Ponarejena posodobitev CCleaner je bila uporabljena za okužbo na tisoče računalnikov z "napadom na dobavno verigo".
Prejšnji teden je postalo znano, da na tisoče strank ASUS-a in tri druga neznana podjetja so prejeli zlonamerno programsko opremo. Vsaj v primeru ASUS-a so bili preoblečeni v varnostne posodobitve. Ta vrsta napada je znana kot "Napadi na distribucijsko verigo. Ali smo uporabniki Linuxa varni?
Po navedbah varnostnega podjetja Kasperly je skupini storilcev kaznivih dejanj uspelo ogroziti strežnik, ki ga uporablja sistem za posodobitev ASUS. To jim je omogočilo namestitev datoteke z zlonamerno programsko opremo, vendar podpisana z verodostojnimi digitalnimi potrdili. Podatke je potrdil tudi Symantec.
Kaj je napad na dobavno verigo?
En Pri napadu na distribucijsko verigo se med postopkom sestavljanja strojne opreme vstavi zlonamerna programska oprema. Lahko se pojavi tudi med namestitev operacijskega sistema ali nadaljnje posodobitve. Tudi ne pozabimo gonilnike ali programe, nameščene pozneje. Kot kaže primer ASUS, preverjanje pristnosti z uporabo digitalnih potrdil ni videti uspešno.
Leta 2017 je CCleaner, priljubljeni program Windows, doživel napad na distribucijsko verigo. Lažna posodobitev je okužila več kot dva milijona računalnikov.
Vrste napadov na distribucijsko verigo
Istega leta so bili znani še štirje podobni primeri. Kriminalci so vdrli v strežniško infrastrukturo za distribucijo lažnih posodobitev. Za izvedbo te vrste napada je oprema zaposlenega ogrožena. Na ta način lahko dostopajo do notranjega omrežja in pridobijo potrebne poverilnice za dostop. Če delate v podjetju s programsko opremo, v službi ne odpirajte smešnih predstavitev ali obiskujte pornografskih spletnih mest.
Vendar to ni edini način. Napadalci lahko prestrežejo prenos datoteke, vanj vstavijo zlonamerno kodo in jo pošljejo v ciljni računalnik. To je znano kot prepoved dobavne verige. Podjetja, ki ne uporabljajo šifriranih protokolov, kot je HTTPS, olajšajo tovrstne napade prek ogroženih omrežij Wi-Fi in usmerjevalnikov.
V primeru podjetij, ki varnostnih ukrepov ne jemljejo resno, kriminalci lahko dostopate do strežnikov za prenos. Vendar je dovolj, da se za njihovo nevtralizacijo uporabljajo digitalna potrdila in postopki potrjevanja.
Drug vir nevarnosti so Programi, ki ne prenašajo posodobitev kot ločene datoteke. Naložijo ga in izvršijo neposredno aplikacije v pomnilniku.
Noben program ni napisan iz nič. Mnogi uporabljajo knjižnice, okviri in razvojni kompleti, ki jih zagotavljajo tretje osebe. V primeru, da bo kateri od njih ogrožen, se bo težava razširila na aplikacije, ki ga uporabljajo.
Tako ste se zavezali za 50 aplikacij iz Googlove trgovine z aplikacijami.
Obramba pred "napadi na dobavno verigo"
Ste kdaj kupili poceni tablica z Androidom? Veliko njih prihajajo z Zlonamerne aplikacije, vnaprej naložene v vašo programsko opremo. Prednameščene aplikacije imajo pogosto sistemske pravice in jih ni mogoče odstraniti. Mobilni protivirusni programi imajo enake privilegije kot običajne aplikacije, zato tudi ne delujejo.
Nasvet je, da ne kupujte tovrstne strojne opreme, čeprav včasih nimate izbire. Drug možen način je namestitev LineageOS ali kakšne druge različice Androida, čeprav to zahteva določeno raven znanja.
Edina in najboljša obramba, ki jo imajo uporabniki sistema Windows pred tovrstnimi napadi, je strojna naprava. Prižgite sveče svetniku, ki se ukvarja s tovrstnimi stvarmi, in prosite za zaščito.
To se zgodi nobena programska oprema za zaščito končnega uporabnika ne more preprečiti takšnih napadov. Ali jih spremenjena vdelana programska oprema sabotira ali pa je napad izveden v RAM-u.
To je stvar zaupajte podjetjem, da bodo prevzela odgovornost za varnostne ukrepe.
Linux in "napad na dobavno verigo"
Pred leti smo verjeli, da Linux ni ranljiv zaradi varnostnih težav. Zadnja leta so pokazala, da ni. Čeprav je pošteno, te varnostne težave so bile odkrite in odpravljene, preden jih je bilo mogoče izkoristiti.
Skladišča programske opreme
V Linux lahko namestimo dve vrsti programske opreme: brezplačno in odprtokodno ali lastniško. V primeru prvega koda je vidna vsem, ki jo želijo pregledati. Čeprav je to bolj teoretična zaščita kot resnična, saj je na voljo premalo ljudi s časom in znanjem za pregled celotne kode.
Kaj pa, če predstavlja boljša zaščita je sistem skladišč. Večino potrebnih programov lahko prenesete s strežnikov posamezne distribucije. Y. pred dovoljenjem prenosa natančno preverite njegovo vsebino.
Varnostna politika
Uporaba upravitelja paketov skupaj z uradnimi skladišči zmanjšuje tveganje za namestitev zlonamerne programske opreme.
Nekatere distribucije všeč Debian dolgo časa vključuje program v svojo stabilno vejo. V primeru UbuntuPoleg odprtokodne skupnosti je tNajel je zaposlene, ki preverjajo celovitost vsakega paketa agregat. Le malo ljudi skrbi za objavljanje posodobitev. Distribucija šifrira pakete in podpise lokalno preveri Center za programsko opremo vsake opreme, preden omogočite namestitev.
Zanimiv pristop je Pop! OS, operacijski sistem s sistemom Linux, vključen v prenosnike System76.
Posodobitve vdelane programske opreme se dostavijo z uporabo strežnika za gradnjo, ki vsebuje novo vdelano programsko opremo, in podpisnega strežnika, ki preverja, ali nova vdelana programska oprema prihaja iz podjetja. Dva strežnika priključite samo prek serijskega kabla. Pomanjkanje omrežja med obema pomeni, da do strežnika ni mogoče dostopati, če je vnos opravljen prek drugega strežnika
System76 konfigurira več strežnikov za gradnjo skupaj z glavnim. Če želite preveriti posodobitev vdelane programske opreme, mora biti na vseh strežnikih enaka.
Danes je cVse več programov se distribuira v samostojnih oblikah, imenovanih Flatpak in Snap. Ker eti programi ne delujejo s sistemskimi komponentami, zlonamerna posodobitev ne bo mogla povzročiti škode.
Kakorkoli že, tudi najbolj varen operacijski sistem ni zaščiten pred nepremišljenostjo uporabnikov. Namestitev programov neznanega izvora ali napačna konfiguracija dovoljenj lahko povzroči popolnoma enake težave kot v sistemu Windows.