Protams, mēs varam tā teikt Linux vairāk droši(aizsargāts) nekā Windows. Drošība V Linux iebūvēts, nevis pieskrūvēts kaut kur sānos, kā tas ir ieviests sistēmā Windows. Drošība sistēmas Linux aptver apgabalu no kodola līdz darbvirsmai, taču pastāv iespēja, ka hakeri sabojās jūsu mājas direktoriju (/home).

Jūsu fotoattēlu, mājas video, dokumentu un kredītkaršu vai maka datu baiti ir visvērtīgākā informācija, kas atrodas datorā. Protams, Linux nav uzņēmīgs pret visa veida interneta tārpiem un vīrusiem operētājsistēmai Windows. Taču uzbrucēji var atrast veidu, kā piekļūt jūsu datiem jūsu mājas direktorijā.

Sagatavojot savu veco datoru vai HDD formatēšana pirms pārdošanas, vai tavuprāt pietiks? Ir daudz modernu datu atkopšanas rīku. Hakeris var viegli atgūt jūsu datus no cietais disks, neatkarīgi no OS, kurā strādājāt.

Par šo tēmu atceros viena uzņēmuma pieredzi lietotu datoru un disku atpirkšanā. Savas darbības laikā viņi pasludināja spriedumu, ka 90% no iepriekšējiem sava datora īpašniekiem nav pienācīgi parūpējušies par datu nesēja tīrīšanu pirms tā pārdošanas. Un viņi ieguva ļoti jutīgus datu baitus. Ir biedējoši pat iedomāties, ka kaut kur jūsu cietā diska nodalījumos atradīsies informācija, lai pieteiktos jūsu internetbankā vai tiešsaistes makā.

Sāciet ar Linux drošības pamatiem

Pāriesim pie pamatiem (), kas būs piemērots gandrīz jebkuram
Linux izplatījumi.

Šifrēsim failu sistēmu Linux, lai nodrošinātu pilnīgāku Linux drošību

Pielāgotas paroles neatrisinās problēmu, ja vien tiešām nevēlaties, lai neviens nevarētu lasīt jūsu mājas direktoriju (/home) vai noteiktu baita lielumu. To var izdarīt tā, ka pat lietotājs ar visaugstākajām root tiesībām nevarēs iebāzt degunu.

Izdzēsiet sensitīvos failus, lai neviens cits tos nevarētu atgūt

Ja nolemjat pārdot vai atdot savu datoru vai datu nesēju, nedomājiet, ka, vienkārši formatējot to, faili tiks neatgriezeniski izdzēsti. Savā Linux sistēmā varat instalēt drošās dzēšanas rīku, kas ietver srm utilītu drošai failu dzēšanai.

Tāpat neaizmirstiet par ugunsmūri Linux kodolā. Iekļauts visā Linux izplatījumi ietver lptables, kas ir daļa no kodola. Lptables ļauj filtrēt tīkla paketes. Protams, jūs varat konfigurēt šo utilītu terminālī. Taču šī metode ir ārpus daudziem, tostarp man, iespējām. Tāpēc es to instalēju un konfigurēju tikpat viegli, it kā spēlētu spēli.

Tāpat kā visas operētājsistēmas, arī Linux, palaižot dažādas lietojumprogrammas, var uzkrāties visa veida nevēlamais saturs. Un tā nav Linux vaina, jo dažādas lietojumprogrammas, piemēram, pārlūkprogrammas, teksta redaktori un pat video atskaņotāji, nedarbojas kodola līmenī un uzkrāj pagaidu failus. Universālai atkritumu izvešanai varat instalēt utilītu BleachBit.

Anonīma sērfošana, jūsu IP slēpšana - ļoti svarīgi jūsu identitātes drošībai operētājsistēmā Linux

Nobeigumā es vēlos jums pastāstīt par anonīmu sērfošanu tīmeklī. Dažreiz gadās, ka tas ir nepieciešams, kā es to daru, kad slepeni no sievas apmeklēju vietnes ar erotisku saturu. Protams, es jokoju.

Uzbrucējiem būs grūti ar jums sazināties, ja viņi nevarēs noteikt jūsu atrašanās vietu. Mēs aptveram savus ceļus ar vienkāršu divu utilītu, kas darbojas kopā, iestatīšanu, ko sauc par privoxy un tor.

Manuprāt, visu šo noteikumu ievērošana un konfigurēšana nodrošinās jums un jūsu datora drošību par 90%.

P.S. Es izmantoju mākoni, ko sauc par dropbox. Tajā glabāju savus vecos un jaunos, vēl nepublicētos rakstus. Ir ērti piekļūt saviem failiem no jebkuras vietas pasaulē un jebkurā datorā. Rakstot rakstus vietnei in teksta redaktors, es saglabāju savējo teksta dokumenti ar paroli un tikai pēc tam augšupielādēju dropbox serverī. Nekad nevajadzētu atstāt novārtā papildu drošību, kas būs tikai jūsu rokās.

Sveiki visiem... Visiem iesācēju administratoriem zem Ubuntu ir uzdevums iestatīt tīkla saskarnes (tīkls, tīkla kartes) Šajā rakstā es jums parādīšu, kā to izdarīt... Tas tiek darīts ļoti vienkārši...

Ja jūs kaut kā nokavējāt tīkla iestatīšanu vai saskatījāt grūtības ar izplatīšanas instalēšanu, tad tagad mēs to darīsim manuāli. Un tātad mums ir uzstādīts izplatījums un gaida mūs uzbrukumā... Mums jākonfigurē 2 tīkla kartes..... Viens no mums ir vērsts pret pakalpojumu sniedzēju, bet otrs ar seju lokālais tīkls. Tūlīt vienosimies un norādīsim mūsu saskarnes un adreses.

eth0— 192.168.0.1 (pieņemsim, ka šī ir pakalpojumu sniedzēja izsniegtā adrese) Interfeiss, kas aplūko internetu (nodrošinātājs)
eth1— 10.0.0.1 (adrese, kuru mēs vēlamies piešķirt šim interfeisam) Interfeiss, kas vērsts pret vietējo tīklu

Vispirms pārbaudīsim, kuras saskarnes mēs jau esam palaiduši ar komandu ifconfig Jūs redzēsit kaut ko līdzīgu šim (tikai ar jūsu datiem, nevis xxxxx)

