En falsk CCleaner-uppdatering användes för att infektera tusentals datorer genom en "supply chain attack".
Förra veckan blev det känt att tusentals ASUS-kunder och tre andra oidentifierade företag hade fått skadlig kod. Åtminstone i fallet med ASUS var de det förklädd som säkerhetsuppdateringar. Denna typ av attack är känd som "Attacker på distributionskedjan. Är vi Linux-användare säkra?
Enligt säkerhetsföretaget Kasperly lyckades en grupp brottslingar äventyra servern som används av ASUS-uppdateringssystemet. Detta tillät dem installation av en fil med skadlig kod, men signerad med autentiska digitala certifikat. Informationen bekräftades också av Symantec.
Vad är en supply chain attack?
En I en attack mot distributionskedjan infogas skadlig programvara under monteringsprocessen för hårdvaran. Det kan också inträffa under installationen av operativsystemet eller efterföljande uppdateringar. Låt oss inte glömma heller drivrutiner eller program installerade senare. Som fallet med ASUS antyder verkar verifiering av äkthet med digitala certifikat inte lyckas.
År 2017 drabbades CCleaner, ett populärt Windows-program, av en distributionskedjeattack. En falsk uppdatering infekterade mer än två miljoner datorer.
Typer av attacker mot distributionskedjan
Samma år var fyra andra liknande fall kända. Brottslingar infiltrerade serverinfrastrukturen för att distribuera falska uppdateringar. För att utföra denna typ av attack äventyrs en anställds utrustning. På detta sätt kan de komma åt det interna nätverket och få nödvändig åtkomstinformation. Om du arbetar på ett programvaruföretag, öppna inte roliga presentationer eller besök porrsajter på jobbet.
Men det är inte det enda sättet att göra det. Angripare kan fånga en filnedladdning, infoga skadlig kod i den och skicka den till måldatorn. Detta är känt som ett försörjningskedjeförbud. Företag som inte använder krypterade protokoll som HTTPS underlättar dessa typer av attacker via komprometterade Wi-Fi-nätverk och routrar.
När det gäller företag som inte tar säkerhetsåtgärder på allvar, brottslingar kan komma åt nedladdningsservrar. Det räcker dock att digitala certifikat och valideringsprocedurer används för att neutralisera dem.
En annan källa till fara är Program som inte laddar ner uppdateringar som separata filer. Program laddas och körs direkt i minnet.
Inget program skrivs från grunden. Många använder bibliotek, ramar och utvecklingssatser som tillhandahålls av tredje part. Om någon av dem äventyras kommer problemet att spridas till de applikationer som använder det.
Det var så du förbundit dig till 50 appar från Google app store.
Försvar mot "attacker mot försörjningskedjan"
Har du någonsin köpt en billig surfplatta med Android? Många av dem de kommer med Skadliga applikationer förinstallerade i din firmware. Förinstallerade applikationer har ofta systembehörigheter och kan inte avinstalleras. Mobilt antivirusprogram har samma privilegier som vanliga applikationer, så de fungerar inte heller.
Rådet är att inte köpa den här typen av hårdvara, men ibland har du inget val. Ett annat möjligt sätt är att installera LineageOS eller någon annan variant av Android, även om det krävs en viss kunskapsnivå.
Det enda och bästa försvaret som Windows-användare har mot denna typ av attack är en hårdvaruenhet. Tända ljus till helgonet som hanterar den här typen av saker och be om skydd.
Det händer det ingen programvara för slutanvändarskydd kan förhindra sådana attacker. Antingen saboterar den modifierade firmware, eller så görs attacken i RAM.
Det är en fråga om litar på företag att ta ansvar för säkerhetsåtgärder.
Linux och "supply chain attack"
För många år sedan trodde vi att Linux var osårbart för säkerhetsproblem. De senaste åren har visat att det inte är det. Även om det är rättvist, Dessa säkerhetsproblem upptäcktes och korrigerades innan de kunde utnyttjas.
Mjukvaruförvar
I Linux kan vi installera två typer av programvara: fri och öppen källkod eller proprietär. När det gäller den första, koden är synlig för alla som vill granska den. Även om detta är ett mer teoretiskt skydd än verkligt eftersom det inte finns tillräckligt med människor tillgängliga med tid och kunskap för att granska all kod.
Vad händer om det utgör bättre skydd är förvarssystemet. De flesta av de program du behöver kan laddas ner från servrarna i varje distribution. Y dess innehåll kontrolleras noggrant innan nedladdningen tillåts.
Säkerhetspolitik
Att använda en pakethanterare tillsammans med officiella arkiv minskar risken för att installera skadlig programvara.
Vissa distributioner som Debian tar lång tid att inkludera ett program i sin stabila gren. I fallet med ubuntu, förutom öppen källkod, tHar anställt anställda som verifierar integriteten hos varje paket aggregat. Väldigt få människor tar hand om att skicka uppdateringar. Distributionen krypterar paketen och signaturer kontrolleras lokalt av Software Center innan varje installation tillåts.
Ett intressant tillvägagångssätt är Pop! OS, det Linux-baserade operativsystemet som ingår i System76-bärbara datorer.
Firmwareuppdateringar levereras med en byggserver som innehåller den nya firmware och en signeringsserver som verifierar att den nya firmware kommer inifrån företaget. De två servrarna anslut endast via seriekabel. Bristen på ett nätverk mellan de två innebär att en server inte kan nås om ingången görs via den andra servern
System76 konfigurerar flera build-servrar tillsammans med den huvudsakliga. För att en firmwareuppdatering ska kunna verifieras måste den vara identisk på alla servrar.
Idag, cFler och fler program distribueras i fristående format som kallas Flatpak och Snap. Sedan eDessa program interagerar inte med systemkomponenter, en skadlig uppdatering kan inte orsaka skada.
I alla fall, inte ens det säkraste operativsystemet är skyddat från användarens hänsynslöshet. Installera program från okända källor eller felkonfigurering av behörigheter kan orsaka exakt samma problem som i Windows.