Ang isang pekeng pag-update ng CCleaner ay ginamit upang mahawahan ang libu-libong mga computer sa pamamagitan ng isang "atake ng supply chain."
Noong nakaraang linggo ay nalaman na libu-libong mga customer ng ASUS, at tatlong iba pang hindi kilalang mga kumpanya, ang nakatanggap ng malware. Hindi bababa sa kaso ng ASUS sila nagkubli bilang mga update sa seguridad. Ang ganitong uri ng pag-atake ay kilala bilang "Pag-atake sa chain ng pamamahagi. Ligtas ba tayong mga gumagamit ng Linux?
Ayon sa kumpanya ng seguridad na Kasperly, isang pangkat ng mga kriminal ang nagawang kompromiso ang server na ginamit ng sistema ng pag-update ng ASUS. Pinayagan nila sila pag-install ng isang file na may malware, ngunit naka-sign na may tunay na mga digital na sertipiko. Ang impormasyon ay nakumpirma rin ng Symantec.
Ano ang isang atake sa supply chain?
En Sa isang pag-atake sa chain ng pamamahagi, ang malware ay naipasok sa panahon ng proseso ng pagpupulong ng hardware. Maaari rin itong maganap habang ang pag-install ng operating system o kasunod na mga pag-update. Huwag din nating kalimutan mga driver o program na naka-install sa paglaon. Tulad ng ipinahiwatig ng kaso ng ASUS, ang pagpapatunay ng pagiging tunay gamit ang mga digital na sertipiko ay tila hindi matagumpay.
Noong 2017, ang CCleaner, isang tanyag na programa sa Windows, ay nagdusa ng isang atake sa chain chain. Isang pekeng update ang nahawahan ng higit sa dalawang milyong mga computer.
Mga uri ng pag-atake sa chain ng pamamahagi
Sa taon ding iyon apat na iba pang katulad na mga kaso ang nalaman. Ang mga kriminal ay tumagos sa imprastraktura ng server upang ipamahagi ang pekeng mga pag-update. Upang maisagawa ang ganitong uri ng pag-atake, ang kagamitan ng isang empleyado ay nakompromiso. Sa ganitong paraan maaari nilang ma-access ang panloob na network at makuha ang kinakailangang mga kredensyal sa pag-access. Kung nagtatrabaho ka sa isang kumpanya ng software, huwag buksan ang mga nakakatawang pagtatanghal o bisitahin ang mga porn site sa trabaho.
Ngunit hindi lamang ito ang paraan upang magawa ito. Maaaring hadlangan ng mga umaatake ang isang pag-download ng file, ipasok ang nakakahamak na code dito, at ipadala ito sa target na computer. Ito ay kilala bilang isang supply chain ban. Ang mga kumpanyang hindi gumagamit ng mga naka-encrypt na protokol tulad ng HTTPS ay pinapabilis ang mga ganitong uri ng pag-atake sa pamamagitan ng mga nakompromisong mga network at router ng Wi-Fi.
Sa kaso ng mga kumpanya na hindi seryoso ang mga hakbang sa seguridad, mga kriminal maaaring ma-access ang mga download server. Gayunpaman, sapat na ang mga digital na sertipiko at pamamaraan ng pagpapatunay na ginagamit upang ma-neutralize ang mga ito.
Ang isa pang mapagkukunan ng panganib ay Mga program na hindi nagda-download ng mga pag-update bilang magkakahiwalay na mga file. Ang mga application ay naglo-load at direktang patakbuhin ito sa memorya.
Walang programa na nakasulat mula sa simula. Maraming gumagamit mga aklatan, balangkas at development kit na ibinigay ng mga third party. Kung sakaling ang alinman sa mga ito ay nakompromiso, ang problema ay kumakalat sa mga application na gumagamit nito.
Iyon ang paraan ng iyong pangako sa 50 mga app mula sa Google app store.
Mga panlaban laban sa "pag-atake sa supply chain"
Bumili ka na ba a murang tablet gamit ang Android? Marami sa kanila sumama sila Mga nakakahamak na application na na-preload sa iyong firmware. Ang mga paunang naka-install na application ay madalas na may mga pribilehiyo ng system at hindi mai-uninstall. Ang mga mobile antivirus ay may parehong mga pribilehiyo tulad ng normal na mga application, kaya hindi rin sila gagana.
