Après Linux Mint, je me suis demandé si nous étions toujours les plus sûrs du monde.
Ça fait quelques jours une attaque a été découverte qui a affecté le célèbre Système d'exploitation Linux Mint. Cette attaque consistait en une attaque sur le Web du système d'exploitation, en modifiant les images ISO de la version avec Cinnamon, en ajoutant des logiciels malveillants tels que des portes dérobées ou des virus de Troie.
Cette nouvelle permet de se demander si le groupe GNU / Linux est toujours le groupe de systèmes d'exploitation le plus sûr de tous ou si cette situation a déjà changé. Pour cela Je vais analyser et réfléchir à cela, pour clarifier si les systèmes GNU / Linux sont plus sûrs que les autres systèmes ou s'ils sont devenus non sécurisés.
Malware sous Linux
Tout d'abord, nous devons préciser qu'il existe des virus dans GNU / Linux. Comme nous l'avons jamais publié, il apparaît de temps en temps un programme malveillant Quoi profitez des avantages du logiciel libre(pour pouvoir modifier librement un code source), pour créer des logiciels malveillants. Cependant, ce nombre est très faible compte tenu de la quantité de logiciels malveillants qui existe dans Windows, par conséquent, malgré ces petites attaques, Linux est toujours plus sécurisé que Windows à cet égard.
Confidentialité
Si nous parlons de confidentialité, GNU / Linux est toujours le roi et plus encore maintenant que Windows 10 est devenu le système d'exploitation espion par excellence. De plus, il existe des distributions comme Tails qui sont exclusivement dédiés à la préservation de votre vie privée.
Les vulnérabilités
Bien que cela se soit produit avec Linux Mint, cela est une exception Cela n'arrive pas souvent dans ce monde. Au lieu de cela, Windows en est plein, car des vulnérabilités ridicules comme celles-ci touches collantes et d'autres qui n'ont pas pris la peine de corriger.
Support
Microsoft n'a pas pris en charge de nombreux utilisateurs qui utilisaient Windows XP, forcer les gens à acheter une machine plus puissante(Il y a un énorme saut dans les exigences minimales de XP à W7, passant de 64 Mo à 1024 Mo de RAM), ce qui rend la personne qui ne peut pas l'acheter beaucoup plus vulnérable aux attaques. Le grand nombre de systèmes à faibles ressources disponible à partir de GNU / Linux signifie que nous avons toujours un support, quel que soit l'ordinateur que nous avons.
Conclusion
La conclusion est que l'attaque de l'autre jour était un cas isolé, c'est-à-dire que nous sommes toujours les plus sûrs du monde. Cependant, il est toujours conseillé de regarder attentivement et d'être informé des vulnérabilités possibles, en se méfiant de ce qui semble suspect et en gardant toujours le système à jour.
La leçon devrait être que nous devons être au courant des nouvelles concernant le monde GNU / Linux, et en cela, des pages comme celle-ci font un excellent travail pour informer les hispanophones.
HACKER EXPLIQUE COMMENT IL A PLACÉ UN ARRIÈRE-PLAN DANS DES CENTAINES DE LINUX MINT DOWN
Le seul pirate informatique, qui a pris des centaines d'utilisateurs pour télécharger une version de Linux avec une porte dérobée installée, a révélé comment tout cela avait été fait.
Nous rapportons ici que le site du projet a été piraté et induit les utilisateurs en erreur tout au long de la journée, proposant des téléchargements contenant une "porte dérobée" ajoutée de manière malveillante.
Lefebvre a déclaré sur le blog que seuls les téléchargements du samedi avaient été commis et qu'ils ont par la suite mis le site hors ligne pour éviter des téléchargements supplémentaires.
Le pirate informatique officiel, qui s'appelle "Peace", a déclaré dimanche Zack Whittaker (l'auteur de cet article), lors d'une conversation cryptée selon laquelle "des centaines" d'installations de Linux Mint étaient sous son contrôle - une partie importante du plus que des milliers de téléchargements pendant la journée.
Mais ce n'est que la moitié de l'histoire.
Paz a également affirmé avoir volé une copie entière du site Web du forum à deux reprises - une fois le 28 janvier et plus récemment le 18 février, deux jours avant le piratage à confirmer.
Le pirate a partagé une partie de la base de données du forum, qui contient des informations personnellement identifiables telles que les adresses e-mail, la date de naissance, les photos de profil et les mots de passe cryptés.
