διανομής
Την ίδια χρονιά ήταν γνωστές τέσσερις άλλες παρόμοιες περιπτώσεις. Οι εγκληματίες διείσδυσαν στην υποδομή του διακομιστή για να διανείμουν ψεύτικες ενημερώσεις. Για τη διεξαγωγή αυτού του τύπου επίθεσης, ο εξοπλισμός ενός υπαλλήλου διακυβεύεται. Με αυτόν τον τρόπο μπορούν να έχουν πρόσβαση στο εσωτερικό δίκτυο και να αποκτήσουν τα απαραίτητα διαπιστευτήρια πρόσβασης. Εάν εργάζεστε σε εταιρεία λογισμικού, μην ανοίγετε αστείες παρουσιάσεις ή επισκεφθείτε ιστότοπους πορνό στην εργασία.
Αλλά αυτός δεν είναι ο μόνος τρόπος να το κάνουμε. Οι εισβολείς μπορούν να παρεμποδίσουν τη λήψη ενός αρχείου, να εισαγάγουν κακόβουλο κώδικα σε αυτό και να το στείλουν στον υπολογιστή προορισμού. Αυτό είναι γνωστό ως απαγόρευση της αλυσίδας εφοδιασμού. Εταιρείες που δεν χρησιμοποιούν κρυπτογραφημένα πρωτόκολλα όπως το HTTPS διευκολύνουν αυτούς τους τύπους επιθέσεων μέσω παραβιασμένων δικτύων και δρομολογητών Wi-Fi.
Στην περίπτωση εταιρειών που δεν λαμβάνουν σοβαρά μέτρα ασφαλείας, εγκληματίες μπορεί να έχει πρόσβαση σε διακομιστές λήψης. Ωστόσο, αρκεί να χρησιμοποιούνται ψηφιακά πιστοποιητικά και διαδικασίες επικύρωσης για την εξουδετέρωσή τους.
Μια άλλη πηγή κινδύνου είναι Προγράμματα που δεν λαμβάνουν ενημερώσεις ως ξεχωριστά αρχεία. Οι εφαρμογές φορτώνουν και εκτελούνται απευθείας στη μνήμη.
Κανένα πρόγραμμα δεν γράφεται από το μηδέν. Πολλές χρήσεις βιβλιοθήκες, πλαίσια και κιτ ανάπτυξης που παρέχονται από τρίτους. Σε περίπτωση παραβίασης οποιουδήποτε από αυτά, το πρόβλημα θα εξαπλωθεί στις εφαρμογές που το χρησιμοποιούν.
Αυτός ήταν ο τρόπος με τον οποίο δεσμευτήκατε σε 50 εφαρμογές από το κατάστημα εφαρμογών Google.
Άμυνα ενάντια στις "επιθέσεις στην αλυσίδα εφοδιασμού"
Αγοράσατε ποτέ ένα φθηνό tablet με Android; Πολλά από αυτά έρχονται με Προκατασκευασμένες κακόβουλες εφαρμογές στο υλικολογισμικό σας. Οι προεγκατεστημένες εφαρμογές έχουν συχνά δικαιώματα συστήματος και δεν μπορούν να απεγκατασταθούν. Τα antivirus για κινητά έχουν τα ίδια προνόμια με τις κανονικές εφαρμογές, οπότε δεν λειτουργούν.
Η συμβουλή είναι να μην αγοράσετε αυτόν τον τύπο υλικού, αν και μερικές φορές δεν έχετε επιλογή. Ένας άλλος πιθανός τρόπος είναι να εγκαταστήσετε το LineageOS ή κάποια άλλη παραλλαγή του Android, αν και κάτι τέτοιο απαιτεί ένα ορισμένο επίπεδο γνώσεων.
Η μόνη και καλύτερη άμυνα που έχουν οι χρήστες των Windows έναντι αυτού του τύπου επίθεσης είναι μια συσκευή υλικού. Ανάψτε κεριά στον άγιο που ασχολείται με τέτοια πράγματα και ζητάει προστασία.
Αυτό συμβαίνει κανένα λογισμικό προστασίας τελικών χρηστών δεν είναι σε θέση να αποτρέψει τέτοιες επιθέσεις. Είτε το τροποποιημένο υλικολογισμικό τους σαμποτάρει είτε η επίθεση γίνεται σε μνήμη RAM.
Είναι θέμα εμπιστεύονται τις εταιρείες να αναλάβουν την ευθύνη για μέτρα ασφαλείας.
