Czy Linux jest bezpieczny przed „atakiem na łańcuch dostaw”?

Diego Germán González

6 minut

Zrzut ekranu programu CCleaner.

Fałszywa aktualizacja CCleaner została wykorzystana do zainfekowania tysięcy komputerów poprzez „atak na łańcuch dostaw”.

W zeszłym tygodniu okazało się, że tysiące klientów ASUS i trzy inne niezidentyfikowane firmy otrzymały złośliwe oprogramowanie. Przynajmniej w przypadku ASUSa tak było przebrane za aktualizacje zabezpieczeń. Ten typ ataku jest znany jako „Ataki na łańcuch dystrybucji. Czy my, użytkownicy Linuksa, jesteśmy bezpieczni?

Według firmy ochroniarskiej Kasperly, grupie przestępców udało się włamać do serwera używanego przez system aktualizacji ASUS. To im pozwoliło instalacja pliku zawierającego złośliwe oprogramowanie, ale podpisanego autentycznymi certyfikatami cyfrowymi. Informacje potwierdziła również firma Symantec.

Co to jest atak na łańcuch dostaw?

En W ataku na łańcuch dystrybucji złośliwe oprogramowanie jest wstawiane podczas procesu montażu sprzętu. Może również wystąpić podczas instalacja systemu operacyjnego lub kolejnych aktualizacji. Nie zapominajmy też sterowniki lub programy zainstalowane później. Jak wskazuje firma ASUS, weryfikacja autentyczności za pomocą certyfikatów cyfrowych nie wydaje się udana.

W 2017 roku CCleaner, popularny program Windows, padł ofiarą ataku łańcucha dystrybucji. Fałszywa aktualizacja zainfekowała ponad dwa miliony komputerów.

Rodzaje ataków na łańcuch dystrybucji

W tym samym roku znane były cztery inne podobne przypadki. Przestępcy przeniknęli do infrastruktury serwerów, aby rozpowszechniać fałszywe aktualizacje. Aby przeprowadzić tego typu atak, sprzęt pracownika jest narażony na szwank. W ten sposób mogą uzyskać dostęp do sieci wewnętrznej i uzyskać niezbędne poświadczenia dostępu. Jeśli pracujesz w firmie programistycznej, nie otwieraj zabawnych prezentacji ani nie odwiedzaj witryn pornograficznych w pracy.

Ale to nie jedyny sposób, aby to zrobić.  Atakujący mogą przechwycić pobrany plik, wstawić do niego złośliwy kod i wysłać go do komputera docelowego. Nazywa się to zakazem łańcucha dostaw. Firmy, które nie używają szyfrowanych protokołów, takich jak HTTPS, ułatwiają tego typu ataki za pośrednictwem zagrożonych sieci Wi-Fi i routerów.

W przypadku firm, które nie traktują poważnie środków bezpieczeństwa, przestępcy może uzyskać dostęp do serwerów pobierania. Wystarczy jednak, że do ich neutralizacji stosuje się certyfikaty cyfrowe i procedury walidacji.

Innym źródłem niebezpieczeństwa są Programy, które nie pobierają aktualizacji jako oddzielne pliki.  Aplikacje ładują i uruchamiają go bezpośrednio w pamięci.

Żaden program nie jest napisany od zera. Wiele zastosowań biblioteki, frameworki i zestawy programistyczne dostarczone przez strony trzecie.  Jeśli którykolwiek z nich zostanie naruszony, problem rozprzestrzeni się na aplikacje, które go używają.

W ten sposób zobowiązałeś się do realizacji 50 aplikacji ze sklepu z aplikacjami Google.

Obrona przed „atakami na łańcuch dostaw”

Czy kiedykolwiek kupiłeś tani tablet z Androidem? Wiele z nich przychodzą z Szkodliwe aplikacje wstępnie załadowane do oprogramowania układowego. Wstępnie zainstalowane aplikacje często mają uprawnienia systemowe i nie można ich odinstalować. Mobilny program antywirusowy ma takie same uprawnienia jak zwykłe aplikacje, więc też nie działa.

