Bezpieczeństwo w Linuksie – fakty i mity cz.1

Ostatnia aktualizacja: 18 września 2023, 14:50

Prezentujemy ciekawy, obszerny artykuł pt. „Bezpieczeństwo w Linuksie – fakty i mity” napisany przez jednego z naszych zaprzyjaźnionych czytelników Albedo. Jako, iż artykuł traktuje o bezpieczeństwie w sieci, z powodzeniem dołączamy go do naszej akcji „Polub Pingwina, bądź bezpieczny w sieci”. Podziękowania dla autora publikacji. Zapraszamy do czytania i komentowania.

Zabezpieczenia systemów operacyjnych i bezpieczeństwo w internecie to tematy wciąż aktualne i szeroko dyskutowane. Problem polega na tym, że trudno jest znaleźć miarodajne źródło informacji na temat bezpieczeństwa systemów linuksowych a w internecie krąży więcej plotek i domysłów niż rzetelnych danych. Fachowe publikacje przeznaczone głównie dla administratorów sieci są trudne do zrozumienia i dotyczą instalacji serwerowych. Portal Linuxiarze.pl jest miejscem, w którym powinny się znaleźć informacje podstawowe by pomóc początkującym posiadaczom pingwinów w zrozumieniu tego tematu. Postanowiłem zmierzyć się z tym Goliatem pro publico bono. Rozpatruję ogólne zagadnienia pod kątem domyślnych instalacji na komputerach domowych. Poniższy tekst przedstawia moją wiedzę na temat bezpieczeństwa, więc jest subiektywny i tendencyjny.

Najbardziej irytuje mnie fakt, że nawet fachowe i opiniotwórcze źródła (Komputer Świat, Chip, PC World, PC Format itp.) mylą się w zeznaniach i zamieszczają czasami przeciwstawne opinie. Na forach internetowych roi się od domysłów i fałszywie interpretowanych danych, co jest bardzo mylące dla wielu osób, szczególnie początkujących użytkowników komputerów oraz tych, którzy dopiero teraz zainteresowali się systemami linuksowymi i bezpieczeństwem w sieci.

Tematem przewodnim jest oczywiście Linux ale żeby zrozumieć podstawowe zasady nie można uniknąć omówienia innych systemów operacyjnych, przede wszystkim w celach porównawczych.
Z MS Windows miałem do czynienia i stykam się z nim do dzisiaj, Mac OSX nie znam i oprę się jedynie na informacjach z internetu. Odnośniki do stron źródłowych zamieszczę na końcu tego tekstu.

Zdecydowana większość publikacji na temat szeroko rozumianego bezpieczeństwa i mechanizmów zabezpieczających dotyczy systemu Windows i to jest jak najbardziej zrozumiałe. Użytkownicy oprogramowania z Redmont są wciąż narażeni na coraz to nowe zagrożenia i zmuszani do stosowania coraz bardziej wyrafinowanych metod zabezpieczania swoich danych. Na forach windowsowych zetknąłem się z opiniami użytkowników, którzy twierdzą, że nie używają programów antywirusowych i nie mają problemów z infekcjami, uważają że zapora systemowa jest wystarczająca. Nie wiem na jakiej podstawie tak sądzą i nie radzę tego próbować na żywym organizmie swojego komputera. Moje doświadczenie jest takie: kilka lat temu podczas którejś tam reinstalacji XP pozwoliłem sobie na ustawienie połączenia internetowego z poziomu instalatora w celu dokonania szybszej aktualizacji. Efekt był taki, że po godzinie od zainstalowania systemu straciłem połączenie z internetem. Mój dostawca, operator sieci kablowej poinformował mnie, że zablokował mój komputer, ponieważ był tak zawirusowany, że stanowił zagrożenie dla innych. Jedynym wyjściem z tej sytuacji była ponowna instalacja, tym razem bez połączenia. Od tamtej pory pierwsze co robię po zainstalowaniu Windows to instalacja antywirusa. Dlaczego tak się dzieje można lepiej zrozumieć po przeczytaniu opisu systemu… ReactOS na stronie tego projektu 1.

„Wbrew panującej opinii, NT jest bezpieczny dzięki swojej konstrukcji. Był to pierwszy popularny system operacyjny z prawidłową realizacją bardzo elastycznego modelu bezpieczeństwa, bazującego na listach kontroli dostępu.
„Tu chodzi o ustawienia” Niedawne systemy bazujące na NT, szczególnie XP, zdobyły złą reputację przez swoje słabe domyślne ustawienia ochrony mające głównie na celu ułatwienie przenosin z Win9x zarówno użytkowników jak i starszych aplikacji. Decyzja ta unieważniła wiele z mechanizmów bezpieczeństwa NT. ReactOS będzie zawierał poprawne domyślne ustawienia ochrony. ReactOS został zaprojektowany z myślą o wysokim bezpieczeństwie; nie dzieli typowych luk innych systemów operacyjnych.
„Wirusy, Szkodniki? Mniejszy problem.”
Przyglądając się sprawie, prawdziwe wirusy komputerowe (które są normalnymi aplikacjami) nie są już powszechne. Większość złośliwego oprogramowania to skrypty mierzące w typowe programy sieciowe jak przeglądarki czy aplikacje e-mail oraz programy z wbudowaną obsługą skryptowania, jak różne produkty Office.”

