Linux malwarek: Az igazság a növekvő fenyegetésről

Ebben a cikkben megpróbálom összefoglalni az aktuális helyzetet a Linuxot érintő kártevőket illetően. Ez az összefoglaló jelenleg érvényes, a blog közzétételének idején. A cikk az írás végén található forrás alapján készült, ami nagy részben lefordítva alább is megtalálható. A hivatkozott cikk 2023 január elején készült. Azóta már napvilágot látott egy olyan jószág, ami az eddig feltörhetetlennek hitt Secure Boot /TPM 2.0 rendszert is képes feltörni, még akár Windows 11 alatt is, és az UEFI területre fúrja be magát. És napvilágot látott már egy egyértelműen Linuxot támadó ramsomware, ami IBM Aspera Faspex fájlcserélő program hibáját kihasználva fertőz.

Nagy kérdés, hogy mi van az olyan rendszerekkel, amik vegyesen működtetnek Windows és Linuxot is, azaz mi van, ha Windowson keresztül kompromittálódik az UEFI, ebben az esetben miként érinti ez a Linuxot.

Nos, bevallom őszintén, nem tudom. Nem hallani ilyen esetekről. Valószínűleg, mert nem történt semmi a Linuxszal, ha volt is ilyen. Biztos volt. A most nagy hírnek számító Secure Boot /TPM2.0 feltörés azért nagy hír, mert ez volt eddig az első eset ezzel. Mármint a TPM-nek, Secure Boot-nak voltak korábbi verziói, amik rendre megbuktak. Nem ez az első kártevő, amelyik UEFI területre fészkeli be magát, már évek óta van több ilyen.

Ugyanígy, az IBM Aspera Faspex hibáját kihasználó zsarolóvírus is azért nagy hír, mert vélhetően ez az első „valós”. Mert ilyenek napvilágot láttak korábban is, de ezek inkább proof of concept kategóriák voltak.

Kis szószedet azok számára, akik most találkoznak először a témakörrel:

proof of concept= A koncepció bizonyítása, más néven az elv bizonyítása, egy bizonyos módszer vagy ötlet megvalósítása annak megvalósíthatóságának demonstrálása érdekében, vagy egy elvi demonstráció, amelynek célja annak igazolása, hogy egy koncepció vagy elmélet rendelkezik-e gyakorlati potenciállal.

Azaz pl. amikor a mérnökök a szerkezetet előbb megépítik kartonból, hogy a működést kipróbálják, ez egy olyasmi.

Ransomware= zsaroló vírus (ransom=váltságdíj), ez olyan kártevő amelyik a gépre jutva titkosítja az azon talált fájlokat, és váltságdíjat kér valahova átutalni, aminek fejében azt ígéri, hogy a válaszul kapott kulccsal a fájlok visszanyerhetők.

Payload= Ez igazából angolul hasznos terhet jelent. Azaz, a rakománynak azon része, ami a konténeren belül van, amiért pénz jár. A postai csomagnak a tartalma. A számítástechnikában az adatátvitelt hasonlóképpen modellezik, a digitális jeleket úgy kódolják, hogy annak van fejrésze, aztán a tulajdonképpeni adat (ez a payload), és lezáró része, ezt dobozként modellezik, és csomagkapcsolt átvitelnek hívják. Így működnek a mai hálózati kapcsolatok (TCP/IP), így működik a SATA protokoll, a PCIe alrendszer, szinte minden ami a gépen belül és kívül van. Amikor vírusról beszélünk, akkor a payload az a rész, ami dolgozik, csinálja azt, amit a vírus csinál. És ez rendszerint be van csomagolva egy álcázó kódba, hogy kívülről ne lehessen felismerni. Vagy be van illeszkedve egy ártalmatlan programba, ami mondjuk a rendszer része.
Én sajnos nem igazán tudok megfelelő magyar szót erre, eddig csomagnak fordítottam, mert ez adta a legnagyobb értelmet neki, de szakirodalomban a magyar anyagokban is payload szót használják, így az alábbiakban én sem fordítom le, így használom.

