Κάθε λίγες εβδομάδες, εμφανίζεται άλλη μια ιστορία που λέει πόσο μη ασφαλές είναι το Linux. Το πρόβλημα με τα περισσότερα από αυτά είναι ότι αποτελούν FUD και click bate τίτλοι με κούφια αρθρογραφία.

FUD = Fear, Uncertainty, Doubt = Φόβος, Αβεβαιότητα, Αμφιβολία

Δεν είναι λίγες οι φορές που με έχουν ρωτήσει σχετικά με το γιατί δεν γράφω νέα περί των διαφόρων vulnerabilities (ή «τρύπες ασφαλείας» ελληνιστή), ή για προβλήματα ασφαλείας στο Linux, που διαβάζουν παντού.

Ας το ξεκαθαρίσουμε από την αρχή για να πάμε στο ζουμί:

  1. Μέχρι να γράψω την ανακοίνωση – είδηση σχετικά με μια «νέα» τρύπα ασφαλείας στο Linux … θα έχει ήδη διορθωθεί με update το οποίο έχουν λάβει οι περισσότεροι.
  2. Στο 99% των περιπτώσεων που μου στέλνουν μια τέτοια είδηση, ψάχνω το θέμα και διαβάζω την γνώμη από όσους πράγματι παρακολουθούν τον τομέα «Linux Security». Με παραπομπές που έχουν π.χ. στα σχετικά CVE οι διανομή Linux που χρησιμοποιούν, βλέπει άμεσα κάποιος ότι σχεδόν πάντα, διορθώνεται άμεσα.
  3. Υπάρχουν όμως κάποια ζητήματα ασφαλείας 1% που είναι διαχρονικά και δεν διορθώνονται με εύκολο τρόπο. Βλέπε παράδειγμα : Ελέγξτε αν ο υπολογιστής σας είναι ευάλωτος στα Meltdown και Spectre εδώ αξίζει να αναφερθείς στο ζήτημα αλλά και να διαχωρίσεις στο πού έχει νόημα η «διόρθωση» του κενού ασφαλείας και πού ίσως να μην έχει όπως : Κάντε τον επεξεργαστή σας να τρέχει πάλι στο μέγιστο.
Advertisements

Είναι το Linux το πιο ασφαλές λειτουργικό σύστημα;

ΟΚ το Linux, ναι είναι ο πυρήνας, απλά ο κόσμος το θεωρεί λειτουργικό σύστημα όπως λέμε Windows οπότε και θεωρούν ότι είναι ένα συνολικό προϊόν… Ας πάμε με τα νερά τους για λίγο….

Όπως όλα τα λειτουργικά συστήματα, το Linux δεν είναι απόλυτα ασφαλές. Τίποτα δεν είναι. Διότι όσο και αν σας φαίνεται παράξενο:

Η ασφάλεια ΕΙΝΑΙ μια διαδικασία, ΌΧΙ ένα τελικό προϊόν.

πηγή: Bruce Schneier

Απλώς η φήμη της ασφάλειας στο Linux, το οποίο το έχει καταστήσει το defacto λειτουργικό σύστημα στους Server / Cloud Computing / IoT είναι λόγο κάποιων διαδικασιών που έχουν εφαρμοστεί στην αρχιτεκτονική του λειτουργικού συστήματος όπως είναι τα δικαιώματα αρχείων, δικαιώματα πρόσβασης και οι ασφάλεια των διεργασιών κλπ.

Παρόλα αυτά, ο κώδικας γράφεται από ανθρώπους και είναι λογικό να ανακαλύπτονται κενά ασφαλείας μετά από λίγο καιρό ή ακόμα και χρόνια αργότερα. Δυστυχώς όμως υπάρχουν «δημοσιογράφοι» και ιστοσελίδες ολόκληρες που βασίζονται και «ζουν από τα κλικ» τρομακτικών τίτλων περί κενών ασφαλείας στο Linux.

Οι κατηγορία που διασπείρει Fear

Είναι τόσο άσχετοι με την ασφάλεια, που καθώς δημοσιεύουν το άρθρο τους όλο χαρά και προσμονή, δεν ξέρουν καν ότι έχει ήδη διορθωθεί… διότι αν πράγματι χρησιμοποιούσαν Linux στο προσωπικό τους PC ή σε εταιρικό περιβάλλον με μια εταιρική έκδοση Linux και ως δημοσιογράφοι ή ως απλοί bloggers διασταύρωναν τις πηγές τους, πιθανόν να μην έγραφαν τίποτα. Αυτοί λοιπόν αρέσκονται να ζούνε από το «Fear» του FUD που διαδίδουν στους αναγνώστες τους…

Στην ίδια κατηγορία, θυμηθείτε με, θα αρχίσουν τα επόμενα χρόνια να εμφανίζονται άρθρα σχετικά με ιούς, trojan και άλλα ζουζούνια που κόλλησαν χρήστες του Linux. Από την άλλη θα εμφανίζονται όλο και περισσότερες εταιρείες Antivirus που θα εκμεταλλεύονται αυτό το «Fear» που εξαπλώνεται για να σας πουλήσουν άδειες χρήσης των antivirus τους.

