Перейти к содержанию

Нужно ли защищать Linux, и если да, то как? | Блог Касперского


Рекомендуемые сообщения

Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux вообще не имеет смысла защищать. Считалось, что и архитектура у системы изначально практически неуязвимая, и злоумышленникам она не очень-то интересна, да и идеология открытого исходного кода служит своего рода гарантией против неожиданного появления серьезных уязвимостей. В последние годы всем здравомыслящим безопасникам стало очевидно, что все три эти утверждения далеки от истины.

Угрозы серверам под Linux

Пока киберпреступность специализировалась исключительно на зарабатывании денег за счет конечных пользователей, серверы под Linux действительно были в относительной безопасности. Но современные злоумышленники уже давно переключились на бизнес — это позволяет им получать гораздо большую прибыль с каждой успешной атаки. И вот тут-то различные сборки Linux удостоились серьезного внимания. Ведь сервер стратегически интересен любому атакующему, ставит ли тот целью шпионаж, саботаж или банальное распространение шифровальщика. За примерами далеко ходить не надо.

  • В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux. Зловред адаптирован для целевых атак на конкретные организации (код и записка о выкупе каждый раз модифицируются под новую цель). На тот момент несколько крупных организаций уже были атакованы этим трояном.
  • Обнаруженный летом этого года шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс мессенджера Telegram.
  • Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под управлением Linux. В результате выяснилось, что практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты.

Отдельные риски несут в себе уязвимости. Да, действительно, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты
Quote

В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux

1. "RansomEXX is a highly targeted Trojan". То есть нужно было быть НУ ОЧЕНЬ ЖИРНЫМ, чтобы ради тебя вообще пытались применить этот троян

2. Защита от шифровальщика сверх банальна — данные пользователей должны быть под другими пользователями. Собственно, это _штатная фича_ линукса. У меня так медиа плеер не может удалить/изменить файлы торрент клиента и оба они не могут получить доступ к файлам НекстКлауда. Всё это разные юзеры в системе. Ну то есть чтобы троян не мог работать, нужно было ничего специально  не лом

Quote

Обнаруженный летом этого года шифровальщик DarkRadiation

Quote

Upon execution, DarkRadiation ransomware first checks if it is run as root

Чтобы троян заработал, нужно запустить его под рутом. Самому. Руками. На сервере. Если у тебя рутовые права, то, конечно, ты несёшь угрозу, о чём тут говорить.

 

Quote

Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT,

Вот это забавное исследование. Оно начинается с фразы:

Quote

At the same time, there’s a widely held opinion that Linux is a secure-by-default operating system that isn’t susceptible to malicious code.

Популярно мнение, что линукс — это система, сделанная не ж..ой и потому ей пофиг (не подвержена) на вредоносный код.

 

Так вот:

1. Нет такого мнения, что не существует вредоносного кода под Linux

2. Кажется (смотрел по диагонали и вспоминал по названиям) все перечисленные там истории — это когда вредоносный код запускали, предоставляя рутовый доступ своими руками. И всякий раз на тот момент эти вредоносы были неизвестны и никто бы их не определил, будь там антивирус

 

Между запуском через sudo и дабл кликом с кнопкой ОК прям принципиальная разница. Если кто-то настолько отбитый, что работает под рутом, то никакой антивирус никогда в жизни ему не поможет.

 

Quote

Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».

А при чём тут Линукс?

 

Quote

А тем временем уязвимости порой находятся достаточно серьезные. Например, июньская CVE-2021-3560 в системном сервисе polkit (который по дефолту присутствует во множестве дистрибутивов Linux)

1. Это актуально для пользовательских пекарен, а не для серверов. Или мы тут мешаем в кучу серверы и конечные точки? "Как защищать серверы под Linux"

2. Присутствует в дистрибутиве != уявзим. Скажем, в том же Дебиане полкит был, но уязвимости не было (она была в тестинге, не в продакшене)

Но да, это единственный, на всю статью, хороший пример.

 

Quote

Во-первых, теперь в решении работает полноценный контроль приложений (технология, позволяющая запускать только приложения, внесенные в список доверенных, или же блокировать программы, внесенные в список недоверенных).

AppArmor?

 