UEFI -a gében levő tárterület, amin a BIOS újabb fajtája van, amit UEFI-nek hívnak. Az Unified Extensible Firmware Interface rövidítése, ami azt sejteti, hogy valami egységesített dologról van szó, ehhez képest számos variáció létezik számos gyártótól. Epromban él, aminek mérete 2 MB-től felfele akármekkora lehet, laptopokban, asztali gépekben 2-6-8 MB a jellemző, de szerverekben már az ezredfordulón is létezett már akár 16 MB-s BIOS, ami tele volt programmal, ami a szerver menedzselésével volt kapcsolatos. A mai szerverek már konkrétan mini operációs rendszerrel vannak szerelve, ami grafikus felületű, és távoli elérést is biztosítanak olyan szinten, mintha ott helyben kezelné azt a rendszergazda, tud frissíteni, jogosultságokat karban tartani, stb.

Házi környezetben az egyszeri halandó az UEFI-vel rendszerint csak olyan szinten találkozik, hogy MBR vagy GPT legyen a lemez, és milyen módban legyen telepítve az operációs rendszer.

Ugyanakkor az UEFI jóval többet is jelenthet. Pl. szinte minden esetben támogatják a PXE hálózati indulást, ami arra használható céges környezetben pl. hogy egy szerverhez kapcsolódva frissítéseket telepítsenek, vagy akár egy teljes rendszert telepítsenek egy gépre.

A minap egy HP laptopon hajtottam végre BIOS (UEFI) frissítést úgy, hogy semmi meghajtó nem volt a laptopban, egyszerűen a BIOS setup felületen elindítottam a BIOS frissítést a hp.com-hoz csatlakozva (Ehhez vezetéken kellett csatlakozni a hálózathoz, szerencsére WiFi-vel ez még nem működik. Vagy ki tudja, lehet csak ez a gép nem tud ilyent, végül is nem egy mai darab)

De a régi Asus alaplapom még csak nem is volt UEFI-s, de 8 MB-s biosában volt az Asus Express gate, ami egy kicsi Linux rendszer, amiben volt Firefox, Skype, és egyebek, ezt el lehetett indítani, és használni úgy is, hogy nem volt semmi meghajtó a gépben.

Az a lényeg, hogy az alaplapi Epromok tárterülete az elég nagy, ahhoz, hogy helyet találjon benne a rosszindulatú vírus, és alaphelyzetben arra nincs eszköz hogy ezt elemezni / ellenőrizni lehessen. Ami kicsit érthetetlen, mert pl. BIOS frissítéskor a frissítő program az tudja ellenőrizni a frissítés sikerességét.

De kanyarodjunk vissza közelebb a témához. Egy 2015-ös ESET tanulmány szerint akkor napi pár száz Linuxot támadó esetet regisztráltak, ami elenyésző a Windowst támadó napi 250000-hez képest, de ezek is zömmel szervereket, IOT eszközöket, mobil eszközökat céloztak:

https://www.welivesecurity.com/2015/01/13/really-need-antivirus-software-linux-desktops/

És mi a helyzet ma?

Ha folyamatosan figyelemmel kíséri a biztonsági híreket, észrevehette, hogy úgy tűnik, az elmúlt években egyre több támadás érte a Linuxot. Az új Linux malware-változatok száma rekordot ért el 2022 első felében, közel 1,7 millió mintát fedeztek fel.

Ez a megfigyelés némileg ellentmondó, mivel a Linuxot általában rendkívül biztonságos operációs rendszernek tekintik. Tehát mi is történt pontosan az utóbbi időkben, és ezeket a támadásokat talán nem a média fújja fel? A Linux továbbra is életképes operációs rendszer a biztonságtudatos felhasználók számára? A LinuxSecurity.com célja, hogy kontextusba helyezze a Linux elleni közelmúltbeli támadásokat, háttérrel szolgáljon a Linux rosszindulatú programjairól, és megvilágítsa ezeket a kérdéseket ebben a cikkben.

A modern Linux fenyegetések látképe dióhéjban

Sajnos a Linux operációs rendszer beharangozott biztonsága ellenére elmúltak felette azok az idők, amikor az olyan fenyegetések, mint a rosszindulatú programok és a vírusok, nem jelentenek komoly gondot a Linux-felhasználók számára. A támadók a Linux szervereket egy újabb életképes célpontnak tekintik, amely gyakran értékes megtérülést biztosít a befektetésnek.

A rosszindulatú programok kutatásának fejlődése az elmúlt években kiváló átláthatóságot kínált a Linux szervereket fenyegető támadások terén. Meg kell jegyezni, hogy bármilyen sebezhető szerver nyitott ajtót jelent az adat- és hitelesítő adatok ellopására, a DDoS-támadásokra, a kriptovaluta bányászatára és a webforgalom átirányítására. A legjelentősebb, hogy rosszindulatú parancs- és vezérlési (C&C) szerverek hosztolására használható.