Eth0 saites encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet adr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Maska:255.255.255.2xxx:5et. :xxx:xxxx/64 Darbības joma: Saite UP APRAIDE, DARBOJAS MULTICAST MTU:1500 Metrika:1 RX paketes:31694097 kļūdas:0 atmestas:0 pārtēriņi:0 kadrs:0 TX paketes:15166512 kļūdas:0 pārvadītas:0 0 sadursmes:0 txqueuelen:100 RX baiti:2215593127 (2,2 GB) TX baiti:1577680249 (1,5 GB) Atmiņa:b8820000-b8840000 eth1 Saites encap:Ethernet Hxxxxdrxx:x:xxxxxet 0.1 Bcast: 10.0.0.255 Maska: 255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxx/64 Darbības joma: Saite UP APRAIDE, DARBOJAS MULTICAST MTU: 1500 metrika:1:1 RX pakete 0:1:1 pakāpe 2:0:1 :0 rāmis: 0 TX paketes: 21539638 kļūdas: 0 atmests: 0 pārtēriņi: 0 nesējs: 0 sadursmes: 0 txqueuelen: 100 RX baiti: 1262641422 (1,2 GB) TX baiti: 1922838889 (1,9 GB) atmiņa: lo2800088 GB encap:Local loopback inet adrs:127.0.0.1 Maska:255.0.0.0 inet6 adrs: ::1/128 Darbības joma:Host UP LOOPBACK RONNING MTU:16436 Metric:1 RX packets:3823 errors:0:0 overrun 0 TX paketes: 3823 kļūdas: 0 atmestas: 0 pārtēriņi: 0 nesējs: 0 sadursmes: 0 txqueuelen: 0 RX baiti: 717663 (717,6 KB) TX baiti: 717663 (717,6 KB)

Ja viena no saskarnēm netiek parādīta, tas ir labi. Tas ir vienkārši atspējots, ieslēdzam to ar komandu sudo ifconfig eth1 up(eth1 vietā ierakstiet savu interfeisu, ja jums ir 2 tīkla kartes, tad ir tikai 2 saskarnes: eth0 un eth1) Un tāpēc mēs iespējojam savu interfeisu:

sudo ifconfig eth1 up

Un tāpēc sāksim iestatīšanu.

Piešķirsim eth0 interfeisam pakalpojumu sniedzēja izsniegto IP adresi ar šādu komandu:

sudo ifconfig eth1 inet 192.168.0.2

Un norādiet tīkla masku:

sudo ifconfig eth0 tīkla maska ​​255.255.255.0

Šādi veiktie iestatījumi tiek atiestatīti pēc servera pārstartēšanas.
Lai tas nenotiktu, jums ir jāmaina iestatījumi konfigurācijas fails tīkla saskarnes. Šim nolūkam ir nepieciešamas saknes tiesības. Iegūsim tiesības Sakne ar šādu komandu:

sudo su

Tīkla saskarņu konfigurācijas fails atrodas vietnē /etc/network/interfaces Lai to rediģētu, mēs izmantojam Nano redaktoru (varat izmantot savu redaktoru) Man tas patīk Nano

nano /etc/network/interfaces

Mēs redzam sekojošo:

# Šis fails apraksta jūsu sistēmā pieejamās tīkla saskarnes # un kā tos aktivizēt. Lai iegūtu papildinformāciju, skatiet saskarnes (5). # Atgriezeniskā tīkla saskarne auto lo iface lo inet loopback # Primārais tīkla interfeiss//Primārais tīkla interfeiss auto eth0//Šo atribūtu piešķiršana tīkla interfeisam iface eth0 inet statisks//Automātiski iespējot tīkla interfeisu adrese 192.168.0.2// mūsu tīkla kartes IP adrese (izsniedz pakalpojumu sniedzējs) tīkla maska ​​255.255.255.0//Tīkla maska, kurā atrodas mūsu IP tīkls 192.168.0.0//Visa diapazona tīkls raidījums 192.168.0.255//Maks. adrešu skaits vārteja 192.168.0.1//Vārteja # dns-* opcijas ir ieviestas ar pakotni resolvconf, ja tā ir instalēta

Ir nepieciešams to samazināt līdz šādai formai

# Šajā failā ir aprakstītas jūsu sistēmā pieejamās tīkla saskarnes # un to aktivizēšana. Lai iegūtu papildinformāciju, skatiet saskarnes (5). # Atpakaļcilpas tīkla interfeiss auto lo iface lo inet loopback # Primārā tīkla saskarne auto eth0 iface eth0 inet statiskā adrese 192.168.0.2 tīkla maska ​​255.255.255.0 tīkls 192.168.0.0 vārteja 192.168.0.0 pakotne 192.168.0.0, resol pakotne 192.168.0.1. ja ir instalēti dns-nameservers 192.168.22.22 192.168.33.33 #Interfeiss, kas aplūko lokālo tīklu auto eth1 iface eth1 inet statisks adrese 10.0.0.1 tīkla maska ​​255.255.255.0

Saglabājiet izmaiņas, noklikšķinot uz Ctrl taustiņi+ O un izejiet, nospiežot Ctrl + X

DNS servera adreses var iestatīt failā /etc/network/interfaces, bet DNS servera adreses Ubuntu tiek pārvaldītas, izmantojot /etc/resolv.conf failu; man tas izskatās šādi:

vārdu serveris xx.xx.xx.xx vārdu serveris xx.xx.xx.xx

Konfigurēsim DNS; lai to izdarītu, rindā ievadiet šādu komandu:

Sudo nano /etc/resolv.conf # Jūsu pakalpojumu sniedzēja DNS serveru nosaukumu servera хх.ххх.ххх.ххх nosaukumu servera ххх.ххх.хх.ххх IP adreses

Ietaupīsim Ctrl+O un mēs ejam ārā Ctrl+x jums arī jārestartē tīkls ar šādu komandu.

Mēs visi zinām, ka operāciju zāle Linux sistēma daudz drošāka nekā Windows pateicoties tās arhitektūrai un īpašai sistēmai piekļuves sadalei starp lietotājiem. Bet arī programmētāji ir cilvēki, lai kā mums tas patiktu, viņi arī kļūdās. Un šo kļūdu dēļ sistēmā parādās caurumi, caur kuriem uzbrucēji var apiet drošības sistēmas.

Šīs kļūdas sauc par ievainojamībām, un tās var rasties dažādas programmas un pat pašā sistēmas kodolā, graujot tās drošību. Aiz muguras pēdējie gadi Linux popularitāte ir sākusi augt, un drošības pētnieki pievērš šai sistēmai lielāku uzmanību. Arvien vairāk ievainojamību tiek atklātas, un, pateicoties atvērtā pirmkoda kodam, tās var ļoti ātri novērst. Šajā rakstā mēs apskatīsim visbīstamākās Linux ievainojamības, kas atklātas dažu pēdējo gadu laikā.

Pirms pāriet uz ievainojamību sarakstu, ir svarīgi saprast, kas tās ir un kas tās ir. Kā jau teicu, ievainojamība ir programmas kļūda, kas ļauj lietotājam izmantot programmu tā, kā to nav paredzējis tās izstrādātājs.