Ces mots de passe ne peuvent pas rester ainsi plus longtemps. Le pirate informatique a déclaré que certains mots de passe avaient déjà été brisés, et que d'autres étaient en cours de route. (Il est entendu que le site utilise des mots de passe PHPass pour crypter, ce qui peut être cassé.)
Lefebvre a confirmé dimanche que le forum avait été violé.
Il s'est vite avéré que le hacker avait mis l'intégralité du fichier de la base de données sur un marché "dark web", une liste dont nous avons également pu vérifier l'existence. La liste était d'environ 0.197 bitcoin au moment de la rédaction, soit environ 85 $ par téléchargement.
Paz a confirmé que la liste était le site Web de Linux Mint. "Eh bien, j'ai besoin de 85 $", a déclaré le pirate en plaisantant.
Environ 71.000 comptes ont été téléchargés sur le site Web de notification de violation HaveIBeenPwned, a déclaré dimanche. Un peu moins de la moitié de tous les comptes figuraient déjà dans la base de données. (Si vous pensez être affecté par la violation, vous pouvez rechercher votre adresse e-mail dans la base de données.)
La Paz n'a pas donné son nom, son âge ou son sexe, mais a déclaré qu'il vivait en Europe et n'avait aucune affiliation à des groupes de hackers. Le pirate informatique, connu pour travailler seul, avait auparavant proposé des services de scan privés pour des services de vulnérabilité connus sur des sites de marché privé associés.
Après une discussion détaillée, le pirate a expliqué que l'attaque avait été menée en plusieurs couches.
Paz «ne faisait que fouiller» le site en janvier lorsqu'il a trouvé une vulnérabilité autorisant un accès non autorisé. (Le pirate a également déclaré qu'il avait les informations d'identification pour se connecter au panneau du site d'administration de Lefebvre, mais qu'il était réticent à expliquer en quoi le cas s'est avéré utile à nouveau.) Samedi, le pirate a remplacé une image de la distribution Linux 64 bits (ISO) par celui qui a été modifié en ajoutant une porte dérobée, et plus tard ils ont décidé de "remplacer tous les miroirs" pour chaque version téléchargeable de Linux sur le site par une version modifiée de leur propre.
La version "backdoor" n'est pas aussi difficile que vous le pensez. Parce que le code est open source, le pirate a déclaré qu'il ne lui avait fallu que quelques heures pour emballer une version de Linux contenant la porte dérobée.
le pirate a ensuite téléchargé les fichiers sur un serveur de fichiers en Bulgarie, ce qui a pris plus de temps «en raison de la lenteur de la bande passante».
Le pirate a ensuite utilisé son accès au site pour modifier la somme de contrôle légitime - utilisée pour vérifier l'intégrité d'un fichier - la page de téléchargement avec la somme de contrôle de la version backdoor.
"Mais qui vérifie le hachage f *****?" Dit le hacker.
C'est environ une heure plus tard que Lefebvre a commencé à démolir le site du projet.
Le site était en panne pendant la majeure partie de dimanche, manquant potentiellement des milliers de téléchargements. La distribution a un large public. Il y a au moins six millions d'utilisateurs de Linux Mint au dernier décompte officiel, en partie grâce à son interface facile à utiliser.
Paz a déclaré que le premier épisode du piratage avait commencé à la fin du mois de janvier, mais qu'il avait culminé lorsqu'il "a commencé à diffuser des images de porte dérobée tôt le matin [samedi]", a déclaré le pirate.
Le pirate a déclaré qu'il n'y avait pas de cible spécifique pour l'attaque, mais a déclaré que sa principale motivation pour la porte dérobée était la construction d'un botnet. Le malware pirate a été surnommé Tsunami, une porte dérobée facile à mettre en œuvre qui, lorsqu'elle est activée, se connecte silencieusement à un serveur IRC, où il attend les commandes.
Yonathan Klijnsma, analyste principal de la recherche sur les menaces pour la société de sécurité néerlandaise Fox-IT, a déclaré:
Tsunami est souvent utilisé pour faire tomber des sites Web et des serveurs - envoyant un «tsunami» de trafic pour frapper votre détour. «[Tsunami] est un robot simple et configurable manuellement qui parle à un serveur IRC et rejoint un canal prédéfini, avec un mot de passe, s'il est défini par le créateur», a déclaré Klijnsma. Mais il n'est pas seulement utilisé pour lancer des attaques basées sur le Web, il peut également permettre à son créateur "d'exécuter des commandes et de télécharger des fichiers sur le système infecté pour fonctionner plus tard, par exemple", a-t-il ajouté.