A Linux malware rövid története

A Linux malware-ek növekvő elterjedése az elmúlt években vitathatatlanul egy új fenyegetés illúzióját kelti, amely Linux rendszereket céloz meg; azonban a valóságban a Linux rosszindulatú programok már jó ideje léteznek. A Stoag névre keresztelt Linux kártevők első darabját 1996-ban azonosították. A Stoag egy alapvető vírus volt, amely futó végrehajtható fájlokhoz kapcsolódva próbált root hozzáférést szerezni, de nem terjedt túl sikeresen, és gyorsan foltozták a rendszert, így már életképtelen.
A Stoag a Linux rosszindulatú programjainak első darabjaként állította hírnevét, de a Bliss – amelyet 1997-ben ismertek fel – volt az első olyan Linux malware-változat, amely a címlapokra került. A Stoaghoz hasonlóan a Bliss is meglehetősen enyhe fertőzés volt. Megpróbálta elkapni az engedélyeket a feltört futtatható fájlokon keresztül, de egy egyszerű shell-kapcsolóval deaktiválható volt.

A Guardian Digital vezérigazgatója és a LinuxSecurity.com alapítója, Dave Wreski így nyilatkozott a Linux kártevők fejlődéséről:

„Az évek során a Linux rendszereket célzó rosszindulatú programok kifinomultabbá és gyakoribbá váltak; azonban egészen a közelmúltig a Linux kártevők még mindig viszonylag ritkák és primitívek voltak a védett operációs rendszereket fenyegető változatokhoz képest. 2018-ig még nem volt egyetlen olyan széles körben elterjedt Linux rosszindulatú támadás vagy vírus sem, amely összehasonlítható lenne azokkal, amelyek gyakran a Microsoft Windows ellen irányulnak – ami a root hozzáférés hiányának és a legtöbb Linux sebezhetőségének gyors frissítésének tudható be.”

Sajnos a Linux-felhasználók számára ez a korszak véget ért. A Linux fenyegetési környezete az elmúlt két évben átalakult, és jelentősen összetettebbé és veszélyesebbé vált.

Linux malware: A rendszergazdák növekvő aggodalma

A Linux rendszergazdák és -felhasználók legnagyobb megdöbbenésére az elmúlt éveket a Linux szervereket célzó rosszindulatú programkampányok sújtják. Ezek a támadások új és veszélyes taktikákat mutattak be a kiszolgálókon való terjedésére, észrevétlen maradásra és kompromittálásra. Noha a Linux rendszereket megcélzó, feltörekvő rosszindulatú programok egy kis mintáját alkotják, a Cloud Snooper, az EvilGnome, a HiddenWasp, a QNAPCrypt, a GonnaCry, az FBOT és a Tycoon hét kiváló példája a Linux rosszindulatú programok elmúlt évekbeli gyors fejlődésének.

CloudSnooper

A Cloud Snooper a kifinomult technikák egyedülálló kombinációját használja a Linux és Windows szerverekre való behatoláshoz, és a tűzfalakon keresztüli szabad kommunikációhoz a parancs- és vezérlő szerverekkel. A rosszindulatú program lehetővé teszi a fenyegetés szereplői számára, hogy „belülről kifelé” nyissák meg szervereiket a felhő felé, és ez az első példa egy olyan támadási képletre, amely a megkerülő technikát kombinálja a Windows és Linux rendszereket egyaránt megcélzó többplatformos payloaddal. Míg a Cloud Snooper taktikáinak, technikáinak és eljárásainak (TTP-k) minden egyes elemét korábban külön megfigyelték, ezeket az elemeket eddig nem kombinálták. Biztonsági szakértők azt jósolják, hogy ezt a TTP-csomagot veszélyes új tűzfaltámadások tervrajzaként fogják használni.

EvilGnome

A 2019 júliusában felfedezett EvilGnome Gnome shell-kiterjesztésnek álcázza magát, hogy a biztonsági szoftverek előtt észrevétlenül maradjon, miközben az asztali felhasználókat kémkedik. Az EvilGnome a makeself shell szkript segítségével létrehozott, önkibontható archívumon keresztül érkezik, a fertőzést pedig az önvégrehajtható payload fejlécében hagyott autorun argumentum segítségével automatizálja. Linux rendszerre letöltve a kártevő képes fájlok ellopására, asztali képernyőképek készítésére, hangfelvételek rögzítésére a felhasználó mikrofonjából, valamint egyéb modulok letöltésére és végrehajtására.

