Новости про Linux и безопасность

Специалист в области безопасности Linux Мэтью Гарретт решил проанализировать реализацию Microsoft Pluton на процессорах Ryzen Pro 6860Z Zen3+, но он столкнулся с проблемами, поскольку система Linux даже не установилась.

По всей видимости прошивка не доверяет любому загрузчику, отличному от Microsoft, а также любым драйверам, использующим сторонний ключ UEFI CA. Иными словами, установить любую ОС, отличную от Windows, на машину с этим процессором невозможно. Кроме того, любая сторонняя периферия, подключённая через Thunderbolt работать не будет.

По данным Гарретта решение не обеспечивает дополнительной безопасности, а лишь усложняет пользователям работу с любой ОС, отличной от Windows. К счастью, чип Pluton можно отключить в UEFI, что позволит полноценно пользоваться купленным компьютером.

Операционная система Linux получила широкое распространение среди устройств Интернета вещей. И по мере того, как всё большее число людей оснащают свои дома подобными устройствами, создавая смарт-окружение, в мире становится всё больше целей для кибератак, несравнимо больше, чем во времена одиноких энтузиастов на PC и системных администраторов.

Согласно опубликованным данным, устройства на Linux в 2021 подвергались атакам в основном со стороны трёх семейств зловредов: XorDDoS, Mirai, и Mozi. Все они объединяли уязвимые устройства IoT в бот-сеть для дальнейшего проведения атак типа DDoS и на крупные ресурсы.

Эти три типа зловредов заняли 22% среди всех на Linux IoT устройствах в 2021 году. Троян XorDDoS показал рост на 123%, по сравнению с 2020 годом. Mozi вырос в 10 раз. Наконец, случаи использования Mirai выросли на 83%. Он является прародителем для Sora (рост 33%), IZIH9 (39%) и Rekai (рост 83%).

Кроме использования устройств IoT для проведения DDoS атак, есть ещё одна сфера, для которой применяют взломанные устройства — майнинг криптовалют. И эту проблему не удастся решить в обозримом будущем.

Аналитики из Crowdstrike ожидают, что за три года к Интернету будет подключено более 30 миллионов устройств IoT. Это огромное количество потенциальных целей для злоумышленников, что означает необходимость в приложении больших усилий для защиты домашней инфраструктуры.

Ошибка была выявлена при изучении исходного кода ядра Linux. Её использование требует создание массивной глубокой структуры каталогов, чтобы достичь ошибки переполнения при записи, после чего повышаются привилегии. Атака требует создания миллиона вложенных директорий с суммарной длиной пути более 1 ГБ.

Исследователи отмечают, что это очень надёжная атака, которую можно провести за 3 минуты. Самым большим ограничением является 5 ГБ оперативной памяти.

Отмечается, что большинство дистрибутивов Linux уже выпустили соответствующие патчи.

По данным Kaspersky, злоумышленники постоянно диверсифицируют свои арсеналы, содержащие инструменты Linux, что даёт им более широкий доступ к атакуемым системам.

Многие организации выбирают Linux для стратегически важных серверов и систем. Также наблюдается «заметная тенденция» по внедрению Linux в настольном окружении большого бизнеса и правительственных агенствах. Это привлекает большее число хакеров, которые активнее разрабатывают вредоносное ПО для этой платформы.

Более десятка целевых кибератак используют вредоносное ПО на Linux или некоторые модули, основанные на Linux, а также на несколько платформ одновременно. И хотя пока целевые атаки на Linux-системы не являются распространёнными, наборы веб-оболочек, бэкдоров и руткитов, наряду со специально разработанными эксплоитами, уже доступны для тех, кто ищет их применения.

Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.

Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.

Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.

Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Количество угроз для Windows, таких как WannaCry значительно уменьшилось. Это значит, что пользователи платформы стали более внимательными. Также это означает, что безопасность самой платформы стала выше. В то же время, этого нельзя сказать о macOS. Количество угроз для данной операционной системы выросло на 370%, и теперь для неё всего насчитывается 3033 вирусов. Также ухудшилась ситуация и с Linux, для которой количество угроз возросло на 300%.

Ещё одним интересным моментом в отчёте стало то, что несмотря на крупные атаки вымогателей, их количество стало самым меньшим среди всех типов угроз. Тем не менее, Microsoft заявляет о том, что ежеквартально по миру рассылается более полумиллиарда писем с вложениями-вымогателями.

Несмотря на некоторые успехи, Windows остаётся самой «опасной» ОС. Всего на неё в первом квартале приходилось 77% онлайн угроз. На втором месте оказалась Android с 5,8%, большая часть из которых является приложениями-троянцами.

Более подробную информацию можно найти в отчёте AV-Test.

Исследователи установили, что в системе существует возможность обойти экран логина заблокированной машины под управлением Linux, простым нажатием клавиши Backspace 28 раз. Не больше, и не меньше. Всему виной является загрузчик Grub2, который используется во многих дистрибутивах Linux. Данной уязвимости подвержены все версии Grub2, выпущенные с 2009 года до настоящего времени.

