Může supply chain attack ovlivnit i můj VPN?

Ano. VPN klienti závisejí na softwarových knihovnách a aktualizačních mechanismech, které mohou být cílem útoku. Kompromitovaná aktualizace by mohla dodat pozměněného klienta, jenž prozradí vaši IP adresu nebo zaznamenává váš provoz. Proto stahujte VPN software výhradně z oficiálních stránek poskytovatele a vybírejte poskytovatele, kteří procházejí nezávislými audity.

Jak poznám, zda je software, který instaluji, bezpečný?

Ověřte certifikáty pro podepisování kódu, stahujte pouze z oficiálních zdrojů a sledujte bezpečnostní zprávy týkající se vašich dodavatelů. Někteří poskytovatelé nabízejí reprodukovatelná sestavení, která umožňují nezávisle ověřit, zda zkompilovaný software odpovídá publikovanému zdrojovému kódu. To je jeden z nejspolehlivějších způsobů, jak snížit riziko.

Co je typosquatting a jak se mu vyhnout?

Typosquatting je technika, při níž útočníci publikují škodlivé balíčky s názvy téměř totožnými s názvy populárních knihoven – spoléhají na to, že vývojáři udělají překlep. Chcete-li se mu vyhnout, vždy pečlivě kontrolujte přesný název balíčku před instalací, používejte nástroje pro správu závislostí, které ověřují integritu balíčků, a sledujte bezpečnostní upozornění v ekosystémech, jako je NPM nebo PyPI.

Co je zero trust architektura a jak souvisí se supply chain attacky?

Zero trust architektura je bezpečnostní model, který nepředpokládá automatickou důvěru u žádného uživatele, zařízení nebo softwaru – ani u těch interních. V kontextu supply chain attacků to znamená průběžné ověřování integrity softwaru a komponent namísto jednorázového prověření při instalaci. Organizace tím snižují riziko, že kompromitovaná komponenta způsobí rozsáhlé škody, protože každý prvek je nepřetržitě kontrolován.

Supply Chain Attack

Supply Chain Attack: Když hrozba přichází zevnitř softwaru

Nainstalujete software od důvěryhodného dodavatele. Dodržujete osvědčené postupy. Udržujete vše aktuální. A přesto jste nějakým způsobem kompromitováni. To je znepokojivá realita supply chain attacku – hrozba nepřichází přímým průnikem, ale skrze něco, čemu jste již důvěřovali.

Co to je

Supply chain attack nastane, když kyberzločinec pronikne k cíli nepřímo – kompromitací dodavatele, softwarové knihovny, aktualizačního mechanismu nebo hardwarové součásti, na níž cíl závisí. Namísto přímého útoku na dobře chráněnou společnost útočník najde slabší článek někde v řetězci závislostí, které tato společnost využívá – a otrávuje ho u zdroje.

Výsledkem je, že škodlivý kód, backdoory nebo spyware jsou automaticky doručeny tisícům nebo dokonce milionům uživatelů, často prostřednictvím těch samých aktualizačních mechanismů, které mají software chránit.

Jak to funguje

Většina moderního softwaru je postavena na vrstvách závislostí: knihovnách třetích stran, open-source balíčcích, cloudových službách a komponentách dodávaných výrobci. Tato složitost vytváří prostor pro útok, který je pro jakoukoli jednotlivou organizaci obtížné plně monitorovat.

Typický průběh vypadá takto:

Identifikace cíle – Útočníci identifikují široce používaného dodavatele softwaru nebo open-source balíček s nižší úrovní zabezpečení, než jakou mají jeho klienti.
Kompromitace – Útočník pronikne do sestavovacího systému dodavatele, repozitáře kódu nebo aktualizačního serveru. Může se tak stát prostřednictvím phishingu, odcizených přihlašovacích údajů nebo zneužití zranitelnosti v infrastruktuře dodavatele.
Vložení kódu – Škodlivý kód je nenápadně vložen do legitimní aktualizace softwaru nebo verze knihovny.
Distribuce – Nakažená aktualizace je podepsána legitimními certifikáty a rozeslána všem uživatelům. Protože pochází z důvěryhodného zdroje, bezpečnostní nástroje ji často neoznačí jako hrozbu.
Spuštění – Malware běží tiše na zařízení oběti a může přitom shromažďovat přihlašovací údaje, vytvářet backdoory nebo exfiltrovat data.

Nejznámějším příkladem je útok na SolarWinds v roce 2020. Hackeři vložili malware do rutinní aktualizace softwaru, která byla následně distribuována přibližně 18 000 organizacím, včetně amerických vládních agentur. Průnik zůstal neodhalený po celé měsíce.

Dalším známým případem byl ekosystém balíčků NPM, kde útočníci publikovali škodlivé balíčky s názvy téměř totožnými s názvy populárních knihoven – technika zvaná typosquatting – v naději, že je vývojáři omylem nainstalují.

Proč na tom záleží pro uživatele VPN

Samotný VPN software není imunní. Když instalujete VPN klienta, důvěřujete tomu, že aplikace – a každá knihovna, na které závisí – je čistá. Supply chain attack cílený na distribuci softwaru poskytovatele VPN by teoreticky mohl doručit kompromitovaného klienta, který prozradí vaši skutečnou IP adresu, deaktivuje kill switch nebo zaznamenává váš provoz bez vašeho vědomí.

Proto je naprosto zásadní:

Stahovat VPN software výhradně z oficiálních zdrojů, nikdy z obchodů s aplikacemi třetích stran ani ze zrcadlových stránek.
Hledat poskytovatele, kteří zveřejňují reprodukovatelná sestavení nebo procházejí pravidelnými audity třetích stran, aby bylo možné zkompilovaný software nezávisle ověřit.
Kontrolovat certifikáty pro podepisování kódu, které potvrzují, že software nebyl od okamžiku, kdy opustil vývojáře, nijak pozměněn.
Udržovat software aktuální, ale zároveň sledovat bezpečnostní zprávy – pokud dodavatel oznámí incident v dodavatelském řetězci, jednejte rychle.

Supply chain attacky se kromě VPN softwaru dotýkají i dalších nástrojů, které používáte pro ochranu soukromí: prohlížečů, rozšíření prohlížeče, správců hesel a operačních systémů. Kompromitované rozšíření prohlížeče může například znehodnotit vše, co VPN dělá pro ochranu vašeho soukromí.

Širší kontext

Supply chain attacky jsou obzvláště nebezpečné, protože zneužívají důvěru. Tradiční rady v oblasti kybernetické bezpečnosti říkají „stahujte pouze z důvěryhodných zdrojů" – supply chain attack však právě tyto důvěryhodné zdroje mění v hrozbu. Proto získávají v bezpečnostní komunitě na vážnosti koncepty jako architektura nulové důvěry (zero trust architecture), software bill of materials (SBOM) a kryptografické ověřování softwarových balíčků.

Pro běžné uživatele je závěr jednoduchý, ale důležitý: software, na který spoléháte, je jen tak bezpečný jako celý ekosystém, který za ním stojí. Zůstat informovaný, vybírat dodavatele s transparentními bezpečnostními postupy a využívat nástroje jako audity VPN k ověření tvrzení poskytovatelů – to vše je součástí budování skutečně odolného nastavení pro ochranu soukromí.

Supply Chain AttackExpert

Supply Chain Attack: Když hrozba přichází zevnitř softwaru

Co to je

Jak to funguje

Proč na tom záleží pro uživatele VPN

Širší kontext

// FAQ