Az EvilGnome támadásokat a Gamaredon Group-al, egy orosz fejlett tartós fenyegetés (APT) csoporttal hozták összefüggésbe, amely az egyéni kártevő-változatok fejlesztéséről híres. Az EvilGnome kártevő-fejlesztők és a Gamaredon Group ugyanazt a tárhelyszolgáltatót használja, az EvilGnome pedig az orosz fenyegetéscsoporthoz kapcsolódó tartományokhoz kapcsolódó C2-szervereket. Bár nem erősítették meg, hogy a Gamaredon Group a mai napig fejlesztett vagy használt volna bármilyen Linuxos kártevőt, az EvilGnome Linux backdoor által használt taktikák és technikák megegyeznek az orosz fenyegetéscsoport által használtakkal, ami határozottan bizonyítja, hogy a Gamaredon Group bővítheti látókörét és a Linuxot célozza meg kifinomult támadásaival.

HiddenWasp

A biztonsági kutatók 2019 elején fedezték fel a kínai hackerek által létrehozott Linux rosszindulatú program egy új törzsét, amely fertőzött rendszerek távoli vezérlésére használható. A HiddenWasp névre keresztelt kifinomult rosszindulatú program egy trójaiból, egy felhasználói módú rootkitből és egy kezdeti telepítő szkriptből áll. Második szintű hasznos adatként van telepítve, és képes terminálparancsok futtatására, interakcióra a helyi fájlrendszerrel és még sok mással. A HiddenWasp hasonlóságot mutat számos más Linux kártevőcsaláddal, köztük az Azazel-lel, a ChinaZ-vel és az Adore-ng-vel, ami arra utal, hogy a kódja egy részét kölcsönözték. A szokásos Linux rosszindulatú programokkal ellentétben a HiddenWasp nem a DDoS tevékenységre vagy a kripto-bányászatra összpontosít. Inkább egy trójai, amelyet kizárólag célzott távvezérlésre használnak.

QNAPCrypt

Biztonsági kutatók azonosították a Linux ransomware ritka példányát, amely hálózathoz csatolt tárolószervereket (NAS) céloz meg. A rosszindulatú program, amelyet QNAPCrypt-nek neveztek el, egy ARM-változat, amely minden fájlt titkosít; azonban a szokásos zsarolóprogramoktól eltérően a váltságdíjat kizárólag szöveges fájlként kézbesítik, üzenet nélkül a képernyőn. Minden áldozatot egyedi Bitcoin pénztárcával látnak el, ez a taktika segít elrejteni a támadók kilétét. Ha egy rendszer megfertőződött, a zsarolóprogram kér egy pénztárcacímet és egy nyilvános RSA-kulcsot a parancs- és vezérlőkiszolgálótól (CC2) a fájltitkosítás előtt. Ez a QNAPCrypt tervezésének nagy hibája, mivel lehetővé teszi az áldozatok számára, hogy ideiglenesen blokkolják a fenyegető szereplők működését. E gyengeség ellenére a QNAPCrypt a „biztonsági ellenőrzések megkerülésére irányuló támadások evolúciója és adaptációja” – mivel nem túl gyakori, hogy a Linux rendszergazdák végpontfigyelést telepítenek a hálózati fájlszerverekre.

GonnaCry

A GonnaCry egy feltörekvő Linux ransomware-változat, amely jelenleg aktív fejlesztés alatt áll kutatási célokra Pythonban és C-ben. A vezető fejlesztő, Tarcisio Marinho elmagyarázza munkája motivációját: „Mióta a Wannacry ransomware 2017 májusában világszerte elterjedt, nagyon sok országot és vállalatot érintett. , Folyamatosan azon töprengtem: Tényleg nehéz egy cég vagy egy ember életét összekavarni a számítógéppel? A válasz: igen, lehetséges. A ransomware pedig egy olyan erős számítógépes vírus, amely képes erre.”

