Lažno ažuriranje CCleanera upotrijebljeno je za zarazu tisuća računala putem "napada na lanac opskrbe".
Prošli tjedan postalo je poznato da tisuće ASUS-ovih kupaca i tri druge neidentificirane tvrtke primile su zlonamjerni softver. Barem u slučaju ASUS-a jesu prerušen u sigurnosna ažuriranja. Ova vrsta napada poznata je kao "Napadi na distribucijski lanac. Jesmo li mi Linux korisnici sigurni?
Prema sigurnosnoj tvrtki Kasperly, skupina kriminalaca uspjela je ugroziti poslužitelj koji koristi sustav za ažuriranje ASUS-a. Ovo im je omogućilo instalacija datoteke sa zlonamjernim softverom, ali potpisana autentičnim digitalnim certifikatima. Informaciju je potvrdio i Symantec.
Što je napad na lanac opskrbe?
En U napadu na distribucijski lanac, zlonamjerni softver se ubacuje tijekom postupka sklapanja hardvera. Može se dogoditi i tijekom instalaciju operativnog sustava ili naknadna ažuriranja. Ne zaboravimo ni jedno ni drugo upravljački programi ili programi instalirani kasnije. Kao što slučaj ASUS pokazuje, provjera autentičnosti pomoću digitalnih certifikata ne čini se uspješnom.
2017. CCleaner, popularni Windows program, pretrpio je napad distribucijskog lanca. Lažno ažuriranje zarazilo je više od dva milijuna računala.
Vrste napada na distribucijski lanac
Iste godine bila su poznata još četiri slična slučaja. Kriminalci su se infiltrirali u poslužiteljsku infrastrukturu za distribuciju lažnih ažuriranja. Za izvođenje ove vrste napada ugrožena je oprema zaposlenika. Na taj način mogu pristupiti internoj mreži i dobiti potrebne vjerodajnice za pristup. Ako radite u softverskoj tvrtki, ne otvarajte smiješne prezentacije ili posjetite porno stranice na poslu.
Ali to nije jedini način da se to učini. Napadači mogu presresti preuzimanje datoteke, umetnuti u nju zlonamjeran kôd i poslati ga na ciljno računalo. To je poznato kao zabrana opskrbnog lanca. Tvrtke koje ne koriste šifrirane protokole poput HTTPS-a olakšavaju ove vrste napada putem ugroženih Wi-Fi mreža i usmjerivača.
U slučaju tvrtki koje sigurnosne mjere ne shvaćaju ozbiljno, kriminalci mogu pristupiti poslužiteljima za preuzimanje. Međutim, dovoljno je da se za njihovu neutralizaciju koriste digitalni certifikati i postupci provjere valjanosti.
Drugi izvor opasnosti su Programi koji ne preuzimaju ažuriranja kao zasebne datoteke. Aplikacije se učitavaju i pokreću izravno u memoriji.
Niti jedan program nije napisan ispočetka. Mnogi koriste knjižnice, okviri i razvojni paketi koje pružaju treće strane. U slučaju da je bilo koji od njih ugrožen, problem će se proširiti na aplikacije koje ga koriste.
To je način na koji ste se obvezali za 50 aplikacija iz Googleove trgovine aplikacija.
Obrana od "napada na opskrbni lanac"
Jeste li ikad kupili jeftini tablet s Androidom? Mnogi od njih dolaze s Zlonamjerne aplikacije unaprijed učitane u vaš firmware. Unaprijed instalirane aplikacije često imaju sistemske privilegije i ne mogu se deinstalirati. Mobilni antivirusni programi imaju iste privilegije kao i uobičajene aplikacije, pa ni oni ne rade.
Savjet je da ne kupujete ovu vrstu hardvera, iako ponekad nemate izbora. Drugi mogući način je instaliranje LineageOS-a ili neke druge inačice Androida, iako to zahtijeva određenu razinu znanja.
Jedina i najbolja obrana koju korisnici sustava Windows imaju od ove vrste napada je hardverski uređaj. Zapali svijeće svecu koji se bavi ovakvim stvarima i zatraži zaštitu.
Dogodi se to niti jedan softver za zaštitu krajnjeg korisnika nije u stanju spriječiti takve napade. Ili ih modificirani firmver sabotira, ili se napad vrši u RAM-u.
To je stvar vjerujte tvrtkama da preuzimaju odgovornost za sigurnosne mjere.
Linux i "napad na lanac opskrbe"
Prije mnogo godina vjerovali smo da je Linux neranjiv za sigurnosne probleme. Posljednjih nekoliko godina pokazalo je da nije. Iako je pošteno, ti su sigurnosni problemi otkriveni i ispravljeni prije nego što su ih mogli iskoristiti.
Spremišta softvera
U Linux možemo instalirati dvije vrste softvera: besplatni i otvoreni kod ili vlasnički. U slučaju prvog, kôd je vidljiv svima koji ga žele pregledati. Iako je ovo više teoretska zaštita nego stvarna, jer nema dovoljno ljudi na raspolaganju s vremenom i znanjem za pregled cijelog koda.
Što ako predstavlja bolja zaštita je sustav spremišta. Većinu programa koji su vam potrebni možete preuzeti s poslužitelja svake distribucije. Y njegov se sadržaj pažljivo provjerava prije dopuštanja preuzimanja.
Sigurnosna politika
Korištenje upravitelja paketa zajedno sa službenim spremištima smanjuje rizik od instaliranja zlonamjernog softvera.
Neke distribucije poput Debianu treba puno vremena da uključi program u svoju stabilnu granu. U slučaju Ubuntu, uz zajednicu otvorenog koda, tAngažirao je zaposlenike koji provjeravaju integritet svakog paketa agregat. Vrlo malo ljudi brine se o objavljivanju ažuriranja. Distribucija šifrira pakete i potpise lokalno provjerava Softverski centar svake opreme prije dopuštanja instalacije.
Zanimljiv je pristup Pop! OS, operativni sustav zasnovan na Linuxu uključen u prijenosnike System76.
Ažuriranja firmvera isporučuju se pomoću poslužitelja za izgradnju koji sadrži novi firmware i poslužitelja za potpisivanje koji potvrđuje da novi firmware dolazi iz tvrtke. Dva poslužitelja spajajte samo serijskim kabelom. Nedostatak mreže između njih dvoje znači da se serveru ne može pristupiti ako se unos vrši putem drugog poslužitelja
System76 konfigurira više poslužitelja za izgradnju zajedno s glavnim. Da bi se ažuriranje firmvera provjerilo, mora biti identično na svim poslužiteljima.
Danas je cSve više i više programa distribuira se u samostalnim formatima nazvanim Flatpak i Snap. Budući da je eti programi ne komuniciraju sa komponentama sustava, zlonamjerno ažuriranje neće moći nanijeti štetu.
U svakom slučaju, ni najsigurniji operativni sustav nije zaštićen od nepromišljenosti korisnika. Instaliranje programa iz nepoznatih izvora ili pogrešno konfiguriranje dozvola može uzrokovati potpuno iste probleme kao u sustavu Windows.