Linux è al sicuro da un "attacco alla catena di approvvigionamento"?

Diego Germán González

6 minuti

Screenshot del programma CCleaner.

Un falso aggiornamento CCleaner è stato utilizzato per infettare migliaia di computer attraverso un "attacco alla catena di approvvigionamento".

La scorsa settimana si è saputo che migliaia di clienti ASUS e altre tre società non identificate avevano ricevuto malware. Almeno nel caso di ASUS lo erano camuffato da aggiornamenti di sicurezza. Questo tipo di attacco è noto come "Attacchi alla catena di distribuzione. Siamo utenti Linux al sicuro?

Secondo la società di sicurezza Kasperly, un gruppo di criminali è riuscito a compromettere il server utilizzato dal sistema di aggiornamento ASUS. Questo glielo ha permesso installazione di un file con malware, ma firmato con certificati digitali autentici. L'informazione è stata confermata anche da Symantec.

Cos'è un attacco alla catena di approvvigionamento?

En In un attacco alla catena di distribuzione, il malware viene inserito durante il processo di assemblaggio dell'hardware. Può anche verificarsi durante l'installazione del sistema operativo o successivi aggiornamenti. Non dimentichiamolo neanche driver o programmi installati successivamente. Come indica il caso di ASUS, la verifica dell'autenticità utilizzando i certificati digitali non sembra avere successo.

Nel 2017 CCleaner, un popolare programma Windows, ha subito un attacco alla catena di distribuzione. Un falso aggiornamento ha infettato più di due milioni di computer.

Tipi di attacchi alla catena di distribuzione

Nello stesso anno si conoscevano altri quattro casi simili. I criminali si sono infiltrati nell'infrastruttura del server per distribuire falsi aggiornamenti. Per eseguire questo tipo di attacco, l'equipaggiamento di un dipendente è compromesso. In questo modo possono accedere alla rete interna e ottenere le necessarie credenziali di accesso. Se lavori in una società di software, non aprire presentazioni divertenti o visitare siti porno al lavoro.

Ma questo non è l'unico modo per farlo.  Gli aggressori possono intercettare il download di un file, inserirvi codice dannoso e inviarlo al computer di destinazione. Questo è noto come divieto della catena di approvvigionamento. Le aziende che non utilizzano protocolli crittografati come HTTPS facilitano questi tipi di attacchi attraverso reti Wi-Fi e router compromessi.

Nel caso di aziende che non prendono sul serio le misure di sicurezza, i criminali può accedere ai server di download. Tuttavia, è sufficiente che vengano utilizzati certificati digitali e procedure di convalida per neutralizzarli.

Un'altra fonte di pericolo sono Programmi che non scaricano gli aggiornamenti come file separati.  Viene caricato ed eseguito direttamente dalle applicazioni in memoria.

Nessun programma viene scritto da zero. Molti usano librerie, framework e kit di sviluppo forniti da terze parti.  Nel caso in cui qualcuno di essi venga compromesso, il problema si estenderà alle applicazioni che lo utilizzano.

Questo è il modo in cui ti sei impegnato a 50 app dall'app store di Google.

Difese contro "attacchi alla filiera"

Hai mai acquistato un file tablet economico con Android? Molti di loro vengono con Applicazioni dannose precaricate nel firmware. Le applicazioni preinstallate spesso hanno privilegi di sistema e non possono essere disinstallate. Gli antivirus mobili hanno gli stessi privilegi delle normali applicazioni, quindi non funzionano neanche.

Il consiglio è di non acquistare questo tipo di hardware, anche se a volte non hai scelta. Un altro modo possibile è installare LineageOS o qualche altra variante di Android, sebbene ciò richieda un certo livello di conoscenza.

L'unica e migliore difesa che gli utenti Windows hanno contro questo tipo di attacco è un dispositivo hardware. Accendi candele al santo che si occupa di questo genere di cose e chiedi protezione.

Succede quello nessun software di protezione dell'utente finale è in grado di prevenire tali attacchi. O il firmware modificato li sabota o l'attacco viene effettuato nella RAM.

È una questione di affidare alle società di assumersi la responsabilità delle misure di sicurezza.

Linux e l '"attacco alla catena di approvvigionamento"

Anni fa credevamo che Linux fosse invulnerabile ai problemi di sicurezza. Gli ultimi anni hanno dimostrato che non lo è. Pur essendo onesto, quei problemi di sicurezza sono stati rilevati e corretti prima che potessero essere sfruttati.

Archivi software

In Linux possiamo installare due tipi di software: gratuito e open source o proprietario. Nel caso del primo, il codice è visibile a chiunque voglia esaminarlo. Sebbene questa sia una protezione più teorica che reale poiché non ci sono abbastanza persone disponibili con il tempo e le conoscenze per rivedere tutto il codice.

E se costituisse una migliore protezione è il sistema di repository. La maggior parte dei programmi necessari possono essere scaricati dai server di ciascuna distribuzione. Y il suo contenuto viene attentamente controllato prima di consentire il download.

Politica di sicurezza

Gestore di pacchetti Synaptic

L'utilizzo di un gestore di pacchetti insieme ai repository ufficiali riduce il rischio di installazione di software dannoso.

Ad alcune distribuzioni piace Debian impiega molto tempo per includere un programma nel suo ramo stabile. Nel caso di Ubuntu, oltre alla comunità open source, tHa assunto dipendenti verificando l'integrità di ogni pacco aggregato. Pochissime persone si occupano di pubblicare aggiornamenti. La distribuzione crittografa i pacchetti e le firme vengono controllate localmente dal Software Center di ogni apparecchiatura prima di consentire l'installazione.

Un approccio interessante è quello di Pop! OS, il sistema operativo basato su Linux incluso nei notebook System76.

Gli aggiornamenti del firmware vengono forniti utilizzando un server di compilazione, che contiene il nuovo firmware, e un server di firma, che verifica che il nuovo firmware provenga dall'interno dell'azienda. I due server collegare solo tramite cavo seriale. La mancanza di una rete tra i due significa che non è possibile accedere a un server se l'input viene effettuato tramite l'altro server

System76 configura più server di compilazione insieme a quello principale. Affinché un aggiornamento del firmware possa essere verificato, deve essere identico su tutti i server.

Oggi, cSempre più programmi vengono distribuiti in formati autonomi chiamati Flatpak e Snap. Poiché eQuesti programmi non interagiscono con i componenti di sistema, un aggiornamento dannoso non potrà causare danni.

Comunque, nemmeno il sistema operativo più sicuro è protetto dall'incoscienza dell'utente. L'installazione di programmi di origine sconosciuta o l'errata configurazione delle autorizzazioni può causare esattamente gli stessi problemi di Windows.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.