Jak widać na załączonym obrazku; największym problemem Windows jest wsteczna zgodność systemów w celu ułatwienia migracji na nowsze wersje i możliwość zachowania (głównie komercyjnych) programów. Za fatalny stan bezpieczeństwa odpowiadają ustawienia systemu, które umożliwiają zainstalowanie każdego śmiecia niezależnie skąd pochodzi. Mnie osobiście udało się uruchomić w XP 16-bitowy program „Infor” pochodzący z czasów Win95.

Inną kwestią są prawa administracyjne w systemie. Nie znam nikogo, kto pracowałby na koncie z ograniczeniami w XP – bez praw administracyjnych ten system nie nadaje się do użytku. W nowszej Viście i Sevenie zaimplementowano lepszy mechanizm nazywany UAC (User Account Control) i w internecie natychmiast zaroiło się od pytań i wskazówek jak to coś wyłączyć „bo przeszkadza”. Sama konstrukcja systemu tego nie utrudnia, wystarczy znaleźć odpowiednią opcję w Panelu Sterowania by nadać sobie uprawnienia administratora.

Trzeci czynnik odpowiedzialny za skandaliczny stan bezpieczeństwa Windows to aplikacje.
Microsoft nie zapewnił swoim klientom bezpiecznego źródła sprawdzonych programów, które można instalować bez obaw. Użytkownicy są pozostawieni sami sobie i zdani na pastwę wszelkiej maści programistów tworzących oprogramowanie. Nie od dzisiaj wiadomo, że głównym motorem napędzającym przemysł informatyczny jest rozrywka pod postacią gier komputerowych.

To właśnie wymusza produkcję coraz bardziej wydajnego sprzętu, który podoła coraz bardziej wymagającym i efekciarskim grom. Samo w sobie to dobre zjawisko, dzięki temu mamy coraz lepszy sprzęt ale nie mamy pojęcia co się w takich grach kryje. Dotyczy to także innych programów, można tylko ufać w dobre intencje twórców, że nie podsuwają nam niespodzianek ukrytych gdzieś głęboko. Ale jak tu mieć zaufanie do kogoś, kto chce na nas zarobić? Ja takiego zaufania nie mam.

Podobna sytuacja występuje w systemach Apple; ignorowanie luk bezpieczeństwa, wsteczna zgodność binarna i brak repozytoriów z programami powoduje, że MacOSX jest obecnie uznawany za najbardziej „niebezpieczny” 2 system, cytat: 3:

„Niestety serwera na MacOSX nie postawisz. To samobójstwo. MacOSX jest tak bezpieczny jak durszlak zamiast parasola. Tu prym wiedzie Linux (np. Debian) i oczywiście Windows. Używanie w dzisiejszych czasach MacOSX to jak wyjście na ulicę podczas zamieszek i wesołe machanie flagą z napisem „Tu jestem!” Jeżeli ktoś trzyma ważne dokumenty, plany badań, to z pewnością używanie MacOSX podłączonego do sieci jest ostatnią rzeczą, którą powinien zrobić. Wystarczy spojrzeć na wyniki hakerów podczas PWN2OWN. 5 sekund to naprawdę żenujący czas. Można by powiedzieć, że hakerzy w przerwie po włamaniu do IE9, jedząc pizzę jedną ręką włamali się do MacOSX przez spreparowany link i dziurę znaną od dawna w Safari.”

Inny cytat 4:

„Aktualizacja systemu OS X Lion do wersji 10.7.3 ma domyślnie włączoną opcję odpowiedzialną za zapisywanie haseł w postaci nieszyfrowanej, czyli jako ciąg znaków (plaintext, cleartext), w logach systemu. Na szczęście nie wszyscy użytkownicy tej wersji systemu są narażeni na wyciek haseł — błąd dotyczy jedynie systemów, które korzystały ze starszego zabezpieczenia FileVault przed instalacją OS X 10.7. Systemy, na których FileVault nie był używany lub był używany tylko FileVault 2, wprowadzony wraz z OS X 10.7. W grupie najwyższego ryzyka są jednak między innymi laptopy firmowe, na których używany był FileVault przed instalacją wydanej latem zeszłego roku wersji OS X.”

