久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

9月19日消息，據(jù)國(guó)外媒體報(bào)道，我們往往接觸到的軟件安全問(wèn)題都是關(guān)于信任源：不要點(diǎn)擊不明來(lái)源的網(wǎng)頁(yè)鏈接或附件，只能從受信任的來(lái)源或受信任的應(yīng)用商店中安裝應(yīng)用程序。但是，最近黑客開(kāi)始在軟件供應(yīng)鏈上諸如攻擊，甚至在用戶(hù)點(diǎn)擊安裝之前，黑客已經(jīng)將惡意軟件植入到受信供應(yīng)商的軟件之中。

周一，思科Talos安全研究部門(mén)透露，上月黑客破壞了超流行的免費(fèi)電腦清理工具CCleaner，將一個(gè)后門(mén)插入到該工具的應(yīng)用程序更新中，至少影響了數(shù)百萬(wàn)臺(tái)個(gè)人電腦。這種攻擊將惡意軟件直接植入了CCleaner開(kāi)發(fā)商Avast的軟件開(kāi)發(fā)過(guò)程，并通過(guò)安全公司分發(fā)給用戶(hù)。這種攻擊越來(lái)越常見(jiàn)。在過(guò)去三個(gè)月里，黑客三次利用軟件供應(yīng)鏈中的漏洞在軟件公司自己的安裝程序或系統(tǒng)更新中植入惡意代碼，并通過(guò)那些受信渠道傳播惡意代碼。

思科Talos團(tuán)隊(duì)負(fù)責(zé)人克雷格·威廉姆斯(Craig Williams)表示“這些供應(yīng)鏈攻擊有相關(guān)性。 “攻擊者意識(shí)到，如果他們能找到那些沒(méi)有采用有效安全防范措施的軟件公司，他們就可以劫持起客戶(hù)群，并將其用作自己惡意軟件的安裝基礎(chǔ)。我們發(fā)現(xiàn)的類(lèi)似情況越多，也就意味著類(lèi)似的攻擊越多。“

根據(jù)Avast透露，從應(yīng)用程序第一次被破壞開(kāi)始，植入惡意軟件的CCleaner應(yīng)用程序的已經(jīng)安裝了287萬(wàn)次。直到上周，一個(gè)測(cè)試版的思科網(wǎng)絡(luò)監(jiān)控工具發(fā)現(xiàn)了其中問(wèn)題。事實(shí)上，以色列安全公司Morphisec早在8月中旬就提醒了Avast注意此類(lèi)問(wèn)題。而Avast雖然對(duì)CCleaner的安裝程序和更新進(jìn)行了加密，以防止攻擊者在沒(méi)有加密密鑰的情況下進(jìn)行欺騙下載。但是黑客們的高明之處在于，其在數(shù)字簽名生效之前就已經(jīng)侵入了Avast的軟件分發(fā)流程，這樣一來(lái)安全公司本質(zhì)上是為惡意軟件打上了安全的標(biāo)志，并把它分發(fā)給用戶(hù)。

兩個(gè)月前，也有黑客利用類(lèi)似的軟件供應(yīng)鏈漏洞將破壞性軟件“NotPetya”分發(fā)至數(shù)百個(gè)烏克蘭的目標(biāo)，同時(shí)也傳播到了其他歐洲國(guó)家和美國(guó)。該軟件是一種勒索病毒，在烏克蘭其通過(guò)一款被稱(chēng)為MeDoc的會(huì)計(jì)軟件更新進(jìn)行傳播。?NotPetya使用MeDoc的更新機(jī)制作為依托，然后通過(guò)企業(yè)網(wǎng)絡(luò)進(jìn)行傳播，造成了包括數(shù)千烏克蘭銀行和發(fā)電廠等公司業(yè)務(wù)癱瘓。線(xiàn)管影響甚至波及到了丹麥航空業(yè)巨頭馬士基以及美國(guó)制藥巨頭默克公司。

一個(gè)月之后，俄羅斯安全公司卡巴斯基研究人員發(fā)現(xiàn)了另一個(gè)軟件供應(yīng)鏈攻擊，他們將其稱(chēng)之為“Shadowpad”：黑客將一個(gè)后門(mén)程序通過(guò)企業(yè)網(wǎng)絡(luò)管理工具Netsarang的分發(fā)渠道下載到了韓國(guó)的數(shù)百家銀行，能源和藥品公司公司。卡巴斯基分析師Igor Soumenkov當(dāng)時(shí)寫(xiě)道：“ShadowPad是一個(gè)關(guān)于軟件供應(yīng)鏈攻擊的典型例子，也表明這種攻擊方式是可多么危險(xiǎn)和廣泛。”

對(duì)軟件供應(yīng)鏈的攻擊已經(jīng)多次出現(xiàn)。但是，安全公司Rendition Infosec的研究員和顧問(wèn)杰克·威廉姆斯(Jake Williams)表示，這些攻擊事件也引起了人們對(duì)安全的高度關(guān)注。威廉姆斯說(shuō)：“我們往往依賴(lài)于開(kāi)放源碼或分布廣泛的軟件，恰恰這些軟件本身就是易受攻擊的。對(duì)于黑客來(lái)說(shuō)，這些目標(biāo)唾手可得”

威廉姆斯認(rèn)為，黑客攻擊向供應(yīng)鏈的轉(zhuǎn)移部分原因是用戶(hù)端的安全性不斷提高，而公司也通過(guò)各種防火墻切斷了其他較為容易感染病毒的途徑?，F(xiàn)在，要發(fā)現(xiàn)Microsoft Office或PDF閱讀器等應(yīng)用程序中可能存在的漏洞并不像以前那樣容易，而且越來(lái)越多的公司都在發(fā)布安全補(bǔ)丁。威廉姆斯說(shuō)：“總體上的網(wǎng)絡(luò)安全性越來(lái)越好。但這些軟件供應(yīng)鏈攻擊打破了以往的所有模式，他們能夠通過(guò)防病毒和基本的安全檢查，有時(shí)安全補(bǔ)丁本身就是攻擊源。

在最近的一些安全事件中，黑客還通過(guò)另一種方式對(duì)軟件供應(yīng)鏈進(jìn)行攻擊，其攻擊的不僅僅是軟件公司，而且還會(huì)攻擊這些公司程序員使用的開(kāi)發(fā)工具。2015年底，黑客在中國(guó)開(kāi)發(fā)人員經(jīng)常光顧的網(wǎng)站上分發(fā)了蘋(píng)果開(kāi)發(fā)者工具Xcode的假冒版本。這些假冒工具將稱(chēng)為XcodeGhost的惡意代碼注入了39個(gè)iOS應(yīng)用程序，其中不少軟件還通過(guò)了蘋(píng)果的App Store評(píng)測(cè)，導(dǎo)致了大規(guī)模的iOS惡意軟件爆發(fā)。就在上周，斯洛伐克政府警告稱(chēng)，Python代碼庫(kù)或PyPI中已經(jīng)被加載了惡意代碼。

思科的克雷格威廉姆斯(Craig Williams)說(shuō)，這些供應(yīng)鏈攻擊特別陰險(xiǎn)，因?yàn)樗鼈冞`反了消費(fèi)者計(jì)算機(jī)安全的基本思想，這可能會(huì)讓那些堅(jiān)持使用可信軟件來(lái)源的用戶(hù)和那些隨意安裝軟件的用戶(hù)一樣脆弱。特別是惡意軟件開(kāi)始攻擊Avast這樣的安全公司時(shí)尤為如此。威廉姆斯說(shuō)：“人們信任軟件公司，當(dāng)他們這樣遭到安全威脅時(shí)，真的是打破了這種信任。”

威廉姆斯說(shuō)，這些攻擊已經(jīng)使消費(fèi)者無(wú)法有效保護(hù)自己。最好的應(yīng)對(duì)方法是，您可以盡量扼要地了解所使用軟件的公司的內(nèi)部安全實(shí)踐，或者從應(yīng)用程序中判讀該公司是否具備足夠的內(nèi)部安全性。

但對(duì)于一般互聯(lián)網(wǎng)用戶(hù)而言，此類(lèi)信息難以了解。最終，保護(hù)用戶(hù)免受類(lèi)似供應(yīng)鏈攻擊的責(zé)任也必須轉(zhuǎn)向軟件供應(yīng)鏈，也就是讓那些有供應(yīng)鏈漏洞的公司為之買(mǎi)單。