Một bản cập nhật CCleaner giả đã được sử dụng để lây nhiễm cho hàng nghìn máy tính thông qua một "cuộc tấn công chuỗi cung ứng".
Tuần trước, người ta biết rằng hàng nghìn khách hàng của ASUS và ba công ty không xác định khác, đã nhận được phần mềm độc hại. Ít nhất trong trường hợp của ASUS, họ đã ngụy trang dưới dạng các bản cập nhật bảo mật. Kiểu tấn công này được gọi là “Các cuộc tấn công vào chuỗi phân phối. Người dùng Linux của chúng ta có an toàn không?
Theo công ty bảo mật Kasperly, một nhóm tội phạm đã tìm cách xâm nhập máy chủ được sử dụng bởi hệ thống cập nhật của ASUS. Điều này cho phép họ cài đặt tệp có phần mềm độc hại nhưng được ký bằng chứng chỉ kỹ thuật số xác thực. Thông tin trên cũng đã được Symantec xác nhận.
Tấn công chuỗi cung ứng là gì?
En Trong một cuộc tấn công vào chuỗi phân phối, phần mềm độc hại được chèn vào trong quá trình lắp ráp phần cứng. Nó cũng có thể xảy ra trong cài đặt hệ điều hành hoặc các bản cập nhật tiếp theo. Chúng ta cũng đừng quên trình điều khiển hoặc chương trình được cài đặt sau. Như trường hợp của ASUS đã chỉ ra, việc xác minh tính xác thực bằng chứng chỉ kỹ thuật số dường như không thành công.
Vào năm 2017, CCleaner, một chương trình Windows phổ biến, đã bị một cuộc tấn công chuỗi phân phối. Một bản cập nhật giả đã lây nhiễm cho hơn hai triệu máy tính.
Các hình thức tấn công vào chuỗi phân phối
Cùng năm đó, bốn trường hợp tương tự khác đã được biết đến. Tội phạm đã xâm nhập vào cơ sở hạ tầng máy chủ để phân phối các bản cập nhật giả mạo. Để thực hiện kiểu tấn công này, thiết bị của một nhân viên sẽ bị xâm phạm. Bằng cách này, họ có thể truy cập vào mạng nội bộ và có được các thông tin xác thực truy cập cần thiết. Nếu bạn làm việc trong một công ty phần mềm, đừng mở các bài thuyết trình hài hước hoặc truy cập các trang web khiêu dâm tại nơi làm việc.
Nhưng đây không phải là cách duy nhất để làm điều đó. Những kẻ tấn công có thể chặn việc tải xuống tệp, chèn mã độc hại vào nó và gửi nó đến máy tính mục tiêu. Đây được gọi là lệnh cấm của chuỗi cung ứng. Các công ty không sử dụng các giao thức được mã hóa như HTTPS tạo điều kiện cho các kiểu tấn công này thông qua các bộ định tuyến và mạng Wi-Fi bị xâm phạm.
Trong trường hợp các công ty không thực hiện các biện pháp an ninh một cách nghiêm túc, tội phạm có thể truy cập máy chủ tải xuống. Tuy nhiên, chỉ cần các chứng chỉ số và quy trình xác thực được sử dụng để vô hiệu hóa chúng là đủ.
Một nguồn nguy hiểm khác là Các chương trình không tải xuống các bản cập nhật dưới dạng các tệp riêng biệt. Các ứng dụng tải và chạy nó trực tiếp trong bộ nhớ.
Không có chương trình nào được viết từ đầu. Nhiều sử dụng thư viện, khuôn khổ và bộ công cụ phát triển do bên thứ ba cung cấp. Trong trường hợp bất kỳ ứng dụng nào trong số chúng bị xâm phạm, vấn đề sẽ lây lan sang các ứng dụng sử dụng nó.
Đó là cách bạn đã cam kết với 50 ứng dụng từ cửa hàng ứng dụng Google.
Phòng thủ chống lại "các cuộc tấn công vào chuỗi cung ứng"
Bạn đã bao giờ mua một máy tính bảng giá rẻ với Android? Nhiều người trong số họ họ đến với Các ứng dụng độc hại được tải trước trong chương trình cơ sở của bạn. Các ứng dụng được cài đặt sẵn thường có đặc quyền hệ thống và không thể gỡ cài đặt. Phần mềm chống vi-rút di động có các đặc quyền giống như các ứng dụng thông thường, vì vậy chúng cũng không hoạt động.