Ang payo ay huwag bumili ng ganitong uri ng hardware, kahit na minsan wala kang pagpipilian. Ang isa pang posibleng paraan ay ang pag-install ng LineageOS o ilang iba pang variant ng Android, kahit na ang paggawa nito ay nangangailangan ng isang tiyak na antas ng kaalaman.
Ang tanging at pinakamahusay na depensa lamang ng mga gumagamit ng Windows laban sa ganitong uri ng pag-atake ay isang aparato sa hardware. Ang mga ilaw na kandila sa santo na nakikipag-usap sa mga ganitong uri ng mga bagay at humihingi ng proteksyon.
Nangyayari iyon walang end-user na proteksyon software ay nasa isang posisyon upang maiwasan ang naturang pag-atake. Alinman sa binagong firmware ng pagsasabotahe sa kanila, o ang pag-atake ay ginagawa sa RAM.
Ito ay isang bagay ng tiwala ang mga kumpanya na responsibilidad para sa mga hakbang sa seguridad.
Linux at ang "supply chain attack"
Taon na ang nakakalipas naniniwala kami na ang Linux ay hindi mapahamak sa mga problema sa seguridad. Ang huling ilang taon ay ipinakita na hindi. Kahit na maging patas, ang mga problemang iyon sa seguridad ay napansin at naitama bago sila magamit.
Mga repository ng software
Sa Linux maaari nating mai-install ang dalawang uri ng software: libre at bukas na mapagkukunan o pagmamay-ari. Sa kaso ng una, ang code ay nakikita ng sinumang nais na suriin ito. Kahit na ito ay isang mas teoretikal na proteksyon kaysa sa tunay na dahil walang sapat na mga taong magagamit ang oras at kaalaman upang suriin ang lahat ng code.
Paano kung ito ay bumubuo mas mahusay na proteksyon ay ang repository system. Karamihan sa mga program na kailangan mo ay maaaring ma-download mula sa mga server ng bawat pamamahagi. Y maingat na nasuri ang nilalaman nito bago payagan ang pag-download.
Politika sa seguridad
Ang paggamit ng isang manager ng package sa tabi ng mga opisyal na repository ay nagbabawas ng panganib na mag-install ng nakakahamak na software.
Ang ilang mga pamamahagi tulad ng Tumatagal ang Debian upang maisama ang isang programa sa matatag na sangay nito. Sa kaso ng Ubuntu, bilang karagdagan sa bukas na pamayanan ng mapagkukunan, tKinuha ang mga empleyado na pinatutunayan ang integridad ng bawat pakete pinagsama-sama Napakakaunting mga tao ang nag-aalaga sa pag-post ng mga update. Ang mga pamamahagi ay naka-encrypt ng mga pakete, at ang mga lagda ay lokal na nasusuri ng Software Center ng bawat kagamitan bago payagan ang pag-install.
Ang isang kagiliw-giliw na diskarte ay ang Pop! Ang OS, ang operating system na nakabatay sa Linux na kasama sa mga notebook ng System76.
Hinahatid ang mga pag-update ng firmware gamit ang isang build server, na naglalaman ng bagong firmware, at isang pag-sign server, na nagpapatunay na ang bagong firmware ay nagmumula sa loob ng kumpanya. Ang dalawang server kumonekta lamang sa pamamagitan ng serial cable. Ang kakulangan ng isang network sa pagitan ng dalawa ay nangangahulugan na ang isang server ay hindi ma-access kung ang input ay ginawa sa pamamagitan ng iba pang server
I-configure ng System76 ang maraming mga server ng build kasama ang pangunahing isa. Para ma-verify ang isang pag-update sa firmware, dapat itong magkapareho sa lahat ng mga server.
Ngayon, cParami nang parami ang mga programa na ipinamamahagi sa mga format na may sarili na tinatawag na Flatpak at Snap. Dahil eang mga programang ito ay hindi nakikipag-ugnay sa mga bahagi ng system, ang isang nakakahamak na pag-update ay hindi maaaring maging sanhi ng pinsala.
Kahit papaano, kahit na ang pinaka-ligtas na operating system ay protektado mula sa kawalang-ingat ng gumagamit. Ang pag-install ng mga programa mula sa hindi kilalang mga mapagkukunan, o maling pag-configure ng mga pahintulot ay maaaring maging sanhi ng eksaktong parehong mga problema tulad ng sa Windows.