Μην τα ξαναλέμε λοιπόν αφού τα έχουμε αναλύσει εκτενώς στο: Πόσο κινδυνεύουμε από “ιούς” στο Linux

Οι κατηγορία που διασπείρει Uncertainty

Από την άλλη υπάρχουν και οι παραπλανητικοί τύποι οι οποίοι προσαρμόζουν μια ιστορία σε τέτοιο βαθμό που ταιριάζει απόλυτα στην προσωπική τους πεποίθηση. Θυμηθείτε το άρθρο που είχαμε δημοσιεύσει :

Αν θυμάστε αφορούσε μια ανάλυση δεδομένων 20 ετών σχετικά με την ευπάθεια προϊόντων πληροφορικής η οποία «απεκάλυψε» ότι, σε αντίθεση με την ευρεία πεποίθηση, τα Windows είναι πιο ασφαλή από ότι π.χ. το Debian Linux…

Δυστυχώς αρκετοί απλά αναμετέδωσαν το ένα από το άλλο την είδηση χωρίς φιλτράρισμα ή διασταύρωση ενώ οι περισσότερες ιστοσελίδες αρκέστηκαν να επιλέξουν στοιχεία που «βολεύει» τον τίτλο της δημοσίευσής τους. Αυτοί αρέσκονται να ζούνε από το «Uncertainty» του FUD που διαδίδουν στους αναγνώστες τους…

Οι κατηγορία που διασπείρει Doubt

Αρκετές φορές, διαβάζοντας την πρώτη παράγραφο σε αυτές τις ιστοσελίδες καταλαβαίνει κανείς ότι δεν έχουν ιδέα από αυτό που γράφουν και απλά αναμεταδίδουν έτοιμο κείμενο. Για παράδειγμα, το πρόσφατο κενό ασφάλειας, ο Boothole CVE-2020-10713 ακούστηκε εντελώς τρομακτικό. Θα μπορούσατε να αποκτήσετε πρόσβαση root (διαχειριστή) σε οποιοδήποτε Linux σύστημα! Απίστευτο έτσι ;

Η ομάδα που το ανακάλυψε βγαίνει αμέσως και λέει ότι ένας εισβολέας χρειάζεται πρόσβαση με δικαιώματα root (διαχειριστή) για να εκμεταλλευτεί την ευπάθεια και να κάνει τη βρώμικη δουλειά του !.

Φίλοι/ες μου… εάν κάποιος μη εξουσιοδοτημένος έχει πρόσβαση root στο σύστημά σας, έχετε ήδη πραγματικό πρόβλημα. Δεν χρειάζεται ιδιαίτερη ευφυΐα για να καταλάβει κανείς ότι το να αποτρέψετε κάποιον από το να αποκτήσει δικαιώματα διαχειριστή, είναι πιο σημαντικό από το γεγονός του ότι «εάν κάποιος έχει δικαιώματα root …» που απαιτούσε το Boothole για να δουλέψει.

Θυμάστε τι είπα στην αρχή για το ότι το Linux δεν είναι τέλειο και ότι η ασφάλεια είναι διαδικασία και όχι ένα προϊόν; Εδώ είναι ένα παράδειγμα. Το αρχικό πρόβλημα του Boothole ήταν πραγματικό και επικίνδυνο για ένα ήδη παραβιασμένο σύστημα. Ωστόσο, αρκετές διανομές Linux, στην βιασύνη τους να διορθώσουν ένα πρόβλημα, δημιούργησαν νεότερο πρόβλημα με αποτέλεσμα τα συστήματά τους να μην bootαρουν (όπως έγινε στην περίπτωση της Red Hat) !. Μερικές φορές το να διορθώσεις κάτι βιαστικά μπορεί να επιδεινώσει τα πράγματα περισσότερο.

Σε μια άλλη πρόσφατη περίπτωση, το FBI και η NSA κυκλοφόρησαν μια ειδοποίηση ασφαλείας σχετικά με το ρωσικό κακόβουλο λογισμικό Drovorub. Αυτό το λογισμικό χρησιμοποιεί στην επίθεση του, μη υπογεγραμμένες ψηφιακά modules του πυρήνα Linux. Αλλά πόσα Linux σε εταιρικά περιβάλλοντα (στα οποία στοχεύει το Drovorub) κινδυνεύουν από αυτό; Μάλλον κανένα…

Διότι πολύ απλά, αν αυτοί που αναμετέδιδαν την είδηση είχαν έστω και ελάχιστη βασική γνώση περί του Linux, θα ξέρανε ότι αυτό το κακόβουλο λογισμικό μπορεί να λειτουργήσει μόνο σε διανομές Linux που εκτελούν τον πυρήνα Linux 3.6.x ή παλαιότερες. Μάντεψε ! Ο πυρήνας Linux 3.6 και οι παλιότερες του εκδόσεις, για τον οποίο έγραφα μερικά άρθρα, κυκλοφόρησε πριν από οκτώ χρόνια !. Ποιος δεν έχει «patch»αρει τον πυρήνα της διανομής του (π.χ. Red Hat 6 !) με τις τελευταίες ενημερώσεις ασφαλείας ;

