Перейти к содержанию

Нужно ли защищать Linux, и если да, то как? | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux вообще не имеет смысла защищать. Считалось, что и архитектура у системы изначально практически неуязвимая, и злоумышленникам она не очень-то интересна, да и идеология открытого исходного кода служит своего рода гарантией против неожиданного появления серьезных уязвимостей. В последние годы всем здравомыслящим безопасникам стало очевидно, что все три эти утверждения далеки от истины.

Угрозы серверам под Linux

Пока киберпреступность специализировалась исключительно на зарабатывании денег за счет конечных пользователей, серверы под Linux действительно были в относительной безопасности. Но современные злоумышленники уже давно переключились на бизнес — это позволяет им получать гораздо большую прибыль с каждой успешной атаки. И вот тут-то различные сборки Linux удостоились серьезного внимания. Ведь сервер стратегически интересен любому атакующему, ставит ли тот целью шпионаж, саботаж или банальное распространение шифровальщика. За примерами далеко ходить не надо.

  • В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux. Зловред адаптирован для целевых атак на конкретные организации (код и записка о выкупе каждый раз модифицируются под новую цель). На тот момент несколько крупных организаций уже были атакованы этим трояном.
  • Обнаруженный летом этого года шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс мессенджера Telegram.
  • Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под управлением Linux. В результате выяснилось, что практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты.

Отдельные риски несут в себе уязвимости. Да, действительно, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».

 

View the full article

Umnik

Umnik

Опубликовано
Опубликовано
Quote

В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux

1. "RansomEXX is a highly targeted Trojan". То есть нужно было быть НУ ОЧЕНЬ ЖИРНЫМ, чтобы ради тебя вообще пытались применить этот троян

2. Защита от шифровальщика сверх банальна — данные пользователей должны быть под другими пользователями. Собственно, это _штатная фича_ линукса. У меня так медиа плеер не может удалить/изменить файлы торрент клиента и оба они не могут получить доступ к файлам НекстКлауда. Всё это разные юзеры в системе. Ну то есть чтобы троян не мог работать, нужно было ничего специально  не лом

Quote

Обнаруженный летом этого года шифровальщик DarkRadiation

Quote

Upon execution, DarkRadiation ransomware first checks if it is run as root

Чтобы троян заработал, нужно запустить его под рутом. Самому. Руками. На сервере. Если у тебя рутовые права, то, конечно, ты несёшь угрозу, о чём тут говорить.

 

Quote

Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT,

Вот это забавное исследование. Оно начинается с фразы:

Quote

At the same time, there’s a widely held opinion that Linux is a secure-by-default operating system that isn’t susceptible to malicious code.

Популярно мнение, что линукс — это система, сделанная не ж..ой и потому ей пофиг (не подвержена) на вредоносный код.

 

Так вот:

1. Нет такого мнения, что не существует вредоносного кода под Linux

2. Кажется (смотрел по диагонали и вспоминал по названиям) все перечисленные там истории — это когда вредоносный код запускали, предоставляя рутовый доступ своими руками. И всякий раз на тот момент эти вредоносы были неизвестны и никто бы их не определил, будь там антивирус

 

Между запуском через sudo и дабл кликом с кнопкой ОК прям принципиальная разница. Если кто-то настолько отбитый, что работает под рутом, то никакой антивирус никогда в жизни ему не поможет.

 

Quote

Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».

А при чём тут Линукс?

 

Quote

А тем временем уязвимости порой находятся достаточно серьезные. Например, июньская CVE-2021-3560 в системном сервисе polkit (который по дефолту присутствует во множестве дистрибутивов Linux)

1. Это актуально для пользовательских пекарен, а не для серверов. Или мы тут мешаем в кучу серверы и конечные точки? "Как защищать серверы под Linux"

2. Присутствует в дистрибутиве != уявзим. Скажем, в том же Дебиане полкит был, но уязвимости не было (она была в тестинге, не в продакшене)

Но да, это единственный, на всю статью, хороший пример.

