长期以来,人们一直用信任的简单术语来描述网络安全的真理:小心不熟悉来源的电子邮件附件,不要移交证书到一个欺诈网站。但是,越来越多老练的黑客正在破坏这种基本的信任感,并提出了一个让人疑神疑鬼的问题:如果构成你的网络的合法硬件和软件从源头被入侵了怎么办?
这种阴险的、越来越常见的黑客攻击形式被称为“供应链攻击”,在这种技术中,对手将恶意代码甚至恶意组件插入可信任的软件或硬件。间谍或破坏者只要对一个供应商做出妥协,就可以劫持其分销系统,将他们销售的任何应用程序、推出的任何软件更新,甚至是交付给客户的物理设备,变成特洛伊木马。只要一个合适的入侵,他们就可以建立一个连接供应商客户网络的跳板——有时受害者多达数百甚至数千人。
加州大学伯克利分校国际计算机科学研究所(International Computer Science Institute)的安全研究员尼克·韦弗(Nick Weaver)说:“供应链攻击很可怕,因为它们真的很难对付,而且它们清楚地表明,你信任的是整个生态系统。”“你信任每个在你机器上有代码的供应商,而且你信任每个供应商的供应商。”
供应链威胁的严重性在去年12月得到了大规模的展示,当时俄罗斯黑客——后来被确认为为该国的外国情报机构svr工作——被曝光黑客入侵了软件公司SolarWinds,并在其IT管理工具Orion中植入了恶意代码,允许访问全球多达1.8万个使用该应用程序的网络。俄罗斯对外情报局利用这个据点深入到至少9个美国联邦机构的网络中,包括美国国家航空航天局、国务院、国防部和司法部。
尽管这次间谍行动令人震惊,但SolarWinds并不是唯一的。在俄罗斯的大胆行动之前和之后,全球各地的企业多年来都受到了严重的供应链攻击。就在上个月,有消息称黑客入侵了一家名为CodeCov的公司出售的软件开发工具这让黑客得以进入数百名受害者的网络。一个中国黑客组织“钡”至少发动了六次供应链攻击在过去的5年里,他们将恶意代码隐藏在电脑制造商华硕(Asus)的软件中硬盘清理应用程序CCleaner.2017年,被称为“沙虫”的俄罗斯黑客该公司是乌克兰军事情报机构GRU的一部分,劫持了乌克兰会计软件MEDoc的软件更新,并利用它进行了攻击自我传播的破坏性代码,叫做NotPetya最终在全球范围内造成了100亿美元的损失史上最昂贵的网络攻击.
事实上,供应链攻击最早出现在大约40年前,当时Unix操作系统的创始人之一肯·汤普森(Ken Thompson)想看看他是否能在Unix的登录功能中隐藏一个后门。汤普森不仅仅是植入了一段恶意代码,让他有能力登录任何系统。他构建了一个编译器——将可读的源代码转换为机器可读的、可执行的程序的工具——在编译函数时秘密地在函数中放置了后门。然后他进一步破坏了编译器编译使编译器的源代码,甚至用户的编译器不会有任何明显的篡改迹象。“寓意是显而易见的,”汤普森说写了1984年,在一次解释他的演示的演讲中。“你不能相信不是你自己创造的代码。(尤其是那些雇佣像我这样的人的公司的代码。)”
这一理论上的伎俩——一种双重供应链攻击,不仅破坏了广泛使用的软件,还破坏了用于创建软件的工具——也已成为现实。2015年,黑客发布了一个假的XCode版本该软件被用于开发iOS应用程序,它在数十款中国iPhone应用程序中偷偷植入了恶意代码。这种技术在2019年再次出现,当时中国的钡黑客破坏了微软Visual Studio编译器的一个版本这样他们就能把恶意软件藏在几款电子游戏里。
伯克利大学的韦弗认为,供应链攻击的增加可能部分是因为对更基本攻击的防御能力得到了提高。黑客不得不寻找不易被保护的入侵点。供应链攻击也带来了规模经济;黑进一家软件供应商,你就能访问数百个网络。“部分原因是你想要物有所值,部分原因是供应链攻击是间接的。你的实际目标并不是你要攻击的人,”Weaver说。“如果你的实际目标很难,这可能是让你进入它们的最薄弱环节。”
防止未来的供应链攻击并非易事;公司没有简单的方法来确保他们购买的软件和硬件没有被损坏。硬件供应链攻击是指对手在设备内部物理植入恶意代码或组件,这种攻击尤其难以检测。而一个彭博社2018年的一份爆炸性报道称亚马逊和苹果数据中心服务器使用的SuperMicro主板中隐藏了微型间谍芯片,所有相关公司都强烈否认了这一消息,美国国家安全局也是如此。但是爱德华·斯诺登泄露的机密文件显示国安局自己也劫持了思科路由器而且为了自己的间谍目的而给他们开后门.
