Uwaga na aktualizacje legalnego oprogramowania. Mogą zawierać złośliwe pliki.
Przykładów nie trzeba szukać daleko. Wystarczy przypomnieć ostatni incydent z wyciekiem wrażliwych danych osobowych niemal połowy amerykanów z baz Equifax, jednej z trzech największych firm na świecie zajmującej się analizą kredytową i doradztwem. W przytoczonym przypadku hakerzy złamali zabezpieczenia strony internetowej, wykorzystując znaną już od kilku miesięcy lukę w zabezpieczeniach w Apache Struts.
Można przytoczyć setki podobnych przykładów złamania zabezpieczeń z wykorzystaniem luk bezpieczeństwa, do których od miesięcy istnieją aktualizacje. Większość administratorów odpowiedzialnych za bezpieczeństwo IT doskonale sobie zdaje sprawę z problemu i gdy tylko pojawiają się stosowne aktualizacje bezpieczeństwa, od razu je implementują. Chcąc jeszcze bardziej usprawnić i skrócić proces aktualizacji luk bezpieczeństwa, administratorzy często decydują się na oferowane przez wiarygodnych dostawców aktualizacje automatyczne.
Jednak czy automatyczne aktualizacje od zaufanych dostawców zawsze zawierają wyłącznie poprawki bezpieczeństwa lub kompatybilności? W niektórych przypadkach mogą zachodzić obawy, że poza pożądanymi aktualizacjami, w automatycznych updatach znajduje się coś jeszcze. American Civil Liberties Union (ACLU) - amerykańska organizacja non-profit, której celem jest ochrona praw obywatelskich gwarantowanych przez konstytucję, ostrzega przed backdorami umieszczonymi w legalnym oprogramowaniu, które mogą narazić twoje przedsiębiorstwo na wyciek danych.
ACLU ostrzega twórców oprogramowania przed agencjami rządowymi, które stosują praktyki wymuszania na producentach, umieszczenie złośliwego oprogramowania typu backdoor swoich produktach. Automatyczne aktualizacje ułatwiają pracę agencjom wywiadowczym, które chcą umieścić beckdoora w twojej firmie. Instytucje te mogą zażądać umieszczenia złośliwego kodu w aktualizacjach. Służby bezpieczeństwa posiadają niezbędne do tego uprawnienia, mogą wystąpić o nakaz sądowy oraz zmusić do zachowania tajemnicy.
Raport ACLU stwierdza, że takie żądania mogą się nasilić w wyniku coraz popularniejszego szyfrowania i wzrostu świadomości o lukach bezpieczeństwa wśród administratorów IT.
"Prawdopodobieństwo że rządowe służby bezpieczeństwa będą próbowały wymusić na producentach lub programistach umieszczanie backdorów w aktualizacjach oprogramowania jest coraz większe. Problem wynika z coraz powszechniejszego stosowania szyfrowania danych. Wraz z uszczelnianiem luk bezpieczeństwa w systemach IT służby bezpieczeństwa poszukują alternatywnych rozwiązań dających możliwość inwigilacji".
Programiści powinni się zapoznać z raportem ACLU i zaleceniami, jak postępować w przypadku ingerencji służb bezpieczeństwa. Należy sobie również zdawać sprawę, że zagrożeniem są nie tylko agencje rządowe, które mogą podejmować próby ingerencji w automatyczne aktualizacje celem umieszczenia złośliwego kodu. Przykładem jest rozprzestrzeniający się z w niezwykle szybkim tempie atak ransomware z zeszłego roku, który wyrządził poważne szkody na Ukrainie.
W ataku wykorzystano szkodliwe oprogramowanie (znane pod nazwą Petya, NotPetya lub GoldenEye), które rozpowszechniano za pomocą automatycznego updatu popularnego programu księgowego MeDoc. Wiele się spekuluje, kto stoi za atakiem, nie ma jednak żadnych podstaw, by oskarżać o to producenta MeDoc. Wszystko wskazuje na fakt, że hakerzy włamali się na serwery producenta i wykorzystali mechanizm automatycznych aktualizacji do rozpowszechnienia złośliwego kodu wśród klientów.
Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL