In passato correvano attraverso la rete segnalazioni di attacchi Sfruttano una vulnerabilità in PHP, che consente ad alcuni siti legittimi di servire pagine web e pubblicità fraudolente, esponendo i visitatori all'installazione di malware sui loro computer. Questi attacchi sfruttano a vulnerabilità PHP estremamente critica esposto pubblicamente 22 mesi fa e per il quale sono stati rilasciati gli aggiornamenti corrispondenti.
Alcuni hanno iniziato a sottolineare con insistenza che una buona parte dei server compromessi in questi attacchi eseguono versioni di GNU / Linux, fingendo di mettere in discussione la sicurezza di questo Sistema Operativo, ma senza entrare nei dettagli sulla natura della vulnerabilità o sui motivi per cui che è successo questo.
Sistemi con GNU / Linux infetti, in tutti i casi, eseguono l'estensione Versione del kernel Linux 2.6, rilasciato nel 2007 o prima. In nessun caso viene menzionata l'infezione di sistemi che eseguono kernel superiori o che sono stati debitamente aggiornati; Ma ovviamente ci sono ancora amministratori che pensano "... se non è rotto, non ha bisogno di essere riparato" e poi queste cose accadono.
Inoltre, un recente studio della società di sicurezza ESET, espone la chiamata in dettaglio "Operazione Windigo", in cui attraverso diversi kit di attacco, tra cui uno chiamato stordito appositamente progettato per Apache e altri popolari server web open source, così come un altro chiamato SSH, sono stati più di 26,000 sistemi GNU / Linux compromessi da maggio dello scorso anno, questo significa che GNU / Linux non è più sicuro?
Prima di tutto, contestualizzando le cose, se confrontiamo i numeri precedenti con i quasi 2 milioni di computer Windows compromessi dalla bootnet Accesso zero Prima di essere chiuso a dicembre 2013, è facile concludere che, in termini di sicurezza, I sistemi GNU / Linux sono ancora più sicuri rispetto a quelli che utilizzano il sistema operativo Microsoft, ma è colpa di GNU / Linux se 26,000 sistemi con quel sistema operativo sono stati compromessi?
Come nel caso della vulnerabilità PHP critica discussa sopra, che colpisce i sistemi senza aggiornamenti del kernel, questi altri attacchi coinvolgono sistemi in cui il nome utente e / o la password predefiniti non sono stati modificati e che hanno mantenuto il porte 23 e 80 aperte inutilmente; Quindi è davvero colpa di GNU / Linux?
Ovviamente la risposta è NO, il problema non è l'OS che si utilizza ma l'irresponsabilità e l'incuria degli amministratori di quei sistemi che non capiscono bene il massimo dichiarato dall'esperto di sicurezza Bruce Schneier che dovrebbe essere bruciato nel nostro cervello: La sicurezza è un processo NON un prodotto.
È inutile se installiamo un sistema sicuro e collaudato se poi lo lasciamo abbandonato e non installiamo gli aggiornamenti corrispondenti non appena vengono rilasciati. Allo stesso modo, è inutile mantenere aggiornato il nostro sistema se continuano ad essere utilizzate le credenziali di autenticazione che compaiono di default durante l'installazione. In entrambi i casi lo è procedure di sicurezza elementari, che non sono dovuti alla ripetizione, siano applicati correttamente.
Se hai sotto la tua cura un sistema GNU / Linux con Apache o un altro web server open source e vuoi verificare se è stato compromesso, la procedura è semplice. In caso di seppellire, devi aprire un terminale e digitare il seguente comando:
ssh -G
Se la risposta è diversa da:
ssh: illegal option – G
e quindi l'elenco delle opzioni corrette per quel comando, quindi il tuo sistema è compromesso.
In caso di stordito, la procedura è un po 'più complicata. Devi aprire un terminale e scrivere:
curl -i http://myserver/favicon.iso | grep "Location:"
Se il tuo sistema è stato compromesso, allora stordito reindirizzerà la richiesta e ti darà il seguente output:
Location: http://google.com
In caso contrario, non restituirà nulla o una posizione diversa.
La forma di disinfezione può sembrare rozza, ma è l'unica dimostrata efficace: cancellazione completa del sistema, reinstallazione da zero e reimposta tutte le credenziali utente e amministratore da un terminale non connesso. Se trovi difficoltà, considera che, se avessi cambiato tempestivamente le credenziali, non avresti compromesso il sistema.