网络安全与基础设施安全局的高级顾问博•伍兹认为,解决软件和硬件上的供应链攻击,与其说是技术上的,不如说是组织上的。公司和政府机构需要知道他们的软件和硬件供应商是谁,审查他们,并要求他们遵守一定的标准。他将这种转变与丰田等公司试图控制和限制供应链以确保可靠性的方式进行了比较。现在,网络安全也必须采取同样的措施。伍兹说:“他们希望简化供应链:减少供应商数量,从这些供应商那里获得更高质量的零部件。”“软件开发和IT运营在某种程度上重新学习了这些供应链原则。”
拜登白宫网络安全行政命令本月早些时候发行的债券可能会有所帮助。它为任何想向联邦机构出售软件的公司设定了新的最低安全标准。但同样的审查在私营部门也是必要的。伍兹说,私营企业——就像联邦机构一样——不应该指望供应链妥协的泛滥会很快结束。
Ken Thompson在1984年写道,你不能完全相信任何不是你自己写的代码,这可能是对的。但是相信来自您信任的供应商(并且已经审查过)的代码可能是下一个最好的选择。
这个故事最早出现在wired.com.
23读者评论
...而且now I have more things to binge watch. DANGIT WHEELS.
是啊,这是官僚主义的巨大痛苦但这确实比变好并真正拥有强多了。
是啊,这是官僚主义的巨大痛苦但这确实比变好并真正拥有强多了。
同意了。我在这个领域工作,它将在整个链条上引起连锁反应,淘汰一些在质量上没有竞争力的人,导致合并,等等。最终的结果将是更好、更可靠、更高质量的价格,这可能会对更持久的组件、简化的代码等产生负面影响。
然而,所有这些都以更高的成本转嫁到消费者的钱包上。
最后,我将不再相信任何事情,所以每件事情都会延迟。
这也不是什么新鲜事。没人记得带病毒的Microsoft Plus cd吗?那是很久以前的事了,我不得不去找那本提到它的电脑杂志。
我同意供应链安全必须改善,但问题的根源是访问控制。当基础设施只做它需要做的事情,而不捕捉所有产生差距的访问规则时,您的机会会大大提高。
是啊,这是官僚主义的巨大痛苦但这确实比变好并真正拥有强多了。
软件业有许多管理/制造标准,例如资讯保安方面的iso27001标准。但作为一个为第三方认证(偶尔检查)的公司工作的人来说,作为客户的要求,它并不严格或很难通过。(我确实认为我工作的公司在很大程度上是井井有条的,所以这可能让我觉得工作很容易。)
也就是说,在管道的每个阶段都要求这样的认证,这反过来会使认证只依赖于使用认证供应商提供的工具和软件,至少会灌输一些责任。尽管我担心后者在规模上是不切实际的。(我很担心那些试图认证npm包/源的人,尽管我很欢迎这样做。)
最后,我将不再相信任何事情,所以每件事情都会延迟。
这也不是什么新鲜事。没人记得带病毒的Microsoft Plus cd吗?那是很久以前的事了,我不得不去找那本提到它的电脑杂志。
或者有蠕虫的Corel Draw CD。
最后一次编辑cyberjudge孙军06日,2021年下午4:52
是啊,这是官僚主义的巨大痛苦但这确实比变好并真正拥有强多了。
软件业有许多管理/制造标准,例如资讯保安方面的iso27001标准。但作为一个为第三方认证(偶尔检查)的公司工作的人来说,作为客户的要求,它并不严格或很难通过。(我确实认为我工作的公司在很大程度上是井井有条的,所以这可能让我觉得工作很容易。)
也就是说,在管道的每个阶段都要求这样的认证,这反过来会使认证只依赖于使用认证供应商提供的工具和软件,至少会灌输一些责任。尽管我担心后者在规模上是不切实际的。(我很担心那些试图认证npm包/源的人,尽管我很欢迎这样做。)
