何日か前に 攻撃が発見されました 有名な影響を受けた LinuxMintオペレーティングシステム。 この攻撃は、オペレーティングシステムのWebへの攻撃、Cinnamonを使用したバージョンのISOイメージの変更、バックドアやトロイの木馬ウイルスなどのマルウェアの追加で構成されていました。
このニュースは、GNU / Linuxグループが依然としてすべての中で最も安全なオペレーティングシステムグループであるのか、それともこの状況がすでに変化しているのかを反映しています。 そう これを分析して振り返ります、GNU / Linuxシステムが他のシステムよりも安全であるか、または安全でなくなったかを明確にするため。
Linux上のマルウェア
まず、GNU / Linuxにはウイルスが存在することを明確にする必要があります。 これまでに公開したように、時々表示されます いくつかの悪意のあるプログラム その 自由ソフトウェアの利点を活用する(ソースコードを自由に変更できるようにするため)、悪意のあるソフトウェアを作成するため。 ただし、Windowsに存在するマルウェアの量を考慮すると、この数は非常に少ないため、これらの小さな攻撃にもかかわらず、Linuxはこの点でWindowsよりも安全です。
プライバシー
プライバシーについて言えば、GNU / Linuxは今でも王様であり、今ではもっとそうです。 Windows 10 になっています スパイオペレーティングシステム 卓越性によって。 さらに、次のようなディストリビューションがあります 裏 それはあなたのプライバシーを保護することに専念しています。
脆弱性
これはLinuxMintで発生しましたが、これは本当に 例外です それはこの世界ではあまり起こりません。 代わりに、Windowsはそれらでいっぱいです。 スティッキーキー と他の人は修正することを気にしませんでした。
サポート
Microsoftは、WindowsXPを使用した多くのユーザーをサポートしていません。 より強力なマシンを購入するように人々に強いる(XPからW7への最小要件の大幅な増加があり、64MBから1024MBのRAMになります)、それを購入できない人は攻撃に対してはるかに脆弱になります。 多数の 低リソースシステム GNU / Linuxから入手できるということは、どんなコンピューターを持っていても、常にサポートがあることを意味します。
結論
結論は、先日の攻撃は孤立したケースであった、つまり、 私たちはまだ世界で最も安全です。 ただし、常に注意深く調べて、起こりうる脆弱性について通知し、疑わしいと思われるものを信用せず、常にシステムを最新の状態に保つことをお勧めします。
教訓は、GNU / Linuxの世界に関するニュースを認識している必要があるということである必要があります。その中で、このようなページはスペイン語を話す人に情報を提供するのに最適です。
ハッカーは、何百ものLinuxMINTダウンロードでバックドアをどのように配置したかを説明します
バックドアがインストールされたバージョンのLinuxをダウンロードするのに何百人ものユーザーを連れて行った孤独なハッカーは、すべてがどのように行われたかを明らかにしました。
ここでは、プロジェクトサイトがハッキングされ、ユーザーをXNUMX日中誤解させ、悪意を持って追加された「バックドア」を含むダウンロードを提供したことを報告します。
Lefebvreはブログで、土曜日のダウンロードのみがコミットされ、その後、追加のダウンロードを避けるためにサイトをオフラインにしたと述べました。
「Peace」という名前の公式ハッカーは、日曜日の暗号化された会話の中で、Zack Whittaker(この記事の著者)は、「数百」のLinuxMintインストールが彼の管理下にあると述べました。日中の何千ものダウンロードより。
しかし、それは話の半分にすぎません。
Pazはまた、フォーラムのWebサイトのコピー全体を28回盗んだと主張しました。18回はXNUMX月XNUMX日、最近ではハッキングが確認されるXNUMX日前のXNUMX月XNUMX日です。
ハッカーは、電子メールアドレス、生年月日、プロフィール写真、暗号化されたパスワードなどの個人を特定できる情報を含むフォーラムデータベースの一部を共有しました。
これらのパスワードは、ずっと長くそのようにとどまることができません。 ハッカーは、いくつかのパスワードはすでに破られており、さらに多くのパスワードが作成されていると述べました。 (サイトは暗号化にPHPassパスワードを使用していると理解されていますが、これは破られる可能性があります。)
Lefebvreは日曜日、フォーラムがレイプされたことを確認した。
ハッカーがデータベースファイル全体を「ダークウェブ」マーケットプレイスに置いたことがすぐに判明しました。このリストも確認できました。 このリストは、執筆時点で約0.197ビットコイン、つまりダウンロードあたり約85ドルでした。