При нажатии на Backspace 28 раз запускается аварийная оболочка Grub, которая позволяет атакующему получить неограниченный доступ к данным машины. Кроме того, злоумышленник может установить вредоносное ПО. Однако при этом отмечается, что злоумышленнику в обязательном порядке необходим прямой физический доступ к машине жертвы.

Эксперт в области безопасности Дэн Гидо назвал сохранение авторами Grub столь явного эксплоита в течение почти десятка лет крайне безответственным. К счастью, безопасники уже создали патчи, предотвращающий факт настолько лёгкого взлома. Крупнейшие разработчики дистрибутивов, включая Debian, Red Hat и Ubuntu, уже выпустили исправления для своих ОС.

Одного разработчика попросили создать Ubuntu MATE Remix, основанный на Ubuntu 14.04, и люди удивились, что данное окружение рабочего стола уже создано в Linux Mint.

Один из разработчиков Ubuntu, Оливер Грэйверт отмечает, что обслуживающие Linux Mint имеют серию пакетов, которые они никогда не обновляли, что сделало систему уязвимой для атак. Это отличает Mint от той же Ubuntu, в которой, по словам разработчиков, все пакеты периодически получают обновления, связанные, в частности, и с безопасностью.

Оливер отметил, что уязвимым и давно не обновляемым является обозреватель ядра системы или xorg, и все дальнейшие обновления безопасности оказываются бесполезными. Он добавил: «Лично я не стал бы заниматься онлайн банкингом из неё ;)».

Мнение Грэйвета разделили и прочие разработчики Ubuntu, которые участвовали в обсуждении ситуации.

По заверениям фирмы, троян был протестирован на 15 различных дистрибутивах Linux и поддерживает 8 различных оконных сред, включая популярнейшие Gnome и Kde.

Владельцы получают простую административную панель, позволяющую им контролировать заражённое устройство. Собранная же информация сохраняется в базу данных MySQL.

Несмотря на то, что продажа вредоносной программы состоялась успешно, в настоящее время в ОС нет значительных уязвимостей, которые позволили бы трояну проникнуть на компьютер, поэтому разработчики вируса рекомендуют использовать его рассылку по электронной почте или использовать методы социальной инженерии для доставки троянца конечной цели.

Троян Hand of theft был продан на чёрном рынке за 2000 долларов, за эти деньги к нему также прилагаются все свежие обновления. В настоящее время троян имеет только возможности бэкдора и сборщика информации, при этом, по мнению экспертов, он будет включён в состав набора веб-инфекций, которые станут мощнейший набором вирусного ПО для незаконного доступа к банкингу. Со временем, вредоносное ПО для Linux будет стоить порядка 3000 долларов США, а клиенты должны будут заплатить примерно по 550 долларов за каждое большое обновление.

Радует лишь то, что пользовательская база Linux крайне мала, поэтому написание вирусов для этой ОС является весьма необычным делом, а значит, таких угроз будет создано намного меньше, чем для Windows. Кроме того пользователи Linux, как правило, имеют больше опыта работы с компьютерами и IT в целом, а значит, они вряд ли будут устанавливать приложение из неизвестного источника.

Названная Anonymous-OS Live, эта 32-битная платформа построена на основе системы Linux Ubuntu 11.10. В ней используется рабочий стол Mate, при этом ОС оснащена целым набором предустановленного ПО, включая Tor браузер, Hash Identifier, XChat IRC, SQL Poison, Find Host IP, ParolaPass Password Generator, Anonymous HOIC и т.д.

Если верить вебсайту Anonymous-OS, то выходит, что эта операционная система была разработана лишь в «образовательных целях», ну и для проверки безопасности веб-страниц. Чтобы загрузится в новой ОС пользователем необходимо создать LiveUSB, используя утилиту Unetbootin. Однако хотелось бы сделать предостережение для всех любопытствующих: вы загружаете эту ОС на свой страх и риск, поскольку она может содержать различные бэкдоры и шпионские программы.

Чтобы подтвердить миролюбивые намерения выпуска ОС, на сайте Anonymous сказано: «Пожалуйста, не используйте никаких инструментов, чтобы уничтожить веб страницу. Если вы начнёте атаковать какую-нибудь веб страницу, это может окончиться в тюрьме, потому что в большинстве стран это уголовно наказуемо. Пользователи несут полную ответственность за любые незаконные действия».

Операционная система Anonymous-OS Live v0.1 уже доступна для загрузки (1,4 ГБ). Сами разработчики уверяют, что система абсолютно безопасна, равно как и прочие дистрибутивы операционной системы Linux.

Как стало известно позднее, Sourceforge удалил Anonymous-OS Live v0.1 до получения заключения о безопасности операционной системы.