Bezpieczeństwo w Linuksie – fakty i mity cz.2
Ostatnia aktualizacja: 18 września 2023, 14:50
Przenieśmy te „mądrości” i statystyki na inny grunt. Gdyby bezpieczeństwo w motoryzacji zależało od popularności to najbardziej niebezpieczny byłby Volkswagen a eksperci od bezpieczeństwa zalecaliby jazdę Lamborghini lub Maserati. Dlaczego? Bo STATYSTYCZNIE te auta biorą udział w niewielkim odsetku kolizji drogowych! Jest w tym jakiś sens? Ja go nie widzę.
Jest takie przysłowie, które mówi, że są trzy prawdy: święta prawda, g… prawda i statystyka.
Nie wiem z jakich źródeł korzystają statystycy, którzy określają ilu jest użytkowników Linuksa lub ilu widzów ogląda konkretny program w TV, dla mnie jest to czarna magia. Wiem jednak, że o bezpieczeństwie na drodze czy w internecie decyduje konstrukcja i jakość produktu którego używam a nie jego popularność. Awaria samochodu, komputera czy systemu może przydarzyć się każdemu ale produkt dobry jakościowo jest mniej na to narażony. Na wypadki losowe nie mamy wpływu. Oczywistym jest, że dobre auto i markowy komputer psują się rzadziej nie dlatego, że są mniej lub bardziej popularne ale dlatego, że konstruktorzy włożyli w niego więcej pracy i starań by dobrze służył. I znów podeprę się cytatem 6:
„Serwery banków są zwykle bardzo dobrze zabezpieczone. Niestety, nie można powiedzieć tego samego o komputerze przeciętnego Kowalskiego, zwłaszcza jeśli jest na nim zainstalowany Windows. Dlatego też zamiast przedzierać się przez bankowe systemy ochronne, hakerzy często atakują najsłabsze ogniwo łańcucha – użytkownika systemu Microsoftu. Żeby całkowicie uniemożliwić napastnikom atak, XP i Vista potrzebują dodatkowych narzędzi zabezpieczających – niestety, spowalniają one działanie komputera i wymagają stałej uwagi. To znaczy: trzeba je codziennie aktualizować! Rozwiązanie: Bez aktualnego programu antywirusowego lepiej w ogóle nie łączmy się z serwisami banków! Pełne bezpieczeństwo zapewni nam jednak tylko Linux. Używajmy zatem dwóch systemów równolegle: kiedy w grę wchodzą pieniądze, przesiadajmy się na Linuksa, a do zadań, takich jak obróbka zdjęć czy pisanie listów, zatrudnijmy Vistę lub jej poprzedników. Możemy skorzystać z dystrybucji Linuksa uruchamiającej się bezpośrednio z płyty CD, np. Knoppiksa.”
Kluczowe jest tutaj zdanie: „Pełne bezpieczeństwo zapewni nam jednak tylko Linux.” Dlaczego autor tego artykułu o bankowości internetowej tak sądzi? Teraz przyjrzyjmy się bliżej naszemu pingwinowi 7, 8.
„Linux jest różnorodny.
Krytycy lubią mówić o różnorodności Linuksa jako o „problemie fragmentacji”, jednak prawdę mówiąc jest to jedna z jego największych zalet. Użytkownicy mają niezliczone dystrybucje Linuksa do wyboru. Są takie jak Linux Mint lub Ubuntu, które stawiają na użyteczność lub jak Fedora, która zapewnia najwyższe bezpieczeństwo i wiele możliwości dla klientów biznesowych. Istnieją nawet wersje dla określonych branż.”