Linux και η «επίθεση αλυσίδας εφοδιασμού»
Πριν από χρόνια πιστεύαμε ότι το Linux ήταν άτρωτο σε προβλήματα ασφαλείας. Τα τελευταία χρόνια έδειξαν ότι δεν είναι. Αν και είμαστε δίκαιοι, αυτά τα προβλήματα ασφάλειας εντοπίστηκαν και διορθώθηκαν πριν μπορέσουν να αξιοποιηθούν.
Αποθήκες λογισμικού
Στο Linux μπορούμε να εγκαταστήσουμε δύο τύπους λογισμικού: δωρεάν και ανοιχτού κώδικα ή ιδιόκτητο. Στην περίπτωση του πρώτου, ο κωδικός είναι ορατός σε οποιονδήποτε θέλει να τον ελέγξει. Αν και αυτή είναι μια πιο θεωρητική προστασία από την πραγματική, καθώς δεν υπάρχουν αρκετά άτομα διαθέσιμα με το χρόνο και τις γνώσεις για να αναθεωρήσουν όλο τον κώδικα.
Τι γίνεται αν αποτελεί καλύτερη προστασία είναι το σύστημα αποθετηρίου. Τα περισσότερα από τα προγράμματα που χρειάζεστε μπορούν να ληφθούν από τους διακομιστές κάθε διανομής. Υ Το περιεχόμενό του ελέγχεται προσεκτικά προτού επιτρέψετε τη λήψη.
Πολιτική ασφάλειας
Η χρήση ενός διαχειριστή πακέτων μαζί με τα επίσημα αποθετήρια μειώνει τον κίνδυνο εγκατάστασης κακόβουλου λογισμικού.
Μερικές διανομές αρέσουν Το Debian χρειάζεται πολύ χρόνο για να συμπεριλάβει ένα πρόγραμμα στον σταθερό κλάδο του. Στην περίπτωση του Ubuntu, εκτός από την κοινότητα ανοιχτού κώδικα, tΈχει προσλάβει υπαλλήλους που επαληθεύουν την ακεραιότητα κάθε πακέτου σύνολο. Πολύ λίγοι άνθρωποι φροντίζουν να δημοσιεύουν ενημερώσεις. Η διανομή κρυπτογραφεί πακέτα και Οι υπογραφές ελέγχονται τοπικά από το Κέντρο Λογισμικού κάθε εξοπλισμού πριν επιτρέψετε την εγκατάσταση.
Μια ενδιαφέρουσα προσέγγιση είναι αυτή του Κρότος! OS, το λειτουργικό σύστημα που βασίζεται σε Linux που περιλαμβάνεται στους φορητούς υπολογιστές System76.
Οι ενημερώσεις υλικολογισμικού παραδίδονται χρησιμοποιώντας έναν διακομιστή build, ο οποίος περιέχει το νέο υλικολογισμικό και έναν διακομιστή υπογραφής, ο οποίος επαληθεύει ότι το νέο υλικολογισμικό προέρχεται από την εταιρεία. Οι δύο διακομιστές συνδεθείτε μόνο μέσω σειριακού καλωδίου. Η έλλειψη δικτύου μεταξύ των δύο σημαίνει ότι δεν είναι δυνατή η πρόσβαση σε διακομιστή εάν η είσοδος πραγματοποιείται μέσω του άλλου διακομιστή
Το System76 διαμορφώνει πολλούς διακομιστές build μαζί με τον κύριο. Για να επαληθευτεί μια ενημέρωση υλικολογισμικού, πρέπει να είναι πανομοιότυπη σε όλους τους διακομιστές.
Σήμερα, γΌλο και περισσότερα προγράμματα διανέμονται σε αυτόνομες μορφές που ονομάζονται Flatpak και Snap. Από εαυτά τα προγράμματα δεν αλληλεπιδρούν με στοιχεία του συστήματος, μια κακόβουλη ενημέρωση δεν θα μπορεί να προκαλέσει βλάβη.
ΤΕΛΟΣ παντων, Ούτε το πιο ασφαλές λειτουργικό σύστημα δεν προστατεύεται από την απερισκεψία του χρήστη. Η εγκατάσταση προγραμμάτων από άγνωστες πηγές ή η εσφαλμένη διαμόρφωση των δικαιωμάτων μπορεί να προκαλέσει ακριβώς τα ίδια προβλήματα με τα Windows.