 

Quote

Во-первых, теперь в решении работает полноценный контроль приложений (технология, позволяющая запускать только приложения, внесенные в список доверенных, или же блокировать программы, внесенные в список недоверенных).

AppArmor?

 

Нужно ли защищать Linux? Да, конечно. Нужно ли для этого использовать сторонние решения? Вовсе не факт. И Линукс, и МакОС, и *БСД — всё это системы, собственых возможностей которых хватает на любые нужды вообще. Нет сценариев, когда должный уровень безопасности может быть обеспечен только сторонними решениями. Это не Windows.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Фальшивые приложения, атаки на оплату NFC и другие проблемы Android-устройств в 2026 году | Блог Касперского
      Автор KL FC Bot
      Прошедший 2025 год стал рекордным по числу атак на Android-устройства. Мошенники эксплуатируют несколько горячих трендов: интерес пользователей к ИИ-приложениям, желание обойти блокировки доступа к сайтам или проверку возраста на входе, стремление сэкономить при покупке смартфона, повсеместное распространение банковских и платежных сервисов, а также популярность NFC. Разбираемся в основных угрозах 2025–2026 годов и выясняем, как защитить свой Android-смартфон в новых условиях.
      Установка из посторонних источников
      Вредоносные установочные пакеты (файлы APK) всегда были основной угрозой для Android-устройств, несмотря на многолетние усилия Google по укреплению защиты Android. Используя sideloading — установку нового приложения из APK-файла вместо загрузки из магазина приложений — можно установить любые приложения, включая откровенно вредоносные. Ни внедрение Google Play Protect, ни различные ограничения прав для установленных неизвестно откуда приложений не уменьшили масштаб проблемы.
      По предварительным данным «Лаборатории Касперского» за 2025 год, число обнаруженных на Android мобильных угроз выросло почти вдвое. В третьем квартале их было на 38% больше, чем во втором. В некоторых нишах, таких как банковские трояны, рост еще серьезнее. В одной России опасный банковский троян Mamont атаковал в 36 раз больше пользователей, чем годом ранее, в целом по миру рост этой категории почти четырехкратный.
      Сегодня злоумышленники в основном распространяют вредоносное ПО через мессенджеры, пересылая вредоносные файлы в личных чатах и группах. Установочный файл имеет привлекательное имя («фото вечеринки.jpg.apk», «все товары распродажи.apk» и подобные), а сопутствующее сообщение объясняет, как установить пакет, обойдя ограничения и предупреждения операционной системы.
      После заражения нового устройства зловред нередко рассылает себя всем контактам жертвы.
      Также популярен спам в поисковых системах и e-mail-рассылках, заманивающий пользователей на сайт, внешне похожий на магазин приложений, где предлагается скачать «новое полезное приложение» ؙ— например, ИИ-ассистента. На самом деле происходит не установка из магазина приложений, а загрузка приложения в пакете APK. Ярким примером этих техник является Android-троян ClayRat, комбинирующий все перечисленное для атак на российских пользователей. Он распространяется через группы и через фальшивые сайты, рассылает себя контактам очередной жертвы через SMS, а затем ворует у жертвы ее переписку и историю звонков и даже фотографирует владельца фронтальной камерой смартфона. Всего за три месяца появилось более 600 сборок трояна.
      Масштаб беды таков, что в Google даже анонсировали запрет на распространение приложений от неизвестных разработчиков с 2026 года. Но спустя пару месяцев под давлением сообщества разработчиков сменили подход на более мягкий — вероятно, неподписанные приложения можно будет устанавливать только в каком-то «режиме суперпользователя». Поэтому можно ожидать, что инструкции от мошенников пополнятся описанием того, как в этот режим войти.
       