Tas var būt saņemto datu pareizības, datu avota un, kas interesantākais, datu apjoma pārbaudes trūkums. Visbīstamākās ievainojamības ir tās, kas ļauj izpildīt patvaļīgu kodu. IN brīvpiekļuves atmiņa visiem datiem ir noteikts izmērs un programma ir paredzēta, lai atmiņā ierakstītu noteikta izmēra datus no lietotāja. Ja lietotājs nodod vairāk datu, tam vajadzētu parādīt kļūdu.

Bet, ja programmētājs kļūdīsies, dati pārrakstīs programmas kodu un procesors mēģinās to izpildīt, tādējādi radot bufera pārpildes ievainojamības.

Tāpat visas ievainojamības var iedalīt lokālajās, kas darbojas tikai tad, ja hakeram ir piekļuve lokālais dators un attālināti, ja pietiek ar piekļuvi, izmantojot internetu. Tagad pāriesim pie ievainojamību saraksta.

1.Netīra Govs

Pirmā mūsu sarakstā būs jauna ievainojamība, kas tika atklāta šoruden. Nosaukums Dirty COW nozīmē Copy on Write. Kopēšanas un rakstīšanas laikā failu sistēmā rodas kļūda. Šī ir lokāla ievainojamība, kas ļauj jebkuram nepiederīgam lietotājam iegūt pilnu piekļuvi sistēmai.

Īsāk sakot, lai izmantotu ievainojamību, ir nepieciešami divi faili, viens ir rakstāms tikai superlietotāja vārdā, otrs mums. Mēs sākam rakstīt datus savā failā daudzas reizes un nolasīt no superlietotāja faila noteikts laiks pienāks brīdis, kad abu failu buferi tiks sajaukti un lietotājs varēs ierakstīt failā datus, kurus viņš nevar ierakstīt, tādējādi piešķirot sev root tiesības sistēmā.

Ievainojamība kodolā atradās apmēram 10 gadus, taču pēc atklāšanas tā tika ātri novērsta, lai gan joprojām ir miljoniem Andoid ierīču, kurās kodols nav atjaunināts un nedomā, un kur šo ievainojamību var izmantot. Ievainojamības kods bija CVE-2016-5195.

2. Glibc ievainojamība

Ievainojamības kods bija CVE-2015-7547. Šī ir bijusi viena no visvairāk apspriestajām ievainojamībām atvērtā pirmkoda projektu vidū. 2016. gada februārī tika atklāts, ka Glibc bibliotēkai ir ļoti nopietna ievainojamība, kas ļauj uzbrucējam izpildīt savu kodu attālā sistēmā.

Ir svarīgi atzīmēt, ka Glibc ir standarta C un C++ bibliotēkas ieviešana, kas tiek izmantota lielākajā daļā Linux programmas, ieskaitot pakalpojumus un programmēšanas valodas, piemēram, PHP, Python, Perl.

DNS servera atbildes parsēšanas kodā radās kļūda. Tādējādi ievainojamību var izmantot hakeri, kuru DNS piekļuva ievainojamās mašīnas, kā arī tie, kas veic MITM uzbrukumu. Bet ievainojamība nodrošināja pilnīgu kontroli pār sistēmu

Ievainojamība bibliotēkā bija jau kopš 2008. gada, taču pēc atklāšanas ielāpi tika izlaisti diezgan ātri.

3. Sirds asiņošana

2014. gadā tika atklāta viena no nopietnākajām ievainojamībām mēroga un seku ziņā. To izraisīja kļūda OpenSSL programmas heartdead modulī, tāpēc arī nosaukums Heartbleed. Ievainojamība ļāva uzbrucējiem iegūt tiešu piekļuvi 64 kilobaitiem servera RAM; uzbrukumu varēja atkārtot, līdz tika nolasīta visa atmiņa.

Lai gan labojums tika izlaists ļoti ātri, tika ietekmētas daudzas vietnes un lietojumprogrammas. Faktiski visas vietnes, kurās trafika nodrošināšanai izmantoja HTTPS, bija neaizsargātas. Uzbrucēji varēja iegūt lietotāju paroles, viņu personas datus un visu, kas uzbrukuma brīdī bija atmiņā. Ievainojamības kods bija CVE-2014-0160.

4.Skatuves bailes

Ja ievainojamība ir saņēmusi koda nosaukumu, tas nepārprotami nozīmē, ka tai ir jāpievērš uzmanība. Stagerfight ievainojamība nav izņēmums. Tiesa, tā īsti nav Linux problēma. Stagefright ir bibliotēka multivides formātu apstrādei operētājsistēmā Android.

Tas ir ieviests C++, kas nozīmē, ka tas apiet visus Java drošības mehānismus. 2015. gadā tika atklāta vesela ievainojamību grupa, kas ļāva sistēmā attālināti izpildīt patvaļīgu kodu. Šeit tie ir: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 un CVE-2015-3829.

Uzbrucējam bija tikai jānosūta MMS uz ievainojamu viedtālruni ar īpaši pārveidotu multivides failu, un viņš iegūs pilnu kontroli pār ierīci ar iespēju rakstīt un nolasīt datus no atmiņas kartes. Ievainojamību novērsa Android izstrādātāji, taču miljoniem ierīču joprojām ir neaizsargātas.

5. Kodola nulles dienas ievainojamība

Šī ir vietēja ievainojamība, kas ļauj palielināt privilēģijas. pašreizējais lietotājs sakņot sistēmas kļūdas dēļ darbā ar atmiņā saglabātajiem kodola kriptogrāfiskajiem datiem. Tā tika atklāta 2016. gada februārī un aptvēra visus kodolus, sākot no 3.8, kas nozīmē, ka ievainojamība pastāvēja 4 gadus.

Kļūdu var izmantot hakeri vai ļaunprātīgi programmatūra palielināt savu autoritāti sistēmā, taču tas tika ļoti ātri izlabots.

6. MySQL ievainojamība

Šī ievainojamība saņēma kodu CVE-2016-6662 un skāra visus pieejamās versijas datu bāzu serveri MySQL dati(5.7.15, 5.6.33 un 5.5.52), Oracle datu bāzes un MariaDB un PerconaDB kloni.

Uzbrucēji varētu iegūt pilnīgu piekļuvi sistēmai, izmantojot SQL vaicājums tika pārsūtīts kods, kas ļāva aizstāt my.conf ar savu versiju un restartēt serveri. Bija iespējams arī izpildīt ļaunprātīgu kodu ar superlietotāja tiesībām.

MariaDB un PerconaDB risinājumi diezgan ātri izlaida ielāpus, Oracle atbildēja, bet daudz vēlāk.