Lời khuyên là đừng mua loại phần cứng này, mặc dù đôi khi bạn không có sự lựa chọn. Một cách khả thi khác là cài đặt LineageOS hoặc một số biến thể khác của Android, mặc dù làm như vậy đòi hỏi một mức độ kiến thức nhất định.
Cách bảo vệ duy nhất và tốt nhất mà người dùng Windows có để chống lại kiểu tấn công này là thiết bị phần cứng. Thắp nến lên vị thánh chuyên giải quyết những chuyện như thế này và cầu xin sự bảo vệ.
Nó xảy ra rằng không có phần mềm bảo vệ người dùng cuối nào có thể ngăn chặn các cuộc tấn công như vậy. Phần sụn đã sửa đổi sẽ phá hoại chúng hoặc cuộc tấn công được thực hiện trong RAM.
Đó là một vấn đề của tin tưởng các công ty chịu trách nhiệm về các biện pháp an ninh.
Linux và "cuộc tấn công chuỗi cung ứng"
Nhiều năm trước, chúng tôi tin rằng Linux là bất khả xâm phạm đối với các vấn đề bảo mật. Vài năm gần đây cho thấy không phải vậy. Mặc dù công bằng, những vấn đề bảo mật đó đã được phát hiện và sửa chữa trước khi chúng có thể bị khai thác.
Kho phần mềm
Trong Linux, chúng ta có thể cài đặt hai loại phần mềm: miễn phí và mã nguồn mở hoặc độc quyền. Trong trường hợp đầu tiên, mã hiển thị cho bất kỳ ai muốn xem lại. Mặc dù đây là một biện pháp bảo vệ lý thuyết nhiều hơn thực tế vì không có đủ người có đủ thời gian và kiến thức để xem lại tất cả các mã.
Điều gì xảy ra nếu nó cấu thành bảo vệ tốt hơn là hệ thống kho lưu trữ. Hầu hết các chương trình bạn cần có thể được tải xuống từ máy chủ của mỗi bản phân phối. Y nội dung của nó được kiểm tra cẩn thận trước khi cho phép tải xuống.
Chính trị an ninh
Sử dụng trình quản lý gói cùng với các kho lưu trữ chính thức giúp giảm nguy cơ cài đặt phần mềm độc hại.
Một số bản phân phối như Debian mất nhiều thời gian để đưa một chương trình vào nhánh ổn định của nó. Trong trường hợp của UbuntuNgoài cộng đồng mã nguồn mở, tĐã thuê nhân viên xác minh tính toàn vẹn của từng gói hàng tổng hợp. Rất ít người quan tâm đến việc đăng các bản cập nhật. Phân phối mã hóa các gói và Chữ ký được kiểm tra cục bộ bởi Trung tâm phần mềm của từng thiết bị trước khi cho phép lắp đặt.
Một cách tiếp cận thú vị là Bốp! OS, hệ điều hành dựa trên Linux có trong máy tính xách tay System76.
Các bản cập nhật chương trình cơ sở được phân phối bằng máy chủ bản dựng, chứa chương trình cơ sở mới và máy chủ ký tên, máy chủ này xác minh rằng chương trình cơ sở mới đến từ bên trong công ty. Hai máy chủ chỉ kết nối qua cáp nối tiếp. Việc thiếu mạng giữa cả hai có nghĩa là một máy chủ không thể được truy cập nếu đầu vào được thực hiện thông qua máy chủ khác
System76 cấu hình nhiều máy chủ xây dựng cùng với máy chủ chính. Để xác minh bản cập nhật chương trình cơ sở, bản cập nhật đó phải giống nhau trên tất cả các máy chủ.
Hôm nay, cNgày càng có nhiều chương trình được phân phối dưới các định dạng khép kín được gọi là Flatpak và Snap. Kể từ khi ecác chương trình này không tương tác với các thành phần hệ thống, một bản cập nhật độc hại sẽ không thể gây hại.
Dù sao, ngay cả hệ điều hành an toàn nhất cũng không được bảo vệ khỏi sự liều lĩnh của người dùng. Cài đặt các chương trình không rõ nguồn gốc hoặc định cấu hình sai quyền có thể gây ra các sự cố giống hệt như trong Windows.