忽略华硕?

  • 50万台华硕计算机被供应链攻击,此事引发的最坏结果并不是该攻击本身,那么是什么?

3月,互联网安全研究人员揭露了令人不安的消息。攻击者在运行 Windows 操作系统的多达50万台华硕品牌计算机上安装了恶意软件。关于大规模恶意软件感染的报告几乎已经成为日常,但是让人注意到的是它是如何实现的:攻击者破坏了用于向用户发送定期操作系统和安全更新的华硕服务器。换句话说,就用户所知,会认为恶意软件直接来自制造商,并附有其批准的数字签名。

颠覆软件更新系统(俗称“供应链攻击”)通常与国际间谍活动和情报操作有关 — — 而不是一般试图窃取信用卡号或银行密码的行为 — — 有充分的理由。它需要相当多的资源和技能,因为成为危害目标的硬件和软件公司的系统通常都可以比个人消费者更好地管理和更加谨慎。

但是当成功时,对供应链的攻击是一个特别强大的威胁:该攻击手段不依赖于反复欺骗每个用户,比如打开错误的电子邮件附件(恶意软件传播的常见方式),而是自然而合理地将攻击放置在向用户出售硬件和软件的受信任的供应商中。对于攻击者来说,这是一种危险的有效方式,可以覆盖数千名受害者(或一些精心挑选的目标)。

幸运的是,虽然华硕攻击利用供应商更新机制在数千台计算机上安装未经授权的软件,但似乎恶意软件本身只是为了影响几百个实际目标而对其他人来说相对无害。

但是,仍然令人感觉不安的事实是,软件更新机制 — — 一个旨在保护用户的关键系统 — — 被转过头来用来攻击用户。

这不仅仅是华硕的问题,几乎所有其他主要软件和硬件供应商都为其产品提供了更新机制,有时默认启用。

为了防止恶意更新的潜在威胁,可能现在您很想在自己的计算机和智能手机上立即禁用这些机制。但是这是一个可怕的想法,一个会让你受到更大伤害的想法。实际上,现在是检查设备并确保自动系统更新功能已打开并正常运行的好时机。

这种违反直觉的建议的原因与现代计算和互联网工作的软件的脆弱性有关。尽管数十年的稳定技术进步使计算机在几乎所有方面都变得更好了,但是,几乎所有软件仍然存在缺陷 — — 小的编程缺陷可以表现为从轻微的意外行为到彻底的系统崩溃。

其中一些漏洞具有安全隐患;例如,通过向攻击者公开敏感信息,它们可以被利用来造成伤害。随着系统变得越来越大并且越来越相互联系(因为它们不可避免地会这样做),bug 的数量和我们暴露于可利用的漏洞的情况只会增加。

换句话说,每台计算机,每台智能手机,每一个软件都会存在隐藏的安全漏洞。我们还没有找到它们。被称为“0day”,你知道,这是个完全不受控的巨额黑暗市场。最重要的更新会悄悄地修复已经或将要被用于攻击最终用户的新发现的安全漏洞。

换句话说,现代互联网中的安全性可以被理解为一种生态系统,生存依赖于不断适应以防止不断变化的新威胁。定期应用的供应商软件更新,无论好坏,都是我们用于调整防御的唯一最佳方法。

没有更新的用户就会成为对于攻击者来说具有突出吸引力的目标,用自己的电脑屈服于自动攻击可能成就从窃取个人信息、直至作出“勒索软件”的任何东西。由于“物联网”将连接(和复杂软件)放在从家庭安全系统到灯泡的各种设备中,这些攻击的后果以及定期软件更新以防止这类攻击的需求只会迅速增长。

因此,华硕攻击最具潜在破坏性的方面不是它可能直接表现出来的任何恶意行为。而是,人们可能会害怕安装重要的软件更新,以保持现代互联网上的生活相对安全

衡量一下利弊很简单:允许更新使我们面临着陷入复杂供应链攻击的低可能性风险。但随着时间的推移,禁止更新几乎可以肯定我们将成功遭到任何高可能性风险的攻击。这里的危险在于对一个可能性低的风险的过度反应,使我们更容易遭受可能性高的风险。

那么该怎么办?主要责任在于行业。毫无疑问,华硕会因为允许其服务器遭到入侵而未能检测到它已经向客户分发恶意软件而受到批评。其他供应商应该以此为鉴加强注意并强化自己的系统。特别是当物联网将我们所有日常设备都变成计算机时,立法者和监管机构应该越来越多地了解计算机安全性 — — 以及对高度完整性软件更新的要求 — — 作为基本的消费者安全问题。

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据