黑客词典：什么是供应链攻击？

长期以来一直以简单的信任来描述网络安全的陈词：要从陌生的来源中求助电子邮件附件，并将凭证交给欺诈性网站。但越来越多地，复杂的黑客正在破坏那种基本的信任感，提高偏执狂诱导问题：如果弥补你的网络的合法硬件和软件已经在源代码受到损害？

这种隐蔽且越来越常见的黑客形式被称为A＆＃34;供应链攻击，＆＃34;一种技术，其中对手将恶意的代码甚至是恶意组成部分中的可信软件或硬件。通过损害单个供应商，间谍或破坏者可以劫持其分配系统，以转向他们销售的任何应用，他们推出的任何软件更新，甚至他们向客户发货的物理设备，进入特洛伊木马。通过一个放置良好的入侵，他们可以为供应商的网络创建一个跳板＆＃39;客户的网络 - 有时是数百甚至数千名受害者。

＆＃34;供应链攻击是可怕的，因为他们很难处理，而且因为他们让它清除你＆＃39;重新相信整个生态，＆＃34; Nick Weaver是UC Berkeley＆＃39; S International Computer Mocience Institute的安全研究员。 ＆＃34;你＆＃39;重新信任每台代码在您的机器上的每个供应商，以及您＆＃39;重新信任每个供应商＆＃39; S.

去年12月的大规模规模证明了供应链威胁的严重程度，据透露俄罗斯黑客 - 以后被确定为为该国工作而被确定为众所周知的外国情报服务，被称为SVR - 已攻击软件公司SolarWinds并在其IT管理工具orion中种植恶意代码，允许访问在世界各地使用该应用的多达18,000个网络。 SVR用于挖洞到深入了解至少九个美国联邦机构的网络，包括美国宇航局，国务院，国防部和司法部。

但是令人震惊的间谍操作是，Solarwinds WANN＆＃39; t独特。严重的供应链攻击多年来遭到世界各地的公司，俄罗斯以来和自俄罗斯以来。就在上个月，据透露，黑客遭到了一家名为Codecov的公司销售的软件开发工具，使黑客进入数百名受害者＆＃39;网络。在过去五年中，中国的黑客集团称为钡，在电脑制造商华硕软件和硬盘清理应用CCleaner中隐藏恶意代码。 2017年，在2017年，俄罗斯黑客称为Sandworm，这是国家的一部分和Gru军事情报服务，劫持了乌克兰会计软件Medoc的软件更新，并用它来推出称为Notpetya的自我传播，破坏性代码，最终全球损坏造成100亿美元 - 历史上最昂贵的Cyber​​attack。

事实上，四十年前首次证明供应链攻击，当肯汤普森是UNIX操作系统的创造者之一，想看看他是否可以隐藏在UNIX中的后门＆＃39; Thompson Didn＆＃39; t只是植入了一块恶意代码，使他能够登录任何系统。他建立了一个编译器 - 一种用于将可读源代码转换为机器可读的可执行程序的工具 - 在编译时秘密地放置了函数中的后门。然后他进一步走了一步并损坏了编译编译器的编译器，即使是用户的源代码＆＃39; s编译器WORNN＆＃39; t有任何明显的篡改迹象。 ＆＃34;道德是明显的，＆＃34;汤普森在一篇讲座中写道，解释了1984年的示范。＆＃34;你可以＆＃39;你没有完全创造自己的信任代码。 （特别是来自像我这样的人的公司代码。）＆＃34;

理论诀窍 - 一种双重供应链攻击，不仅腐败了一种广泛使用的软件，而且用于创造它的工具也是它的现实。 2015年，黑客分发了一个假版的Xcode，一个用于构建IOS应用程序的工具，它暗中种植了数十个中国iPhone应用程序的恶意代码。该技术在2019年再次出现，当时中国钡黑客损坏了Microsoft Visual Studio编译器的版本，使其在多个视频游戏中隐藏恶意软件。

供应链攻击的崛起，伯克利＆＃39;韦弗所争辩，可能部分原因是改善了对更基本的侵犯的防御。黑客必须寻找不太容易受到保护的入口点。供应链攻击还提供规模经济;攻击一个软件供应商，您可以访问数百个网络。 ＆＃34;它＆＃39;部分你想要敲击你的巴克，部分＆＃39;只要供应链攻击是间接的。你的实际目标不是谁＆＃39;重新攻击，＆＃34;韦弗说。 ＆＃34;如果您的实际目标很难，这可能是让您进入它们的最薄弱点。＆＃34;

防止未来的供应链攻击赢得＆＃39; t很容易;在那里没有简单的方式为企业确保他们购买的软件和硬件并腐败。硬件供应链攻击，其中对手物理地植物在一块设备内部植入恶意代码或组件，可以特别难以检测。虽然2018年彭尔博尔格的重磅炸弹报告声称，在亚马逊和Apple数据中心的服务器中使用的超级主义主板内隐藏了微小的间谍芯片，但所有这些公司都涉及的所有这些公司都被否认了这个故事 - 正如NSA所做的那样。但是，爱德华斯诺登的分类泄漏揭示了NSA本身已劫持思科路由器的货物，并为自己的间谍目的而回归它们。

供应链攻击的解决方案对软件和硬件 - 可能与网络安全和基础设施安全局的高级顾问博学伍兹争论博伍兹可能并非如此。公司和政府机构需要了解他们的软件和硬件供应商是谁，兽医禁止它们到某些标准。他比较了丰田等公司如何寻求控制和限制供应链以确保可靠性的转变。现在必须为网络安全完成。 ＆＃34;他们希望简化供应链：从那些供应商，＆＃34的供应商和更高质量的零件流动伍兹说。 ＆＃34;软件开发和IT业务在某些方面都是在某些方面进行了重新认证的那些供应链原则。＆＃34;

本月早些时候发布的Biden White House＆＃39; S Cyber​​security Exceptor令可以提供帮助。它为想要向联邦机构销售软件的任何公司的新的最低安全标准奠定了新的最低安全标准。但同样的审查就在私营部门的必要方面。伍兹说，和私营公司 - 私营公司 - 不仅仅是联邦机构 - ＆＃39;伍兹说，即将到来，供应链的疫情妥协到尽快结束。

肯汤普森可能在1984年写道，当他写下你可以＆＃39; t完全信任你没有写自己的代码。但是，来自您信任的供应商的代码 - 并且已经审核 - 可能是下一个最好的事情。