Powstało już ponad 400 dystrybucji Linuksa z czego kilkadziesiąt jest szeroko używanych, każda z nich różni się od pozostałych. Używane są różne zestawy programów, środowiska graficzne, rodzaje paczek instalacyjnych, menadżery plików, menadżery okien, instalatory programów a każda dystrybucja ma własne repozytorium pakietów. Nawet ta sama dystrybucja zainstalowana na innych komputerach przez różnych użytkowników może się różnić diametralnie a wybór opcji instalacyjnych jest na prawdę imponujący. Stworzenie wirusa czy innego złośliwego kodu na taki system przerasta możliwości 99% programistów. Tym razem palnąłem sobie własną statystykę:)
W porównaniu z Linuksem Windows jest jak gwoździe, taki sam na wszystkich komputerach, poszczególne instalacje różnią się tylko sterownikami, co znacznie ułatwia zadanie hakerom. Systemy linuksowe w zdecydowanej większości są tworzone przez programistów z całego świata skupionych wokół wspólnej wizji lub idei, robią to dla siebie i dla innych, Linux powstaje dla ludzi a nie dla pieniędzy. Dlatego nie ma tu osłabiania czy ignorowania zabezpieczeń w celach zarobkowych. Są także dystrybucje komercyjne ale ten biznes oparty jest o całkiem inne założenia. Takie firmy jak Red Hat, Novell czy Mandriva Soft pobierają opłaty za wsparcie techniczne i obsługę klientów korporacyjnych jednocześnie wydając społecznościowe i bezpłatne wersje swoich systemów na komputery domowe. Tu też nie ma mowy o taryfie ulgowej a bezpieczeństwo systemów jest priorytetem. Pierwszy główny grzech nie dotyczy więc Linuksa.
Konta użytkowników i prawa dostępu są w Linuksie od zawsze i stanowią główny filar, na którym jest oparte bezpieczeństwo systemu. Microsoft dopiero w Sevenie zaimplementował te funkcje w przyzwoity sposób na wzór linuksowy ale zepsuł efekt pozostawiając użytkownikom furtkę, przez którą mogą to ominąć i czynią to bez skrupułów tylko po to, by nie musieć pamiętać i wpisywać hasła. W Linuksach kiedyś można było zalogować się na konto root ale dzisiaj w większości dystrybucji jest to już niemożliwe ani potrzebne. Uprawnienia administratora (superuser) są nadawane w razie potrzeby i wymagają wpisania hasła. Bez ustanowienia hasła nie jest możliwa instalacja systemu, tego kroku nie da się pominąć. Jak w tej sytuacji może się zainstalować wirus? Przecież użytkownik MUSI mu na to pozwolić wpisując hasło! Innej drogi nie ma. Nawet jeśli to zrobi przez własną głupotę, przypadek lub niewiedzę to instalator pakietów go przed tym ostrzeże odpowiednim komunikatem.
Drugi główny grzech też odpada.
Wielu początkujących linuksiarzy narzeka na niemożność instalowania w systemie dowolnych programów, szczególnie windowsowych. Czują się ograniczeni zawartością repozytoriów w których są tylko programy wybrane przez twórców danej dystrybucji. I o to właśnie chodzi! Te pakiety są nie tylko wybrane ale także dokładnie sprawdzone a każdy z nich ma swojego opiekuna. Teoretycznie ktoś złośliwy mógłby zamieścić w repozytorium np. Ubuntu jakiegoś wirusa, robaka czy trojana, w praktyce zostałoby to natychmiast wykryte przez innych a delikwent wykluczony z zespołu zajmującego się repozytorium. Istnieje możliwość (czasami konieczność) dodania repozytoriów społecznościowych spoza dystrybucji ale i tu nie ma obaw. Sytuacja wygląda analogicznie jak w repozytoriach głównych, są opiekunowie pakietów a dodawanie wątpliwych aplikacji byłoby strzałem we własną stopę. Przecież oni robią to także dla siebie! Opiekują się pakietami, dbają o spełnianie zależności między nimi, poprawiają błędy wykryte i zgłoszone przez użytkowników oraz zamieszczają zaktualizowane wersje. Co więcej, w zdecydowanej większości czynią to w swoim wolnym czasie, są twórcami, artystami, którzy realizują swoją pasję i nie siedzą na etacie. Przykładem mogą być Paweł i Aneta, którzy tworzą portal Linuxiarze.pl i własną dystrybucję SparkyLinux. Nie są anonimowi, pomogą i doradzą każdemu, kto się do nich zwróci i nie są zainteresowani działaniem na czyjąkolwiek szkodę.
