偽造的 CCleaner 更新被用來通過“連鎖攻擊”感染數千台計算機。
上周有消息稱 數千名華碩客戶和其他三家未透露姓名的公司收到了惡意軟件。 至少就華碩而言,他們是 偽裝成安全更新。 這種類型的攻擊稱為 «對分銷鏈的攻擊。 我們Linux用戶安全嗎?
據安全公司 Kasperly 稱,一群犯罪分子成功入侵了華碩更新系統使用的服務器。 這讓他們能夠 安裝帶有惡意軟件但使用真實數字證書籤名的文件。 該消息也得到了賽門鐵克的證實。
什麼是分銷鏈攻擊?
En 在分銷鏈攻擊中,惡意軟件是在硬件組裝過程中插入的。 它也可能發生在 安裝操作系統或後續更新。 我們也不要忘記 稍後安裝的驅動程序或程序。 正如華碩的案例所示,使用數字證書進行真實性驗證似乎行不通。
2017年,Windows流行程序CCleaner遭受了時序鏈攻擊。 通過虛假更新,超過 XNUMX 萬台計算機被感染。
分銷鏈上的攻擊類型
同年,另外四起類似案件也被曝光。 犯罪分子滲透服務器基礎設施來分發虛假更新。 為了進行這種類型的攻擊,員工的計算機會受到損害。 因此,他們設法訪問內部網絡並獲得必要的訪問憑據。 如果您在軟件公司工作,請不要在工作時打開有趣的演示文稿或訪問色情網站。
但這並不是唯一的方法。 攻擊者可以攔截文件下載,在其中插入惡意代碼,然後將其發送到目標計算機。 這稱為正時鏈禁令。 不使用 HTTPS 等加密協議的公司會通過受損的 Wi-Fi 網絡和路由器促進此類攻擊。
如果公司不認真採取安全措施,犯罪分子就會 可以訪問下載服務器。 然而,使用數字證書和驗證程序來抵消它們就足夠了。
另一個危險來源是 不將更新下載為單獨文件的程序。 應用程序直接在內存中加載並運行它。
沒有程序是從頭開始編寫的。 很多用 第三方提供的庫、框架和開發工具包。 如果其中任何一個受到損害,問題將蔓延到使用它的應用程序。
Google 應用商店中的 50 個應用程序就是這樣被盜用的。
防禦“分銷鏈攻擊”
你買過嗎 便宜的平板電腦 與安卓? 許多人 他們來了 惡意應用程序預加載到您的固件上。 預裝的應用程序通常具有系統權限並且無法卸載。 移動防病毒軟件具有與普通應用程序相同的權限,因此它們也不起作用。
建議您不要購買此類硬件,儘管有時您別無選擇。 另一種可能的方法是安裝 LineageOS 或 Android 的其他變體,儘管這樣做需要一定程度的知識。
Windows 用戶針對此類攻擊的最佳防禦措施是硬件設備。 為處理此類事情的聖人點蠟燭並請求保護。
發生了 沒有專門針對最終用戶的保護軟件能夠防止此類攻擊。 要么是修改後的固件破壞了它們,要么是在 RAM 中進行了攻擊。
這是一個問題 信任公司對安全措施負責。
Linux 和“分發鏈攻擊”
多年前,我們相信 Linux 不會受到安全問題的影響。 近年來,事實證明並非如此。 雖然公平, 這些安全問題在被利用之前就被檢測到並修復。
軟件倉庫
在 Linux 中,我們可以安裝兩種類型的軟件:免費、開源或專有。 在第一種情況下, 任何想要查看該代碼的人都可以看到該代碼。 儘管這只是理論上的保護,而不是實際的保護,因為沒有足夠的人有時間和知識來審查所有代碼。
構成什麼 更好的保護是存儲庫系統。 您需要的大部分程序都可以從各個發行版的服務器上下載。 和 在允許下載之前,其內容會經過仔細審查。
安全政治
將包管理器與官方存儲庫結合使用可以降低安裝惡意軟件的風險。
一些發行版如 Debian 需要很長時間才能將程序納入其穩定分支。 在的情況下,中 Ubuntu,除了開源社區之外,已聘請員工驗證每個包裹的完整性 總計的。 很少有人費心去發布更新。 分發對數據包進行加密,並且 簽名由軟件中心在本地檢查 在允許安裝之前檢查每台計算機的信息。
一個有趣的方法是 流行音樂! OS,System76 筆記本電腦中包含的基於 Linux 的操作系統。
固件更新是使用包含新固件的構建服務器和驗證新固件是否來自公司內部的簽名服務器來提供的。 兩台服務器 僅通過串行電纜連接。 兩者之間缺乏網絡意味著如果通過另一台服務器登錄則無法到達其中一台服務器
System76 在主服務器旁邊配置了多個構建服務器。 為了驗證固件更新,所有服務器上的固件更新必須相同。
今天,c。越來越多的程序以稱為 Flatpak 和 Snap 的獨立格式分發。 由於 e這些程序不與系統組件交互, 惡意更新不會造成損害。
反正, 即使是最安全的操作系統也無法避免用戶的魯莽行為。 安裝來源不明的程序或錯誤配置權限可能會導致與 Windows 中完全相同的問題。