Нужно ли защищать Linux? Да, конечно. Нужно ли для этого использовать сторонние решения? Вовсе не факт. И Линукс, и МакОС, и *БСД — всё это системы, собственых возможностей которых хватает на любые нужды вообще. Нет сценариев, когда должный уровень безопасности может быть обеспечен только сторонними решениями. Это не Windows.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Еще пару десятилетий назад жизнь любителя пива была проста и беззаботна: десяток местных сортов да пара дюжин импортных, перепробуешь их все — и вот ты уже отлично понимаешь свои предпочтения и ориентируешься в предлагаемом ассортименте. Все изменилось с приходом крафтовой революции десятых: и пивоварен-то сейчас стало столько, что все не упомнить, а уж сорта и вовсе меняются как картинки в калейдоскопе.
      Как во всем этом разнообразии не потеряться? Конечно же, с помощью приложения. Таких есть несколько, но стандартом среди поклонников крафтового пива де-факто стал Untappd. По сути это специализированная социальная сеть, в которой пользователи могут не только найти информацию о почти любом существующем в мире пиве, но также чекинить свои напитки, прикладывая фотографии и указывая подробности о месте приобретения и распития, ставить им оценки, отмечать своих друзей, составлять вишлисты и многое другое.
      Но, конечно, нельзя забывать, что не все люди одинаково спокойно относятся к употреблению алкоголя. Даже в максимально толерантных к этому культурах излишняя откровенность порой может привести к проблемам, и, когда речь идет о таком неоднозначном вопросе, стоит позаботиться о приватности.
      Согласитесь, делиться своими пивными похождениями со всем миром — не самое разумное решение. К сожалению, разработчики приложений для ценителей пива и вина почему-то так не считают. Как мы уже рассказывали, Vivino по умолчанию делает все действия пользователя в приложении открытыми для всего Интернета — их можно банально найти в поисковике. Точно так же ведет себя и Untappd: по дефолту ваши крафтовые приключения доступны всем желающим. Поэтому имеет смысл потратить немного времени, чтобы правильно настроить приватность в Untappd, — рассказываем, как же это сделать.
      1. Сделайте свой профиль закрытым
      Начнем с самого главного совета: сделайте свой профиль закрытым. Серьезно, вот прямо сейчас — возьмите и сделайте. Если этим не озаботиться, кто угодно сможет увидеть множество интересных подробностей о ваших чекинах просто через Интернет, даже не устанавливая приложение. С помощью поиска в Сети о вас можно будет узнать следующее:
      Максимально подробную информацию о пяти последних чекинах: фотографии, даты, геометки, отмеченных в них друзей, лайки и комментарии. Менее подробную информацию о 25 последних чекинах нового пива, включая даты. Данные о большинстве остальных ваших чекинов: дело в том, что поиск по ключевым словам с сортировкой и фильтрами по всем вашим отметкам почему-то не закрыт даже для незалогиненных пользователей, что позволяет получить доступ ко всем вашим чекинам — к счастью, не со всеми подробностями. Информацию о 25 локациях, в которых вы чаще всего делаете чекины. Опять-таки, с помощью сортировки и фильтров по категориям можно найти гораздо больше, чем 25 ваших любимых мест. Список ваших друзей. В теории ֫— только 25 ваших самых старых виртуальных собутыльников, но на практике с помощью поиска и сортировки можно обнаружить гораздо больше. Имя и примерное местоположение, если вы указали их в своем профиле. Некоторое количество менее приватной информации: вишлисты, полученные вами беджи, пивоварни, которым вы поставили лайки, и так далее.  
      View the full article
    • KL FC Bot
      От KL FC Bot
      В ушедшем году мы наблюдали настоящий шквал новостей об утечках персональных данных из различных онлайн-сервисов и даже из популярных менеджеров паролей. Пользователь подобного цифрового хранилища после прочтения таких новостей легко может вообразить самый кошмарный сценарий: злоумышленники получили доступ ко всем его аккаунтам, пароли к которым были сохранены в его парольном менеджере.
      Насколько оправданы подобные страхи? Рассказываем, как устроена многоуровневая защита менеджеров паролей и как вы сами можете ее усилить — на примере Kaspersky Password Manager.
      Общие принципы работы
      Для начала вспомним, для чего вообще нужны парольные менеджеры. Количество интернет-сервисов, которыми мы пользуемся, постоянно растет, что приводит к необходимости заводить множество логинов и паролей. Запоминать их сложно, записывать где попало — небезопасно. Возникает вполне логичная идея: сохранить все логины и пароли в одном надежном месте, а само это хранилище закрыть одним ключом. В этом случае вам нужно будет запомнить только один главный пароль.
      При первом запуске Kaspersky Password Manager предлагает вам создать тот самый мастер-пароль, с помощью которого вы будете открывать свой цифровой сейф. Затем вы можете записать в хранилище данные для каждого интернет-сервиса, которым пользуетесь: адрес сайта, логин и пароль. Сделать это можно вручную, а можно установить браузерное расширение менеджера паролей и специальной командой перенести в хранилище все сохраненные в браузере пароли. Кроме паролей, вы можете добавить в безопасное хранилище данные банковских карт и личные документы — например, скан паспорта, страховки, важные фотографии.
      Когда вам нужно зайти на какой-то сайт, вы открываете хранилище, после чего можете либо вручную скопировать нужные данные в форму логина, либо разрешить менеджеру паролей автоматически подставить сохраненные логин и пароль для этого сайта. После этого остается только заблокировать хранилище.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В блоге эксперта по кибербезопасности Джона Джексона появилось исследование двух уязвимостей в десктопном клиенте мессенджера Signal — CVE-2023-24068 и CVE-2023-24069. Эксперт приходит к выводу, что эксплуатация этих уязвимостей может быть использована для шпионажа. Поскольку у десктопных приложений Signal под все операционные системы общая кодовая база, уязвимость присутствует не только в клиенте под Windows, но и под MacOS и Linux. Уязвимы все версии вплоть до 6.2.0. Давайте рассмотрим, насколько эта угроза реальна.
      Что за уязвимости CVE-2023-24068 и CVE-2023-24069
      Суть первой уязвимости, CVE-2023-24069, заключается в непродуманном механизме работы с файлами. Если отправить в чат файл, десктопный клиент сохраняет его в локальной директории. Когда файл удаляют, то из директории он исчезает… если, конечно, на него никто не ответил или не переслал его в другой чат. Причем несмотря на то, что в целом Signal позиционируется как безопасный мессенджер, и все сообщения в нем шифруются, сохраняются файлы в незащищенном виде.
      Уязвимость CVE-2023-24068 была найдена в процессе дальнейших манипуляций с клиентом. Оказывается, отсутствие механизма валидации файлов в клиенте позволяет подменять их после отправки. То есть если на десктопном клиенте был открыт пересланный файл, то злоумышленник может подменить его в локальной папке на посторонний. И при дальнейших пересылках ничего неподозревающий пользователь будет распространять совершенно не тот файл, которых хотел отправить.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В декабре 2022 года компания Apple анонсировала множество новых функций, направленных на защиту пользовательских данных. Самым важным стало расширение списка загружаемых в облачный сервис iCloud данных, защищенных при помощи сквозного шифрования. В большинстве случаев доступ к ним будет только у владельца ключа, и даже сама Apple не сможет прочитать эту информацию. Помимо этого, было и неофициальное объявление: компания сообщила, что не будет внедрять достаточно спорную систему сканирования смартфонов и планшетов на наличие детской порнографии.
      Шифрование резервных копий в iCloud
      Начнем с наиболее интересного нововведения. Владельцы iPhone, iPad и компьютеров под управлением Mac OS (не всех, но об этом мы поговорим ниже) получили возможность шифрования резервных копий своих устройств, загружаемых в iCloud. Это достаточно непростое нововведение, которое мы постараемся объяснить максимально подробно.
      Все мобильные устройства Apple по умолчанию загружают в облачную систему iCloud свою резервную копию. Это крайне полезная функция, которая помогает восстановить все данные на новый девайс в том виде, в котором они были на старом на момент последнего бэкапа. В некоторых случаях, например при утере или поломке смартфона, это единственный способ получить доступ к семейным фотографиям или заметкам по работе. За эту функцию, скорее всего, придется доплатить: Apple бесплатно предоставляет всего 5 Гб облачного хранилища, и это место быстро заканчивается. Приходится либо покупать дополнительные гигабайты, либо выбирать, какие данные включать в резервную копию: например, можно выкинуть «тяжелые» файлы — музыку и видео.
       
