Për të shmanguar infektimin nga malware, ne duhet të marrim hardware apo shkarkojmë software ose aplikacione nga burime të besueshme, apo jo? Po çfarë ndodh nëse këto burime mund të jenë të infektuara dhe të përmbajnë payloads që kompromentojnë sistemin tonë?

Në muajt e fundit, kode të këqinj janë shfaqur në pajisjet moble të cilat kanë një reputacion si të besueshme dhe aplikacione legjitime të shkarkuara nga app stores të autorizuara.

Ndoshta ajo çfarë duhet është një politikë e re dhe më e sofistikuar për sigurinë e pajisjeve.

Kodi i keq është një problem në rritje që po shpërndahet shumë shpejt, dhe aktorët kërcënues janë duke targetuar biznese dhe sipërmarrje gjithmonë dhe më shumë. Sipas një studimi të Malwarebytes në 2019, dedektimi i malware në biznese është rritur me 80% nga viti i kaluar. Këto dedektime përfshijnë viruse Trojanë, Backdoor dhe spyware.

Raporti gjithashtu flet dhe për kreativitetin dhe sofistikimin e shpërndarjes të këtyre sulmeve.

Disa nga shembujt më të fundit janë:

Malware i dërguar në mënyrë të drejtpërdrejtë

Qindra dhe mijëra kompjutera ASUS  janë infektuar nga kode të këqinj nga një sulm i njohur si Operation ShadowHammer. ( ASUS e ka larguar këtë kod me përditësimi e sigurisë)

Infektimi nuk erdhi nga faqe web-i të pasigurta apo nga sulme phishing nga email-i. Ky sulm ka erdhur nga ASUS Live Update Tool e cila ishte e autentifikuar si një certifikatë legjitime e kompanisë. Backdoor CCleaner skanoi për çdo viktimë MAC adresat. Sapo pajisja indentifikohej, një paylod i keq më qëllime të panjohura load-ohej nga një remote server.

I gjithë sulmi filloj nga aksesi që sulmuesit kishin në certifikatat e ASUS, të cilat përdoreshin për të nënshkruar kodin nga supply chain i ASUS.

Operation ShadowHammer fitoi famë të menjëhershmë si i pari nga shumë sulme të supply chain të cilat janë të instaluara gjatë prodhimit të produktit, ose gjatë përditësimit të software të autorizuara.

A mund të infektosh pajisjen me malware nga App Store?

Një tjetër rrugë eficiente për të shpërndarë malware është nëpërmjet aplikacioneve. Kjo është shumë e thjeshtë nga app stores të paautorizuara sepse janë më pak të sofistikuara, ose nuk kanë një politikë për skanimimin e kodit të keq.

Por është gjithashtu e zakonshme që kodi i keq të mos dedektohet nga skanimet dhe kontrollet e app stores legjitime.  Një studim i kryer nga Check Point doli në përfundim se një adware i veçantë në 206 Android App në Google Play Store, ishte shkarkuar në toal 150 milion herë. Këto aplikacione ishin të kompromentuara nga  malware-i SimBad, i cili ishte i vendosuar në SDK (software development kit) të këtyre aplikacioneve.

Sipas Google, përqindja e instalimit të aplikacioneve të dëmshme nga Google play ishte 0.04% në 2018. Gjithsesi, kjo lloj përqindje nuk duhet të japë një ndjenjë konforti, pasi e përkthyer në shifra është 1 nga 2500 shkarkime. Kështu që një kompani me mijëra punonjës duhet të këtë një firewall të fuqishëm.

Një tjetër shembull i kompromentimit është ai i aplikacionit të parashikimit të motit, i zhvilluar nga Alcatel (TCL Corporation), i cili ishte i disponueshëm si një standalone app në Google play dhe u shkarkua mbi 10 milion herë. Aplikacioni i motit mblidhte të dhëna të përdoruesit të tilla si lokacioni, adresa e emailit, IMEI (International Mobile Equipment Identity) and informacione të tjera të cilat dërgoheshin në një remote server. Aplikacioni gjithashtu i nënshkruante përdoruesit e infektuar në shërbime telefonike pa autorizimin e tyre dhe kjo gjë përkthehej në fatura maramendëse telefonike.

Edhe sot është ende e paqartë se si është vendosur kodi në aplikacionin e motit. Teoria primare është se PC i përdorur nga zhvilluesi i TCL  ishte i hakuar.

Gjeja më e keqe për kodin e keq nga burime të besueshme

Matt Blaze, një profesor i ligjislacionit të shkencave kompjuterike në Universitetin e Georgetown, shkroi për New York Times se perpos të gjitha sulmeve si Operation Shadowhammer është shumë e rëndësishme që të mbajmë software-in up-to-date.

Në fakt, sipas Blaze, më e rrezikshme në sulmin e supply chain të ASUS është rreziku që përdoruesit nuk do kenë përditesime automatike, dhe nuk do të jenë në gjendje që të marrin neë kohën e duhur patches të rëndësishme.

Është gjithashtu e rëndësishme për tu theksuar që keto lloj sulme janë “parapregatitje” për zhvillimin e IoT. Në të ardhmen e IT ka shumë të ngjarë që payloads të këqija të shkarkohen dhe të merren nga burime të besueshme, por kjo nuk do të thotë  që të mos i besojmë më ketyre burimeve.

Së fundmi, organizatat duhet të kenë gjithmonë një shtresë tjetër për të monitoruar lidhjet e palëve të treta. Burimet zyrtare, burimet e autorizuara dhe burimet me një reputacion tashmë duhet të jenë të parët ngë linjën e mbrojtjes kundër kërcenimeve në rritjetë cilat janë si më agresive dhe më kreative. Linjat e tjera të mbrojtjes të përkasin ty, si përdorues.

PËRGJIGJU

Ju lutem shkruani komentin tuaj
Ju lutem vendosni emrin tuaj këtu