Почему обновления программного обеспечения могут привести к кибератакам — и что делать

Обновления программного обеспечения необходимы для поддержания работоспособности систем и исправления известных уязвимостей, так как же они могут привести к кибератакам? Удивительно, но существует несколько способов, которыми злоумышленники, внутренние угрозы или даже конечные пользователи могут превратить безобидное исправление в киберугрозу. Каковы риски обновления? Что еще важнее, как люди могут защитить свои данные и устройства?

Когда обновления программного обеспечения становятся угрозой безопасности?

Иногда релизы вводят новые функции, механики или интеграции. Даже если разработчики тщательно проверяют тысячи строк кода на предмет потенциальных уязвимостей, они обязательно упустят некоторые из них. Злоумышленники могут использовать эти уязвимости нулевого дня вскоре после выхода патча, что дает им время нацелиться на конечных пользователей, пока члены команды будут бороться за исправление.

Неполное исправление имеет аналогичный результат. Большинство людей с энтузиазмом читают заметки об исправлениях, поэтому они не понимают, что могут быть некоторые уязвимости, которые еще предстоит устранить. Их ложное чувство безопасности делает их уязвимыми для угроз — особенно потому, что злоумышленники могут прочитать журнал изменений, чтобы определить, что использовать.

Ошибочные релизы редки, но случаются. Они могут вывести систему из строя или раскрыть конфиденциальную информацию, давая возможность злоумышленникам. Кибератаки происходят, когда люди слишком доверяют разработчикам и небрежно относятся к мерам безопасности. В Соединенных Штатах 92% компаний испытали инцидент кибербезопасности по вине стороннего поставщика.

Перехваченные обновления встречаются относительно редко, но могут произойти. Злоумышленник может захватить систему управления устройствами производителей оригинального оборудования или скрытно добавить вредоносный скрипт в код. В этом случае они могут напрямую внедрить вредоносное ПО в устройство любого, кто обновит их программу.

В марте инженер-программист из Microsoft обнаружил, что кто-то взломал обновление исходного кода для xz Utils — компрессора данных с открытым исходным кодом, широко используемого в экосистеме Linux — для создания бэкдора в операционной системе. Виновником был Цзя Тан, одинокий разработчик, который завоевал доверие, предоставляя полезный код перед внедрением вредоносного ПО.

Эта атака была «ужасно близка» к успеху. Если бы это произошло, это было бы катастрофой, затронувшей системы Linux по всему миру. Беспроводное программирование — исправления, доставляемые на устройства по беспроводной сети — печально известно своей уязвимостью к этим инцидентам кибербезопасности, поскольку они устанавливаются автоматически через Интернет.

Почему обновление программного обеспечения приводит к кибератакам?

Чаще всего причиной кибератак становится ошибка пользователя. Фишинговые письма могут быть замаскированы под обновления программного обеспечения , обманывая ничего не подозревающих людей, заставляя их устанавливать вредоносное ПО вместо обновления своих приложений. Всплывающие сообщения — еще один распространенный вектор атак. Они утверждают, что человек использует устаревшую версию или может получить пользу от обновления.

Особенно вредоносные всплывающие окна не имеют кнопки отмены, вместо этого отображая такие опции, как «установить сейчас» и «установить на ночь», которые обманывают пользователей, заставляя их думать, что у них нет выбора, кроме как согласиться. Эти поддельные релизы внедряют шпионское или вредоносное ПО, подвергая риску целевое устройство. Поскольку жертва ожидает, что что-то будет установлено, она может даже не осознавать свою ошибку изначально.

Недавно исследователи обнаружена шпионская программа, замаскированная под приложение Android который использует эту стратегию. Этот троян удаленного доступа отправляет push-уведомление, которое выглядит как системное обновление. Если пользователи принимают его, он крадет данные о местоположении, файлы изображений, журналы вызовов и списки контактов. Он также подслушивает с помощью микрофона телефона и шпионит с помощью камеры.

Даже если обновление легитимно, проблемы все равно могут возникнуть. Ошибки пользователя, такие как неверная интеграция, отключенные функции безопасности и неправильно настроенные параметры, могут привести к неизвестным уязвимостям. Злоумышленники любят наносить удары вскоре после того, как исправления вступают в силу, потому что они получают возможность, когда люди совершают такие ошибки.

Живая среда существенно отличается от контролируемого тестирования, поэтому неожиданные эксплойты неизбежны. Проблемы совместимости являются распространенным драйвером этих киберугроз. Даже если не существует уязвимостей нулевого дня, злоумышленники могут воспользоваться ошибкой пользователя, чтобы проникнуть в сети и атаковать системы.

