Sådan beskytter du dig selv, når en populær software er hacket
Siden opfindelsen af computernetværk har hackere altid forsøgt at få illegitim adgang til systemer og få kontrol over forskellige aktiver på tværs af internettet. Normalt ville de gøre det ved at forsøge at lokke brugere til at downloade inficeret software, der giver dem adgang til ofrenes maskiner.
Men hvad nu hvis de ikke behøver at gøre noget coaxing? Hvad nu hvis de distribuerer deres virus gennem ellers legitime kanaler ved at kapre en softwareopdatering? Dette er hvad der skete, da hackere overtog distributionen af CCleaner's 5.33-opdatering en gang i september 2017, og Cisco opdagede angrebet senere i måneden.
Et ord på supply chain angreb
Den slags hændelse, som CCleaner's brugere lige lidt under, er kendt som et forsyningskædesangreb. Hackere udnyttede sikkerheden af sin udvikler (Avast, ikke mindre), injicerede deres egen malware til CCleaner, og gav jævnligt den 5.33 opdatering til 700.000 computere. Malware inde i ikke blot sætte alle disse computere i en botnet, men også målrettet 20 forskellige store tech virksomheder (herunder Cisco), forsøger at få oplysninger om deres systemer og operationer.
Dette er en meget sofistikeret form for spionage, vi ofte ser kommer fra offentlige institutioner og andre korrupte enheder, der er i stand til at ansætte et team af dygtige kodere.
Supply chain-angreb er særlig farlige, fordi den beskadigede software kommer via legitime kanaler til din computer. Hackere får uautoriseret adgang til disse servere ved hjælp af de samme metoder, de ville logge ind på en anden server, normalt ved enten at udnytte en sårbarhed i software, som de kører eller bruger sofistikerede former for phishing.
Hvad kan du gøre for at stoppe disse angreb?
S, vi har fastslået, at i en forsyningskædesangreb kommer malware fra legitime kanaler. Det betyder, at selvom du gør alt, hvad du kan for at undgå at blive smittet (som f.eks. Kun at downloade software fra pålidelige kilder), kan du stadig blive offer for denne form for angreb uden at engang kende det. Måske er det mest foruroligende aspekt ved disse typer angreb det faktum, at hvad der kunne gøres for at forhindre dette er helt i kontrol af den enhed, der distribuerer softwaren. Du har bogstaveligt talt ingen kontrol over forebyggelse.
Du kan dog begrænse den skade, som et sådant angreb gør ved løbende at holde dig opdateret på din software. Jeg ved, det lyder lidt modproduktivt i betragtning af at du stadig stoler på den distributør, der gav dig softwaren i første omgang. Men fordi de var dem, der blev ramt af hackerne, vil de også udgive en "opfølgende" opdatering til deres software.
Vær dog forsigtig med software, der ikke er opdateret om et stykke tid (flere måneder til et år). Det er helt muligt, at bygherren har forladt projektet. Men hvis den software opdateres automatisk, kan hackere udnytte dette og give dig en inficeret kopi.
Da bygherren har forladt projektet, er der en chance for, at de ikke vil frigive en løsning. Selv om du forventer at forladte softwareprojekter skal lukke deres opdateringsservere, sker det ikke altid. Nogle gange placerer bygherren også andre projekter på den samme server, som kan være aktive.
Her er kickeren, selvom: Selvom serveren ikke længere er op, udløber URL'en på et tidspunkt. Så alle en person skal gøre for at distribuere malware via legitime kanaler er at købe DNS og blot skubbe deres "nye" version igennem. Det eneste du kan gøre for at forhindre dette er at slukke for enhver automatisk opdatering af software, der er blevet forladt.
Sådanne ting sker sjældent, men hvis noget som CCleaner kan kapres på en sådan måde, er det usandsynligt, at forsyningskæden angreb er i en nedadgående tendens. Tværtimod kan vi forvente at se en begivenhed som denne inspirerer hackere til at forlade deres eget mærke.
Har du andre råd, der kan være nyttige i dette scenario? Lad os tale om dette i en kommentar!