[ad_1]

کلمه

مدت هاست که حقیقت واقعی امنیت سایبری با اصطلاحات ساده اعتماد توصیف شده است: مراقب پیوست های منابع ناشناخته باشید و اعتبار نامه را به وب سایت متقلب منتقل نکنید. اما هکرهای پیچیده و فزاینده ای این احساس اساسی اعتماد را تضعیف می کنند و س questionال ناهنجاری را ایجاد می کنند: اگر سخت افزار و نرم افزار قانونی که شبکه شما را تشکیل می دهد توسط منبع به خطر بیفتد ، چه می کنید؟

این نوع موذیانه و فزاینده رایج هک به عنوان “حمله زنجیره تأمین” شناخته می شود ، تکنیکی که در آن یک دشمن کد مخرب یا حتی یک م malلفه مخرب را به داخل نرم افزار یا سخت افزار قابل اعتماد می برد. با به خطر انداختن یک فروشنده ، جاسوسان یا خرابکاران می توانند سیستم های توزیع آن را ربوده و هر برنامه ای را که می فروشند ، هر به روزرسانی نرم افزاری را که فشار می آورند ، حتی تجهیزات فیزیکی ارسال شده به مشتریان را به اسب های تروا تبدیل کنند. با نفوذ مناسب ، آنها می توانند تخته پرشی برای شبکه های مشتری ارائه دهنده ایجاد کنند – که گاهی اوقات به صدها یا حتی هزاران قربانی می رسد.

نیک ویور ، یک محقق امنیت در انستیتوی بین المللی علوم کامپیوتر UC برکلی ، گفت: “حملات زنجیره تأمین ترسناک است زیرا مقابله با آنها واقعاً دشوار است و به همین دلیل کل محیط را روشن می کند.” “شما به هر فروشنده ای که کد آن روی دستگاه شما است اعتماد می کنید ، و شما به ارائه دهنده هر تامین کننده اعتماد دارید. “

شدت تهدیدات زنجیره تامین به طور گسترده ای در دسامبر گذشته نشان داده شد که مشخص شد هکرهای روسی – بعداً مشخص شد که در سرویس اطلاعات خارجی این کشور موسوم به SVR کار می کنند – به شرکت نرم افزاری SolarWinds نفوذ کرده و کد مخربی را تعبیه کرده اند. ابزاری که امکان دسترسی به 18000 شبکه را با استفاده از این برنامه در سراسر جهان فراهم می کند. SVR از این پشتیبانی برای نفوذ در عمق شبکه های حداقل 9 آژانس فدرال ایالات متحده ، از جمله ناسا ، وزارت امور خارجه ، وزارت دفاع و وزارت دادگستری استفاده می کند.

اما به همان اندازه که این عملیات جاسوسی تکان دهنده بود ، SolarWinds بی نظیر نبود. حملات جدی زنجیره تأمین سالها چه قبل و چه بعد از مبارزات جسورانه روسیه شرکت های سراسر دنیا را تحت تأثیر قرار داده است. همین ماه گذشته مشخص شد که هکرها با ابزاری برای توسعه نرم افزار فروخته شده توسط شرکتی به نام CodeCov که دسترسی هکرها به شبکه های صدها قربانی را فراهم کرده بود ، به خطر افتاده اند. یک گروه هکر چینی معروف به Barium در پنج سال گذشته دست کم شش حمله زنجیره تامین انجام داده و کدهای مخرب را در نرم افزار Asus سازنده رایانه شخصی و در برنامه تمیز کردن هارد دیسک CCleaner پنهان کرده است. در سال 2017 ، هکرهای روسی موسوم به Sandworm ، بخشی از سرویس اطلاعاتی GRU کشور ، به روزرسانی های نرم افزار را برای نرم افزار حسابداری اوکراینی MEDoc ربوده و از آن برای بیرون کشیدن یک کد مخرب خود توزیع کننده ، معروف به NotPetya استفاده کردند که در نهایت 10 میلیارد دلار تحمیل کرد خسارت در سراسر جهان – گرانترین حمله سایبری در طول تاریخ.

در حقیقت ، حملات زنجیره تأمین حدود چهار دهه پیش نشان داده شد که کن تامپسون ، یکی از سازندگان سیستم عامل یونیکس ، می خواست ببیند آیا می تواند در ویژگی ورود به سیستم Unix درب پشت را پنهان کند یا خیر. تامپسون نه تنها برخی از کدهای مخرب را نصب کرده است که به وی اجازه ورود به هر سیستمی را می دهد. او یک کامپایلر ساخت ، ابزاری برای تبدیل کد منبع قابل خواندن به یک برنامه اجرایی قابل خواندن توسط ماشین که در هنگام کامپایل به صورت مخفیانه درب پشتی را به کار می اندازد. سپس یک قدم جلوتر رفت و به کامپایلر آسیب زد تشکیل شده کامپایلر به طوری که حتی کد منبع کامپایلر کاربر هیچ نشانه آشکاری از دستکاری ندارد. تامپسون در یک سخنرانی در توضیح سخنرانی خود در سال 1984 نوشت: “اخلاق واضح است.” شما نمی توانید به کدی اعتماد کنید که کاملاً خودتان ایجاد نکرده اید.