De plus, les logiciels malveillants peuvent désinstaller les ordinateurs affectés pour limiter les traces de preuves laissées derrière, a déclaré Klijnsma, qui a aidé à évaluer et à vérifier certaines des allégations des pirates.
Pour l'instant, la raison du pirate était "l'accès général uniquement", mais il n'a pas exclu d'utiliser le botnet pour l'exploration de données ou tout autre moyen sur son ordinateur. Cependant, le botnet pirate est toujours opérationnel, mais le nombre de machines infectées "a considérablement diminué depuis que la nouvelle est arrivée, bien sûr", a confirmé La Paz.
Lefebvre n'est pas retourné à l'adresse e-mail pour commenter dimanche. Le site du projet est à nouveau dans les airs et, espérons-le, avec une sécurité améliorée.
Les avantages de l'open source sont parfois utilisés pour ces choses malheureusement ...
Les botnets sont utilisés pour beaucoup de choses, pour démolir des sites, pour miner des devises cryptographiques comme le bitcoin ... Bref, c'est pourquoi il faut formater à un bas niveau et réinstaller
La compression GZIP pourrait jouer contre les serveurs et les utilisateurs Tor
Un chercheur a découvert des informations cachées dans la configuration de la compression GZIP utilisée dans HTTP qui permettraient d'obtenir des détails pertinents sur les serveurs situés dans le réseau Tor et donc affectant négativement les utilisateurs qui utilisent ce réseau caractérisé par la garantie de la confidentialité des utilisateurs.
Juan Carlos Norte, développeur du bureau virtuel eyeOS, a été en charge de rendre compte de cette découverte qui pourrait avoir un impact négatif sur la confidentialité de ce réseau, offrant aux autorités un moyen d'accéder à des informations très pertinentes. Pour commencer, il explique depuis combien de temps les serveurs Web ont commencé à prendre en charge la compréhension des requêtes et des réponses HTTP. Dans le processus de négociation, lorsqu'un utilisateur contacte un serveur Web grâce à son navigateur, il demande s'il soutient cette compréhension et quel type il souhaite utiliser à partir de ce moment.
De nos jours, les serveurs web supportent deux types de compréhension GZIP et DEFLATE, permettant un processus plus ou moins rapide et une taille des données envoyées assez réduite. C'est le premier de ceux-ci qui pourrait présenter des problèmes de sécurité pour les serveurs du réseau Tor.
Les en-têtes GZIP contiendraient des informations précieuses
L'expert a découvert que les serveurs qui utilisent cette compréhension, en plus de l'empaquetage des données, ajoutent avec eux un en-tête contenant des informations relatives à la date à laquelle le processus a été effectué, et cela appartient à l'heure du serveur dans lequel ledit conditionnement et sa compression ultérieure ont été effectués. Beaucoup d'entre vous pensent sûrement que ce n'est pas un problème si grave, et évidemment ce n'est pas le cas si nous parlons d'un serveur publicitaire par exemple, mais c'est pour un serveur qui se trouve sur le réseau Tor et comme vous le savez Intimité.
Bien que l'utilisation de celui-ci ne puisse connaître que le fuseau horaire du serveur, avec l'aide d'autres informations qu'un protocole utilisé dans Tor peut offrir, beaucoup plus pourrait être spécifié sur le serveur.
La configuration par défaut protège les serveurs de ce problème
Ce sera l'une des rares fois où une configuration par défaut offre quelque chose de bien. A cette occasion, le chercheur ajoute que les serveurs avec la configuration par défaut dans cet en-tête n'écrivent aucun type d'information et ne remplissent que les champs avec des zéros. Il ajoute que certains administrateurs du réseau Tor ont changé cette configuration et qu'un peu plus de 10% offriraient des informations de temps sans le savoir.
La NSA aimerait garder les vulnérabilités zero-day existantes cachées
Il semble que tout était déjà dans les limbes lorsque la NSA elle-même a à nouveau réchauffé l'atmosphère. De l'agence américaine, ils ont déclaré qu'ils découvraient plus de 91% des vulnérabilités zero-day et qu'ils ne révéleraient aucun type d'informations connexes, en essayant de les rendre disponibles le plus longtemps possible.
