Hur skyddar du dig när en populär programvara är hackad
Sedan uppfinningen av datanätverk har hackare alltid försökt att illegitimt komma in på system och få kontroll över olika tillgångar över hela webben. Vanligtvis skulle de göra det genom att försöka samla användare att ladda ner infekterad programvara som ger dem tillgång till offrens maskiner.
Men vad händer om de inte behöver göra någon coaxing? Vad händer om de distribuerar sina virus genom andra legitima kanaler genom att kapra en mjukvaruuppdatering? Detta är vad som hände när hackare tog över distributionen av CCleansers 5.33-uppdatering någon gång i september 2017 och Cisco upptäckte attacken senare i månaden.
Ett ord på Supply Chain Attacks
Den typ av incident som CCleaner användare bara lidit är känd som en försörjningskedjaattack. Hackers utnyttjade säkerheten för sin utvecklare (Avast, inte mindre), injicerade sin egen skadlig kod till CCleaner och släppte smidigt 5.33 uppdateringen till 700 tusen datorer. Malware inuti sätter inte bara alla dessa datorer i botnet utan riktar sig också mot tjugo olika stora teknikföretag (inklusive Cisco), för att få information om sina system och operationer.
Det här är en mycket sofistikerad form av spionage som vi ofta ser från statliga institutioner och andra korrupta enheter som kan anställa ett team av skickliga kodare.
Anfallskedjans attacker är särskilt farliga eftersom den skadade programvaran kommer via legitima kanaler till din dator. Hackare får obehörig åtkomst till dessa servrar med samma metoder som de skulle logga in på någon annan server, vanligtvis genom att antingen utnyttja en sårbarhet i programvara som de kör eller använder sofistikerade former av phishing.
Vad kan du göra för att stoppa dessa attacker?
S, vi har fastställt att malware kommer från legitima kanaler i en försörjningskedjans attack. Det betyder att även om du gör allt du kan för att förhindra att du smittar (t.ex. bara nedladdning av programvara från betrodda källor), kan du fortfarande bli offer för denna typ av attack utan att ens veta det. Kanske är den mest oroliga aspekten av dessa typer av attacker det faktum att det som kan göras för att förhindra att detta helt står i kontrollen av enheten som distribuerar mjukvaran. Du har bokstavligen ingen kontroll över förebyggande.
Du kan dock mildra skadan som en sådan attack gör genom att hålla dig uppdaterad om din programvara. Jag vet att det låter lite motproduktivt med tanke på att du fortfarande litar på distributören som gav dig mjukvaran i första hand. Men för att de var de som skadades av hackarna, kommer de också att släppa en uppföljningsuppdatering till sin programvara.
Var försiktig, dock med programvara som inte har uppdaterats på ett tag (flera månader till ett år). Det är ganska möjligt att utvecklaren har övergivit projektet. Men om den programvaran uppdateras automatiskt kan hackare dra nytta av detta och ge dig en infekterad kopia.
Eftersom utvecklaren har övergivit projektet finns det en chans att de inte kommer att släppa en fix. Även om du förväntar dig att övergivna mjukvaruprojekt stängs av sina uppdateringsservrar, sker det inte alltid. Ibland placerar utvecklaren också andra projekt på samma server som kan vara aktiva.
Här är dock kickern, även om servern inte längre är uppe, kommer URL-adressen att löpa ut vid någon tidpunkt. Då måste alla en person göra för att distribuera skadlig kod via legitima kanaler att köpa DNS och bara trycka på deras "nya" version genom. Det enda du kan göra för att förhindra detta är att stänga av automatisk uppdatering av programvara som har övergivits.
Saker som dessa händer sällan, men om något som CCleaner kan kapas på ett sådant sätt är det osannolikt att försörjningskedjan attacker är i en nedåtgående trend. Tvärtom kan vi förvänta oss att se en händelse som den här inspirerar hackare att lämna sitt eget varumärke.
Har du några andra råd som kan vara användbara i detta scenario? Låt oss prata om detta i en kommentar!