Radzę nie kupować tego typu sprzętu, chociaż czasami nie masz wyboru. Innym możliwym sposobem jest zainstalowanie LineageOS lub innego wariantu Androida, chociaż wymaga to pewnego poziomu wiedzy.

Jedyną i najlepszą obroną, jaką mają użytkownicy systemu Windows przed tego typu atakami, jest urządzenie sprzętowe. Zapal świece świętemu, który ma do czynienia z takimi sprawami i proś o ochronę.

Zdarza się tak żadne oprogramowanie chroniące użytkownika końcowego nie jest w stanie zapobiec takim atakom. Albo zmodyfikowane oprogramowanie sabotuje je, albo atak odbywa się w pamięci RAM.

To jest kwestia ufają firmom, że przyjmą odpowiedzialność za środki bezpieczeństwa.

Linux i „atak na łańcuch dostaw”

Wiele lat temu wierzyliśmy, że Linux jest niewrażliwy na problemy związane z bezpieczeństwem. Ostatnie lata pokazały, że tak nie jest. Chociaż jest uczciwy, Te problemy bezpieczeństwa zostały wykryte i naprawione, zanim mogły zostać wykorzystane.

Repozytoria oprogramowania

W Linuksie możemy zainstalować dwa rodzaje oprogramowania: darmowe i open source lub prawnie zastrzeżone. W przypadku pierwszego kod jest widoczny dla każdego, kto chce go przejrzeć. Chociaż jest to bardziej teoretyczna ochrona niż rzeczywista, ponieważ nie ma wystarczającej liczby osób, które mają czas i wiedzę, aby przejrzeć cały kod.

A jeśli tak lepszą ochroną jest system repozytoriów. Większość potrzebnych programów można pobrać z serwerów każdej dystrybucji. Y jego zawartość jest dokładnie sprawdzana przed zezwoleniem na pobranie.

Polityka bezpieczeństwa

Menedżer pakietów Synaptic

Używanie menedżera pakietów wraz z oficjalnymi repozytoriami zmniejsza ryzyko instalacji złośliwego oprogramowania.

Niektóre dystrybucje, takie jak Debian potrzebuje dużo czasu, aby dołączyć program do swojej stabilnej gałęzi. W przypadku Ubuntu, oprócz społeczności open source, tZatrudnił pracowników weryfikujących integralność każdej paczki agregat. Bardzo niewiele osób zajmuje się publikowaniem aktualizacji. Dystrybucja szyfruje pakiety, a podpisy są sprawdzane lokalnie przez Centrum oprogramowania każdego sprzętu przed zezwoleniem na instalację.

Ciekawym podejściem jest podejście Muzyka pop! OS, oparty na Linuksie system operacyjny zawarty w notebookach System76.

Aktualizacje oprogramowania układowego są dostarczane przy użyciu serwera kompilacji, który zawiera nowe oprogramowanie sprzętowe, oraz serwera podpisującego, który weryfikuje, czy nowe oprogramowanie sprzętowe pochodzi z firmy. Dwa serwery podłączać tylko za pomocą kabla szeregowego. Brak sieci między nimi oznacza, że ​​nie można uzyskać dostępu do serwera, jeśli dane wejściowe są dokonywane za pośrednictwem drugiego serwera

System76 konfiguruje wiele serwerów kompilacji wraz z głównym. Aby aktualizacja oprogramowania układowego została zweryfikowana, musi być identyczna na wszystkich serwerach.

Dziś okCoraz więcej programów jest dystrybuowanych w samodzielnych formatach o nazwie Flatpak i Snap. Ponieważ eprogramy te nie współdziałają z komponentami systemu, złośliwa aktualizacja nie będzie w stanie wyrządzić szkody.

Tak czy siak, nawet najbezpieczniejszy system operacyjny nie jest chroniony przed lekkomyślnością użytkownika. Instalowanie programów niewiadomego pochodzenia lub błędna konfiguracja uprawnień może powodować dokładnie takie same problemy, jak w systemie Windows.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.