是的,这些观点很好,只是收紧政策似乎不会造成太大的伤害。开源将是一个主要的空头,但我不确定我看到了很多替代方案。如果一个项目没有办法证明它没有在代码回购中添加流氓软件,我怀疑使用率会下降,至少对付费客户来说是这样。
我同意供应链安全必须改善,但问题的根源是访问控制。当基础设施只做它需要做的事情,而不捕捉所有产生差距的访问规则时,您的机会会大大提高。
进入焦土模式,并且只允许连接/可信的软件肯定会有所帮助。对于像SolarWinds产品这样的基础设施,它绝对应该是默认的。但我不认为这是解决所有安全问题的灵丹妙药。
我需要在工作中的数据库服务器之一上显示计划权限。根据一名IT员工的指示,我在注释中放置了一张票据,并显式地请求执行计划权限。票已满,一切测试正常,我又回到了正常的工作中。
大约3周后,我的老板收到了一封来自基础设施部门AVP的愤怒的邮件,问我为什么有系统管理员权限访问生产用SQL Server。该服务器是我请求显示计划权限的服务器。我回答说我没有系统管理员权限。IT以外的用户没有系统管理员权限。出于好奇,我检查了一下,我真的是一个系统管理员。
我们公司从事IT工作的方式可能与大多数大公司没有什么不同。IT和基础设施方面的人员相对来说是有能力的,但是他们不能处理像提供访问这样的事情。这是由非常入门级的离岸人员处理的,比帮助台代表只需要几个步骤。我能告诉最好的是,当入门级技术处理我的票据时,他看到有三个选项(读,读-写,和系统管理员),只有一个给了我请求的访问权限(系统管理员)。这就是他给我加的组。
这是一家公司孤立的不雅行为。当然,我们做IT的方式是愚蠢的。但如果我们是美国企业界唯一这样做IT的大型组织,我会感到惊讶。Scorched Earth“explicit allow only”权限只有在实现它们的员工知道自己在做什么的情况下才会起作用。当IT成本降到最低时,那么,提供允许员工完成工作的访问的能力将是一个重大的挑战。
我同意供应链安全必须改善,但问题的根源是访问控制。当基础设施只做它需要做的事情,而不捕捉所有产生差距的访问规则时,您的机会会大大提高。
进入焦土模式,并且只允许连接/可信的软件肯定会有所帮助。对于像SolarWinds产品这样的基础设施,它绝对应该是默认的。但我不认为这是解决所有安全问题的灵丹妙药。
我需要在工作中的数据库服务器之一上显示计划权限。根据一名IT员工的指示,我在注释中放置了一张票据,并显式地请求执行计划权限。票已满,一切测试正常,我又回到了正常的工作中。
大约3周后,我的老板收到了一封来自基础设施部门AVP的愤怒的邮件,问我为什么有系统管理员权限访问生产用SQL Server。该服务器是我请求显示计划权限的服务器。我回答说我没有系统管理员权限。IT以外的用户没有系统管理员权限。出于好奇,我检查了一下,我真的是一个系统管理员。
我们公司从事IT工作的方式可能与大多数大公司没有什么不同。IT和基础设施方面的人员相对来说是有能力的,但是他们不能处理像提供访问这样的事情。这是由非常入门级的离岸人员处理的,比帮助台代表只需要几个步骤。我能告诉最好的是,当入门级技术处理我的票据时,他看到有三个选项(读,读-写,和系统管理员),只有一个给了我请求的访问权限(系统管理员)。这就是他给我加的组。
这是一家公司孤立的不雅行为。当然,我们做IT的方式是愚蠢的。但如果我们是美国企业界唯一这样做IT的大型组织,我会感到惊讶。Scorched Earth“explicit allow only”权限只有在实现它们的员工知道自己在做什么的情况下才会起作用。当IT成本降到最低时,那么,提供允许员工完成工作的访问的能力将是一个重大的挑战。
我可以提高它。我在一家拥有3000名员工的公司担任域名管理员,原因我无法确定。非常方便!
