伪造的CCleaner更新用于通过“供应链攻击”感染数千台计算机。
上周人们知道 成千上万的ASUS客户和其他三个不知名的公司收到了恶意软件。 至少在华硕的情况下 伪装成安全更新。 这种类型的攻击称为 “攻击分销链。 我们Linux用户安全吗?
根据安全公司Kasperly的说法,一群犯罪分子设法破坏了ASUS更新系统使用的服务器。 这使他们 安装带有恶意软件的文件,但使用真实的数字证书签名。 该信息也已被赛门铁克确认。
什么是供应链攻击?
En 在对分发链的攻击中,恶意软件会在硬件组装过程中插入。 它也可能在 操作系统的安装或后续更新。 我们也不要忘记 以后安装的驱动程序或程序。 正如ASUS所表明的那样,使用数字证书进行的真实性验证似乎并不成功。
2017年,流行的Windows程序CCleaner遭受了分销链攻击。 虚假更新感染了超过XNUMX万台计算机。
分销链上的攻击类型
同年,另外四起类似案件也为人所知。 犯罪分子渗透到服务器基础结构中以分发伪造的更新。 为了进行此类攻击,员工的设备受到了威胁。 这样,他们可以访问内部网络并获取必要的访问凭据。 如果您在软件公司工作,请不要打开有趣的演示文稿或在工作中访问色情网站。
但这不是唯一的方法。 攻击者可以拦截文件下载,将恶意代码插入其中,然后将其发送到目标计算机。 这被称为供应链禁令。 不使用HTTPS之类的加密协议的公司会通过受损的Wi-Fi网络和路由器来促进此类攻击。
如果公司不认真采取安全措施,则犯罪分子 可以访问下载服务器。 但是,使用数字证书和验证过程来抵消它们就足够了。
另一个危险来源是 不会将更新下载为单独文件的程序。 应用程序直接在内存中加载并运行它。
没有程序是从头开始编写的。 许多用途 第三方提供的库,框架和开发套件。 如果它们中的任何一个受到损害,问题将蔓延到使用它的应用程序。
这就是您承诺从Google应用商店中购买50个应用的方式。
防御“供应链攻击”
你有没有买过 便宜的平板电脑 使用Android? 许多人 他们来了 固件中预装了恶意应用程序。 预安装的应用程序通常具有系统特权,无法卸载。 移动防病毒与普通应用程序具有相同的特权,因此它们也不起作用。
建议不要购买这种类型的硬件,尽管有时您别无选择。 另一种可能的方法是安装LineageOS或其他Android变体,尽管这样做需要一定程度的知识。
Windows用户针对此类攻击的唯一且最佳的防御措施是硬件设备。 向处理此类事情并要求保护的圣人点燃蜡烛。
它发生了 没有最终用户保护软件可以阻止此类攻击。 修改后的固件会破坏它们,或者是在RAM中进行攻击。
这是一个问题 信任公司采取安全措施的责任。
Linux与“供应链攻击”
几年前,我们认为Linux不受安全问题的侵害。 最近几年表明事实并非如此。 虽然公平, 在利用这些安全问题之前,已对其进行了检测和纠正。
软件仓库
在Linux中,我们可以安装两种类型的软件:免费和开源或专有。 在第一种情况下, 该代码对任何想查看它的人都是可见的。 尽管这是理论上的保护,而不是实际的保护,因为没有足够的时间和知识来复习所有代码。
如果构成 更好的保护是存储系统。 您需要的大多数程序都可以从每个发行版的服务器上下载。 ÿ 在允许下载之前,请仔细检查其内容。
安全政治
将软件包管理器与官方存储库一起使用可降低安装恶意软件的风险。
一些分布,例如 Debian需要很长时间才能将程序包含在其稳定分支中。 在案件 Ubuntu,除了开源社区,雇用了员工来验证每个程序包的完整性 总计的。 很少有人负责发布更新。 分发对程序包进行加密,并且 软件中心在本地检查签名 在允许安装之前先对每个设备进行安装。
一个有趣的方法是 流行音乐! OS,System76笔记本电脑中包含的基于Linux的操作系统。
使用包含新固件的构建服务器和用于验证新固件是否来自公司内部的签名服务器来交付固件更新。。 两台服务器 仅通过串行电缆连接。 两者之间缺乏网络,意味着如果通过其他服务器进行输入,则无法访问服务器
System76与主服务器一起配置多个构建服务器。 要验证固件更新,所有服务器上的固件更新都必须相同。
今天,c越来越多的程序以称为Flatpak和Snap的自包含格式分发。 自e这些程序不会与系统组件进行交互, 恶意更新将不会造成伤害。
反正, 甚至没有最安全的操作系统受到用户鲁ck的保护。 从未知来源安装程序或权限配置错误可能导致与Windows完全相同的问题。