Pazは、リストがLinux MintWebサイトであることを確認しました。 「まあ、85ドル必要だ」とハッカーは冗談めかして言った。
約71.000のアカウントが違反通知ウェブサイトにアップロードされたとHaveIBeenPwnedは日曜日に語った。 すべてのアカウントの半分弱がすでにデータベースにありました。 (違反の影響を受けていると思われる場合は、データベースで電子メールアドレスを検索できます。)
La Pazは彼の名前、年齢、性別を明かさなかったが、彼はヨーロッパに住んでいて、ハッカーグループとは何の関係もないと言った。 単独で動作することが知られているハッカーは、以前、関連するプライベートマーケットサイトで既知の脆弱性サービスのプライベートスキャンサービスを提供していました。
詳細な話し合いの後、ハッカーは攻撃が複数の層で行われたと説明しました。
Pazは、不正アクセスを許可する脆弱性を発見した64月にサイトを「ただ突っついている」だけでした。 (ハッカーはまた、Lefebvreの管理サイトパネルにログインするための資格情報を持っていると述べましたが、ケースが再び役立つことが判明した方法を説明することには消極的でした。)土曜日に、ハッカーは画像LinuxディストリビューションXNUMXビット(ISO)をバックドアを追加することで変更されたもので、後でサイト上のダウンロード可能なLinuxのバージョンごとに「すべてのミラーを自分の変更されたバージョンに置き換える」ことを決定しました。
「バックドア」バージョンは、思ったほど難しくはありません。 コードはオープンソースであるため、ハッカーは、バックドアを含むバージョンのLinuxをパッケージ化するのに数時間しかかからなかったと述べました。
その後、ハッカーはファイルをブルガリアのファイルサーバーにアップロードしましたが、「帯域幅が遅いため」時間がかかりました。
次に、ハッカーはサイトへのアクセスを使用して、ファイルの整合性をチェックするために使用される正当なチェックサムを変更しました。ダウンロードページにはバックドアバージョンのチェックサムが含まれています。
「しかし、誰がf *****ハッシュをチェックするのですか?」とハッカーは言いました。
Lefebvreがプロジェクトサイトの解体を開始したのは約XNUMX時間後のことでした。
このサイトは日曜日のほとんどの間ダウンしており、何千ものダウンロードが欠落している可能性があります。 ディストリビューションには多くのフォロワーがいます。 使いやすいインターフェースのおかげもあり、最新の公式カウントでは少なくともXNUMX万人のLinuxMintユーザーがいます。
パズ氏によると、ハッキングの最初のエピソードはXNUMX月下旬に始まったが、「[土曜日]の早朝にバックドア画像を広め始めた」ときにピークに達したという。
ハッカーは、攻撃の具体的な標的はないと述べたが、バックドアの主な動機はボットネットの構築であると述べた。 ハッカーマルウェアはTsunamiと呼ばれています。これは、実装が簡単なバックドアであり、アクティブ化されると、IRCサーバーにサイレントに接続して注文を待ちます。
オランダのセキュリティ会社Fox-ITのシニア脅威リサーチアナリストであるYonathanKlijnsmaは、次のように述べています。
津波は、ウェブサイトやサーバーをダウンさせるためによく使用されます。つまり、トラフィックの「津波」を送信して迂回します。 「[Tsunami]は、IRCサーバーと通信し、作成者が設定した場合はパスワードを使用して、事前定義されたチャネルに参加する、手動で構成可能なシンプルなロボットです」とKlijnsma氏は述べています。 しかし、Webベースの攻撃を開始するために使用されるだけでなく、作成者が「コマンドを実行し、感染したシステムにファイルをダウンロードして、後で機能させる」こともできます。
それだけでなく、マルウェアは影響を受けたコンピューターをアンインストールして、残された証拠の痕跡を制限することができると、ハッカーの主張の評価と検証を支援したKlijnsma氏は述べています。
今のところ、ハッカーの理由は「一般的なアクセスのみ」でしたが、彼は自分のコンピューターでデータマイニングやその他の手段にボットネットを使用することを除外しませんでした。 ただし、ハッカーのボットネットはまだ稼働していますが、感染したマシンの数は「もちろん、ニュースが来てから大幅に減少しています」とLaPaz氏は確認しました。
Lefebvreは日曜日にコメントのために電子メールアドレスに戻っていませんでした。 プロジェクトサイトは再び空中に浮かび上がり、できればセキュリティが向上します。
残念ながら、オープンソースの利点はこれらのことに使われることがあります...