این ترفند نظری – نوعی حمله زنجیره ای عرضه دوگانه که نه تنها نرم افزارهای پرکاربرد بلکه ابزارهای مورد استفاده برای ایجاد آن را خراب می کند – از آن زمان به واقعیت تبدیل شده است. در سال 2015 ، هکرها نسخه جعلی XCode را منتشر کردند ، ابزاری که برای ساخت برنامه های iOS استفاده می شد و به طور مخفیانه کد مخربی را در ده ها برنامه آیفون چینی قرار می داد. و این تکنیک در سال 2019 دوباره ظاهر شد ، زمانی که هکرهای چینی Barium به نسخه ای از کامپایلر Microsoft Visual Studio آسیب رساندند تا به آنها اجازه دهد بدافزار را در چندین بازی ویدیویی پنهان کنند.

ویور از برکلی می گوید ، افزایش حملات زنجیره تامین ممکن است تا حدی به دلیل بهبود دفاع در برابر حملات اساسی باشد. هکرها باید به دنبال نقاط نفوذ با امنیت کمتر باشند. و حملات زنجیره تأمین نیز مقیاس اقتصادی را به همراه دارد. یک ارائه دهنده نرم افزار را هک کنید و می توانید به صدها شبکه دسترسی پیدا کنید. ویور گفت: “تا حدی می خواهید برای پول خود منفجر شوید و تا حدی فقط حملات زنجیره تأمین غیر مستقیم است. اهداف واقعی شما کسانی نیستید که به آنها حمله می کنید.” “اگر اهداف واقعی شما ثابت است ، این ممکن است ضعیف ترین نقطه ای باشد که به شما اجازه می دهد آنها را وارد کنید.”

جلوگیری از حملات زنجیره تأمین در آینده آسان نخواهد بود. هیچ راهی آسان برای شرکت ها وجود ندارد تا اطمینان حاصل کنند که نرم افزار و سخت افزاری که خریداری می کنند آسیب نبیند. حملات زنجیره تامین سخت افزار ، که در آن دشمن به طور فیزیکی کد یا اجزای مخربی را در تجهیزات قرار می دهد ، به ویژه دشوار است. در حالی که گزارشی در مورد بمبی از بلومبرگ در سال 2018 ادعا می کرد که تراشه های جاسوسی کوچک در مادربردهای SuperMicro که در سرورهای مراکز داده آمازون و اپل استفاده می شوند ، پنهان شده بود ، اما همه شرکت های درگیر ماجرا را به شدت انکار کردند – همانطور که NSA نیز این کار را کرد. اما درزهای طبقه بندی شده ادوارد اسنودن نشان داد که NSA خود محموله های روترهای سیسکو را ربوده و آنها را برای اهداف جاسوسی خود ساخته است.

باودز ، مشاور ارشد آژانس امنیت سایبری و امنیت زیرساخت می گوید ، راه حل حملات زنجیره تأمین – چه نرم افزاری و چه سخت افزاری – شاید از نظر سازمانی كمتر از نظر فنی باشد. شرکت ها و آژانس های دولتی باید بدانند که ارائه دهندگان نرم افزار و سخت افزار آنها چه کسانی هستند ، برای بررسی آنها ، رعایت استانداردهای خاص. وی این تغییر را با روشی مقایسه می کند که شرکت هایی مانند تویوتا به دنبال کنترل و محدود کردن زنجیره های تأمین خود برای اطمینان از قابلیت اطمینان هستند. اکنون برای امنیت سایبری نیز باید همین کار انجام شود. وودز گفت: “آنها به دنبال ساده سازی زنجیره تأمین هستند: تعداد کمتری از تأمین کنندگان و قطعات با کیفیت بالاتر از این تأمین کنندگان.” “توسعه نرم افزار و عملیات IT از برخی جنبه ها این اصول زنجیره تامین را بررسی می کند.”

دستور امنیت سایبری اجرایی کاخ سفید در اوایل ماه جاری بایدن می تواند کمک کند. این حداقل استانداردهای امنیتی جدیدی را برای هر شرکتی که می خواهد نرم افزار را به آژانس های فدرال بفروشد ، تعیین می کند. اما همان دقت در بخش خصوصی نیز به همان اندازه لازم است. وودز گفت ، و شرکت های خصوصی – دقیقاً مانند آژانس های فدرال – نباید انتظار داشته باشند که همه گیر معاملات تجاری در زنجیره تامین خاتمه یابد.

حق با کن تامپسون در سال 1984 بوده است ، وقتی نوشت که شما نمی توانید به هیچ کدی که خودتان ننوشتید کاملاً اعتماد کنید. اما اعتماد به کد فروشندگانی که به آنها اعتماد دارید – و کسانی که آنها را بررسی کرده اید – ممکن است بهترین چیز بعدی باشد.

این داستان برای اولین بار در wired.com ظاهر شد.

[ad_2]

منبع: tarjome-news.ir