En falsk CCleaner-oppdatering ble brukt til å infisere tusenvis av datamaskiner gjennom et "angrep på forsyningskjeden."
I forrige uke ble det kjent at tusenvis av ASUS-kunder, og tre andre uidentifiserte selskaper, hadde mottatt skadelig programvare. I det minste i tilfelle ASUS var de det forkledd som sikkerhetsoppdateringer. Denne typen angrep er kjent som "Angrep på distribusjonskjeden. Er vi Linux-brukere trygge?
I følge sikkerhetsselskapet Kasperly klarte en gruppe kriminelle å kompromittere serveren som ble brukt av ASUS-oppdateringssystemet. Dette tillot dem installasjon av en fil med skadelig programvare, men signert med autentiske digitale sertifikater. Informasjonen ble også bekreftet av Symantec.
Hva er et forsyningskjedeangrep?
En I et angrep på distribusjonskjeden blir malware satt inn under monteringsprosessen for maskinvaren. Det kan også forekomme under installasjonen av operativsystemet eller påfølgende oppdateringer. La oss heller ikke glemme det drivere eller programmer installert senere. Som tilfellet med ASUS indikerer, ser ikke verifisering av ektheten ved bruk av digitale sertifikater ut til å være vellykket.
I 2017 fikk CCleaner, et populært Windows-program, et angrep på distribusjonskjeden. En falsk oppdatering infiserte mer enn to millioner datamaskiner.
Typer angrep på distribusjonskjeden
Samme år var fire andre lignende tilfeller kjent. Kriminelle infiltrerte serverinfrastrukturen for å distribuere falske oppdateringer. For å utføre denne typen angrep er utstyret til en ansatt kompromittert. På denne måten kan de få tilgang til det interne nettverket og få den nødvendige legitimasjonen. Hvis du jobber i et programvareselskap, ikke åpne morsomme presentasjoner eller besøk pornosider på jobben.
Men dette er ikke den eneste måten å gjøre det på. Angripere kan fange ned filnedlasting, sette inn skadelig kode i den og sende den til måldatamaskinen. Dette er kjent som et forsyningskjedeforbud. Bedrifter som ikke bruker krypterte protokoller som HTTPS, letter denne typen angrep gjennom kompromitterte Wi-Fi-nettverk og rutere.
Når det gjelder selskaper som ikke tar sikkerhetstiltak på alvor, kriminelle har tilgang til nedlastingsservere. Det er imidlertid nok at digitale sertifikater og valideringsprosedyrer brukes til å nøytralisere dem.
En annen kilde til fare er Programmer som ikke laster ned oppdateringer som separate filer. Programmer lastes inn og kjøres direkte i minnet.
Ingen programmer er skrevet fra bunnen av. Mange bruker biblioteker, rammer og utviklingssett levert av tredjeparter. Hvis noen av dem er kompromittert, vil problemet spre seg til applikasjonene som bruker det.
Det var slik du forpliktet deg til 50 apper fra Google app store.
Forsvar mot "angrep på forsyningskjeden"
Har du noen gang kjøpt en billig nettbrett med Android? Mange av dem de kommer med Ondsinnede applikasjoner forhåndslastet i fastvaren din. Forhåndsinstallerte applikasjoner har ofte systemrettigheter og kan ikke avinstalleres. Mobilt antivirus har de samme privilegiene som vanlige applikasjoner, så de fungerer heller ikke.
Rådene er ikke å kjøpe denne typen maskinvare, selv om du noen ganger ikke har noe valg. En annen mulig måte er å installere LineageOS eller en annen variant av Android, selv om det krever et visst nivå av kunnskap.
Det eneste og beste forsvaret som Windows-brukere har mot denne typen angrep, er en maskinvareenhet. Tenn lys til helgenen som takler slike ting og be om beskyttelse.
Det hender det ingen programvare for sluttbrukerbeskyttelse er i stand til å forhindre slike angrep. Enten saboterer den modifiserte firmwaren, eller angrepet skjer i RAM.
Det er et spørsmål om stole på at selskaper tar ansvar for sikkerhetstiltak.
Linux og "supply chain attack"
For mange år siden trodde vi at Linux var usårbart for sikkerhetsproblemer. De siste årene har vist at det ikke er det. Selv om du er rettferdig, disse sikkerhetsproblemene ble oppdaget og rettet før de kunne utnyttes.
Programvarelager
I Linux kan vi installere to typer programvare: gratis og åpen kildekode eller proprietær. Når det gjelder den første, koden er synlig for alle som ønsker å gjennomgå den. Selv om dette er en mer teoretisk beskyttelse enn ekte, siden det ikke er nok mennesker tilgjengelig med tid og kunnskap til å gjennomgå all koden.
Hva om det utgjør bedre beskyttelse er depotsystemet. De fleste programmene du trenger kan lastes ned fra serverne i hver distribusjon. Y innholdet blir nøye sjekket før nedlasting.
Sikkerhetspolitikk
Ved å bruke en pakkehåndterer sammen med offisielle arkiver reduseres risikoen for å installere skadelig programvare.
Noen distribusjoner som Debian tar lang tid å inkludere et program i sin stabile gren. I tilfelle av Ubuntu, i tillegg til open source-fellesskapet, tHar ansatt ansatte som bekrefter integriteten til hver pakke samlet. Svært få mennesker tar seg av å legge ut oppdateringer. Distribusjon krypterer pakker, og signaturer blir sjekket lokalt av Software Center av hvert utstyr før installasjon.
En interessant tilnærming er den av Pop! OS, det Linux-baserte operativsystemet som følger med System76-bærbare PC-er.
Fastvareoppdateringer leveres ved hjelp av en byggeserver, som inneholder den nye firmware, og en signeringsserver, som bekrefter at den nye firmware kommer fra firmaet. De to serverne bare koble til via seriell kabel. Mangelen på et nettverk mellom de to betyr at en server ikke kan nås hvis inngangen blir gjort via den andre serveren
System76 konfigurerer flere build-servere sammen med den viktigste. For at en fastvareoppdatering skal verifiseres, må den være identisk på alle servere.
I dag, cFlere og flere programmer distribueres i selvstendige formater kalt Flatpak og Snap. Siden eDisse programmene samhandler ikke med systemkomponenter, en ondsinnet oppdatering vil ikke kunne forårsake skade.
Uansett, ikke engang det sikreste operativsystemet er beskyttet mot brukerens uvørenhet. Installering av programmer av ukjent opprinnelse eller feilkonfigurasjon av tillatelser kan føre til nøyaktig de samme problemene som i Windows.