Tuhandete arvutite nakatamiseks "tarneahela rünnaku" abil kasutati võltsitud CCleaneri värskendust.
Eelmisel nädalal sai sellest teada tuhanded ASUS-i kliendid ja veel kolm tuvastamata ettevõtet olid saanud pahavara. Vähemalt ASUS-i puhul nad olid varjatud turvavärskendustena. Seda tüüpi rünnakud on tuntud kui "Rünnakud turustusahelas. Kas me oleme Linuxi kasutajad ohutud?
Turvafirma Kasperly sõnul õnnestus kurjategijate grupil kompromiteerida ASUS-i värskendussüsteemi kasutatav server. See võimaldas neil faili installimine pahavaraga, kuid allkirjastatud autentsete digitaalsertifikaatidega. Infot kinnitas ka Symantec.
Mis on tarneahela rünnak?
En Jaotusketi rünnaku korral lisatakse pahavara riistvara komplekteerimise käigus. See võib ilmneda ka ajal operatsioonisüsteemi installimine või hilisemad värskendused. Ärgem unustagem ka kumbagi draiverid või hiljem installitud programmid. Nagu näitab ASUS-i juhtum, ei tundu digitaalsertifikaatide abil autentsuse kontrollimine õnnestunud.
2017. aastal kannatas populaarne Windowsi programm CCleaner turustusahela rünnakut. Võltsvärskendus nakatas enam kui kaks miljonit arvutit.
Rünnakute tüübid turustusahelas
Samal aastal oli teada veel neli sarnast juhtumit. Kurjategijad imbusid võltsitud värskenduste levitamiseks serveri infrastruktuuri. Seda tüüpi rünnakute läbiviimiseks on töötaja varustus rikutud. Nii saavad nad siseneda sisevõrku ja hankida vajalikud juurdepääsukirjad. Kui töötate tarkvarafirmas, ärge avage tööl naljakaid esitlusi ega külastage pornosaite.
Kuid see pole ainus viis seda teha. Ründajad saavad failide allalaadimise pealtkuulata, sisestada sinna pahatahtliku koodi ja saata selle sihtarvutisse. Seda tuntakse tarneahela keeluna. Ettevõtted, kes ei kasuta krüpteeritud protokolle, näiteks HTTPS, hõlbustavad seda tüüpi rünnakuid ohustatud WiFi-võrkude ja ruuterite kaudu.
Ettevõtete puhul, kes turvameetmeid tõsiselt ei võta, kurjategijad pääseb allalaadimisserveritele juurde. Siiski piisab sellest, kui nende neutraliseerimiseks kasutatakse digitaalseid sertifikaate ja valideerimisprotseduure.
Teine ohuallikas on Programmid, mis ei laadi värskendusi alla eraldi failidena. Rakendused laadivad ja käivitavad selle otse mällu.
Ühtegi programmi ei kirjutata nullist. Paljud kasutavad kolmandate osapoolte pakutavad raamatukogud, raamistikud ja arenduskomplektid. Juhul kui mõni neist on ohustatud, levib probleem rakendustesse, mis seda kasutavad.
Nii pühendusite Google'i rakenduste poest 50 rakendusele.
Kaitse "rünnakute vastu tarneahelale"
Kas ostsite kunagi a odav tahvelarvuti Androidiga? Paljud neist nad tulevad kaasa Teie püsivara on eelinstallitud pahatahtlikud rakendused. Eelinstallitud rakendustel on sageli süsteemiõigused ja neid ei saa desinstallida. Mobiilsetel viirusetõrjevahenditel on samad õigused kui tavalistel rakendustel, nii et need ei tööta ka.
Nõuanne on, et ärge ostke seda tüüpi riistvara, kuigi mõnikord pole teil valikut. Teine võimalik viis on installida LineageOS või mõni muu Androidi variant, kuigi see nõuab teatud teadmisi.
Ainus ja parim kaitse, mis Windowsi kasutajatel seda tüüpi rünnakute vastu on, on riistvaraseade. Süüta küünlad pühale, kes selliste asjadega tegeleb, ja palu kaitset.
See juhtub nii ükski lõppkasutaja kaitsetarkvara ei suuda selliseid rünnakuid ära hoida. Kas saboteerib muudetud püsivara või rünnak tehakse RAM-is.
See on küsimus usaldage ettevõtteid vastutama turvameetmete eest.
Linux ja "tarneahela rünnak"
Aastaid tagasi uskusime, et Linux on turvaprobleemide suhtes haavamatu. Viimased aastad on näidanud, et ei ole. Ehkki õiglane, need turvaprobleemid avastati ja parandati enne nende kasutamist.
Tarkvarahoidlad
Linuxis saame installida kahte tüüpi tarkvara: tasuta ja avatud lähtekoodiga või omandatud. Esimese puhul kood on nähtav kõigile, kes soovivad seda üle vaadata. Kuigi see on tegelikkusest rohkem teoreetiline kaitse, kuna kogu koodi ülevaatamiseks pole piisavalt aega ja teadmisi pakkuvaid inimesi.
Mis siis, kui see koosneb parem kaitse on hoidlate süsteem. Enamiku vajalikest programmidest saab alla laadida iga jaotuse serveritest. Y enne allalaadimise lubamist kontrollitakse selle sisu hoolikalt.
Julgeolekupoliitika
Pakettihalduri kasutamine koos ametlike hoidlatega vähendab pahatahtliku tarkvara installimise riski.
Mõnele jaotusele meeldib Debianil võtab programmi stabiilsesse harusse lisamine kaua aega. Puhul UbuntuLisaks avatud lähtekoodiga kogukonnale on tOn palganud töötajaid, kes kontrollivad iga paketi terviklikkust kokku. Värskenduste postitamise eest hoolitsevad väga vähesed inimesed. Levitamine krüpteerib paketid ja allkirju kontrollib tarkvarakeskus kohapeal enne paigaldamist.
Huvitav lähenemine on Pop! OS - Linuxi-põhine operatsioonisüsteem, mis kuulub System76 märkmikesse.
Püsivara värskendused tarnitakse ehituskomplekti abil, mis sisaldab uut püsivara, ja allkirjastamisserverit, mis kontrollib, kas uus püsivara tuleb ettevõtte seest. Kaks serverit ühendage ainult jadakaabli kaudu. Võrgu puudumine nende kahe vahel tähendab, et serverile ei pääse juurde, kui sisend tehakse teise serveri kaudu
System76 konfigureerib mitu peamist serverit. Püsivara värskenduse kinnitamiseks peab see kõigis serverites olema identne.
Täna, cÜha rohkem programme levitatakse iseseisvates vormingutes nimega Flatpak ja Snap. Kuna eneed programmid ei suhtle süsteemi komponentidega, pahatahtlik värskendus ei saa kahju tekitada.
Igatahes, isegi kõige turvalisem operatsioonisüsteem pole kasutaja hoolimatuse eest kaitstud. Tundmatu päritoluga programmide installimine või õiguste valesti seadistamine võib põhjustada täpselt samu probleeme nagu Windowsis.