A GonnaCry azzal kezdi a munkáját, hogy megkeresi a titkosítani kívánt fájlokat. Miután azonosította ezeket a fájlokat, a rosszindulatú program elindítja a titkosítási rutint, majd létrehoz egy asztali fájlt, amely segít a visszafejtőnek elérni az egyes fájlok titkosításához használt elérési utat, kulcsot és IV-et. A zsarolóprogram ezután felszabadítja a számítógépen lévő fájlok által lefoglalt memóriát. A GonnaCry bonyolultságában nem vetekszik az olyan hírhedt változatokkal, mint a WannaCry és a Petya, de Marinho szerint „az alapstruktúra működik”.

FBOT

Az FBOT a hírhedt Mirai botnet kliensváltozata, amely Linux IoT-eszközöket céloz meg. A Malware Must Die! blog szerint, az FBOT közel egy hónapnyi inaktivitás után, 2020. február 9-én nemrégiben újra megjelent, számos technikai frissítéssel, beleértve a fertőzési módszer fejlődését és a terjedési sebesség növelését. A Malware Must Die! az FBOT újbóli megjelenésére és a Linux IoT malware jövőjére reflektál: „Olyan korszakban vagyunk, amikor a Linux vagy az IoT kártevők egyre jobb formába kerülnek, és előnyökkel is jár. Fontos, hogy együtt dolgozzunk a fenyegetésekkel kapcsolatos intelligenciával és a tudásmegosztással, hogy megállítsuk az újonnan megjelenő rosszindulatú tevékenységeket, mielőtt az később mindannyiunk számára nagy problémát jelentene.”

Tycoon

A Tycoon a Java-alapú ransomware feltörekvő törzse, amely Linux és Windows rendszereket is megcéloz. Ez a veszélyes zsarolóvírus-változat, amelyet a Blackberry biztonsági kutatói fedeztek fel, egy kevéssé ismert fájlformátumot használ, ami nagyon megnehezíti a felismerést, mielőtt felrobbantja a fájltitkosító payload-ot. A Tycoont felfedező kutatók arról számoltak be, hogy ez az első alkalom, hogy egy Java image (JIMAGE) fájlformátumba fordított zsarolóvírus-modult láttak. A JIMAGE fájlokat ritkán vizsgálják át a kártevőirtó motorok, és a rosszindulatú JIMAGE fájlok ennek eredményeként jó eséllyel észrevétlenek maradnak. A BlackBerry egy blogbejegyzésben kifejti: „A rosszindulatú programok írói folyamatosan új módszereket keresnek a radar alatti repülésre. Lassan eltávolodnak a hagyományos elhomályosítástól, és áttérnek a szokatlan programozási nyelvekre és a homályos adatformátumokra.”

A BlackBerry kutatói azt mondják, hogy az elmúlt hat hónapban nagyjából egy tucat „kifejezetten célzott” Tycoon fertőzést figyeltek meg, és úgy tűnik, hogy a támadók körültekintően válogatták ki áldozataikat, előnyben részesítve a szoftver- és oktatási ágazatban működő kis- és középvállalkozásokat. A kutatók szerint azonban, ahogy ez gyakran megtörténik, a fertőzések tényleges száma valószínűleg sokkal magasabb.

Hogyan lehet gyorsan és pontosan azonosítani és kiküszöbölni a Linux kártevőket

Ha rosszindulatú programokat töltenek le a rendszerére, annak gyors és pontos azonosítása és megszüntetése kritikus fontosságú önmaga, felhasználói és fájljai védelmében. Szerencsére számos hatékony nyílt forráskódú eszköz létezik a rosszindulatú programok észlelésére és eltávolítására a rendszeren. Tartalmazzák:

  • Linux Malware Detect: A Linux Malware Detect egy rosszindulatú programkereső, amely rosszindulatú programok észlelésére használható megosztott Linux környezetekben. A hálózat szélén lévő behatolásészlelő rendszerekből származó fenyegetésadatokat használja fel a támadásokhoz aktívan használt rosszindulatú programok azonosítására és kinyerésére, valamint aláírásokat generál az észleléshez. Ez az eszköz fenyegetési adatokat is származtat a felhasználói beadványokból és a közösségi erőforrásokból. (Megjegyzés: ez leginkább szerverre való)

  • A Rootkit Hunter és a Check Rootkit: A Rootkit Hunter (Rkhunter) és a Check Rootkit (chkrootkit) olyan eszközök, amelyek átvizsgálják a helyi rendszereket, azonosítva a potenciálisan rosszindulatú szoftvereket, például a rosszindulatú programokat és a vírusokat, amelyek elfedik a létezését a rendszeren. (Megjegyzés: Szoftverközpontból is telepíthetők, igaz nem a legfrissebb változat, de nagyon nincs elmaradva)