7. Shellshock

Šī ievainojamība tika atklāta 2014. gadā, pirms tā ilga 22 gadus. Tam tika piešķirts CVE-2014-6271 un ar koda nosaukumu Shellshock. Šī ievainojamība ir salīdzināma ar briesmām Heartbleed, ko mēs jau zinām. To izraisa kļūda Bash komandu tulkā, kas ir noklusējuma komandu tulks lielākajā daļā Linux izplatījumu.

Bash ļauj deklarēt vides mainīgie bez lietotāja autentifikācijas, bet kopā jūs varat izpildīt jebkuru komandu tajās. Tas ir īpaši bīstami CGI skriptos, kurus atbalsta lielākā daļa vietņu. Ne tikai serveri ir neaizsargāti, bet arī personālajiem datoriem lietotājiem, maršrutētājiem un citām ierīcēm. Faktiski uzbrucējs var izpildīt jebkuru komandu attālināti; tā ir pilnvērtīga tālvadības pults bez autentifikācijas.

Tika ietekmētas visas Bash versijas, tostarp 4.3, lai gan pēc problēmas atklāšanas izstrādātāji ātri izlaida labojumu.

8. Kvadrātnieks

Šī ir vesela virkne Android ievainojamību, kas tika atklāta 2016. gada augustā. Tās saņēma kodus CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Kļūda ir skārusi vairāk nekā 900 miljonus Android ierīces. Visas ievainojamības tika atrastas Qualcomm ARM procesora draiverī, un tās visas var izmantot, lai iesakņoties piekļuvi ierīcei.

Tāpat kā DirtyCOW, jums šeit nav nepieciešamas nekādas atļaujas, vienkārši instalējiet ļaunprātīgu lietojumprogrammu, un tā varēs iegūt visus jūsu datus un pārsūtīt tos uzbrucējam.

9. OpenJDK ievainojamība

Šī ir ļoti nopietna Linux 2016 ievainojamība OpenJDK Java mašīnā ar kodu CVE-2016-0636, un tā ietekmē visus lietotājus, kuri izmanto Oracle Java SE 7 Update 97 un 8 Update 73 un 74 operētājsistēmai Windows, Solaris, Linux un Mac OS X. ievainojamība ļauj uzbrucējam izpildīt patvaļīgu kodu ārpus Java mašīnas, ja pārlūkprogrammā atverat īpašu lapu ar neaizsargātu Java versiju.

Tas ļāva uzbrucējam piekļūt jūsu parolēm, personas datiem un arī palaist programmas jūsu datorā. Visā Java versijas Kļūda tika izlabota ļoti ātri, tā pastāv kopš 2013. gada.

10. HTTP/2 protokola ievainojamība

Šī ir vesela virkne ievainojamību, kas tika atklātas 2016. gadā HTTP/2 protokolā. Viņi saņēma kodus CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Visas šī protokola ieviešanas pakalpojumā Apache, Nginx Microsoft, Jetty un nghttp2 bija neaizsargātas.

Visi no tiem ļauj uzbrucējam ievērojami palēnināt tīmekļa servera darbību un veikt pakalpojuma atteikuma uzbrukumu. Piemēram, viena no kļūdām radīja iespēju nosūtīt nelielu ziņojumu, kas serverī tika izpakots gigabaitos. Kļūda tika novērsta ļoti ātri, un tāpēc sabiedrībā tas neradīja lielu troksni.

Vai esat drošībā?

Šajā rakstā mēs apskatījām visbīstamākās Linux ievainojamības 2016., 2015. un 2014. gadā. Vairums no tiem var radīt nopietnu kaitējumu sistēmām, ja tie netiek savlaicīgi novērsti. Pateicoties atvērtā pirmkoda kodam, šādas Linux ievainojamības tiek efektīvi atklātas un ātri novērstas. Vienkārši neaizmirstiet atjaunināt sistēmu. Problēma paliek tikai ar Android. Dažas ierīces vairs nesaņem atjauninājumus, un šai problēmai vēl nav risinājuma.

Pastāv izplatīts nepareizs uzskats, ka serveri, kuros darbojas operētājsistēma Linux, ir visdrošākie un aizsargātākie pret ārējiem ielaušanās gadījumiem. Diemžēl tas tā nav, jebkura servera drošība ir atkarīga no vairākiem faktoriem un pasākumiem, kas to nodrošina, un praktiski nav atkarīga no izmantotās operētājsistēmas.

Mēs nolēmām sākt rakstu sēriju, kas veltīta tīkla drošībai ar Ubuntu Server, jo šīs platformas risinājumi ļoti interesē mūsu lasītājus un daudzi uzskata, ka Linux risinājumi paši par sevi ir droši.

Tajā pašā laikā maršrutētājs ar īpašu IP adresi ir “vārti” uz lokālo tīklu, un tikai no administratora būs atkarīgs, vai šie vārti būs uzticama barjera vai izrādīsies valsts vārti, kas slēgti ar nagu.

Vēl viens izplatīts nepareizs priekšstats ir spriešana šādā stilā: "kam tas vajadzīgs, mūsu serverim, mums nav nekā interesanta." Patiešām, jūsu vietējais tīkls var neinteresēt uzbrucējus, taču viņi var izmantot uzlauztu serveri, lai nosūtītu surogātpastu, uzbrukumus citiem serveriem, anonīmu starpniekserveri, īsi sakot, kā sākumpunktu saviem šaubīgajiem darījumiem.

Un tas jau ir nepatīkami un var kalpot par dažādu problēmu avotu: no pakalpojumu sniedzēja līdz tiesībaizsardzības iestādēm. Un par vīrusu izplatību, zādzībām un iznīcināšanu svarīga informācija Tāpat nevajadzētu aizmirst, kā arī to, ka uzņēmuma dīkstāve rada diezgan jūtamus zaudējumus.

Neskatoties uz to, ka raksts ir veltīts Ubuntu serverim, vispirms apskatīsim vispārīgus drošības jautājumus, kas vienādi attiecas uz jebkuru platformu un ir pamati, bez kuriem nav jēgas apspriest šo jautājumu sīkāk.

Kur sākas drošība?

Nē, drošība nesākas ar ugunsmūri, tā vispār nesākas ar ugunsmūri. tehniskajiem līdzekļiem, drošība sākas ar lietotāju. Galu galā, kāda gan jēga no stilīgākajām metāla durvīm, kuras uzstādījuši labākie speciālisti, ja saimnieks atslēgu atstāj zem paklāja?

Tāpēc pirmā lieta, kas jums jādara, ir veikt drošības auditu. Nebaidieties no šī vārda, viss nav tik sarežģīti: uzzīmējiet shematisku tīkla plānu, kurā atzīmējiet drošo zonu, potenciāli bīstamo zonu un paaugstinātas bīstamības zonu, kā arī izveidojiet sarakstu ar lietotājiem, kuriem ir (vajadzētu būt) piekļuvi) šīm zonām.

