Program aktualizacyjny nie sprawdzal podpisu cyfrowego dla zassanej paczki ? Ot tak wysytarczylo podstawic swoj update-server i dostarczyc zainfekowany kod?
@dplus2: Podpis cyfrowy, nie sumę kontrolną. Aktualizator mógłby mieć zaszyty w sobie klucz publiczny i weryfikować nim podpis pobranego pliku. Poprawny podpis mógłby wygenerować tylko posiadacz odpowiedniego klucza prywatnego, czyli z założenia firma tworząca program.
TBH banalna egzekucja ataku ale realnie zainicjowany w firmie od softu był pewnie wcale nie przez wyrafinowany włam a zwyczajne opłacenie ukraińskiego #programista15k_hrywien xD
@Pszesmiewca: Cześć zaatakowanych polskich firm działała także na Ukrainie. Ponadto był więcej niż jeden wektor ataku, pisali też o załącznikach w mailach.
Jak można z automatu aktualizować cokolwiek, przecież to największy błąd, prawie jak commit bezpośrednio na produkcję. Jeden problem z zaktualizowanym oprogramowaniem i leży cała korporacja
@hesus: Jedna luka w nieaktualnym i też leżycie. Np. EternalBlue, notabene wykorzystany opcjonalnie także w tym robaku.
Luki zdarzają się cały czas. Zainfekowane aktualizacje raz na ukraiński rok.
Założenie jest też takie, że stabilny kanał ma stabilny soft, który ktoś raczył testować. Jeżeli kupujesz software od JanuszSoftu to może, ale lepiej po prostu kup gdzieś indziej.
Komentarze (40)
najlepsze
No to sami prosili sie o klopoty.
TYLKO LEGALNE OPEN SOURCE
Więcej nie trzeba komentować :)
@RezuNN
@RezuNN działa bez VPN
Luki zdarzają się cały czas. Zainfekowane aktualizacje raz na ukraiński rok.
Założenie jest też takie, że stabilny kanał ma stabilny soft, który ktoś raczył testować. Jeżeli kupujesz software od JanuszSoftu to może, ale lepiej po prostu kup gdzieś indziej.