L'EFF (Electronic Frontier Foundation) a également été impliquée dans cette polémique en tant que partie qui a accusé l'agence de ne pas révéler suffisamment d'informations sur les failles de sécurité détectées dans un grand nombre de produits logiciels. Cela a porté l'affaire devant les tribunaux exigeant que les informations sur ces vulnérabilités soient publiées afin que leurs responsables soient en mesure de résoudre le problème et de publier une mise à jour. Cependant, de la part de la NSA, ils ne collaborent pas et affirment qu'en ce qui les concerne, ils ne donneront pas plus de détails que ce qui est strictement nécessaire. Ils ajoutent qu'ils comprennent que le but de la fondation est de publier ces problèmes pour y mettre fin d'une manière ou d'une autre, mais jusqu'à ce que le contraire soit dit, ils retarderont le plus longtemps possible l'offre de détails sur les vulnérabilités zero-day.
Bien qu'en janvier dernier, il semblait que la situation paraissait très coûteuse pour les intérêts du FEP, la réalité a été très différente et l'agence a publié un document détaillant les étapes qui seront suivies par la NSA pour faire connaître certains bugs, mais d'autres restera caché pour le moment.
Si la position de la fondation est claire, celle de l'agence est restée claire après ce dernier mouvement, essayant de profiter de ces échecs pour obtenir des informations des équipes sans avoir besoin de développer des applications sous forme de portes dérobées.
L'EFF estime qu'il est nécessaire de savoir comment ces vulnérabilités sont utilisées par la NSA
Dès la fondation, ils croient qu'il est vital de parvenir à une conclusion réussie avec la cause que le rôle joué par ces failles de sécurité dans les tâches d'espionnage est compris et quelle est l'activité de l'agence par rapport à ces problèmes détectés, étant sa passerelle à la fois chez les utilisateurs «ordinateurs et dans ceux qui sont dans les entreprises.
En bref, chaque fois qu'ils trouvent quelque chose qui ne va pas dans un logiciel de l'agence, ils ne publieront pas d'engagement quel que soit le type de vulnérabilité, dans ce cas, ceux du jour zéro sont ceux qui intéressent la NSA.
Zephyr, le nouveau système d'exploitation de la Fondation Linux pour l'Internet des objets
L'IoT, ou Internet des objets, est de plus en plus présent au quotidien. De plus en plus d'objets ou d'appareils électroménagers sont connectés à Internet au quotidien afin de permettre à l'utilisateur de profiter du potentiel du cloud pour une utilisation qui, jusqu'à récemment, serait impensable. Des téléviseurs aux machines à laver et même les thermostats sont déjà connectés à Internet, cependant, chaque fabricant utilise ses propres protocoles, ce qui peut être un réel obstacle lorsqu'il tente de partager des informations entre deux appareils connectés au réseau.
La Fondation Linux est consciente de ce problème, elle travaille donc depuis un certain temps sur Zephyr, un nouveau système d'exploitation en temps réel qui cherche à résoudre le problème de compatibilité et de communication entre les protocoles. Ce système d'exploitation est pris en charge par diverses plates-formes telles que NXP Semiconductors, Synopsys et UbiquiOS Technology et enregistré sous une licence Aparche 2.0.
Certaines des principales caractéristiques de ce système d'exploitation sont:
Évolutivité, capable de s'adapter à pratiquement n'importe quel appareil connecté.
Tous les appareils connectés fonctionneront sous le même cloud.
Le noyau utilisé dans Zephyr peut fonctionner sur des appareils avec aussi peu que 8 Ko de mémoire.
Le système d'exploitation est prêt à fonctionner avec des modules tiers.
Un seul document de licence sera utilisé, envoyé de manière égale à tout le monde. De cette manière, les conflits et les conflits de licences seront évités.
En plus des caractéristiques ci-dessus, ce système d'exploitation est conçu pour fonctionner sans problème avec les principales technologies actuelles, telles que Bluetooth, Bluetooth Low Energy, IEEE 802.15.4, 6Lowpan, CoAP, IPv4 / IPv6, NFC, Arduino 101, Arduino Due , Intel Galileo 'Gen 2, et même avec des cartes moins conventionnelles comme NXP FRDM-K64F Freedom.
Zephyr se caractérise par être un système d'exploitation évolutif, personnalisable, sécurisé et surtout ouvert. Cela permettra aux industriels de l'implémenter dans pratiquement tout type d'architecture, résolvant ainsi les principales limitations actuelles des différents systèmes (généralement propriétaires) de l'Internet des objets. Ce système d'exploitation recherche également à la fois une faible consommation et une vitesse de traitement élevée, ce qui est très important compte tenu du matériel limité des appareils.
