Нужно ли защищать Linux, и если да, то как? | Блог Касперского

[KL FC Bot 166]

Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux вообще не имеет смысла защищать. Считалось, что и архитектура у системы изначально практически неуязвимая, и злоумышленникам она не очень-то интересна, да и идеология открытого исходного кода служит своего рода гарантией против неожиданного появления серьезных уязвимостей. В последние годы всем здравомыслящим безопасникам стало очевидно, что все три эти утверждения далеки от истины.

Угрозы серверам под Linux

Пока киберпреступность специализировалась исключительно на зарабатывании денег за счет конечных пользователей, серверы под Linux действительно были в относительной безопасности. Но современные злоумышленники уже давно переключились на бизнес — это позволяет им получать гораздо большую прибыль с каждой успешной атаки. И вот тут-то различные сборки Linux удостоились серьезного внимания. Ведь сервер стратегически интересен любому атакующему, ставит ли тот целью шпионаж, саботаж или банальное распространение шифровальщика. За примерами далеко ходить не надо.

• В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux. Зловред адаптирован для целевых атак на конкретные организации (код и записка о выкупе каждый раз модифицируются под новую цель). На тот момент несколько крупных организаций уже были атакованы этим трояном.
• Обнаруженный летом этого года шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс мессенджера Telegram.
• Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под управлением Linux. В результате выяснилось, что практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты.

Отдельные риски несут в себе уязвимости. Да, действительно, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».

 

View the full article

[Umnik 1118]

Quote

В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux

1. "RansomEXX is a highly targeted Trojan". То есть нужно было быть НУ ОЧЕНЬ ЖИРНЫМ, чтобы ради тебя вообще пытались применить этот троян

2. Защита от шифровальщика сверх банальна — данные пользователей должны быть под другими пользователями. Собственно, это _штатная фича_ линукса. У меня так медиа плеер не может удалить/изменить файлы торрент клиента и оба они не могут получить доступ к файлам НекстКлауда. Всё это разные юзеры в системе. Ну то есть чтобы троян не мог работать, нужно было ничего специально  не лом

Quote

Обнаруженный летом этого года шифровальщик DarkRadiation

Quote

Upon execution, DarkRadiation ransomware first checks if it is run as root

Чтобы троян заработал, нужно запустить его под рутом. Самому. Руками. На сервере. Если у тебя рутовые права, то, конечно, ты несёшь угрозу, о чём тут говорить.

 

Quote

Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT,

Вот это забавное исследование. Оно начинается с фразы:

Quote

At the same time, there’s a widely held opinion that Linux is a secure-by-default operating system that isn’t susceptible to malicious code.

Популярно мнение, что линукс — это система, сделанная не ж..ой и потому ей пофиг (не подвержена) на вредоносный код.

 

Так вот:

1. Нет такого мнения, что не существует вредоносного кода под Linux

2. Кажется (смотрел по диагонали и вспоминал по названиям) все перечисленные там истории — это когда вредоносный код запускали, предоставляя рутовый доступ своими руками. И всякий раз на тот момент эти вредоносы были неизвестны и никто бы их не определил, будь там антивирус

 

Между запуском через sudo и дабл кликом с кнопкой ОК прям принципиальная разница. Если кто-то настолько отбитый, что работает под рутом, то никакой антивирус никогда в жизни ему не поможет.

 

Quote

Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».

А при чём тут Линукс?

 

Quote

А тем временем уязвимости порой находятся достаточно серьезные. Например, июньская CVE-2021-3560 в системном сервисе polkit (который по дефолту присутствует во множестве дистрибутивов Linux)

1. Это актуально для пользовательских пекарен, а не для серверов. Или мы тут мешаем в кучу серверы и конечные точки? "Как защищать серверы под Linux"

2. Присутствует в дистрибутиве != уявзим. Скажем, в том же Дебиане полкит был, но уязвимости не было (она была в тестинге, не в продакшене)

Но да, это единственный, на всю статью, хороший пример.

 

Quote

Во-первых, теперь в решении работает полноценный контроль приложений (технология, позволяющая запускать только приложения, внесенные в список доверенных, или же блокировать программы, внесенные в список недоверенных).

AppArmor?

 

Нужно ли защищать Linux? Да, конечно. Нужно ли для этого использовать сторонние решения? Вовсе не факт. И Линукс, и МакОС, и *БСД — всё это системы, собственых возможностей которых хватает на любые нужды вообще. Нет сценариев, когда должный уровень безопасности может быть обеспечен только сторонними решениями. Это не Windows.