      View the full article
    • KL FC Bot
      Джейлбрейк ИИ поэзией: как обойти защиту чат-ботов стихами | Блог Касперского
      Автор KL FC Bot
      Экспериментами по обходу ограничений в ответах ИИ, установленными создателями языковых моделей, технологические энтузиасты начали заниматься практически с самого начала широкого распространения LLM. Многие из этих приемов были весьма оригинальны — например, сказать ИИ, что у вас нет пальцев, чтобы он помог дописать код, попросить его «просто пофантазировать», когда прямой вопрос приводит к отказу, или предложить ему принять роль умершей бабушки и поделиться запретными знаниями, дабы утешить скорбящего внука.
      Большинство таких трюков давно известны, и со многими из них разработчики LLM научились успешно бороться, но сама битва между ограничениями и попытками их обойти никуда не делась — уловки просто стали сложнее и изощреннее. Сегодня поговорим о новой технике джейлбрейка ИИ, которая эксплуатирует уязвимость чат-ботов… к поэзии — в самом прямом смысле этого слова. В свежем исследовании ученые показали, что формулирование промптов в виде стихов значительно повышает вероятность небезопасного ответа моделей.
      Эту технику они проверили на 25 популярных моделях от Anthropic, OpenAI, Google, Meta*, DeepSeek, xAI и других разработчиков. Ниже — подробности о том, какие ограничения есть у моделей, откуда у них вообще берутся запретные знания, как проходило исследование и какие модели оказались наиболее «романтичными» — в смысле, восприимчивыми к стихотворным запросам.
       
      View the full article
    • KL FC Bot
      Как защититься от слежки через гарнитуру Bluetooth и атаки WhisperPair | Блог Касперского
      Автор KL FC Bot
      Новая недавно обнаруженная уязвимость WhisperPair позволяет превратить Bluetooth-наушники и гарнитуры многих известных фирм в трекинговые маячки для слежки за их владельцами, вне зависимости от того, подключены ли эти аксессуары к iPhone, Android-смартфону или даже ноутбуку. И несмотря на то, что технология, особенности реализации которой производителями гарнитур сделала возможной данную уязвимость, разработана в Google для Android-устройств, риски слежки оказываются куда выше у тех, кто использует уязвимые гарнитуры с устройствами под управлением других ОС — iOS, macOS, Windows или Linux — а владельцев iPhone это касается в первую очередь.
      Первичное подключение Bluetooth-наушников к Android-смартфонам стало проще и быстрее, когда Google внедрила технологию быстрого сопряжения Fast Pair, которую взяли на вооружение десятки производителей аксессуаров. Чтобы сопрячь со смартфоном новую гарнитуру, поддерживающую эту технологию, достаточно включить ее и поднести к смартфону. Если тот достаточно современный (произведен после 2019 года), на его экране всплывет окошко с предложением подключиться к гарнитуре и загрузить фирменное приложение для наушников, если оно существует. Одно касание — и дело сделано.
      К сожалению, многие производители гарнитур, видимо, неправильно прочитали инструкцию к этой технологии, поэтому их аксессуары можно за считаные секунды подключить к чужому смартфону, даже если гарнитура не находится в режиме сопряжения. В этом суть уязвимости WhisperPair, недавно найденной исследователями из Лёвенского университета и получившей номер CVE-2025-36911.
      Вредоносное устройство — обычный смартфон или ноутбук атакующего — транслирует запросы Google Fast Pair и пытается соединиться с BT-устройствами в радиусе 14 метров. Как выясняется, на эти запросы, даже не находясь в режиме сопряжения, откликаются многие наушники Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus и даже Pixel Buds 2 от Google. На атаку в среднем требуется 10 секунд.
       
