Pagrindiniai pasiėmimai
- Kenkėjiškas įrankis nustūmė kenkėjiškas programas, prisidengdamas supaprastindamas „Android“programų diegimą sistemoje „Windows“.
- Įrankis veikė taip, kaip reklamuojama, todėl nebuvo iškelta jokių raudonų vėliavėlių.
-
Ekspertai rekomenduoja žmonėms itin atsargiai elgtis su bet kokia programine įranga, atsisiųsta iš trečiųjų šalių svetainių.
Tik todėl, kad atvirojo kodo programinės įrangos kodą gali matyti visi, tai nereiškia, kad visi į jį žiūri.
Pasinaudodami tuo, įsilaužėliai kartu pasirinko trečiosios šalies Windows 11 ToolBox scenarijų, kad platintų kenkėjiškas programas. Iš pažiūros programa veikia taip, kaip reklamuojama, ir padeda pridėti „Google Play“parduotuvę prie „Windows 11“. Tačiau užkulisiuose ji taip pat užkrėtė kompiuterius, kuriuose ji veikė, įvairiomis kenkėjiškomis programomis.
„Jei yra kokių nors patarimų, kuriuos būtų galima paimti iš to, tai yra tai, kad norint gauti kodą, kad paleistumėte internetą, reikia atlikti papildomą patikrinimą“, – el. paštu Lifewire sakė Johnas Hammondas, Huntress vyresnysis saugumo tyrėjas.
Dienos šviesos apiplėšimas
Viena iš labiausiai laukiamų „Windows 11“funkcijų buvo galimybė paleisti „Android“programas tiesiai iš „Windows“. Tačiau kai ši funkcija pagaliau buvo išleista, žmonės galėjo įdiegti keletą kuruojamų programų iš „Amazon App Store“, o ne „Google Play“parduotuvės, kaip žmonės tikėjosi.
Buvo šiek tiek atokvėpio, nes „Windows“posistemis, skirtas „Android“, leido žmonėms įkelti programas iš šono naudojant „Android Debug Bridge“(adb), iš esmės leidžiančią įdiegti bet kurią „Android“programą sistemoje „Windows 11“.
Netrukus „GitHub“pradėjo pasirodyti programos, pvz., „Windows“posistemis, skirtas „Android Toolbox“, kuris supaprastino bet kurios „Android“programos diegimą sistemoje „Windows 11“. Viena tokia programa, vadinama „Powershell Windows Toolbox“, taip pat suteikė galimybę kartu su keliomis kitomis parinktimis., pavyzdžiui, norėdami pašalinti „Windows 11“diegimo išsipūtimą, pakoreguokite jo našumą ir dar daugiau.
Tačiau, nors programa veikė taip, kaip reklamuojama, scenarijus slapta paleido užmaskuotų, kenkėjiškų „PowerShell“scenarijų, skirtų Trojos arkliui ir kitoms kenkėjiškoms programoms įdiegti.
Jei iš to būtų galima pasisemti kokių nors patarimų, tai yra tai, kad norint paleisti kodą, norint paleisti internetą, reikia atlikti papildomą patikrinimą.
Scenarijaus kodas buvo atvirojo kodo, bet prieš tai, kai kas nors pažvelgė į jo kodą, kad pastebėtų užtemdytas kodą, kuriuo atsisiųsta kenkėjiška programa, scenarijus pasiekė šimtus atsisiuntimų. Bet kadangi scenarijus veikė taip, kaip reklamuojama, niekas nepastebėjo, kad kažkas negerai.
Naudodamas 2020 m. „SolarWinds“kampanijos, kuri užkrėtė kelias vyriausybines agentūras, pavyzdį, „YouAttest“generalinis direktorius Garretas Grajekas teigė, kad įsilaužėliai išsiaiškino, kad geriausias būdas į mūsų kompiuterius patektų kenkėjiška programa – mums patiems ją įdiegti.
„Nesvarbu, ar tai būtų perkami produktai, pvz., „SolarWinds“, ar per atvirą kodą, jei įsilaužėliai gali įvesti savo kodą į „teisėtą“programinę įrangą, jie gali sutaupyti pastangų ir išlaidų išnaudodami nulinės dienos įsilaužimus ir ieškodami pažeidžiamumų. Grajekas pasakė Lifewire el. paštu.
Nasser Fattah, Šiaurės Amerikos iniciatyvinio komiteto bendrų vertinimų skyriaus pirmininkas, pridūrė, kad Powershell Windows Toolbox atveju Trojos arklys įvykdė savo pažadą, tačiau turėjo paslėptų išlaidų.
„Gera Trojos arklys yra ta, kuri suteikia visas reklamuojamas galimybes ir funkcijas… ir dar daugiau (kenkėjiškų programų),“Fattah sakė Lifewire el. paštu.
Fattah taip pat atkreipė dėmesį į tai, kad projekte naudojamas Powershell scenarijus buvo pirmasis ženklas, kuris jį išgąsdino.„Turime būti labai atsargūs paleisdami bet kokius „Powershell“scenarijus iš interneto. Įsilaužėliai naudos ir toliau naudos „Powershell“, kad platintų kenkėjiškas programas“, – perspėjo Fattah.
Hammondas sutinka. Peržiūrėjus projekto, kurį dabar „GitHub“atsijungė nuo interneto, dokumentaciją, pasiūlymas paleisti komandų sąsają su administratoriaus teisėmis ir paleisti kodo eilutę, kuri paima ir paleidžia kodą iš interneto, yra tai, kas jam sukėlė įspėjamuosius varpelius..
Bendra atsakomybė
Davidas Cundiffas, vyriausiasis „Cyvatar“informacijos saugumo pareigūnas, mano, kad žmonės gali pasimokyti iš šios įprastai atrodančios programinės įrangos, kurioje yra kenkėjiškų vidų.
„Saugumas yra bendra atsakomybė, kaip aprašyta paties GitHub saugumo požiūryje“, – pažymėjo Cundiffas. "Tai reiškia, kad joks subjektas neturėtų visiškai pasikliauti vienu gedimo tašku grandinėje."
Be to, jis patarė, kad visi, kurie atsisiunčia kodą iš „GitHub“, turėtų žiūrėti į įspėjamuosius ženklus ir pridūrė, kad situacija pasikartos, jei žmonės darys prielaidą, kad viskas bus tvarkoje, nes programinė įranga priglobta patikima ir geros reputacijos platforma.
„Nors „Github“yra geros reputacijos kodų dalijimosi platforma, naudotojai gali dalytis bet kokiais saugos įrankiais tiek gėriui, tiek blogiui“, – sutiko Hammondas.