  • Lynis: A Lynis egy parancssori alkalmazás, amely átvizsgálja a helyi vagy távoli rendszereket , hogy segítsen az auditornak azonosítani a lehetséges biztonsági problémákat. (Megjegyzés: ez is inkább szerverre való)

  • Kali Linux: A Kali Linux egy Linux disztribúció, amelyet behatolási tesztelésre, etikus hackelésre és digitális kriminalisztikai célokra használnak. A mellékelt biztonsági behatolási és felügyeleti eszközök hálózatfelderítésre és egyéb kutatási célokra, valamint a potenciális sérülékenységek azonosítására használhatók. A Kali Linux számos más itt említett eszközt is tartalmaz.

  • A Cuckoo Sandbox kiváló homokozó a rosszindulatú programok elemzéséhez. Ez az eszköz lehetővé teszi az esetleges kártevő-minták biztonságos futtatását, és átfogó jelentést ad a végrehajtott kódról.

Malware mint üzlet

A rosszindulatú szoftverek piaca gyorsan bővül és fejlődik, ami arra kényszeríti a biztonsági iparágat, hogy lépést tartson. Ennek a piacnak a sikere gyors innovációt ösztönöz – állandósítja a növekedést és további rosszindulatú tevékenységekre ösztönöz. A fenyegetés szereplői egyre agilisabb és kifinomultabb rosszindulatú programokat hoznak létre és alkalmaznak támadásaikban, és kihívást jelentenek a biztonsági mérnökök számára, hogy erősebb védelmet hozzanak létre ellenük. A hagyományos víruskereső szoftverek már nem hatékonyak a fejlett, modern támadások észlelésében és leküzdésében. A mai kifinomult rosszindulatú programok elleni védelem átfogó, mélyreható védelmi megközelítést igényel a digitális biztonság terén.

A Verizon szerint a rosszindulatú programok 92,4 százaléka e-mailben érkezik. Ezért egy hatékony e-mail biztonsági stratégia elengedhetetlen a veszélyes és költséges fertőzések megelőzéséhez. A rosszindulatú programok komoly veszélyt jelentenek minden vállalkozásra – a fertőzés jelentős leállást, helyreállítási költségeket és jó hírnév-károsodást okozhat. A kisvállalkozások fokozott kockázattal szembesülnek, mivel gyakran hiányoznak a teljes munkaidős IT-részleg támogatásához szükséges erőforrások és finanszírozás.

A Guardian Digital EnGarde Cloud Email Security teljes körűen felügyelt, többrétegű e-mail-védelmet biztosít a rosszindulatú programok, az adathalászat és más állandó, e-mailek által terjedő fenyegetések ellen. A szoftverfejlesztés átlátható, együttműködésen alapuló, nyílt forráskódú megközelítése révén a Guardian Digital olyan módon férhet hozzá egy innovatív globális közösség erőforrásaihoz és eszközeihez, ahogyan azt egyetlen más gyártó sem tudja. Ez a megközelítés több évtizedes iparági tapasztalattal és mérnöki szakértelemmel párosulva lehetővé teszi a Guardian Digital számára, hogy rugalmas, vállalati szintű megoldásokat kínáljon minden méretű vállalkozás számára versenyképes áron.

Az EnGarde védelem legfontosabb előnyei a következők:

  • Fejlett valós idejű védelem a social engineering és a megszemélyesítési támadások ellen

  • Az e-mail titkosítás és a feladó hitelesítési protokollok észlelik a hamis feladó címeket, és automatikusan blokkolják azokat

  • Semlegesíti a rosszindulatú mellékletekkel és hivatkozásokkal kapcsolatos fenyegetéseket

  • A méretezhető felhő alapú rendszer leegyszerűsíti a telepítést és növeli a rendelkezésre állást

  • Szigorúbb biztonság, adaptív megvalósítás és a gyártók bezárásának kockázatának kiküszöbölése a szoftverfejlesztés közösségi alapú, nyílt forráskódú megközelítésének köszönhetően

  • Professzionális mérnöki szolgáltatások – A Guardian Digital szakértő mérnökei időt szánnak arra, hogy megismerjék minden ügyfél kulcsfontosságú eszközeit, műveleteit és speciális igényeit

  • Szenvedélyes, hozzáértő, éjjel-nappal elérhető ügyfélszolgálat

Zárszó

Most valószínűleg azon tűnődsz: mi a mélyebb értelme a Linux elleni támadások növekvő számának? A Linux kevésbé biztonságos, mint azt a szakértők korábban gondolták? Mit jelent mindez a Linux közösség számára?