ボットネットは、サイトの破棄、ビットコインなどの暗号通貨のマイニングなど、さまざまな目的で使用されます。とにかく、低レベルでフォーマットして再インストールする必要があるのはそのためです。
GZIP圧縮はTorサーバーやユーザーと対戦する可能性があります
研究者は、HTTPで使用されるGZIP圧縮の構成に隠された情報を発見しました。これにより、Torネットワークにあるサーバーに関する詳細を取得できるため、ユーザーのプライバシーを保証することを特徴とするこのネットワークを利用するユーザーに悪影響を及ぼします。
eyeOS仮想デスクトップの開発者であるJuanCarlos Norteは、このネットワークのプライバシーに悪影響を与える可能性のあるこの発見についての報告を担当し、当局に非常に関連性の高い情報にアクセスする方法を提供しています。 出発点として、彼はWebサーバーがHTTP要求と応答の理解をサポートし始めたのはどのくらい前かについて話します。 ユーザーがブラウザーのおかげでWebサーバーに接続するときのネゴシエーションプロセスで、ユーザーはこの理解をサポートするかどうか、およびその瞬間からどのタイプを使用するかを尋ねます。
現在、WebサーバーはGZIPとDEFLATEのXNUMX種類の理解をサポートしており、多かれ少なかれ高速なプロセスと送信されるデータのサイズを大幅に削減できます。 これは、Torネットワークサーバーのセキュリティ問題を引き起こす可能性のあるこれらの最初のものです。
GZIPヘッダーには貴重な情報が含まれます
専門家は、データのパッケージ化に加えて、この理解を利用するサーバーが、これらとともに、プロセスが実行された日付に関連する情報を含むヘッダーを追加することを発見しました。これは、上記のパッケージングとその後の圧縮が実行されたサーバー。 確かに多くの人はそれはそれほど深刻な問題ではないと思います、そして明らかに私たちが例えば広告サーバーについて話している場合はそうではありませんが、それはTorネットワーク上にあるサーバーのためのものであり、あなたが知っているようにそれは際立っていますプライバシーのために。
これを使用すると、サーバーのタイムゾーンしか知ることができませんでしたが、Torで使用されるプロトコルが提供できる他の情報の助けを借りて、サーバーについてさらに多くの情報を指定できました。
デフォルト構成は、この問題からサーバーを保護します
デフォルトの構成が何か良いものを提供するのは数少ないことの10つです。 この場合、研究者は、このヘッダーにデフォルト構成のサーバーはいかなる種類の情報も書き込まず、フィールドにゼロを入力することに限定されていると付け加えています。 彼は、Torネットワークの一部の管理者がこの構成を変更しており、XNUMX%強が知らないうちに時間情報を提供していると付け加えています。
NSAは、既存のゼロデイ脆弱性を隠したままにしておきたい
NSA自体が再び大気を暖めたとき、すべてがすでに不安定になっていたようです。 米国の代理店から、彼らはゼロデイ脆弱性の91%以上の発見者であり、可能な限り長く利用できるように努めて、いかなる種類の関連情報も明らかにしないと述べています。
EFF(Electronic Frontier Foundation)も、多数のソフトウェア製品で検出されたセキュリティ上の欠陥に関する十分な情報を公開していないとして代理店を非難した当事者として、この論争に関与しています。 これにより、これらの脆弱性に関する情報を公開して、それらの責任者が問題を解決し、更新を公開できるようにすることを要求する訴訟が提起されました。 しかし、NSAからは協力しておらず、彼らに関する限り、厳密に必要な以上の詳細を提供するつもりはないことを確認しています。 彼らは、財団の目的が何らかの方法で問題を終わらせるためにこれらの問題を公開することであることを理解しているが、反対のことが言われるまで、ゼロデイ脆弱性に関する詳細の提供を可能な限り遅らせると付け加えた。
今年のXNUMX月、状況はEFFの利益のために非常に高額に見えたように見えましたが、現実は非常に異なっており、当局はいくつかのバグを公表するためにNSAが従う手順を詳述した文書を公開しました。当分の間非表示のままになります。
財団の立場は明確ですが、この最新の動きの後も代理店の立場は明確であり、バックドアの形でアプリケーションを開発する必要なしにチームから情報を取得するためにそれらの失敗を利用しようとしています。