Per un'analisi molto più dettagliata delle modalità di funzionamento di queste infezioni, nonché delle modalità specifiche utilizzate per diffonderle e delle corrispondenti misure da adottare, suggeriamo di scaricare e leggere l'analisi completa del "Operazione Windigo" disponibile al seguente link:
Infine, a conclusione fondamentale: Non esiste un sistema operativo garantito contro amministratori irresponsabili o incuranti; Per quanto riguarda la sicurezza c'è sempre qualcosa da fare, perché il primo e più grave errore è pensare di averla già raggiunta, oppure non la pensi così?
È tutto vero, le persone "accadono" e poi succede quello che succede. Lo vedo quotidianamente con l'emissione di aggiornamenti, indipendentemente dal sistema (Linux, Windows, Mac, Android ...) che le persone non fanno gli aggiornamenti, sono pigre, non hanno tempo, non gioco per ogni evenienza ...
E non solo, ma passano dal cambiare le credenziali predefinite o continuano a utilizzare password come "1234" e simili e poi si lamentano; e sì, hai ragione, non importa quale sistema operativo usano, gli errori sono gli stessi.
Grazie mille per essere passato e per aver commentato ...
Eccellente! molto vero in tutto!
Grazie per il tuo commento e per essere passato ...
Un comando più completo che ho trovato nella rete di un utente @Matt:
ssh -G 2> & 1 | grep -e illegale -e sconosciuto> / dev / null && echo "Sistema pulito" || echo "Sistema infetto"
Waoh! ... Molto meglio, il comando te lo dice già direttamente.
Grazie per il contributo e per essere passato.
Sono pienamente d'accordo con te, la sicurezza è un miglioramento continuo!
Articolo eccellente!
Grazie mille per il commento e per essere passato ...
Verissimo, è un lavoro di formiche in cui devi sempre controllare e prenderti cura della sicurezza.
Buon articolo, proprio ieri sera il mio partner mi parlava dell'operazione Windigo che ha letto nelle notizie: "non che Linux sia invulnerabile alle infezioni", e diceva che dipendeva da molte cose, non solo se Linux è o insicuro.
Ti consiglio di leggere questo articolo, anche se non capisci nulla di tecnicismi XD
Purtroppo questa è l'impressione lasciata da quel tipo di notizie, che secondo me è volutamente travisata, per fortuna il tuo partner almeno ti ha commentato, ma ora preparati a un giro di domande dopo la lettura dell'articolo.
Grazie mille per il commento e per essere passato ...
Ottimo articolo, Charlie. Grazie per aver dedicato del tempo.
Grazie per essere passato e per il tuo commento ...
ottimo articolo!
abbraccio, pablo.
Grazie mille Pablo, un abbraccio ...
Grato per le informazioni che pubblichi e in pieno accordo con i criteri spiegati, tra l'altro un ottimo riferimento all'articolo di Schneier "La sicurezza è un processo NON un prodotto".
Saluti dal Venezuela. 😀
Grazie a te per il commento e per essere passato.
Buenas!
Innanzitutto ottimo contributo !! L'ho letto ed è stato davvero interessante, sono completamente d'accordo con la tua opinione che la sicurezza è un processo, non un prodotto, dipende dall'amministratore di sistema, che vale la pena avere un sistema super sicuro se lo lasci lì senza aggiornarlo. e senza nemmeno modificare le credenziali di default?
Colgo l'occasione per farti una domanda se non ti dispiace, spero non ti dispiaccia rispondere.
Guarda, sono davvero molto entusiasta di questo argomento sulla sicurezza e vorrei saperne di più sulla sicurezza in GNU / Linux, SSH e su cosa sia GNU / Linux in generale, dai, se non è un fastidio, potresti consigliarmi qualcosa con cui iniziare? Un PDF, un "indice", tutto ciò che può guidare un principiante sarebbe utile.
Saluti e grazie mille in anticipo!
Operazione Windigo ... Fino a poco tempo fa mi rendevo conto di questa situazione, sappiamo tutti che la sicurezza in GNU / Linux è più che tutta responsabilità dell'amministratore. Ebbene, ancora non capisco come sia stato compromesso il mio sistema, cioè "System Infected" se non ho installato nulla sul sistema che non sia direttamente dal supporto, e in realtà se è da una settimana che ho installato Linux Mint, e solo Ho installato lm-sensori, Gparted e strumenti in modalità laptop, quindi mi sembra strano che il sistema sia stato infettato, ora devo rimuoverlo completamente e reinstallarlo. Ora ho una grande domanda su come proteggere il sistema da quando è stato infettato e non so nemmeno come haha ... Grazie
grazie per le info.
È sempre importante avere meccanismi di sicurezza come quello delineato nell'articolo e anche di più quando si tratta di prendersi cura della famiglia, ma se vuoi vedere tutte le opzioni offerte dal mercato a riguardo, ti invito a visitare http://www.portaldeseguridad.es/