Partilhar via

Ataques à cadeia de abastecimento

  • Artigo

Os ataques da cadeia de fornecimento são ameaças emergentes que visam programadores e fornecedores de software. O objetivo é aceder a códigos de origem, processos de compilação ou mecanismos de atualização ao infetar aplicações legítimas para distribuir software maligno.

Como funcionam os ataques da cadeia de fornecimento

Os atacantes procuram protocolos de rede não seguros, infraestruturas de servidor desprotegidas e práticas de codificação não seguras. Interagem, alteram os códigos de origem e ocultam software maligno nos processos de compilação e atualização.

Uma vez que o software é criado e lançado por fornecedores fidedignos, estas aplicações e atualizações são assinadas e certificadas. Nos ataques da cadeia de fornecimento de software, é provável que os fornecedores não tenham conhecimento de que as suas aplicações ou atualizações estão infetadas com código malicioso quando são lançadas para o público. Em seguida, o código malicioso é executado com a mesma confiança e permissões que a aplicação.

O número de potenciais vítimas é significativo, dada a popularidade de algumas aplicações. Ocorreu um caso em que uma aplicação de compressão de ficheiros gratuita foi envenenada e implementada para clientes num país/região onde era a aplicação utilitária de topo.

Tipos de ataques da cadeia de fornecimento

  • Ferramentas de criação de software comprometidas ou infraestrutura atualizada

  • Certificados de assinatura de código roubados ou aplicações maliciosas assinadas com a identidade da empresa de desenvolvimento

  • Código especializado comprometido enviado para componentes de hardware ou firmware

  • Software maligno pré-instalado em dispositivos (câmaras, USB, telemóveis, etc.)

Para saber mais sobre os ataques da cadeia de fornecimento, leia esta publicação de blogue denominada início do ataque: a cadeia de fornecimento comprometida numa cadeia de fornecimento representa novos riscos.

Como proteger contra ataques da cadeia de fornecimento

  • Implemente políticas de integridade de código fortes para permitir a execução apenas de aplicações autorizadas.

  • Utilize soluções de deteção e resposta de pontos finais que possam detetar e remediar automaticamente atividades suspeitas.

Para fornecedores e programadores de software

  • Manter uma infraestrutura de atualização e de construção altamente segura.

    • Aplique imediatamente patches de segurança para SO e software.
    • Implemente controlos de integridade obrigatórios para garantir que apenas as ferramentas fidedignas são executadas.
    • Exigir autenticação multifator para administradores.

  • Crie atualizadores de software seguros como parte do ciclo de vida de desenvolvimento de software.

    • Exigir SSL para atualizar canais e implementar a afixação de certificados.
    • Assine tudo, incluindo ficheiros de configuração, scripts, ficheiros XML e pacotes.
    • Procure assinaturas digitais e não permita que o atualizador de software aceite entradas e comandos genéricos.

  • Desenvolver um processo de resposta a incidentes para ataques da cadeia de fornecimento.

    • Divulgar incidentes da cadeia de fornecimento e notificar os clientes com informações precisas e oportunas

Para obter sugestões mais gerais sobre como proteger os seus sistemas e dispositivos, veja Prevenir a infeção por software maligno.