ความปลอดภัยในระบบ GNU / Linux ขึ้นอยู่กับระบบหรือผู้ดูแลระบบหรือไม่?

หลายวันผ่านไปพวกเขาวิ่งผ่านตาข่าย รายงานการโจมตี พวกเขาใช้ประโยชน์จากช่องโหว่ใน PHP ซึ่งทำให้ไซต์ที่ถูกกฎหมายบางแห่งสามารถให้บริการหน้าเว็บและโฆษณาที่หลอกลวงโดยเปิดเผยผู้เยี่ยมชมให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ของตน การโจมตีเหล่านี้ใช้ประโยชน์จากไฟล์ ช่องโหว่ของ PHP ที่สำคัญอย่างยิ่ง เปิดเผยต่อสาธารณะเมื่อ 22 เดือนที่แล้วและมีการเผยแพร่การอัปเดตที่เกี่ยวข้อง

บางคนเริ่มชี้ให้เห็นอย่างชัดเจนว่าส่วนที่ดีของเซิร์ฟเวอร์ที่ถูกโจมตีในการโจมตีเหล่านี้กำลังเรียกใช้เวอร์ชันของ GNU / Linux โดยแสร้งทำเป็นถามถึงความปลอดภัยของระบบปฏิบัติการนี้ แต่ไม่ได้ลงรายละเอียดเกี่ยวกับลักษณะของช่องโหว่หรือเหตุผล ทำไมสิ่งนี้จึงเกิดขึ้น

ระบบที่ติดไวรัส GNU / Linuxในทุกกรณีพวกเขากำลังเรียกใช้ไฟล์ เคอร์เนล Linux เวอร์ชัน 2.6วางจำหน่ายในปี 2007 หรือก่อนหน้านั้น ไม่ว่าในกรณีใดจะกล่าวถึงการติดเชื้อของระบบที่ใช้เมล็ดพันธุ์ที่เหนือกว่าหรือได้รับการปรับปรุงอย่างถูกต้อง แต่แน่นอนว่ายังมีผู้ดูแลระบบที่คิดว่า "... ถ้าไม่พังก็ไม่ต้องซ่อม" แล้วสิ่งเหล่านี้ก็เกิดขึ้น

นอกจากนี้ การศึกษาล่าสุดโดย บริษัท รักษาความปลอดภัย ESETเปิดเผยการโทรโดยละเอียด "ปฏิบัติการวินดิโก"ซึ่งผ่านชุดโจมตีหลายชุดรวมถึงชุดที่เรียกว่า จุก ออกแบบมาเป็นพิเศษสำหรับ Apache และเว็บเซิร์ฟเวอร์โอเพ่นซอร์สยอดนิยมอื่น ๆ เช่นเดียวกับอีกชื่อหนึ่งที่เรียกว่า เอเบอรี่ SSHได้รับ ระบบ GNU / Linux มากกว่า 26,000 ระบบถูกบุกรุก ตั้งแต่เดือนพฤษภาคมปีที่แล้วนั่นหมายความว่า GNU / Linux ไม่ปลอดภัยอีกต่อไปหรือไม่?

ก่อนอื่นให้คำนึงถึงบริบทหากเราเปรียบเทียบตัวเลขก่อนหน้านี้กับคอมพิวเตอร์ Windows เกือบ 2 ล้านเครื่องที่ถูกบุกรุกโดย bootnet ZeroAccess ก่อนจะปิดตัวลงในเดือนธันวาคม 2013 สรุปง่ายๆว่าในแง่ของความปลอดภัย ระบบ GNU / Linux ยังมีความปลอดภัยมากกว่า มากกว่าระบบปฏิบัติการ Microsoft แต่เป็นความผิดของ GNU / Linux ที่ระบบปฏิบัติการ 26,000 ระบบถูกบุกรุกหรือไม่?

เช่นเดียวกับในกรณีของช่องโหว่ของ PHP ที่สำคัญที่กล่าวถึงข้างต้นซึ่งส่งผลกระทบต่อระบบที่ไม่มีการอัปเดตเคอร์เนลการโจมตีอื่น ๆ เหล่านี้เกี่ยวข้องกับระบบที่ไม่มีการเปลี่ยนชื่อผู้ใช้และ / หรือรหัสผ่านเริ่มต้นและยังคงรักษา พอร์ต 23 และ 80 เปิดโดยไม่จำเป็น; มันเป็นความผิดของ GNU / Linux จริงหรือ?