Drošajā zonā jāiekļauj iekšējie resursi tīkliem, kas nav pieejami no ārpuses un kuriem ir pieņemams zems drošības līmenis. Tās varētu būt darbstacijas, failu serveri utt. ierīces, kurām piekļuve ir ierobežota ar uzņēmuma lokālo tīklu.

Potenciāli bīstamajā zonā ietilpst serveri un ierīces, kurām nav tiešas piekļuves ārējam tīklam, bet kuru atsevišķie pakalpojumi ir pieejami no ārpuses, piemēram, tīmekļa un pasta serveri, kas atrodas aiz ugunsmūra, bet joprojām apkalpo pieprasījumus no ārējā tīkla.

Bīstamajā zonā jāiekļauj ierīces, kas ir tieši pieejamas no ārpuses; ideālā gadījumā tam vajadzētu būt vienam maršrutētājam.

Ja iespējams, potenciāli bīstamā zona ir jānovieto atsevišķā apakštīklā - demilitarizētajā zonā (DMZ), kas ir atdalīta no galvenā tīkla ar papildu ugunsmūri.

LAN ierīcēm jābūt piekļuvei tikai tiem DMZ pakalpojumiem, kas tām nepieciešami, piemēram, SMTP, POP3, HTTP, un citi savienojumi ir jābloķē. Tas ļaus jums droši izolēt uzbrucēju vai ļaunprātīgu programmatūru, kas demilitarizētā zonā izmantoja atsevišķa pakalpojuma ievainojamību, liedzot tiem piekļuvi galvenajam tīklam.

Fiziski DMZ var organizēt, instalējot atsevišķu servera/aparatūras ugunsmūri vai pievienojot papildu tīkla karte maršrutētājā, bet pēdējā gadījumā jums būs jāpievērš īpaša uzmanība maršrutētāja drošībai. Bet jebkurā gadījumā ir daudz vieglāk nodrošināt viena servera drošību nekā serveru grupas.

Nākamais solis būtu analizēt lietotāju sarakstu, vai viņiem visiem ir nepieciešama piekļuve DMZ un maršrutētājam (izņemot sabiedriskos pakalpojumus), īpaša uzmanība jāpievērš lietotājiem, kuri pieslēdzas no ārpuses.

Parasti tas prasa ļoti nepopulāru paroles politikas ieviešanu. Visām parolēm lietotājiem, kuriem ir piekļuve kritiskiem pakalpojumiem un ir iespēja izveidot savienojumu no ārpuses, jāsatur vismaz 6 rakstzīmes un jāietver, izņemot mazie burti, rakstzīmes no divām kategorijām no trim: lielie burti, cipari, rakstzīmes, kas nav alfabēta.

Turklāt parole nedrīkst ietvert lietotāja pieteikumvārdu vai tā daļu, tajā nedrīkst būt datumi vai vārdi, kurus var saistīt ar lietotāju, un, vēlams, tā nedrīkst būt vārdnīcas vārds.

Ir ieteicams sākt mainīt paroles ik pēc 30–40 dienām. Skaidrs, ka šāda politika var izraisīt noraidījumu no lietotāju puses, taču vienmēr jāatceras, ka paroles patīk 123 vai qwerty līdzvērtīgs atslēgas atstāšanai zem paklāja.

Servera drošība – nekas papildus.

Tagad, kad ir priekšstats par to, ko mēs vēlamies aizsargāt un no kā, pāriesim pie paša servera. Izveidojiet sarakstu ar visiem pakalpojumiem un pakalpojumiem, pēc tam padomājiet, vai tie visi ir nepieciešami šajā konkrētajā serverī, vai tos var pārvietot uz citu vietu.

Jo mazāk pakalpojumu, jo vieglāk nodrošināt drošību un mazāka iespēja, ka serveris var tikt apdraudēts kāda no tiem kritiskas ievainojamības dēļ.

Konfigurējiet pakalpojumus, kas apkalpo vietējo tīklu (piemēram, kalmārus), lai tie pieņemtu pieprasījumus tikai no vietējās saskarnes. Jo mazāk pakalpojumu ir pieejami ārēji, jo labāk.

Ievainojamības skeneris būs labs palīgs drošības nodrošināšanā, tas jāizmanto servera ārējās saskarnes skenēšanai. Mēs izmantojām demo versiju vienam no slavenākajiem produktiem - XSpider 7.7.

Skeneris parāda atvērtās ostas, mēģina noteikt pakalpojuma veidu un, ja tas izdodas, tā ievainojamību. Kā redzat, pareizi konfigurēta sistēma ir diezgan droša, taču nevajadzētu atstāt atslēgu zem paklāja, atvērtu portu 1723 (VPN) un 3389 (RDP) klātbūtne, pārsūtīta uz termināļa serveris) ir labs iemesls pārdomāt savu paroļu politiku.

Jārunā arī par SSH drošību; šo pakalpojumu parasti izmanto administratori tālvadība serveri, un tas interesē uzbrucējus. SSH iestatījumi tiek saglabāti failā /etc/ssh/sshd_config, tajā tiek veiktas visas tālāk aprakstītās izmaiņas. Pirmkārt, jums vajadzētu atspējot autorizāciju zem root lietotāja; lai to izdarītu, pievienojiet opciju:

PermitRootLogin Nr

Tagad uzbrucējam būs jāuzmin ne tikai parole, bet arī pieteikšanās, un viņš joprojām nezinās superlietotāja paroli (ceram, ka tā neatbilst jūsu parolei). Visi administratīvie uzdevumi, pieslēdzoties no ārpuses, jāveic no apakšas sudo piesakoties kā nepievilcīgs lietotājs.

Ir vērts skaidri norādīt atļauto lietotāju sarakstu, un jūs varat izmantot tādus ierakstus kā lietotājs@host, kas ļauj norādītajam lietotājam izveidot savienojumu tikai no norādītā resursdatora. Piemēram, lai ļautu lietotājam Ivanov izveidot savienojumu no mājām (IP 1.2.3.4), jums jāpievieno šāds ieraksts:

AllowUser [aizsargāts ar e-pastu]

Atspējojiet arī novecojušā un mazāk drošā SSH1 protokola izmantošanu, atļaujot tikai protokola otro versiju, lai to izdarītu, nomainiet šo rindiņu uz formu:

2. protokols

Neskatoties uz visiem veiktajiem pasākumiem, joprojām tiks mēģināts izveidot savienojumu ar SSH un citiem publiskajiem pakalpojumiem; lai novērstu paroles uzminēšanu, izmantojiet utilītu fail2ban, kas ļauj automātiski aizliegt lietotāju pēc vairākiem neveiksmīgiem pieteikšanās mēģinājumiem. To var instalēt ar komandu:

Sudo apt-get install fail2ban

Šī utilīta ir gatava darbam uzreiz pēc instalēšanas, tomēr mēs iesakām nekavējoties mainīt dažus parametrus, lai to izdarītu, veikt izmaiņas failā /etc/fail2ban/jail.conf. Pēc noklusējuma tiek kontrolēta tikai piekļuve SSH un aizlieguma laiks ir 10 minūtes (600 sekundes), mūsuprāt, ir vērts to palielināt, mainot šādu opciju:

Bantime = 6000

Pēc tam ritiniet failu un iespējojiet sadaļas pakalpojumiem, kas darbojas jūsu sistēmā, iestatot parametru aiz atbilstošās sadaļas nosaukuma iespējots stāvoklī taisnība, piemēram, pakalpojumam proftpd tas izskatīsies šādi:

iespējots = patiess

Cits svarīgs parametrs maksretrija, kas ir atbildīgs par maksimālo savienojuma mēģinājumu skaitu. Pēc iestatījumu maiņas neaizmirstiet restartēt pakalpojumu:

Sudo /etc/init.d/fail2ban restart

Jūs varat redzēt lietderības žurnālu vietnē /var/log/fail2ban.log.

Kā vēsta vietne cvedetails.com, kopš 1999. gada Linux kodolā ir konstatētas 1305 ievainojamības, no kurām 68 tika konstatētas 2015. gadā. Lielākā daļa no tiem nerada īpašas problēmas, tie ir atzīmēti kā Local un Low, un dažus var izsaukt tikai tad, ja tie ir saistīti ar noteiktām lietojumprogrammām vai OS iestatījumiem. Principā skaitļi ir mazi, bet kodols nav visa OS. Ievainojamības ir atrodamas arī GNU Coreutils, Binutils, glibs un, protams, lietotāju lietojumprogrammās. Apskatīsim interesantākos.

LINUX KODUĻA IEVAJABĪBAS

OS: Linux
Līmenis: Vidēja, zema
Vektors: Tālvadības pults
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Izmantot: koncepcija, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Ievainojamība, kas jūnijā tika atklāta Linux kodolā pirms versijas 3.19.3 funkcijā __driver_rfc4106_decrypt failā arch/x86/crypto/aesni-intel_glue.c, ir saistīta ar RFC4106 ieviešanu x86 procesoriem, kas atbalsta AES instrukciju kopas paplašinājumu AES-NI (ierosināts). Intel, Intel Advanced Encryption Standard Instructions) dažos gadījumos neaprēķina pareizi bufera adreses. Ja IPsec tunelis ir konfigurēts, lai izmantotu šo režīmu (AES algoritms — CONFIG_CRYPTO_AES_NI_INTEL), ievainojamība var izraisīt atmiņas bojājumus, avārijas un, iespējams, attālu CryptoAPI koda izpildi. Turklāt interesantākais ir tas, ka problēma var rasties pati par sevi, pilnīgi legālā satiksmē, bez ārējas iejaukšanās. Publicēšanas brīdī problēma ir atrisināta.

Linux 4.0.5 ozwpan draiverī, kuram ir eksperimentāls statuss, ir identificētas piecas ievainojamības, no kurām četras ļauj organizēt DoS uzbrukumu, avarējot kodolu, nosūtot īpaši izstrādātas paketes. Problēma ir saistīta ar bufera pārpildīšanu, kas radusies nepareizas ar parakstītiem veseliem skaitļiem, kurā memcpy aprēķins starp nepieciešamo_izmēru un nobīdi atgrieza negatīvu skaitli, kā rezultātā dati tiek kopēti kaudzē.

Atrodas funkcijā oz_hcd_get_desc_cnf failā drivers/staging/ozwpan/ozhcd.c un faila drivers/staging/ozwpan/ozusbsvc1.c funkcijās oz_usb_rx un oz_usb_handle_ep_data. Citas ievainojamības bija saistītas ar iespējamu dalīšanu ar 0, sistēmas cilpu vai spēju lasīt no apgabaliem, kas atrodas ārpus piešķirtā bufera robežām.

Ozwpan draiveri, kas ir jauns Linux papildinājums, var savienot pārī ar esošajām bezvadu ierīcēm, kas ir saderīgas ar Ozmo Devices tehnoloģiju ( Wi-Fi Direct). Nodrošina USB resursdatora kontrollera ieviešanu, taču viltība ir tāda, ka fiziska savienojuma vietā perifērijas ierīce sazinās, izmantojot Wi-Fi. Draiveris pieņem tīkla paketes ar tipu (ethertype) 0x892e, pēc tam parsē un pārvērš dažādās USB funkcionalitātēs. Pagaidām tas tiek izmantots retos gadījumos, tāpēc to var atspējot, izlādējot moduli ozwpan.ko.

LINUX UBUNTU

OS: Linux Ubuntu 12.04.–15.04. (pamata līdz 2015. gada 15. jūnijam)
Līmenis: Kritisks
Vektors: Vietējais
CVE: CVE-2015-1328
Izmantot: https://www.exploit-db.com/exploits/37292/

OverlayFS failu sistēmas kritiskā ievainojamība nodrošina root piekļuvi Ubuntu sistēmām, kas ļauj nepiederošam lietotājam uzstādīt OverlayFS nodalījumus. Ievainojamības izmantošanai nepieciešamie noklusējuma iestatījumi tiek izmantoti visās Ubuntu 12.04–15.04 atzaros. Pats OverlayFS Linux kodolā parādījās salīdzinoši nesen - sākot ar 3.18-rc2 (2014), tā ir SUSE izstrāde, kas aizstāj UnionFS un AUFS. OverlayFS ļauj izveidot virtuālu daudzslāņu slāni failu sistēma, kas apvieno vairākas citu failu sistēmu daļas.

Failu sistēma ir izveidota no apakšējā un augšējā slāņa, no kuriem katrs ir pievienots atsevišķiem direktorijiem. Apakšējais slānis tiek izmantots, lai lasītu tikai to failu sistēmu direktorijus, kuras atbalsta Linux, tostarp tīkla. Augšējais slānis parasti ir rakstāms, un tas ignorēs datus apakšējā slānī, ja faili tiek dublēti. Tas ir pieprasīts tiešraidē izplatīšanā, konteineru virtualizācijas sistēmās un konteineru darbības organizēšanā dažām darbvirsmas lietojumprogrammām. Lietotāju vārdu telpas ļauj konteineros izveidot savas lietotāju un grupu ID kopas. Ievainojamību izraisa nepareiza piekļuves tiesību pārbaude, veidojot jaunus failus pamatā esošās failu sistēmas direktorijā.