Pingwin nie grzeszy po raz trzeci.
Aktualizacje oprogramowania to kolejny atut każdego Linuksa, wykryte i zgłoszone przez użytkowników błędy są poprawiane niemal natychmiast, czasem zajmuje to kilka dni a czasem kilka godzin. Aktualizacje dystrybucji obejmują nie tylko system ale także zainstalowane programy, przy tym należy podkreślić, że aktualizacjom podlegają tylko obecne w systemie pakiety, nie ma mowy o dodawaniu czegokolwiek bez zgody użytkownika. Informatyczni giganci z Redmont i Cupertino potrafią całymi latami ignorować błędy i luki we własnym sofcie. Jeśli ktoś to rozumie to niech mi wytłumaczy, bo ja nie mam pojęcia, dlaczego tak jest. Aktualizacje Windows obejmują tylko produkty Microsoftu i często „przemycane” są nowe funkcje, o których użytkownik nie wie. System potrafi też wysyłać informacje o użytkowniku nie pytając o zgodę.
Oprócz domyślnych, systemowych ustawień bezpieczeństwa Linux zawiera także programy, które w tym pomagają. Podstawową aplikacją jest zapora ogniowa ufw, która działa w trybie tekstowym (konsolowym). Do wygodnego zarządzania regułami służy graficzny interfejs Gufw. Obsługuje typowe zadania, takie jak wstępnie skonfigurowane blokowanie lub zezwalanie, wspólne p2p, czy indywidualne porty oraz wiele innych. Dla bardziej wymagających i zaawansowanych użytkowników przeznaczony jest Firestarter.
W repozytoriach każdej dystrybucji znajdziemy też antywirus ClamAV a z zewnątrz dostępnych jest kilkanaście innych 9.
Praktycznie każda większa firma antywirusowa ma ofertę dla Linuksa, między innymi AVG, Avira, Avast, Panda, Kaspersky, Symantec. Kiedyś, gdy miałem jeszcze WinXP i partycje NTFS używałem ClamAV do skanowania Windowsa z zewnątrz. Obecnie mam tylko Linuksa i partycje ext4. Program ten służy mi głównie do skanowania nośników wymiennych. Sprawdza się znakomicie. W celu rozszerzenia możliwości ClamAV proponuję doinstalowanie przez Synaptica kilku dodatków, przede wszystkim graficzny interfejs ClamTK. Wartym zainteresowania jest też skaner Linux Malware Detect, projekt Open Source. Nie raz przeglądałem logi ufw i skanowałem komputer antywirusem zarówno z poziomu Linuksa jak i Windows. Na partycjach linuksowych wynik był zawsze zerowy. Jeżeli ktoś miał kiedykolwiek do czynienia z wykrytym wirusem w Linuksie to proszę o zamieszczenie informacji o tym w portalu Linuxiarze.pl. Takiego epokowego zjawiska nie wolno ukrywać. Czwarty grzech główny na aut.
Oczywiście nic nie jest doskonałe, Linux wciąż się rozwija i pędzi do przodu, dystrybucje mają wzloty i upadki, zdarzają się błędy mniejsze lub większe ale użytkownik ma zawsze wybór, może sprawdzić nowe wydanie, wrócić do starszej wersji i poczekać na następną lub przejść na inną dystrybucję jeżeli dotychczasowa przestała spełniać jego oczekiwania. Ja sam bezboleśnie przeszedłem z Mandrivy do Ubuntu a teraz porzuciłem GNOME/Unity na rzecz Xfce/LXDE bo tak mi bardziej pasuje. Satisfaction guaranteed.