EFFは、これらの脆弱性がNSAによってどのように使用されているかを知る必要があると考えています。
彼らは、スパイ活動においてこれらのセキュリティ上の欠陥が果たす役割を理解し、これらの検出された問題に関する機関の活動を理解し、ユーザーの両方のゲートウェイであるという理由で、成功する結論に達することが重要であると基礎から信じています。 'コンピュータと企業内にあるもの。
要するに、彼らが代理店からのソフトウェアに何か問題を見つけるたびに、彼らは脆弱性のタイプに関係なく誓約を発表しません。この場合、ゼロデイのものはNSAに関心があるものです。
LinuxFoundationのモノのインターネット向けの新しいオペレーティングシステムであるZephyr
IoT、つまりモノのインターネットは、日々ますます存在しています。 ユーザーがクラウドの可能性を利用して、最近まで考えられなかった用途を利用できるようにするために、ますます多くのオブジェクトや家電製品がインターネットに毎日接続されています。 テレビから洗濯機、さらにはサーモスタットまでがすでにインターネットに接続されていますが、各メーカーは独自のプロトコルを使用しています。これは、ネットワークに接続されたXNUMXつのデバイス間で情報を共有しようとするときに大きな障害になる可能性があります。
Linux Foundationはこの問題を認識しているため、プロトコル間の互換性と通信の問題を解決しようとする新しいリアルタイムオペレーティングシステムであるZephyrに取り組んできました。 このオペレーティングシステムは、NXPセミコンダクターズ、シノプシス、UbiquiOSテクノロジーなどのさまざまなプラットフォームでサポートされており、Aparche2.0ライセンスの下でライセンスされています。
このオペレーティングシステムの主な機能のいくつかは次のとおりです。
スケーラビリティ。接続されているほぼすべてのデバイスに適応できます。
接続されているすべてのデバイスは、同じクラウドの下で動作します。
Zephyrで使用されるカーネルは、わずか8KBのメモリを搭載したデバイスで実行できます。
オペレーティングシステムは、サードパーティのモジュールで動作する準備ができています。
単一のライセンスドキュメントのみが使用され、すべての人に平等に送信されます。 このようにして、競合やライセンスの衝突が回避されます。
上記の機能に加えて、このオペレーティングシステムは、Bluetooth、Bluetooth Low Energy、IEEE 802.15.4、6Lowpan、CoAP、IPv4 / IPv6、NFC、Arduino 101、ArduinoDueなどの現在の主要テクノロジーで問題なく動作するように設計されています、Intel Galileo'Gen 2、およびNXP FRDM-K64FFreedomのようなあまり一般的ではないボードでも。
Zephyrは、スケーラブルで、カスタマイズ可能で、安全で、とりわけオープンなオペレーティングシステムであるという特徴があります。 これにより、メーカーは実質的にあらゆるタイプのアーキテクチャに実装できるようになり、モノのインターネットのさまざまなシステム(通常は独自仕様)の現在の主な制限を解決できます。 このオペレーティングシステムは、低消費と高速の両方を求めています。これは、デバイスのハードウェアが限られていることを考えると非常に重要です。
Zephyr、IoTセキュリティ用に設計されたシステム
モノのインターネットの主な問題のXNUMXつは、セキュリティです。 ハッカーはますますこれらの最新のデバイスを制御しようとしており、それらの適切な機能に危険をもたらしています。 Linux Foundationはこれをすべて終わらせたいと考えています。そのため、オープンソースのオペレーティングシステムを作成しました。これは、他のプロプライエタリシステムよりも安全であると見なすことができ、関心のあるユーザーはコードのバグや脆弱性を検査し、コードをデバッグすることもできます。そのパフォーマンスを向上させるために。
すでに述べたように、モノのインターネットは私たちの間でますます存在していますが、独自のプロトコルとテクノロジーを使用するという問題により、IoTは単一のエコシステムで成長および進化し続けることができません。 Zephyrは間違いなくこのユニークなエコシステムへの小さな一歩となるでしょう。
Linuxはさらに安全ですどのくらい、そしてどの程度ですか?