Ja kodols ir izveidots ar CONFIG_USER_NS=y (iespējojot lietotāja nosaukumvietu) un pievienošanas laikā ir norādīts karodziņa FS_USERNS_MOUNT, OverlayFS var uzstādīt parasts lietotājs citā nosaukumvietā, tostarp gadījumos, kad tiek veiktas darbības ar saknes tiesības. Šajā gadījumā operācijas ar failiem ar saknes tiesībām, kas tiek veiktas šādās nosaukumvietās, saņem tādas pašas privilēģijas, veicot darbības ar pamatā esošo failu sistēmu. Tāpēc varat uzstādīt jebkuru FS nodalījumu un skatīt vai modificēt jebkuru failu vai direktoriju.

Publicēšanas laikā jau bija pieejams kodola atjauninājums ar fiksētu OverlayFS moduli no Ubuntu. Un, ja sistēma tiek atjaunināta, problēmām nevajadzētu rasties. Tādā pašā gadījumā, ja atjaunināšana nav iespējama, kā pagaidu pasākums ir jāpārtrauc OverlayFS lietošana, noņemot moduli overlayfs.ko.

GALVENĀS LIETOJUMI IEvainojamības

OS: Linux
Līmenis: Kritisks
Vektors: lokāls, attālināts
CVE: CVE-2015-0235
Izmantot: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Bīstama ievainojamība iekšā standarta bibliotēka GNU glibc, kas ir Linux OS galvenā daļa, kā arī dažās Oracle Communications Applications un Oracle Pillar Axiom versijās, ko atklāja Qualys hakeri koda audita laikā. Saņēma koda nosaukumu GHOST. Šī ir bufera pārpilde funkcijā __nss_hostname_digits_dots(), ko izmanto glibc funkcijas, piemēram, gethostbyname() un gethostbyname2(), lai iegūtu resursdatora nosaukumu (tātad nosaukums GetHOST). Lai izmantotu ievainojamību, lietojumprogrammai, kas veic nosaukuma atrisināšanu, izmantojot DNS, ir jāizraisa bufera pārpilde, izmantojot nederīgu saimniekdatora nosaukuma argumentu. Tas ir, teorētiski šo ievainojamību var attiecināt uz jebkuru lietojumprogrammu, kas vienā vai otrā pakāpē izmanto tīklu. Var izsaukt lokāli un attālināti, ļaujot izpildīt patvaļīgu kodu.

Interesantākais ir tas, ka kļūda tika novērsta tālajā 2013. gada maijā, starp glibc 2.17 un 2.18 izlaidumiem tika uzrādīts ielāps, taču problēma netika klasificēta kā drošības ielāps, tāpēc tai netika pievērsta uzmanība. Tā rezultātā daudzi izplatījumi izrādījās neaizsargāti. Sākotnēji tika ziņots, ka pati pirmā ievainojamā versija bija 2.2, kas datēta ar 2000. gada 10. novembri, taču pastāv iespēja, ka tā parādīsies līdz pat 2.0. Cita starpā tika ietekmēti izplatījumi RHEL/CentOS 5.x–7.x, Debian 7 un Ubuntu 12.04 LTS. Pašlaik ir pieejami labojumfaili. Hakeri paši piedāvāja utilītu, kas izskaidro ievainojamības būtību un ļauj pārbaudīt jūsu sistēmu. Ubuntu 12.04.4 LTS viss ir kārtībā:

$ wget https : //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 nav neaizsargāti

Sistēmas pārbaude pakalpojumā GHOST

Gandrīz nekavējoties tika izlaists modulis, kas ļauj attālināti izpildīt kodu operētājsistēmās x86 un x86_64 Linux ar strādājošu pasta serveris Exim (ar iespējotu helo_try_verify_hosts vai helo_verify_hosts). Vēlāk parādījās arī citas ieviešanas iespējas, piemēram, Metasploit modulis emuāra pārbaudei pakalpojumā WordPress.

Nedaudz vēlāk, 2015. gadā, GNU glibc tika atklātas vēl trīs ievainojamības, kas ļāva attālam lietotājam veikt DoS uzbrukumu vai pārrakstīt atmiņas šūnas ārpus steka robežas: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781. gads.

OS: Linux (GNU Coreutils)
Līmenis: Zems
Vektors: Vietējais, attālināts
CVE: CVE-2014-9471
Izmantot: Nē

GNU Coreutils ir viena no galvenajām *nix pakotnēm, kas ietver gandrīz visas pamata utilītas (cat, ls, rm, date...). Problēma tika konstatēta datumā. Kļūda funkcijā parse_datetime ļauj attālam uzbrucējam bez konts sistēmā, izraisīt pakalpojuma atteikumu un, iespējams, izpildīt patvaļīgu kodu, izmantojot īpaši izstrādātu datuma virkni, izmantojot laika joslu. Ievainojamība izskatās šādi:

$ touch ‘-- datums = TZ = ”123”345”@1” Segmentācijas kļūda $ datums - d "TZ = "Eiropa / Maskava" "00: 00 + 1 stunda"" Segmentācijas kļūda $ datums ‘-- datums = TZ = ”123”345”@1' * * * Kļūda datumā: bezmaksas () : nederīgs rādītājs: 0xbfc11414 * * *

GNU Coreutils ievainojamība

Ja ievainojamības nav, mēs saņemsim ziņojumu par nepareizu datuma formātu. Gandrīz visi Linux izplatīšanas izstrādātāji ir ziņojuši par ievainojamību. Pašlaik ir pieejams atjauninājums.

Parasta ielāpu GNU Coreutils izvade

OS: Linux (grep 2.19–2.21)
Līmenis: Zems
Vektors: Vietējais
CVE: CVE-2015-1345
Izmantot: Nē

Ievainojamības reti tiek atrastas grep utilītprogrammā, ko izmanto teksta meklēšanai, izmantojot modeli. Bet šo utilītu bieži izsauc citas programmas, tostarp sistēmas, tāpēc ievainojamību klātbūtne ir daudz problemātiskāka, nekā šķiet no pirmā acu uzmetiena. Kļūda funkcijā bmexec_trans failā kwset.c var izraisīt neinicializētu datu nolasīšanu no apgabala, kas atrodas ārpus piešķirtā bufera, vai izraisīt lietojumprogrammas avāriju. Hakeris var izmantot šīs priekšrocības, izveidojot īpašu datu kopu, kas tiek piegādāta lietojumprogrammas ievadei, izmantojot grep -F. Pašlaik ir pieejami atjauninājumi. Nav neviena ļaunprātīgas izmantošanas, kas izmantotu ievainojamību vai Metasploit moduli.