Od siebie dodam do powyższego, że podczas testów na włamanie do domyślnie zainstalowanych i zabezpieczonych systemów hakerzy złamali zabezpieczenia XP w godzinę, MacOSX padł równie szybko, na Vistę potrzebowali 4 godziny a włamując się do Ubuntu 10.04 poddali się po… czterech dniach.
Jak widać wielkie koncerny bardziej dbają o zysk niż klienta i pod tym względem nie różnią się od siebie niezależnie od branży. Maksymalizacja zysku wymaga minimalizacji kosztów i skutecznego marketingu, produkt i nabywca muszą zająć dalsze miejsca. Do tego trzeba dodać niewystarczające aktualizowanie i długotrwałe usuwanie luk i krytycznych błędów. Powszechnie znane są wieloletnie perypetie z dziurami w IE, MS Office czy produktach Adobe (głównie Adobe Acrobat i Adobe Flash) oraz aplikacjami Apple (ostatnio Safari), które mają także wersje dla Windows.

W błędzie jest ten, kto sądzi, że te przypadłości dotyczą tylko systemów komputerowych, dotyczą także systemów mobilnych. Znane są problemy z bezpieczeństwem w Androidzie, który pochodzi w prostej linii od Linuksa a mimo tego jest zagrożony podobnie jak Windows. Przyczyny tego stanu rzeczy są także bardzo podobne. Zapewne z powodów ekonomicznych Google nie kontroluje Android Market, pojawiły się tam setki aplikacji wątpliwej jakości i niewiadomego pochodzenia, które zawierają niebezpieczny kod. Ich zadaniem jest przechwycenie danych użytkowników lub bezczelne wyłudzenie pieniędzy. Niestety, sami posiadacze smartfonów też potrafią działać na swoją niekorzyść. Przyzwyczajenia wyniesione z Windows dają znać o sobie, użytkownicy z dziką rozkoszą „rootują” Androida, czyli pozbawiają go bardzo ważnego elementu zabezpieczającego, tylko po to, by móc instalować co popadnie i cieszyć się z nieograniczonej władzy administratora. Takie podejście to prosta droga do kłopotów.

Mamy więc cztery grzechy główne osłabiające bezpieczeństwo:
1. Ustawienia systemu pod kątem komercyjnym, rezygnacja z zabezpieczeń w celu zapewnienia zgodności wstecznej ze starszymi wersjami systemów i aplikacji.
2. Niewystarczające (złe) zarządzanie prawami dostępowymi (administracyjnymi).
3. Brak repozytoriów bezpiecznego oprogramowania i kontroli nad programami firm trzecich przez twórców systemu.
4. Ignorowanie krytycznych błędów w aplikacjach systemowych i opieszałe aktualizacje.

Najlepsze zostawiłem na deser, zacznę od cytatów 5:

„Większość użytkowników Linuksów nie wiedziałaby, co to są wirusy, gdyby nie problemy, jakie mają z nimi użytkownicy systemów Windows. Nie znaczy to, że nie ma wirusów atakujących systemy spod znaku pingwina, jednak większość z nich powstaje w laboratoriach uniwersyteckich w ramach projektów zwiększania bezpieczeństwa oprogramowania. Sytuacja ta może się zmienić wraz ze wzrostem popularności systemów linuksowych, które obecnie są zainstalowane na 1% komputerów na całym świecie. Doskonałym przykładem na to, że może się tak stać, są robaki, które powoli zaczynają infekować urządzenia z zainstalowanym systemem Android.”

I w innym miejscu:

” Chodzi przede wszystkim o znacznie mniejszą globalną liczbę użytkowników Linuksów w porównaniu z systemami Microsoftu oraz spore rozdrobnienie na różne dystrybucje. Jak mówią prawa ekonomii – niewielki rynek to mały popyt, a co za tym idzie znikoma podaż. Nie opłaca się tworzyć złośliwego oprogramowania na Linuksy, ze względu na to, że szansa zdobycia „chwały” nieduża, a kłopot spory, bo trzeba się napracować by uwzględnić różne warianty systemu i oszukać wykazujących się znacznie większą świadomością użytkowników tego środowiska.”

I tak dalej:

„Rzecz jasna powszechniejsze systemy z dużą bazą użytkowników są bardziej narażone na ataki ze strony złośliwych programistów niż mniejsze systemy jak Macintosh i Linux.”

Gdy czytam takie tezy jak powyżej to ogarnia mnie pusty śmiech. Jest to bełkot pierwszej klasy powtarzany przez wielu jak mantra. W świetle tego co cytowałem wcześniej jakie znaczenie ma popularność systemu?! Jak się ma ilość użytkowników do ustawień systemu i praw dostępu?! Dokładnie tak samo jak się ma piernik do wiatraka.

Czytaj dalej: >>> Bezpieczeństwo w Linuksie – fakty i mity cz.2 >>>

 
Linki do stron źródłowych:
1. reactos.org/about.html
2. komputerswiat.pl/nowosci/bezpieczenstwo/2012/17/do-porannej-kawy-apple-10-lat-za-microsoftem.aspx
3. dobreprogramy.pl/Xanthia/Dlaczego-Mac-OS-X-nie-rzadzi-swiatem,31249.html
4. dobreprogramy.pl/Lion-przechowuje-hasla-jako-tekst,Aktualnosc,33042.html
5. pclab.pl/art44296-9.html