Hoe jezelf te beschermen wanneer een populaire software wordt gehackt
Sinds de uitvinding van computernetwerken hebben hackers altijd geprobeerd illegaal toegang te krijgen tot systemen en controle te krijgen over verschillende bedrijfsmiddelen op internet. Gewoonlijk zouden ze dit doen door te proberen gebruikers over te halen om geïnfecteerde software te downloaden die hen toegang geeft tot de machines van de slachtoffers.
Maar wat als ze geen enkele vleermuis nodig hebben? Wat als ze hun virussen verspreiden via anders legitieme kanalen door een software-update te kapen? Dit gebeurde toen hackers de distributie van de 5.33 update van CCleaner ergens in september 2017 overnamen en Cisco de aanval later in de maand ontdekte.
Een woord over supply chain-aanvallen
Het soort incident dat de gebruikers van CCleaner zojuist hebben geleden, staat bekend als een supply chain-aanval. Hackers gebruikten de beveiliging van de ontwikkelaar (Avast, niet minder), injecteerden hun eigen malware in CCleaner en maakten de 5.33-update soepel beschikbaar voor 700 duizend computers. De malware binnenin plaatste niet alleen al deze computers in een botnet, maar richtte zich ook op twintig verschillende grote technologiebedrijven (waaronder Cisco), die probeerden informatie te krijgen over hun systemen en bewerkingen.
Dit is een zeer geavanceerde vorm van spionage die we vaak zien komen van overheidsinstellingen en andere corrupte entiteiten die in staat zijn om een team van geschoolde programmeurs in te huren.
Supply chain-aanvallen zijn bijzonder gevaarlijk omdat de beschadigde software via legitieme kanalen naar uw computer gaat. Hackers krijgen ongeoorloofde toegang tot deze servers op dezelfde manier als waarop zij zich bij een andere server zouden aanmelden, meestal door een kwetsbaarheid in software die zij gebruiken te exploiteren of door geavanceerde vormen van phishing te gebruiken.
Wat kun je doen om deze aanvallen te stoppen?
S, we hebben vastgesteld dat de malware in een supply chain-aanval afkomstig is van legitieme kanalen. Dit betekent dat zelfs als je er alles aan doet om te voorkomen dat je geïnfecteerd raakt (zoals alleen het downloaden van software van betrouwbare bronnen), je nog steeds het slachtoffer kunt worden van dit soort aanvallen zonder het te weten. Misschien is het meest verontrustende aspect van dit soort aanvallen het feit dat alles wat kan worden gedaan om dit te voorkomen volledig in handen is van de entiteit die de software distribueert. Je hebt letterlijk geen controle over preventie.
U kunt echter de schade die een dergelijke aanval toebrengt, beperken door voortdurend op de hoogte te blijven van uw software. Ik weet dat het nogal contraproductief klinkt, omdat je nog steeds vertrouwt op de distributeur die je de software in de eerste plaats heeft gegeven. Maar omdat zij degenen waren die werden gecompromitteerd door de hackers, zullen zij ook een "vervolgupdate" voor hun software uitbrengen.
Wees echter op uw hoede voor software die al een tijdje niet is bijgewerkt (enkele maanden tot een jaar). Het is goed mogelijk dat de ontwikkelaar het project heeft verlaten. Maar als die software automatisch wordt geüpdatet, kunnen hackers hier misbruik van maken en u een geïnfecteerde kopie geven.
Omdat de ontwikkelaar het project heeft verlaten, bestaat de kans dat deze geen oplossing vrijgeeft. Hoewel je zou verwachten dat verlaten software-projecten hun updateservers afsluiten, gebeurt dit niet altijd. Soms plaatst de ontwikkelaar ook andere projecten op dezelfde server die mogelijk actief is.
Hier is echter de kicker: zelfs als de server niet meer op is, verloopt de URL op een gegeven moment. Het enige wat een persoon hoeft te doen om malware via legitieme kanalen te distribueren, is door de DNS aan te schaffen en gewoon zijn "nieuwe" versie door te drukken. Het enige dat u kunt doen om dit te voorkomen, is om automatische updates uit te schakelen voor software die niet meer wordt gebruikt.
Zulke dingen gebeuren zelden, maar als zoiets als CCleaner op een dergelijke manier kan worden gekaapt, is het onwaarschijnlijk dat de supply chain-aanvallen in een neerwaartse trend zitten. Integendeel, we mogen verwachten dat een evenement als dit hackers zal inspireren hun eigen stempel te achter te laten.
Heeft u nog andere adviezen die in dit scenario nuttig kunnen zijn? Laten we dit in een opmerking bespreken!