Поддельное обновление CCleaner использовалось для заражения тысяч компьютеров посредством «атаки на цепочку поставок».
На прошлой неделе стало известно, что тысячи клиентов ASUS и еще три неизвестных компании получили вредоносное ПО.. По крайней мере, в случае с ASUS они были замаскированный под обновления безопасности. Этот тип атаки известен как «Атаки на дистрибьюторскую цепочку. Безопасны ли мы, пользователи Linux?
По данным охранной компании Kasperly, группе злоумышленников удалось взломать сервер, на котором работает система обновлений ASUS. Это позволило им установка файла с вредоносным ПО, но подписанного аутентичными цифровыми сертификатами. Информацию также подтвердила Symantec.
Что такое атака на цепочку поставок?
En При атаке на распределительную цепочку вредоносное ПО вставляется в процессе сборки оборудования. Это также может произойти во время установка операционной системы или последующие обновления. Не будем забывать драйверы или программы, установленные позже. Как показывает случай с ASUS, проверка подлинности с помощью цифровых сертификатов не кажется успешной.
В 2017 году популярная программа для Windows CCleaner подверглась атаке в цепочке распространения. Поддельное обновление заразило более двух миллионов компьютеров.
Типы атак на дистрибьюторскую цепочку
В том же году были известны еще четыре подобных случая. Преступники проникли в серверную инфраструктуру, чтобы распространять поддельные обновления. Для проведения этого типа атаки скомпрометировано оборудование сотрудника. Таким образом они могут получить доступ к внутренней сети и получить необходимые учетные данные. Если вы работаете в компании программного обеспечения, не открытые смешные презентации или посещение порносайтов на работе.
Но это не единственный способ сделать это. Злоумышленники могут перехватить загрузку файла, вставить в него вредоносный код и отправить его на целевой компьютер. Это известно как запрет на цепочку поставок. Компании, которые не используют зашифрованные протоколы, такие как HTTPS, способствуют атакам такого типа через взломанные сети Wi-Fi и маршрутизаторы.
В случае компаний, которые серьезно не относятся к мерам безопасности, преступники может получить доступ к серверам загрузки. Однако для их нейтрализации достаточно использовать цифровые сертификаты и процедуры проверки.
Еще одним источником опасности являются Программы, которые не скачивают обновления отдельными файлами. Приложения загружают и запускают его прямо в памяти.
Никакая программа не пишется с нуля. Многие используют библиотеки, фреймворки и комплекты средств разработки, предоставленные третьими сторонами. В случае взлома любого из них проблема распространится на приложения, которые его используют.
Таким образом вы сделали 50 приложений из магазина приложений Google.
Защита от «атак на цепочку поставок»
Вы когда-нибудь покупали дешевый планшет с Android? Многие из них они идут с В вашу прошивку предустановлены вредоносные программы. Предустановленные приложения часто имеют системные привилегии и не могут быть удалены. Мобильный антивирус имеет те же привилегии, что и обычные приложения, поэтому они тоже не работают.
Совет: не покупайте такое оборудование, хотя иногда у вас нет выбора. Другой возможный способ - установить LineageOS или какой-либо другой вариант Android, хотя для этого требуется определенный уровень знаний.
Единственная и лучшая защита пользователей Windows от этого типа атак - это аппаратное устройство. Зажгите свечи святому, который занимается такими вещами, и просите защиты.
Бывает, что никакое программное обеспечение для защиты конечных пользователей не в состоянии предотвратить такие атаки. Либо модифицированная прошивка их саботирует, либо атака проводится в оперативной памяти.
Это вопрос доверие компаниям взять на себя ответственность за меры безопасности.
Linux и "атака цепочки поставок"
Несколько лет назад мы считали, что Linux неуязвима для проблем безопасности. Последние несколько лет показали, что это не так. Хотя честно, эти проблемы безопасности были обнаружены и исправлены до того, как их можно было использовать.
Репозитории программного обеспечения
В Linux мы можем установить два типа программного обеспечения: бесплатное и с открытым исходным кодом или проприетарное. В случае первого, код виден всем, кто хочет его просмотреть. Хотя это скорее теоретическая защита, чем реальная, поскольку недостаточно людей, обладающих временем и знаниями, чтобы просмотреть весь код.
Что, если это составляет лучшая защита - система репозитория. Большинство необходимых вам программ можно скачать с серверов каждого дистрибутива. Y его содержимое тщательно проверяется, прежде чем разрешить загрузку.
Политика безопасности
Использование диспетчера пакетов вместе с официальными репозиториями снижает риск установки вредоносного программного обеспечения.
Некоторые дистрибутивы, такие как Debian требуется много времени, чтобы включить программу в стабильную ветку. В случае Ubuntu, помимо сообщества разработчиков ПО с открытым исходным кодом, tНанял сотрудников, проверяющих целостность каждого пакета совокупный. Мало кто заботится о публикации обновлений. Дистрибутив шифрует пакеты и подписи проверяются локально Центром программного обеспечения каждого оборудования, прежде чем разрешить установку.
Интересен подход Поп! ОС, операционная система на базе Linux, входящая в состав ноутбуков System76.
Обновления прошивки доставляются с помощью сервера сборки, который содержит новую прошивку, и сервера подписи, который проверяет, что новая прошивка поступает изнутри компании.. Два сервера подключайтесь только через последовательный кабель. Отсутствие сети между ними означает, что к серверу нельзя получить доступ, если ввод осуществляется через другой сервер.
System76 настраивает несколько серверов сборки вместе с основным. Чтобы обновление прошивки было проверено, оно должно быть идентичным на всех серверах.
Сегодня, cВсе больше и больше программ распространяется в автономных форматах, называемых Flatpak и Snap. Поскольку eэти программы не взаимодействуют с компонентами системы, вредоносное обновление не сможет причинить вреда.
Тем не мение, даже самая безопасная операционная система не защищена от безрассудства пользователя. Установка программ неизвестного происхождения или неправильная настройка разрешений могут вызвать точно такие же проблемы, как и в Windows.