Jest jeszcze piąty element odpowiedzialny za bezpieczeństwo. Siedzi on właśnie przed monitorem i stuka w klawiaturę. Użytkownik jest najsłabszym ogniwem w tym łańcuchu i to bez względu na używany system, to on może popsuć wszystko i wpakować się w kłopoty na własną prośbę. I w tym miejscu Linux jest górą ponieważ jego użytkownicy są bardziej świadomi tego co robią. W końcu to oni sami wybrali ten system, z własnej i nieprzymuszonej woli, bez psychologicznego marketingu i uszczęśliwiania na siłę.
To właśnie świadomi użytkownicy są największym atutem i zaletą Linuksa. Amen.
Autor: Albedo 0.64
Linki do stron źródłowych:
6. chip.pl/artykuly/porady/2009/01/bankowosc-internetowa-nowe-zagrozenia
7. pcworld.pl/news/378964/Usun.Windows.zainstaluj.Linux.10.argumentow.za.html
8. pcworld.pl/news/380042/Pierwsze.kroki.z.Linux.Mint.siec.bezpieczenstwo.i.zalety.wine.html
9. forum.komputerswiat.pl/topic/18092-antywirusy-na-linuksa/
10. komputerswiat.pl/blogi/blog-redakcyjny/2012/02/ubuntu-miazdzy-windows-7-w-testach.aspx
Autorowi tej pieśni pochwalnej wydaje się że jak zamknie oczy i nie będzie patrzył na problem to problem przestanie istnieć. Ci spece którzy rzekomo mieli poddać się po kilku dniach prób włamania do Linuxa pewnie tyle znali się na informatyce co autor artykułu na bezpieczeństwie. Proponuję wpisać w wyszukiwarkę: ataki dos linux…. A z tych „speców” którzy wyłożyli się na Linuxie byli tacy hakerzy jak z koziej d*py worek na mąkę. Na to co piszą niemieckie gazety typu KŚ czy Chip należy spuścić zasłonę milczenia.
I ciekawe dlaczego autor nie wspomina nic o takim szczególe jak włamanie na serwery „super bezpiecznego” Linuxa i umieszczenie zainfekowanego Mint’a….Dla chcącego nic trudnego. Ja w przeciwieństwie do autora nie zamierzam spamować. Zniechęcony g*wnem w postaci Windows’a 8 postanowiłem poszukać alternatywy, niestety takie artykuły z lokowaniem produktu nie robią najlepszego wrażenia i bynajmniej nie zachęcają do tego by po ów produkt sięgnąć. Palce mnie świerzbią aby napisać coś więcej o „super systemie”, ale w przeciwieństwie do autora ww artykułu nie będę spamił swoim subiektywizmem 😛
Na koniec drobiazg – trochę poza tematem – na przyszłość fajnie by było gdyby polskie wersje systemu rzeczywiście były polskie a nie częściowo polskie (co drugi wers po polsku) jak Cinnamon którego obecnie testuję.
Nie ma ludzi doskonałych czy nieomylnych. Tekst powstał kilka lat temu i od tego czasu wiele się zmieniło. W informatyce rok to już epoka a co dopiero kilka lat. Przyjmuję Twoją krytykę „na klatę” i proszę o więcej merytorycznych szczegółów. Bez konkretnych przykładów i danych Twój komentarz będzie tylko zwykłym krytykanctwem. Weź pod uwagę ramy czasowe, kiedy pisany był powyższy tekst czyli przed wydaniem Win7. Możesz założyć nowy wątek na forum i tam zamieścić swoje uwagi na temat bezpieczeństwa informatycznego. Zachęcam do większej aktywności, każda forma dzielenia się własną wiedzą jest pożądana i mile widziana. Pozdrawiam. Autor.
Świetny artykuł. Jasno i prosto. Tekst dla tych którzy wahają się nad wypróbowaniem pingwinka, sam podeślę paru osobom.