Zo zijn supply-chain-aanvallen te onderscheppen

In een vorig artikel legden we supply-chain-aanvallen onder de loep. Hierbij wordt malware verspreid via vertrouwde software en de officiële sites die daarbij horen. De volgende vraag is dan ook: wat doe je er tegen?

Lees eerst: Supply-chain-aanvallen: Malware in vertrouwde software

Een van de mogelijke oplossingen voor het detecteren van geïnfiltreerde software is het gebruik van cryptografische handtekeningen. Met een gesigneerd certificaat kunnen zowel individuele downloaders als bedrijven valideren dat een update die zij uitvoeren of een programma dat zij downloaden daadwerkelijk is wat het zegt te zijn. Maar ook daar zijn verschillende dingen op aan te merken. Met name het feit dat bedrijven vaak geen idee hebben hoe diep hackers in een systeem zijn geïnfiltreerd, zorgt ervoor dat het lastig is certificaten te vertrouwen. Als een consument bijvoorbeeld al zo ver gaat om de hash van een download te verifiëren met wat er op een website staat, hoe weet hij dan zeker dat de online hash wel klopt?

Christiaan Beek, lead scientist & principle engineer bij McAfee: “Je weet niet hoe diep criminelen uiteindelijk in je systeem zitten. Misschien hebben ze wel toegang tot je website en kunnen ze die aanpassen met de fake hash. Dan ben je nog nergens.” Dat sluit aan bij eerdere opmerkingen van Beek dat een supply-chain-hack vaak erg geavanceerd is. Als het je lukt om zo diep in de systemen van een bedrijf door te dringen en je daar malware kunt uploaden, dan is het aanpassen van een website vaak een fluitje van een cent.

09 Een cryptografische handtekening garandeert de authenticiteit van een programma.

© PXimport

Het cryptografisch ondertekenen van softwarepakketten levert ook aan de kant van leveranciers zelf problemen op, want ook daar is nooit volledig te garanderen dat een hash legitiem is. Neem het voorbeeld van de Proton-trojan die ESET in een videospeler voor iOS vond. “Om dat te uploaden werd de malware met een fake Apple ID in een wrapper gezet”, vertelt Michael van der Vaart, CTO van ESET Nederland. Zo leek het alsof de software was ondertekend, maar dat gebeurde dus als valse bron. Een juiste hash is zodoende nooit een garantie dat de software legitiem is en geen backdoors bevat.

Checksums

Desondanks is het cryptografisch signen van een programma vóór de download een van de weinige maatregelen die een gebruiker kan nemen, al is dat misschien ook wel wat veel gevraagd. Hoeveel gewone downloaders van een softwarepakket controleren namelijk een sha1- of md5-checksum van een bestand? Bij veel downloads is dat zelfs amper te vinden; dergelijke checks zijn vooral voorbehouden aan privacy-software zoals Tor of TAILs.

Is het redelijk aan computergebruikers te vragen om elk programma dat zij downloaden te checken? En erger nog, hoe doe je dat met updates? In de meeste gevallen staan auto-updates van een softwarepakket aan, waardoor het checken vaak niet kan of op z’n minst lastig is uit te voeren. Volgens Van der Vaart is het dan ook veelgevraagd om van gebruikers te verwachten dat zij dergelijke maatregelen nemen. “Op een zeker punt moet je een bedrijf gewoon kunnen vertrouwen.”

supply-chain-aanval

© PXimport

Daarbij moet wel worden opgemerkt dat CCleaner onderdeel was van Avast!, een softwarebedrijf dat zich juist specialiseert in beveiligingssoftware. Als je iets zou kunnen vertrouwen … Diverse bloggers schrijven halfhartig dat je in theorie ook onderzoek kunt doen naar de security-praktijken van een bedrijf voordat je er software van downloadt, maar die informatie is slechts zelden openbaar of transparant. In het ergste geval houden bedrijven zich daar vanuit veiligheidsoverwegingen ironisch genoeg stil over.

Automatische updates

Het probleem met supply-chain-aanvallen (en dan met name de preventie ervan) is dat het regelrecht indruist tegen al het beveiligingsadvies dat de industrie al decennia probeert door te voeren: schakel auto-updates in, want daarmee voorkom je dat er misbruik wordt gemaakt van lekken in je software. Van der Vaart denkt niet dat dat advies het raam uit kan. “Het gevaar dat je oploopt door auto-updates uit te schakelen staat niet in verhouding met het mogelijke risico op een supply-chain-aanval, dus je hoeft dat niet tegen elkaar af te wegen.”

Om ransomware weer als voorbeeld aan te halen: het risico op een besmetting en de schade daarvan zijn vele malen groter dan die van een aanval als die van CCleaner. Beek onderschrijft dat, mede omdat het risico van besmetting zo klein is: “Omdat dergelijke malware vaak zo gericht wordt verstuurd is er maar een kleine kans dat je zo wordt geïnfecteerd.”

De oplossing voor het probleem ligt dan ook voornamelijk bij bedrijven zelf. Die moeten meer doen dan de gebruikelijke ‘security practices’, al is zelfs dát vaak al veel gevraagd. Van der Vaart: “De stijging van supply-chain-attacks die we nu zien toont wel aan dat iedereen aan best practices moet gaan doen.” Er zijn een paar maatregelen die een bedrijf kan treffen om veilig te blijven. “Laat jezelf bijvoorbeeld periodiek hacken door pen-testers (penetration testers, red.). Die kunnen ervoor zorgen dat de belangrijkste lekken uit je software worden gehaald.”

De stijging van supply-chain-attacks die we nu zien toont wel aan dat iedereen aan best practices moet gaan doen

-

Beek vult aan: “Een goed begin zou zijn om software na elke update intern volledig te draaien en te controleren of die helemaal zonder backdoors is. Ik ken bedrijven die dat doen, die elke dag hun updatemechanismen nakijken, die elke dag een snapshot van hun systeem maken en dat elke dag terugzetten, zodat ze zeker weten dat er niet met hun systeem gerotzooid is. En ja, dat is veel werk, maar ze weten in elk geval zeker dat ze nooit meer worden getroffen door een dergelijke aanval.”

Ook zouden bedrijven meer onderzoek naar hun toeleveranciers kunnen doen. Van der Vaart: “Zeker als je in de software-industrie zit, en al helemaal als je met klantdata werkt, ben je het aan jezelf én je klanten verplicht om onderzoek te doen naar hoe data beschermd wordt. Het is 2017, je komt er niet meer mee weg om níét te vragen aan een vendor hoe hij zijn gegevens beschermt en wat hij aan beveiliging doet …”

Toekomst

Ondanks de stijging is het aantal besmettingen door supply-chain-aanvallen nog relatief beperkt, zeker als je dat vergelijkt met veel schadelijker security-problemen als ransomware. Volgens Van der Vaart zijn supply-chain-aanvallen ‘gelukkig nog steeds uitzonderingen op de regel’, en hoewel ESET steeds meer consumentenslachtoffers ziet, is de impact in cijfers nog relatief klein.

Van de andere kant is er door de onbekende motieven van hackers en de motivatie om zo lang mogelijk onopgemerkt te blijven ook een grote kans dat er nog veel besmettingen zijn die op dit moment simpelweg nog niet bekend zijn. Bovendien is het voor zowel gewone gebruikers als voor bedrijven lastig om zich te beschermen tegen deze vorm van malware. We hebben er dus misschien maar gewoon mee te leven.

Deel dit artikel
Voeg toe aan favorieten