เห็นได้ชัดว่าคำตอบคือไม่ปัญหาไม่ใช่ระบบปฏิบัติการที่ใช้ แต่เป็นความไม่รับผิดชอบและการละเลยของผู้ดูแลระบบเหล่านั้นซึ่งไม่เข้าใจค่าสูงสุดที่ระบุโดยผู้เชี่ยวชาญด้านความปลอดภัย Bruce schneier ที่ควรจะถูกเผาเข้าไปในสมองของเรา: ความปลอดภัยเป็นกระบวนการที่ไม่ใช่ผลิตภัณฑ์.

จะไม่มีประโยชน์หากเราติดตั้งระบบที่ปลอดภัยที่ได้รับการพิสูจน์แล้วหากปล่อยทิ้งไว้และไม่ติดตั้งการอัปเดตที่เกี่ยวข้องทันทีที่ปล่อยออกมา ในทำนองเดียวกันไม่มีประโยชน์ที่จะอัปเดตระบบของเราหากข้อมูลรับรองการตรวจสอบสิทธิ์ที่ปรากฏตามค่าเริ่มต้นระหว่างการติดตั้งยังคงถูกใช้ต่อไป ในทั้งสองกรณีก็คือ ขั้นตอนการรักษาความปลอดภัยเบื้องต้นซึ่งไม่ได้เกิดจากการทำซ้ำถูกนำไปใช้อย่างเหมาะสม

หากคุณมีระบบ GNU / Linux ที่มี Apache หรือเว็บเซิร์ฟเวอร์โอเพ่นซอร์สอื่นอยู่ภายใต้การดูแลของคุณและคุณต้องการตรวจสอบว่าถูกบุกรุกหรือไม่ขั้นตอนนั้นง่ายมาก ในกรณีของ ฝังคุณต้องเปิดเทอร์มินัลและพิมพ์คำสั่งต่อไปนี้:

ssh -G

หากคำตอบแตกต่างจาก:

ssh: illegal option – G

จากนั้นรายการตัวเลือกที่ถูกต้องสำหรับคำสั่งนั้นระบบของคุณจะถูกบุกรุก

ในกรณีของ จุกขั้นตอนซับซ้อนกว่าเล็กน้อย คุณต้องเปิดเทอร์มินัลและเขียน:

curl -i http://myserver/favicon.iso | grep "Location:"

หากระบบของคุณถูกบุกรุกแล้ว จุก มันจะเปลี่ยนเส้นทางคำขอและให้ผลลัพธ์ต่อไปนี้:

Location: http://google.com

มิฉะนั้นจะไม่ส่งคืนสิ่งใดหรือสถานที่อื่น

รูปแบบของการฆ่าเชื้ออาจดูเหมือนหยาบ แต่เป็นวิธีเดียวที่พิสูจน์แล้วว่ามีประสิทธิภาพ: เช็ดเต็มระบบ, การติดตั้งใหม่ตั้งแต่เริ่มต้นและ รีเซ็ตข้อมูลรับรองทั้งหมด ผู้ใช้และผู้ดูแลระบบจากเทอร์มินัลที่ไม่ได้ผูกมัด ถ้าคุณดูยากให้คิดว่าหากคุณเปลี่ยนข้อมูลรับรองในทันทีคุณจะไม่มีทางบุกรุกระบบได้

สำหรับการวิเคราะห์โดยละเอียดมากขึ้นเกี่ยวกับวิธีการติดเชื้อเหล่านี้รวมถึงวิธีการเฉพาะที่ใช้ในการแพร่กระจายและมาตรการที่เกี่ยวข้องเราขอแนะนำให้ดาวน์โหลดและอ่านบทวิเคราะห์ทั้งหมดของ "ปฏิบัติการวินดิโก" ได้ที่ลิงค์ต่อไปนี้:

ปฏิบัติการ Windigo

ในที่สุด, a ข้อสรุปพื้นฐาน: ไม่มีระบบปฏิบัติการที่รับประกันกับผู้ดูแลระบบที่ขาดความรับผิดชอบหรือประมาท; ด้านความปลอดภัยมีสิ่งที่ต้องทำเสมอเพราะข้อผิดพลาดประการแรกและร้ายแรงที่สุดคือการคิดว่าเราทำสำเร็จแล้วหรือคุณไม่คิดอย่างนั้น?