我的观点是,只要你同意安装程序的UAC提示,你的Windows计算机就可能被组成。证明你的系统不是。我把我的家庭网络分为两个vlan,工作和娱乐。如果一个狡猾的游戏安装程序造成混乱,希望我仍然可以赚钱
通过隐藏实现安全并不是一个可靠的计划。供应链攻击的全部意义在于,国家不需要关心你,只要他们伤害供应链上更高层的人,他们就可以得到你。
在硬件方面,情况变得更加复杂。如果劫机就发生在制造商的眼皮底下篡改证据也只能帮到这里了。我也听说思科的一些设备在途中被带走并被改装了。听起来像《绝命毒师》里火车劫案的那一集。混合低水平和高水平的身体参与。当你不能在互联网上插入恶意代码时,请到那里亲自去做!
供应链攻击是可怕的。有时候你得相信一些东西。尽可能多的内部隔离,遵循最佳实践,也许您将有机会在发生之前捕捉到一些东西。
奇怪的访问似乎是一件事。我甚至没有从事IT(或任何开发或相关的职位),在某一时刻,我有管理权限访问运行我们DC的ESXi机器,包括启动/停止vm或提供新vm的能力。
同意了。我在这个领域工作,它将在整个链条上引起连锁反应,淘汰一些在质量上没有竞争力的人,导致合并,等等。最终的结果将是更好、更可靠、更高质量的价格,这可能会对更持久的组件、简化的代码等产生负面影响。
然而,所有这些都以更高的成本转嫁到消费者的钱包上。
只是,作为一个消费者,我已经间接地为IT世界中持续发生的所有fubar买单了。也许另一种选择是合适的。就像对所有程序员/it工作者的个人和专业责任,对所有软件供应商的责任,对所有供应链的责任。我知道,这是白日梦,历史上不负责任的世界决定变得负责任。
只是,作为一个消费者,我已经间接地为IT世界中持续发生的所有fubar买单了。也许另一种选择是合适的。就像对所有程序员/it工作者的个人和专业责任,对所有软件供应商的责任,对所有供应链的责任。我知道,这是白日梦,历史上不负责任的世界决定变得负责任。
你可以希望那样,但这也有问题。编程/IT工作并不是你想象的那种光鲜、高薪、压力小的工作。正如其他人所提到的,各种各样的IT部门都被削减到骨子里,我们大多数人的工资都不高。如果把个人责任加到我们每个人身上,我们中的很多人将不得不离开,因为我们既负担不起保险费用,也无法承担犯错带来的打击。
相信我,我们都会犯错。很少有其他领域如此详细,以至于在50万行代码中出现一个错误或一个迭代bash脚本就会使网络瘫痪。
整个NordVPN的故事值得一看,特别是如果你是一个现实世界的计算机专业人士。
我想我们都可以这样说——绝对真诚,没有讽刺任何——当你仔细想想,那就是我们所有人以及我们每天所做的事情。绝对的。
……
该死山姆插销……
奇怪的访问似乎是一件事。我甚至没有从事IT(或任何开发或相关的职位),在某一时刻,我有管理权限访问运行我们DC的ESXi机器,包括启动/停止vm或提供新vm的能力。
在我以前的雇主那里,小初创公司的牛仔心态、几乎完全缺乏流程、糟糕的许可概要设计以及只做不做的态度,这些因素结合在一起,造就了我们为客户提供服务的业务分析师(偶尔也会有工程合作学院的学生。实习生)prod服务器的管理员权限。
我认为开源在这方面走在了前面。不仅可以检查源代码,还可以对其进行测试可再生的构建公开透明。不相信我提供的二进制文件?建立自己的构建服务器,构建相同的东西,然后比较最终的哈希值。
在异构系统和硬件上的多个并行可重复构建是“信任”问题的最终答案。坏人可以在某些时候黑掉一些东西,但很有可能他们不能黑掉所有的东西,所有的时间。
你必须登录或创建帐户置评。