私の見解では、GNU / Linuxはしばらくの間より安全なOSではなくなりました。 オープンソースであるため、脆弱性を見つけて利用するのが簡単です。 Windowsでは、リバースエンジニアリングを使用する必要があります。これにより、通常、完全に正確であるとは限らないアセンブリ言語コードがスローされますが、GNU / Linuxでは、問題なくソースコードにアクセスできます。 千の目がソースコードを見るという神話はまさにそれであり、単なる神話です。 真実は、これを行うための訓練を受けた知識のある人はほとんどおらず、彼らの大多数は自分の事柄で忙しくてすべてを調べることができないということです。 あなたが私を信じていないのなら、Compizが実際にすでに死にかけている方法を私に説明してください。 Debian 8とその派生物にCompizがないのはなぜですか? シンプルで、それに取り組んでいる人は誰もいません。
DeepWebには、Debian、CentOS、RedHatサーバーを5分未満でハッキングする方法に関する多くのチュートリアルがあります。 PHP、MySQLの脆弱性を悪用する方法に関するチュートリアルもあります。 また、フラッシュ、FireFoxおよびChromiumブラウザの脆弱性を悪用するためのいくつかのチュートリアルもあります。 KaliLinuxやParrotOSなどの特殊なハッキングディストリビューションに加えて。 また、脆弱性を悪用して特権を昇格させる方法に関する多くのチュートリアル。
GNU / Linuxに感染するためのハッキングやソーシャルエンジニアリングに関するさまざまなチュートリアルは言うまでもなく、特にUbuntu、PPA、.DEBまたは.RPMファイルは非常に危険です。 開発者の公式Webサイト以外のPPAは使用しないことをお勧めします。ブログにPPAが表示されている場合は、まったくインストールしないことをお勧めします。 ソーシャルエンジニアリングを通じてGNU / Linuxに感染するのは非常に簡単です。 テーマまたは美しいアイコンや非常に印象的なアイコンのPPAを作成するか、公式リポジトリにあるものよりも最新の更新されたプログラムのバージョンでPPAを作成し、それをブログに入れて、すでにたくさんのPCゾンビ。
ClamAVはウイルス、トロイの木馬、マルウェアの検出が苦手なので、その平凡なアンチウイルスについて心配する必要はありません。 しかし、最良の武器は、linuxerが自分自身をウイルスやマルウェアの影響を受けないと考えていることです。
このコメントは記事全体を保存します。
Linuxの場所で、妄想や過激派にとって非常に特徴的なリアリズム、誠実さ、合理性を目にすることはめったにありません。
Linuxが最も安全なOSであることに同意します。なぜなら、私が長い間受け取ったニュースの中で、重要なセキュリティアップデートが見当たらないからです。 しかし、この記事ではLinuxとWindowsについて話すだけではありません。 MacOSXと、OSの中で最も安全であるという神話についてコメントしていただければ幸いですが、そうではないことが証明されています。 先月、140を超える脆弱性を修正してXNUMXつだけ挙げました。 av-testサイトには専用の記事があり、そのウイルス対策テストの中にMacOSXも含まれています。 ではごきげんよう。