Последствия установки вредоносных обновлений

Внедрение вредоносного ПО является наиболее распространенным последствием поспешного, неполного, неисправного или неофициального исправления. Злоумышленники могут устанавливать программы-вымогатели, кейлоггеры, вирусы или шпионское ПО. Это позволяет им блокировать устройства жертв в обмен на выкуп или отслеживать активность для сбора конфиденциальных данных. Если они атакуют компанию, они могут извлечь конфиденциальную и личную информацию.

Финансовые потери в таких ситуациях обычны. Средняя стоимость утечки данных в США составил рекордную сумму в 9,48 млн долларов в 2023 году, по сравнению с 9,44 млн долларов в 2022 году. Частные лица платят меньше, поскольку хакеры знают, что у них меньше ликвидности и меньше устройств для взлома. Тем не менее, они все равно тратят сотни или даже тысячи долларов на восстановление.

Пока люди находятся в процессе реагирования на инцидент и восстановления, злоумышленники могут украсть конфиденциальные данные, что делает их уязвимыми для кражи личных данных, фишинга и последующих кибератак. Более того, им, скорее всего, придется закрыть любую программу или систему, вызывающую кибератаку, что приведет к непредвиденным простоям или задержкам.

Почему пользователи должны обновляться в любом случае, несмотря на риск

Исследователи потратили почти два десятилетия на создание самого большого набора данных по обновлениям пользователей, когда-либо созданного путем отслеживания более 150 000 изменений программного обеспечения серверов средних и крупных компаний. Они обнаружили, что 57% этих организаций использовали код с серьезными уязвимостями даже при наличии безопасных версий.

Знание того, как легко простое исправление может стать вектором кибератак, удержит некоторых людей от обновления. Однако этот курс действий хуже альтернативы. Патчи устраняют известные уязвимости, которые хакеры активно пытаются использовать. Они также обеспечивают интеграцию, обновляя совместимость, обработку и функции.

Хотя релизы могут привнести уязвимости или напрямую скомпрометировать устройство, отказ от них имеет худшие последствия для кибербезопасности. Лица, использующие устаревшие версии, с большей вероятностью становятся мишенью для киберпреступников, что приводит к более частым и сложным атакам, которые имеют гораздо больше шансов на успех.

Люди не должны полагать, что они в безопасности только потому, что патч должен их защищать. Реальность цифровой эпохи такова, что независимо от того, какие средства защиты установлены, кто-то в конечном итоге найдет лазейку или уязвимость, которую можно будет использовать. Это звучит мрачно, но должно успокаивать — это означает, что программное обеспечение — это такой же актив, как и любой другой. Чаще всего бдительность — одна из лучших защит.

Как защитить данные и устройства

Поскольку игнорировать обновления программного обеспечения невозможно, пользователям следует следовать передовым практикам и использовать все имеющиеся в их распоряжении соответствующие средства безопасности.

1. Отключите автоматические обновления.

Беспроводные и автоматические обновления дают атакующим преимущество. Людям следует отключить их и обновить свои системы по мере выпуска разработчиками исправлений. Им также следует проверить подлинность сервера и убедиться, что их соединение зашифровано, прежде чем продолжить.

2. Просмотрите заметки об исправлениях

Конечные пользователи должны постоянно просматривать заметки о патче, журналы изменений и код для выявления потенциально вредоносных фальсификаций. Этот подход также позволяет им видеть, какие эксплойты были устранены, а какие нет, устраняя ложное чувство безопасности.

3. Используйте безопасные конфигурации по умолчанию

Агентство по кибербезопасности и информационной безопасности рекомендует использовать безопасные конфигурации по умолчанию для улучшения состояния кибербезопасности. Это включает в себя использование мер аутентификации личности и изменение паролей по умолчанию на что-то более надежное.

4. Используйте несколько инструментов безопасности

Патчи не устраняют все уязвимости безопасности. Как говорится, на каждую уязвимость, которую находят разработчики, приходится еще пять. Владельцам устройств следует установить брандмауэры, сетевой мониторинг, многофакторную аутентификацию и виртуальные частные сети для защиты своих данных.

5. Обновление из источника

Недоверие по умолчанию становится распространенной практикой кибербезопасности. Люди должны автоматически предполагать, что любое сообщение, направляющее их на веб-сайт или нажимающее на ссылку, является фишингом. Им следует напрямую обращаться к официальному источнику для получения информации или установок.

Сохраняйте бдительность для защиты программного обеспечения и данных

Киберпреступники хитры и коварны, поэтому они будут продолжать изобретать новые способы перехвата, подделки или отравления патчей. Лучший курс действий — оставаться бдительными и осторожными. Следование передовым практикам, использование надежных инструментов безопасности и чтение журналов изменений могут иметь решающее значение между тем, чтобы стать жертвой кибератаки или остаться в безопасности.