Ας υποθέσουμε ότι εξακολουθείτε να χρησιμοποιείτε το Ubuntu 12.04 που δεν υποστηρίζεται πλέον, θεωρητικά είναι ευάλωτο… σωστά ; E.. και;. Όπως επισημαίνει η ομάδα ασφαλείας της Red Hat, «οι επιτιθέμενοι [πρέπει] να αποκτήσουν δικαιώματα root χρησιμοποιώντας άλλη ευπάθεια πριν από την επιτυχή εγκατάσταση του Drovorub

Για άλλη μια φορά λοιπόν για να παραβιαστεί το Linux – για να τσιμπίσει Drovorub το σύστημά σας έπρεπε ήδη να έχει τεθεί πλήρως σε κίνδυνο. Εάν ένας εισβολέας να έχει ήδη πρόσβαση root… τότε το Drovorub είναι το ελάχιστο που μπορείτε να πάθετε.

Υπάρχει πρόβλημα ασφάλειας εδώ; Ναι, υπάρχει αλλά δεν είναι τεχνικό. Στην τεχνική υποστήριξη το πρόβλημα αυτό ονομάζεται:

PEBKAC : Problem Exists Between Keyboard And Chair – Το πρόβλημα εντοπίζεται μεταξύ πληκτρολογίου και καρέκλας

Ναι… εάν έχετε έναν πλήρη ηλίθιο ως διαχειριστή συστήματος, έχετε πραγματικό πρόβλημα, αλλά δεν μπορείτε να κατηγορήσετε το Linux για αυτό, ούτε καν κάποιο άλλο λειτουργικό σύστημα.

Ας δούμε ένα άλλο παράδειγμα. Το Doki, ένα νέο trojan backdoor. Αυτή τη φορά, αν και περιγράφεται από πολλούς ως πρόβλημα στο Linux, πάλι δεν είναι. Μπορεί να επιτεθεί με επιτυχία σε συστήματα Linux μόνο όταν κάποιος ρυθμίσει τα Docker κοντέινερ να εκθέσουν το API της διεπαφής διαχείρισης ανέμελα στο Διαδίκτυο.

Αυτό φυσικά είναι εντελώς χαζό να το κάνει κάποιος. Το πιο χαζό της υπόθεσης είναι ότι για να προσβληθείτε από το Doki, δεν φτάνει μόνο το εκτεθειμένο API αλλά και ότι κάποιος μπούφος, πρέπει να ρυθμίσει το Firewall να ανοίξει το port 2375 στον έξω κόσμο.

Ακολουθεί ένα σβέλτο μάθημα για την ασφάλεια δικτύωσης του server με τον έξω κόσμο:

Κλείστε όλες τις port εκτός από αυτές που πρέπει να έχετε ανοιχτές. Μιας και το ρυθμίζετε πείτε στο Firewall σας να απορρίπτει όλες τις εισερχόμενες συνδέσεις που δεν ανταποκρίνονται σε εξερχόμενα αιτήματα. Εάν ο διαχειριστής σας δεν το έχει ήδη κάνει αυτό τότε έχετε ένα PEBCAK πρόβλημα…

πληροφορίες: Τα πρώτα 10 λεπτά σε έναν νέο Server: Βασικές ρυθμίσεις ασφαλείας

Τέλος, ας εξετάσουμε το περσινό πρόβλημα με την εντολή sudo. Αυτή η ευπάθεια ασφαλείας του sudo ήταν πραγματική και φυσικά από τότε έχει διορθωθεί, αλλά για να την εκμεταλλευτεί κάποιος απαιτεί, πάλι, μια περίπτωση PEBKAC για να λειτουργήσει. Σε αυτήν την περίπτωση, έπρεπε να διαμορφώσετε εσφαλμένα τη ρύθμιση ασφαλείας του sudo έτσι ώστε οποιοσδήποτε χρήστης θα μπορούσε θεωρητικά να εκτελέσει το sudo. Για άλλη μια φορά, εάν έχετε ήδη ένα τρύπιο λόγο PEBCAK σύστημα, τότε έχετε περισσότερα προβλήματα από την τρύπα ασφαλείας του SUDO.

Επίλογος σχετικά με την ασφάλεια στο Linux

Είτε χρησιμοποιείτε Windows Server, Linux, BSD, οτιδήποτε κι αν είναι στα κρίσιμα για εσάς συστήματα, εάν αποτύχετε εντελώς στις διαδικασίες ασφάλειας, δεν έχει σημασία πόσο «ασφαλές» είναι το λειτουργικό σας σύστημα.

Είναι σαν να αφήνετε τα κλειδιά του αυτοκινήτου σας σε ένα ξεκλείδωτο αυτοκίνητο και να διαβάζετε για κρούσματα κλοπών ηχοσυστημάτων αυτοκινήτου και να λέτε «τσ τσ τσ… πολύ τρύπια στην ασφάλεια αυτά τα Χ μάρκας αυτοκίνητα !»…

Παραπομπές: