Bezpieczeństwo w Linuksie – fakty i mity cz.3
Ostatnia aktualizacja: 14 września 2023, 22:52
Minęło już wystarczająco dużo czasu od napisania poprzednich części by pokusić się o aktualizację i uzupełnienie.
Do tego tekstu skłonił mnie jeden z komentarzy zamieszczonych pod „Bezpieczeństwo w Linuksie – fakty i mity cz.2” przez użytkownika, który podpisał się jako marian. Nie mam w zwyczaju podejmować polemiki z hejterami, ale w tym przypadku zrobię wyjątek.
Pan, powiedzmy że „marian”, chcąc udowodnić mi niewiedzę lub zdeprecjonować tezy zamieszczone w tekście, zwrócił moją uwagę na trzy tematy, których nie poruszyłem wcześniej koncentrując się na zabezpieczeniach i ustawieniach systemów biurkowych. Żeby wiedzieć o czym tu będzie mowa, trzeba przeczytać poprzednie dwie części artykułu oraz… komentarze.
Temat 1: „A z tych „speców” którzy wyłożyli się na Linuxie byli tacy hakerzy, jak z koziej d*py worek na mąkę”. Testy włamaniowe, o których wtedy wspomniałem odbywały się w ramach Google Vulnerability Reward Programs a tam nie startuje byle kto.
Google nie oszczędza na finansach, jeśli chodzi o program wypłacania nagród za odnalezione błędy. Należące do Google Vulnerability Reward Programs (VRP) istnieją już od 2010 roku, a ich celem jest nagradzanie badaczy za odkrywanie błędów i luk, które firma mogła przegapić. Od tego czasu inicjatywa stale się rozwija, obejmując inne produkty, w tym Chrome i Androida.
Temat 2: „Proponuję wpisać w wyszukiwarkę: ataki dos linux…”
Tak więc wpisałem i przeczytałem:
DDoS (ang. Distributed Denial of Service – rozproszona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie).
Więc analogicznie do autobusu, jego pojemności i wielkości drzwi, próbujemy uzyskać dostęp do serwera/usługi, czego tylko chcemy w tak masowy, rozproszony sposób, że uniemożliwiamy innym osobom skorzystanie z tej usługi.
Tak więc w tym przypadku mowa jest o ataku na infrastrukturę i usługi sieciowe, czyli serwery, routery, itp. Nie ma to za wiele wspólnego z systemem, jakiego używamy na laptopie i ma charakter wieloplatformowy, dlatego też nie poruszałem tego tematu w tekście o systemach biurkowych.
Temat 3: „autor nie wspomina nic o takim szczególe, jak włamanie na serwery „super bezpiecznego” Linuxa i umieszczenie zainfekowanego Mint’a…”
Gdybym w 2012 roku pisał o wydarzeniach z 2016 roku, to musiałbym się nazywać Jackowski. A ja z wróżenia dostałem pałę i wyleciałem z Hogwartu.
Ale patrząc obiektywnie, jest to świetny przykład potwierdzający moje wcześniejsze tezy. Znowu posłużę się cytatem.
PC LAB 22 lutego 2016, 08:17 :
Linux Mint to dystrybucja popularnego systemu oparta na Ubuntu oraz Debianie. Cechuje się ona prostotą użytkowania i tak samo, jak większość Linuksów, teoretycznie ma zapewniać większe bezpieczeństwo niż oprogramowanie z rodziny Windows. Dlatego też tak duże znaczenie ma niedawne włamanie, które poskutkowało tym, że na serwerze twórców znajdował się specjalnie spreparowany obraz ISO systemu z ukrytą tylną furtką.
Do włamania wykorzystano bliżej niesprecyzowaną lukę w WordPressie, który odpowiada za stronę Linux Mint. Na pierwszy rzut oka przestępcy nie dokonali żadnych zmian w serwisie, ale twórcy systemu szybko spostrzegli, że pliki instalacyjne najnowszej wersji oznaczonej jako 17.3 Cinnamon zostały podmienione, przez co wszyscy zainteresowani pobierali oprogramowanie wcześniej spreparowane przez włamywaczy.
Było ono dostępne 20 lutego. Naniesione zmiany polegały na umieszczeniu tylnej furtki umożliwiającej kradzież haseł sieciowych oraz innych prywatnych danych użytkowników. A jak się przekonać, czy ściągnięte oprogramowanie zawiera złośliwy kod? Najprościej sprawdzić obecność pliku /var/lib/man.cy. Jeżeli użytkownik go znajdzie na swoim dysku, jego kopia nie jest oryginalna. Oprócz tego można też porównać sumy kontrolne MD5 swojego obrazu ISO z informacjami udostępnionymi na blogu twórców Linuksa Mint.
Obecnie sprawcy ataku pozostają nieznani, chociaż uznaje się, że było ich trzech. Dodatkowo ujawniono, że przestępcy wykorzystywali serwer znajdujący się w Bułgarii, a do przesyłania wykradzionych danych używano domenę absentvodka.com. Co należy zrobić, jeżeli już pobrało się złośliwą kopię systemu? Przede wszystkim usunąć ją ze wszystkich nośników. Jeśli użytkownik zdążył ją zainstalować, pozostaje skopiować swoje pliki i całkowicie sformatować systemową partycję. Dodatkowo zaleca się zmienić wszystkie hasła do usług, z których korzystało się przy pomocy Linuksa Mint. Warto także pamiętać, że twórcy dystrybucji już przywrócili oryginalne oprogramowanie na swoją stronę, jednakże zainfekowana kopia wciąż może znajdować się w wielu innych źródłach. Dlatego też obecną wersję systemu najlepiej pobrać z oficjalnego serwera.
Zwróćcie uwagę na kilka faktów: PC LAB pisał 22 lutego 2016 o godzinie 08:17 o rozwiązaniu problemu (ataku) z dnia 20 lutego 2016, czyli zagrożenie trwało 2 dni – tyle potrzebowali administratorzy Linux Mint na reakcję i załatwienie sprawy. I dotyczyło to jednego obrazu iso.
A gdyby to spotkało inny wiodący system z USA? Przyznaliby się może po tygodniu a usuwanie skutków trwałoby… tego nie wie nikt.
Atak był przeprowadzony przez „bliżej niesprecyzowaną lukę w WordPressie” – jak to się ma do bezpieczeństwa systemu biurkowego i mojego artykułu sprzed 4 lat?
Za cholerę nie wiem. Ale jak ktoś ma ograniczone pojęcie o informatyce, to łapie się takich słówek, jak „popularność” „statystyka” „atak dos” „zainfekowany Mint” i miesza fakty z mitami, byle mu do czegoś pasowało.
No i autor był subiektywny… Wszystko, co piszę jest subiektywne, bo wynika z moich obserwacji i doświadczeń. I podpisuję się pod tym.
Autor: Albedo 0.64