A Linux rendszereket megcélzó fenyegetések növekvő száma ellenére továbbra is szilárd bizonyítékok vannak arra, hogy a Linux tervezése biztonságos. A nyílt forráskódú kód átláthatósága és az a folyamatos ellenőrzés, amivel a kódon egy élénk világméretű közösség átesik, erős érv az operációs rendszer eredendő biztonsága mellett. A Linux kernelt tartalmazó forráskódot folyamatosan ellenőrző „sok szem” miatt a biztonsági réseket gyorsabban azonosítják és orvosolják, mint a védett operációs rendszerek, például a Microsoft Windows átlátszatlan forráskódjában található hibákat. A fenyegetés szereplői felismerik és kihasználják ezt, támadásaik többségét védett szoftverek, platformok és operációs rendszerek ellen irányítják. Hogy perspektívába helyezzük a dolgokat, az ESET biztonsági kutatói szerint az Operation Windigo botnet-et érintően, amely a Cdorked webszerver-támadási készletet használja az Apache és más népszerű nyílt forráskódú webszerverek feltörésére, összesen 26 000 fertőzést regisztráltak 2013 májusa óta. Ehhez képest a hírhedt ZeroAccess Windows-alapú botnet közel kétmillió Windows PC-t fertőzött meg mielőtt 2013 decemberében leszerelték.

A digitális fenyegetettség azonban gyorsan fejlődik, és egyre fejlettebbé és veszélyesebbé válik, és bár a támadások többsége még mindig a védett operációs rendszereket sújtja, a fenyegetések szereplői újabb célpontokkal, például Linuxszal kísérleteznek. A Linux-felhasználóknak kétségtelenül tisztában kell lenniük azzal, hogy rendszereiknek egyre nagyobb kockázattal kell szembenézniük, és fel kell ismerniük, hogy az új évtized kibontakozásával a rendszerbiztonság és -karbantartás prioritása fontosabb, mint valaha. A használt operációs rendszertől függetlenül kritikus fontosságú, hogy a felhasználók biztonságos szokásokat fogadjanak el – különösen a modern digitális fenyegetettségekkel összefüggésben. A rosszindulatú támadások sok esetben adminisztrációs problémáknak és az egyes fiókok sebezhetőségeinek tulajdoníthatók, szemben a futó operációs rendszer biztonságával. A Guardian Digital vezérigazgatója, Dave Wreski kijelenti, „Bár könnyű lehet az operációs rendszer egészének biztonsági réseit okolni a Linux rosszindulatú programok elmúlt években tapasztalható növekedéséért, ez igazságtalan és nagyrészt valótlan. A Linux rendszereken előforduló rosszindulatú programok többsége a rosszul konfigurált szervereknek tulajdonítható.”

Tágabb léptékben a Linux rosszindulatú szoftverek térnyerése ébresztőként szolgálhat a biztonsági ipar számára, hogy több erőforrást fordítson ezeknek a fenyegetéseknek a felderítésére – mivel a Linux rosszindulatú szoftverei továbbra is egyre összetettebbek lesznek, és jelenleg még a Linuxot célzó általános fenyegetések is gyakran repülnek a radar alatt.

A cikk forrása:

https://linuxsecurity.com/features/must-read-articles/linux-malware-the-truth-about-this-growing-threat-updated

 

Hozzászólások

Megtáltosodtál :-)

Értékelés: 

5
Átlag: 5 (1 szavazat)

Köszönöm én is cikket, és a többit is amiket pár nap alatt publikáltál.
Mindegyik beleesik az érdeklődési körömbe.

UEFI szintű sebezhetőségről már régebben is olvastam.
Vagyis ha ennyire alacsony szinten (uefi, secure boot) képes bármi befészkelni magát egy rendszerbe, ha jól értelmeztem ilyen esetben a feljebb elhelyezkedő OS szintű vírusvédelmek semmit nem érnek?

Kami is most írt egy cikket a Windows kritikus sebezhetőségeiről.
Hát van baj bőven.