Zephyr, un système conçu pour la sécurité IoT
L'un des principaux problèmes de l'Internet des objets est la sécurité. Les pirates informatiques tentent de plus en plus de prendre le contrôle de ces appareils modernes, mettant en danger leur bon fonctionnement. La Fondation Linux veut mettre fin à tout cela, et pour cette raison, elle a créé un système d'exploitation open source, qui peut être considéré comme plus sécurisé que d'autres systèmes propriétaires tout en permettant à tout utilisateur intéressé d'inspecter le code pour les bogues, les vulnérabilités et même de déboguer le code. pour améliorer ses performances.
Comme nous l'avons dit, l'Internet des objets est de plus en plus présent parmi nous, cependant, le problème de l'utilisation de protocoles et de technologies propriétaires empêche l'IoT de continuer à croître et à évoluer avec un seul écosystème. Zephyr sera sans aucun doute un petit pas vers cet écosystème unique.
Linux est toujours PLUS sécurisé Dans quelle mesure et dans quelle mesure?
De mon point de vue, GNU / Linux a cessé d'être un système d'exploitation plus sécurisé pendant longtemps. Parce qu'il est open source, il est plus facile de trouver des vulnérabilités et d'en tirer parti. Sous Windows, vous devez utiliser l'ingénierie inverse qui vous lance généralement un code en langage assembleur qui n'est pas toujours complètement exact, tandis que sous GNU / Linux, vous avez accès au code source sans problème. Le mythe selon lequel mille yeux surveillent le code source n'est que cela, juste un mythe. La vérité est qu'il y a très peu de personnes formées et bien informées pour le faire et la grande majorité d'entre elles sont trop occupées par leurs propres affaires pour tout passer en revue. Si vous ne me croyez pas, expliquez-moi comment Compiz est déjà en train de mourir. Pourquoi n'y a-t-il pas de Compiz dans Debian 8 et ses dérivés? Simple, personne n'y travaille.
Dans DeepWeb, il existe de nombreux tutoriels sur la façon de pirater un serveur Debian, CentOS, RedHat en moins de 5 minutes. Il existe également des tutoriels sur la façon d'exploiter les vulnérabilités en PHP, MySQL. Ainsi que plusieurs tutoriels pour exploiter les vulnérabilités en flash et dans les navigateurs FireFox et Chromium. En plus des distributions de piratage spécialisées telles que Kali Linux ou Parrot OS. Et de nombreux tutoriels sur la façon d'exploiter les vulnérabilités et d'augmenter les privilèges.
Sans parler de divers tutoriels sur le piratage et l'ingénierie sociale pour infecter GNU / Linux, en particulier Ubuntu, les PPA et les fichiers .DEB ou .RPM sont très dangereux. Je recommande de ne pas utiliser de PPA qui ne provient pas du site officiel du développeur, si vous voyez le PPA sur un blog, mieux vaut ne pas l'installer du tout. Il est assez facile d'infecter GNU / Linux grâce à l'ingénierie sociale. Vous ne créez qu'un PPA de certains thèmes ou icônes beaux ou très frappants, ou vous faites le PPA sur une version d'un programme plus récent et mis à jour que celui trouvé dans les référentiels officiels, vous le mettez dans un blog et vous avez déjà un beaucoup de zombies.
ClamAV est mauvais pour détecter les virus, les chevaux de Troie et les logiciels malveillants, vous n'avez donc pas à vous soucier de cet antivirus médiocre. Mais la meilleure arme est que le linuxer se pense immunisé contre les virus et les logiciels malveillants.
Ce commentaire enregistre l'intégralité de l'article.
Il est rare de voir du réalisme, de la sincérité et de la rationalité dans un endroit Linux si caractéristique pour les illusions et les extrémistes.
Je conviens que Linux est le système d'exploitation le plus sûr qui soit, car parmi les nouvelles que j'ai reçues depuis longtemps, je ne vois pas de mises à jour de sécurité importantes. Mais j'aurais aimé que vous ne parliez pas seulement de Linux vs Windows dans cet article. Ce serait bien si vous commentiez MacOSX et son mythe d'être le système d'exploitation le plus sûr et il a été prouvé que ce n'est pas le cas. Le mois dernier, il a corrigé plus de 140 vulnérabilités pour n'en nommer qu'une. Le site av-test a un article qui lui est dédié et parmi ses tests antivirus, il inclut également MacOSX. Salutations.