Ilang taon na ang nakalipas, pinagtatawanan ng mga user ng Linux ang mga user ng Windows para sa kanilang mga problema sa seguridad. Ang isang karaniwang biro ay ang tanging virus na alam namin ay ang mula sa sipon na nahuli namin. Malamig na nagreresulta mula sa mga panlabas na aktibidad na ginawa sa oras na hindi ginugol sa pag-format at pag-reboot.
Tulad ng nangyari sa mga maliliit na baboy sa kuwento, ang aming kaligtasan ay isang pakiramdam lamang. Sa pagpasok ng Linux sa mundo ng korporasyon, nakahanap ang mga cybercriminal ng mga paraan upang iwasan ang mga proteksyon nito.
Bakit dumarami ang mga pag-atake laban sa Linux
Noong nangongolekta ako ng mga gamit para sa balanse ng 2021, nagulat ako na bawat buwan ay may ulat tungkol sa mga isyu sa seguridad na may kaugnayan sa Linux. Siyempre, karamihan sa responsibilidad ay wala sa mga developer kundi sa mga system administrator.. Karamihan sa mga problema ay dahil sa hindi magandang pagkaka-configure o pinamamahalaang mga imprastraktura.
Sumasang-ayon ako sa iyo Mga mananaliksik sa cybersecurity ng VMWare, Ginawa ng mga cybercriminal ang Linux na target ng kanilang mga pag-atake nang matuklasan nila na, sa nakalipas na limang taon, ang Linux ang naging pinakasikat na operating system para sa mga multicloud na kapaligiran at ito ang nasa likod ng 78% ng mga pinakasikat na website.
Ang isa sa mga problema ay ang karamihan sa kasalukuyang mga hakbang laban sa malware pangunahing tumutok
sa pagtugon sa mga banta na nakabatay sa Windows.
Ang mga pampubliko at pribadong ulap ay mga target na may mataas na halaga para sa mga cybercriminal, dahil sila magbigay ng access sa mga serbisyo sa imprastraktura at kritikal na mapagkukunan ng computing. Nagho-host sila ng mga pangunahing bahagi, tulad ng mga email server at database ng customer,
Nangyayari ang mga pag-atake na ito sa pamamagitan ng pagsasamantala sa mga mahihinang sistema ng pagpapatotoo, mga kahinaan, at mga maling pagsasaayos sa mga imprastraktura na nakabatay sa container. para makalusot sa kapaligiran gamit ang remote access tools (RATs).
Kapag nakapasok na ang mga umaatake sa system, karaniwang pinipili nila ang dalawang uri ng pag-atake: emagpatakbo ng ransomware o mag-deploy ng mga bahagi ng cryptomining.
- Ransomware: Sa ganitong uri ng pag-atake, ang mga kriminal ay pumapasok sa isang network at nag-encrypt ng mga file.
- Crypto mining: Mayroong talagang dalawang uri ng pag-atake. Sa una, ang mga wallet ay ninakaw na ginagaya ang isang application batay sa mga cryptocurrencies at sa pangalawa, ang mga mapagkukunan ng hardware ng inaatakeng computer ay ginagamit para sa pagmimina.
Paano isinasagawa ang mga pag-atake
Kapag ang kriminal ay nakakuha ng paunang access sa isang kapaligiran, Dapat kang maghanap ng paraan upang samantalahin ang limitadong pag-access na ito upang makakuha ng higit pang mga pribilehiyo. Ang unang layunin ay mag-install ng mga programa sa isang nakompromisong sistema na nagbibigay-daan dito upang makakuha ng bahagyang kontrol sa makina.
Ang program na ito, na kilala bilang isang implant o beacon, naglalayong magtatag ng mga regular na koneksyon sa network sa command at control server upang makatanggap ng mga tagubilin at ipadala ang mga resulta.
Mayroong dalawang paraan ng koneksyon sa implant; pasibo at aktibo
- Passive: Ang passive implant ay naghihintay ng koneksyon sa isang nakompromisong server.
- Aktibo: Ang implant ay permanenteng konektado sa command at control server.
Tinutukoy ng pananaliksik na ang mga implant sa aktibong mode ay ang pinaka ginagamit.
Mga Taktika sa Pag-atake
Ang mga implant ay madalas na nagsasagawa ng reconnaissance sa mga sistema sa kanilang lugar. Halimbawa, maaari silang mag-scan ng buong hanay ng mga IP address upang mangolekta ng impormasyon ng system at makakuha ng data ng banner ng TCP port. Maaari rin nitong payagan ang implant na mangolekta ng mga IP address, pangalan ng host, aktibong user account, at partikular na operating system at mga bersyon ng software ng lahat ng system na nakikita nito.
Ang mga implant ay kailangang makapagtago sa loob ng mga nahawaang sistema upang patuloy na magawa ang kanilang trabaho. Para diyan, karaniwan itong ipinapakita bilang isa pang serbisyo o aplikasyon ng host operating system. Sa mga cloud na nakabatay sa Linux ang mga ito ay naka-camouflaged bilang nakagawiang mga cron job. Sa Unix-inspired system tulad ng Linux, pinapayagan ng cron ang Linux, macOS, at Unix environment na mag-iskedyul ng mga proseso upang tumakbo sa mga regular na pagitan. Sa ganitong paraan, maaaring itanim ang malware sa isang nakompromisong system na may dalas ng pag-reboot na 15 minuto, kaya maaari itong i-reboot kung ito ay maa-abort.
systemd + cgrups + http2 + http3 + javascripts sa pdfs….etc etc etc at nagtataka pa rin sila kung bakit nagsimula ang mga problema??
Tulad ng sinasabi mo, nabigo ka, o isang napaka-junior na problema na hindi alam kung paano i-configure ang isang system o lumipat mula sa Windows na tila 123456 para sa mga kumplikadong sistema, ang Linux ay ligtas ngunit hindi matalinong gumawa ng sarili nitong seguridad, sa palagay ko ito ay lahat ng isa pang hamon na nangyayari sa Windows sa mga tao para sa pagkakaroon ng isang antivirus ay pakiramdam na ligtas, hindi ito itinuro na maging ligtas o kung paano maging ligtas ay sinasabi o na ito ay nag-iiwan sa amin na mahina, kaya ito ay magiging mabuti sa isang artikulo kung paano protektahan laban sa ang mga bagay na ito, kung paano gumawa ng mga ligtas na senyales o gumamit ng senha encryption na may isa lamang...atbp
Sa tingin ko, sa higit na kasikatan at mas maraming pag-atake, mahalaga din ang paraan ng pagtatanggol mo sa iyong koponan.