Кибербезопасность и антивирусная компания Kaspersky сбросили бомбу на пользователей ноутбуков Asus на этой неделе, обнаружив, что вредоносное ПО распространялось с помощью утилиты Asus Live Update. Оно маскировалось как законное обновление для системы безопасности и даже имело «проверенный» сертификат, размещенный на серверах Asus, чтобы сделать его действительным.
Касперский считает эту атаку «одним из самых больших инцидентов в цепочке поставок». В период с 2017 по 2018 годы количество таких атак возросло на 78%. Это не должно вызывать тревогу только у пользователей Asus. Это должно побудить вас серьезно подумать, хотите ли вы использовать Windows на вашем ПК. Потому что вероятность того, что это когда-либо случится на настольной ОС Linux, такой как Ubuntu, ничтожна.
Насколько серьезен ShadowHammer?
По давней традиции страшных кодовых имен для таких атак, Касперский назвал атаку «ShadowHammer». Компания сообщает, что, согласно статистике, ее уже установили более 57 000 пользователей продуктов «Лаборатории Касперского» (например, Антивируса Касперского). Тем не менее, по их оценкам, его истинный охват распространяется на 1 миллион компьютеров Asus.
Насколько мне известно, это затмило только печально известная атака CCleaner, которая была распространена на 2,7 миллиона ПК с Windows.
Мотивация атаки вредоносного ПО неясна, но, по-видимому, она нацелена только на 600 конкретных MAC-адресов. После обнаружения, атака будет нарастать, чтобы установить больше программного обеспечения для дальнейшего компрометации системы.
Для информативного и подробного обсуждения этой атаки послушайте подкаст TechSnap Episode 400 .
Еще более пугающим является то, что Касперский обнаружил, что тот же тип техники, который использовался в программном обеспечении Asus Live Update, также использовался против трех других поставщиков. Компания пообещала раскрыть более содержательную информацию на предстоящем саммите Security Analyst Summit в Сингапуре.
После связи с Касперским, The Verge сообщает, что Asus, очевидно, отрицал, что атака была совершена с его серверов. Однако в последующем пресс-релизе Asus признал, что это была «изощренная атака» на его серверы Live Update.
Извинений не последовало. Это не то, как вы строите доверие. (Тем более, что это далеко не первая ошибка безопасности, допущенная Asus.)
С тех пор Asus исправила программное обеспечение Live Update и выпустила инструмент для пользователей, чтобы определить, принадлежат ли они одному из определенных целевых компьютеров. Учитывая обстоятельства, я даже не собираюсь ссылаться на него, но он доступен на этой странице пресс-релиза.
В разделе часто задаваемых вопросов, опубликованном вместе с пресс-релизом, содержится жгучий совет для пользователей, пострадавших от атаки вредоносного ПО: «Немедленно запустите резервное копирование ваших файлов и восстановите операционную систему до заводских настроек», — говорится в сообщении. «Это полностью удалит вредоносное ПО с вашего компьютера. Чтобы обеспечить безопасность вашей информации, ASUS рекомендует регулярно обновлять пароли.»
Что меня действительно волнует в этой ситуации, так это то, что «Касперский» использует слово «тизер» в URL-адресе, связанном с его сообщением в ShadowHammer, как будто это какой-то трейлер фильма. И потом, компания предупреждает, что три других азиатских поставщика программного обеспечения подверглись нападению с использованием того же метода, не раскрывая, кто они.
Но вся эта информация является лишь предысторией для реальной точки зрения, которую я пытаюсь сформировать.
Почему Ubuntu (и Linux в целом) безопаснее
Подумайте, сколько компаний имеют независимый контроль над программным и аппаратным обеспечением на вашем ПК с Windows. Intel, AMD, Dell, Nvidia, Realtek и ряд других. Подавляющее большинство кода, который они используют на вашем компьютере, не имеет открытого исходного кода. Это означает, что он не подлежит проверке сотнями миллионов людей, использующих его. Код не может быть проверен независимо. Код поступает из разных мест в нескольких утилитах обновления.
На Ubuntu и другие дистрибутивы Linux, мои обновления прошивки, обновления программного обеспечения и обновления безопасности поступают из одного источника: встроенный центр программного обеспечения операционной системы.
Следующая часть важна: только несколько человек в Asus отвечают за безопасность программного обеспечения и прошивки, отправляемых через утилиту Asus Live Update. И почти наверняка никто не видел код, в том числе Microsoft, до того, как он вышел тем миллионам пользователей ноутбуков Asus.
Вместо того, чтобы основывать весь мой аргумент о том, что Linux безопаснее на личном опыте или субъективных мнениях, я обратился к Алексу Мюррею в Canonical. Мюррей — ведущий специалист по безопасности для Ubuntu, дистрибутива Linux, которым пользуются сотни миллионов человек. Ubuntu питает всё, от устройств IoT до домашних настольных компьютеров; суперкомпьютеры для веб-серверов, обеспечивающих большую часть вашего опыта в Интернете. Netflix работает на Ubuntu, как Amazon Web Services. Вне вашего дома, Lyft а также Uber работают на Ubuntu.