      View the full article
    • KL FC Bot
      Что такое «проблема 2038», и как устранить ее в организации
      Автор KL FC Bot
      Миллионы ИТ-систем, включая индустриальные и IoT, начнут непредсказуемо вести себя 19 января. Среди возможных сбоев: проблемы в обработке карточных платежей, ложные срабатывания систем безопасности, некорректная работа медицинского оборудования, сбои систем автоматизированного освещения, отопления и водоснабжения и тысячи более безобидных ошибок. Правда, произойдет это в 2038 году, но это не повод расслабляться — времени на подготовку уже недостаточно. Причиной вороха разных проблем станет переполнение переменных, в которых хранится дата и время. Хотя первопричина ошибки проста и понятна, ее устранение потребует обширных и систематизированных усилий, причем как от государств и международных структур, так и от конкретных организаций и частных лиц.
      Негласный стандарт «эпохи» Unix
      Unix Epoch — это система отсчета времени, принятая в операционных системах Unix и ставшая популярной в ИТ-индустрии. Отсчет ведется с момента 00:00:00 UTC 1 января 1970 года, который принят за нулевую точку. Любой момент времени представляется как количество секунд, прошедших с этой даты. Для дат ранее 1970 года используются отрицательные значения. Этот подход был выбран разработчиками Unix для простоты — вместо хранения года, месяца, дня и времени по отдельности достаточно одного числа, с которым удобно проводить манипуляции вроде сортировки или определения промежутка между датами. Сегодня Unix Epoch используется далеко за пределами Unix-систем: в базах данных, языках программирования, сетевых протоколах, в смартфонах на iOS и Android.
       
      View the full article
    • KL FC Bot
      Как мы задаем стандарт прозрачности и доверия | Блог Касперского
      Автор KL FC Bot
      Жизнь современного директора по ИБ (также известного как CISO, Chief Information Security Officer) — это не только борьба с хакерами, но и бесконечный квест под названием «соответствие требованиям». Регуляторы закручивают гайки, стандарты растут как грибы, и головной боли только прибавляется. И самое «веселое» тут то, что отвечать приходится не только за свой периметр, но и, фигурально выражаясь, «за того парня». За всю вашу цепочку поставок (supply chain), за всех подрядчиков и за весь тот «зоопарк» софта, на котором крутятся ваши бизнес-процессы. Логика тут железная и, увы, беспощадная: если дыра найдется у вашего поставщика, а проблемы начнутся у вас — спросят-то в итоге с вас! Распространяется эта логика и на защитное ПО.
      В былые времена компании редко задумывались, что там внутри ИБ-решений и продуктов, которые они использовали. Сейчас бизнес, особенно крупный, хочет знать: а что там внутри этой «коробки»? А кто код писал? А оно не обвалит нам какую-нибудь важную функцию или, например, вообще все (а то прецеденты всякие случались, см. случай с обновлением CrowdStrike 2024 года)? Где и как обрабатываются данные? Это абсолютно правильные вопросы!
      Проблема в том, что пока они часто повисают в воздухе. Почти все заказчики производителям доверяют, очень часто вынужденно, просто потому, что другого варианта нет. Конечно, более зрелый подход в нынешней киберреальности — проверять.
      На корпоративном языке это называется доверие к цепочкам поставок (supply chain trust), и решать эту задачку самостоятельно — та еще головная боль. Тут нужна помощь производителя. Ответственный вендор готов показывать, что под капотом решений, открывать исходный код партнерам и заказчикам для проверки — в общем, заслуживать доверие не красивыми слайдами, а «железобетонными» практическими шагами.
      Кто уже делает это, а кто застрял в прошлом? Отвечает свежайшее, фундаментальное исследование от коллег из Европы. Его провели уважаемый тестер AV-Comparatives, Экономическая палата Австрии (WKO), бизнес-школа MCI The Entrepreneurial School и юридическое бюро Studio Legale Tremolada.
      Короткий вывод исследования: эпоха черных ящиков в кибербезе закончилась. RIP. Аминь. Будущее — за теми, кто не прячет исходные коды и отчеты об уязвимостях и дает клиентам максимум выбора при настройке продукта. И в отчете четко написано, кто не только обещает, но и реально делает. Угадайте кто?
      Правильно, мы!
       
      View the full article
×
×
  • Создать...