      View the full article
    • ivan.laure
      От ivan.laure
      Всем привет!
       
      Рад поделиться несколькими событиями января - февраля, которые будут организованы Клубом Путешественников Лаборатории Касперского:
       

      Дата: 24.01.2023, вторник (уже завтра)
      Время: с 09:00 до 10:00
      Место: прямая трансляция в https://t.me/TravelKLab, а также offline в BarKas
      Формат: завтрак с клубом путешественников Лаборатории Касперского, прямая трансляция
      Описание: Наш гость – фотограф-натуралист Игорь Петрович Шпиленок. Осенью Игорь проехал на своем автодоме по Европейским заповедникам России, а через несколько дней стартует на восток, чтобы через несколько месяцев прибыть на любимую Камчатку. В Москву Игорь заезжать не планирует, так что завтра отличный шанс увидеть Игоря в прямом эфире, услышать байки бесстрашного защитника природы с 14 лет и задать вопросы. Подробности Игорь также описывает в своём ЖЖ https://shpilenok.livejournal.com/
      Фото: из ЖЖ Игоря


      Дата: 01.02.2023, среда
      Время: с 18:30 до 21:00
      Место: offline в BarKas, будет ли трансляция нашем в группе
      Формат: встреча в традиционном формате в BarKas со спикерами
      Описание: Посвященная Фототуризму и вообще фотографии, список спикеров ещё будет уточнен.
      Фото: из личной коллекции Сергея А.
       

      Дата: 17.02.2023, среда
      Время: с 18:30 до 21:00
      Место: offline в BarKas, будет трансляция https://www.youtube.com/TravelKLab
      Формат: праздничная встреча в BarKas
      Описание: Спустя 6 лет и 10 дней после первой встречи Клуба путешественников, мы встречаемся, чтобы услышать рассказ Евгения Касперского @E.K. о Курилах. Будет много гостей, поэтому если Вы 100% планируете быть offline - напишите в комментах.
      Фото: из ЖЖ Е.К.
×
×
  • Создать...