Мой вопрос к Мюррею был прост. Может ли что-то подобное ShadowHammer произойти в Linux?
Мюррей признает, что, хотя такая атака возможна в Linux, но её осуществление было бы намного сложнее.
Ubuntu основана на Debian, один из крупнейших и наиболее зрелых доступных дистрибутивов Linux. «Многие из наших исходных пакетов происходят из Debian, где мы добавляем патчи для Ubuntu», — говорит Мюррей.
Таким образом, Мюррей объясняет, что «многие люди могут обнаружить любые возможные вредоносные изменения в программном пакете». В этом красота открытого исходного кода. Изменения представляются публично, и каждая строка кода может быть тщательно изучена.
Конечно, должна быть более продуманная система сдержек и противовесов, которая не зависит исключительно от сообщества.
«Различные команды сотрудников Canonical отвечают за поддержание пакетов в «главном» разделе программного архива Ubuntu, и поэтому мы предоставляем дальнейший обзор и надзор за исходным кодом в этих пакетах», — говорит Мюррей. «Важно, что только доверенные лица могут публиковать обновления программного пакета, что снова поднимает планку для предотвращения такого рода атак. Наконец, у нас есть сильное и целеустремленное сообщество разработчиков и пользователей, которые помогают обеспечить еще более высокий уровень надзора, что дает нам хороший подход к глубокой защите для обнаружения такого рода атаки.»
Короче говоря, это означает, что даже если надежный разработчик скомпрометирован, есть другие люди, которые, вероятно, заметят это.
Но даже этого недостаточно, поэтому Canonical делает шаг вперед.
«С точки зрения конечного пользователя, Ubuntu использует подписанный подход к архивированию, где каждый пакет криптографически хешируется, а список хэшей подписывается таким образом, что наш менеджер пакетов не будет устанавливать пакеты, которые не проходят проверку подписи и целостности», — объясняет Мюррей.
Это означает, что даже если зеркало Ubuntu (внешний программный источник, не управляемый непосредственно Canonical) было скомпрометировано и кто-то загрузил туда вредоносные копии пакетов, оно не пройдет проверку подписи и не будет установлено.
«Мы также предлагаем цифровые подписи для проверки целостности установочных ISO-образов», — говорит Мюррей. «Таким образом, вместе с подписями репозитория пользователи могут быть уверены, что программное обеспечение, которое они загружают и устанавливают, публикуется Ubuntu, и со всеми различными обзорами, изложенными выше, у нас есть много возможностей обнаружить любые возможные вредоносные изменения в публикуемых программных пакетах.»
Защита прошивки через блокчейн
Обновления прошивки часто упускаются из виду — но легко манипулируются — потенциальным источником атаки. Pop! _OS, один из моих любимых дистрибутивов Linux, использует возможности блокчейна, чтобы гарантировать, что обновления встроенного микропрограммного обеспечения, предоставляемые его пользователям, не могут быть использованы.
«Обновления прошивки поставляются с использованием сервера сборки, который содержит новую прошивку, и сервера подписи, который проверяет, что новая прошивка пришла изнутри компании», — пишет System76. — «Два сервера подключены только по последовательному кабелю. Отсутствие сети между ними означает, что доступ к одному серверу невозможен, если запись достигается через другой сервер.»
System76 настраивает несколько серверов сборки наряду с этим основным. Для проверки обновления прошивки оно должно быть одинаковым на всех серверах. «Если хотя бы один сервер сборки содержит скомпрометированное обновление микропрограммы, это обновление не может перейти к подписанию и не будет доставлено нашим клиентам», — говорит System76.
Это очень похоже на работу майнинга криптовалюты и, возможно, является более полезной и дальновидной реализацией блокчейна.
Выберите Linux
Суть в том, что в Windows слишком много потенциальных точек атаки, большинство из которых не контролируются непосредственно самой компанией, разрабатывающей операционную систему. Подавляющее большинство кода не может быть проверено сообществом. Для предотвращения этих атак требуется меньше сдержек и противовесов. Посмотрев, как Ubuntu и другие дистрибутивы Linux обеспечивают безопасность своих пользователей, подход Microsoft в Windows начинает казаться намного менее вменяемым.
И если вы настороженно относитесь к Linux, потому что считаете его устаревшим и неудобным для пользователя, вот несколько статей, которые могут изменить ваше мнение, в том числе статья, которая поможет найти идеальную ОС, отвечающую вашим потребностям:
- 5 лучших дистрибутивов Linux для ноутбуков
- 11 лучших дистрибутивов Linux для программистов
- 5 лучших дистрибутивов Linux для установки на USB-накопитель
- 5 лучших дистрибутивов Linux для игр
Источник: Forbes