FREBSD IEvainojamība

OS: FreeBSD
Līmenis: Zems
Vektors: Vietējais, attālināts
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Izmantot: https://www.exploit-db.com/exploits/35938/

CVE datubāzē 2015. gadam ievainojamību nav daudz, precīzāk - tikai sešas. Pētnieki no Core Exploit Writers Team 2015. gada janvāra beigās atklāja trīs FreeBSD 8.4–10.x ievainojamības. CVE-2014-0998 ir saistīts ar VT konsoles draivera (Newcons) ieviešanu, kas nodrošina vairākus virtuālos termināļus, ko iespējo parametrs kern.vty=vt failā /boot/loader.conf.
CVE-2014-8612 rodas, izmantojot SCTP protokolu, un to izraisa kļūda SCTP straumes ID verifikācijas kodā, kas ievieš SCTP ligzdas (vietējais ports 4444). Būtība ir kļūda funkcijā sctp_setopt() (sys/netinet/sctp_userreq.c). Tas sniedz vietējam nepievilcīgam lietotājam iespēju rakstīt vai lasīt 16 bitus kodola atmiņas datu un palielināt savas privilēģijas sistēmā, atklāt sensitīvus datus vai izraisīt sistēmas avāriju.

CVE-2014-8613 ļauj aktivizēt NULL rādītāja atsauci, apstrādājot ārēji saņemtu SCTP paketi, ja ir iestatīta SCTP ligzdas opcija SCTP_SS_VALUE. Atšķirībā no iepriekšējām versijām, CVE-2014-8613 var izmantot, lai attālināti izraisītu kodola avāriju, nosūtot īpaši izstrādātas paketes. Programmā FreeBSD 10.1 varat sevi aizsargāt, iestatot mainīgo net.inet.sctp.reconfig_enable uz 0, tādējādi atspējojot RE_CONFIG bloku apstrādi. Vai vienkārši aizliegt lietojumprogrammas (pārlūkprogrammas, pasta klienti un tā tālāk). Lai gan publicēšanas laikā izstrādātāji jau bija izlaiduši atjauninājumu.

FreeBSD ievainojamības statistika

OPENSSL ievainojamība

OS: OpenSSL
Līmenis: Tālvadības pults
Vektors: Vietējais
CVE: CVE-2015-1793
Izmantot: Nē

2014. gadā tika atklāta kritiska Heartbleed ievainojamība OpenSSL — plaši izmantotā kriptogrāfijas pakotnē darbam ar SSL/TLS. Šis incidents savulaik izraisīja milzīgu kritiku par koda kvalitāti, un, no vienas puses, tas izraisīja tādu alternatīvu parādīšanos kā LibreSSL, no otras puses, paši izstrādātāji beidzot ķērās pie lietas.

Labākie pārdevēji pēc ievainojamības

Kritisko ievainojamību atklāja Adams Lenglijs no Google un Deivids Bendžamins no BoringSSL. Izmaiņas, kas veiktas OpenSSL versijās 1.0.1n un 1.0.2b, lika OpenSSL mēģināt atrast alternatīvu sertifikātu pārbaudes ķēdi, ja pirmais mēģinājums izveidot uzticamības ķēdi bija neveiksmīgs. Tas ļauj apiet sertifikāta pārbaudes procedūru un organizēt apstiprinātu savienojumu, izmantojot viltotu sertifikātu, citiem vārdiem sakot - mierīgi pievilināt lietotāju uz viltotām vietnēm vai serveriem. E-pasts vai ieviest jebkuru MITM uzbrukumu, kurā tiek izmantots sertifikāts.

Pēc ievainojamības atklāšanas izstrādātāji 9. jūlijā izlaida 1.0.1p un 1.0.2d izlaidumus, kas šo problēmu atrisināja. Versijā 0.9.8 vai 1.0.0 šīs ievainojamības nav.

Linux.kodētājs

Rudens beigas iezīmējās ar vairāku šifrēšanas vīrusu parādīšanos, vispirms Linux.Encoder.0, kam sekoja modifikācijas Linux.Encoder.1 un Linux.Encoder.2, kas inficēja vairāk nekā 2500 vietņu. Kā ziņo antivīrusu kompānijas, tiek uzbrukts Linux un FreeBSD serveriem, kuru mājaslapas darbojas, izmantojot dažādas CMS – WordPress, Magento CMS, Joomla un citas. Hakeri izmanto neidentificētu ievainojamību. Tālāk tika ievietots čaulas skripts (fails error.php), ar kura palīdzību jebkurš turpmākās darbības(izmantojot pārlūkprogrammu). Jo īpaši tika palaists Linux kodētājs Trojas zirgs.

Kodētājs, kas noteica OS arhitektūru un palaida izpirkuma programmatūru. Kodētājs tika palaists ar tīmekļa servera tiesībām (Ubuntu - www-data), kas ir pilnīgi pietiekami, lai šifrētu failus direktorijā, kurā tiek glabāti CMS faili un komponenti. Šifrētie faili saņem jaunu paplašinājumu.encrypted.

Izpirkuma programmatūra arī mēģina apiet citus OS direktorijus; ja tiesības ir nepareizi konfigurētas, tas var viegli pārsniegt vietnes robežas. Pēc tam direktorijā tika saglabāts fails README_FOR_DECRYPT.txt, kas satur instrukcijas failu atšifrēšanai un hakeru prasības. Ieslēgts Šis brīdis antivīrusu uzņēmumi ir ieviesuši utilītas, kas ļauj atšifrēt direktorijus. Piemēram, komplekts no Bitdefender. Bet jums jāatceras, ka visas utilītas, kas paredzētas failu atšifrēšanai, nenoņem čaulas kodu un viss var atkārtoties.

Ņemot vērā, ka daudzi lietotāji, kas izstrādā vai eksperimentē ar vietņu administrēšanu, bieži instalē tīmekļa serveri mājas dators, jums jāuztraucas par drošību: bloķējiet piekļuvi no ārpuses, atjauniniet programmatūru, veiciet eksperimentus virtuālajā mašīnā. Un pati ideja nākotnē varētu tikt izmantota, lai uzbruktu mājas sistēmām.

SECINĀJUMS

Sarežģīta programmatūra bez kļūdām fiziski neeksistē, tāpēc jāsamierinās ar to, ka ievainojamības tiks atklātas pastāvīgi. Bet ne visi no tiem var būt patiesi problemātiski. Un jūs varat pasargāt sevi, ņemot vienkāršas darbības: noņemiet neizmantoto programmatūru, uzraugiet jaunas ievainojamības un noteikti instalējiet drošības atjauninājumus, konfigurējiet ugunsmūri, instalējiet pretvīrusu. Neaizmirstiet arī par īpašām tehnoloģijām, piemēram, SELinux, kas diezgan spēj apdraudēt dēmonu vai lietotāja lietojumprogrammu.