Albatta, buni aytishimiz mumkin Linux Ko'proq xavfsiz Windowsga qaraganda (himoyalangan). Xavfsizlik V Linux o'rnatilgan va Windows-da amalga oshirilganidek, biron bir joyda vidalanmagan. Xavfsizlik tizimlari Linux yadrodan ish stoligacha bo'lgan hududni qamrab oladi, ammo xakerlar sizning uy katalogingizga (/home) zarar etkazishi mumkin.

Sizning bayt rasmlaringiz, uy videolaringiz, hujjatlaringiz va kredit karta yoki hamyon ma'lumotlaringiz kompyuterdagi eng qimmatli ma'lumotlardir. Albatta, Linux Windows uchun barcha turdagi Internet qurtlari va viruslariga sezgir emas. Ammo tajovuzkorlar uy katalogingizdagi ma'lumotlaringizga kirish yo'lini topishlari mumkin.

Eski kompyuteringizni tayyorlab yoki qattiq disk sotishdan oldin formatlash, sizningcha, bu etarli bo'ladimi? Ma'lumotlarni qayta tiklash uchun juda ko'p zamonaviy vositalar mavjud. Hacker sizning ma'lumotlaringizni osongina tiklashi mumkin qattiq disk, qaysi operatsion tizimda ishlaganingizdan qat'iy nazar.

Ushbu mavzu bo'yicha men bitta kompaniyaning ishlatilgan kompyuterlar va disklarni qayta sotib olish tajribasini eslayman. Faoliyati davomida ular o'zlarining kompyuterlarining oldingi egalarining 90 foizi uni sotishdan oldin saqlash vositalarini tozalash haqida to'g'ri g'amxo'rlik qilmaganligi haqida hukm chiqardilar. Va ular juda nozik bayt ma'lumotlarni ajratib olishdi. Qattiq diskingiz qutilarida biron bir joyda onlayn bank yoki onlayn hamyonga kirish uchun ma'lumot bo'lishini tasavvur qilish ham qo'rqinchli.

Linux xavfsizligi asoslari bilan boshlang

Keling, deyarli har qanday narsaga mos keladigan asoslarga () qadam qo'yaylik
Linux distributivlari.

To'liq Linux xavfsizligi uchun Linuxda fayl tizimini shifrlaymiz

Hech kim sizning uy katalogingizni (/home) yoki ma'lum bir bayt hajmini o'qiy olishini xohlamasangiz, maxsus parollar muammoni hal qilmaydi. Siz buni shunday qilishingiz mumkinki, hatto eng yuqori ildiz huquqlariga ega bo'lgan foydalanuvchi ham burnini bura olmaydi.

Hech kim ularni qayta tiklay olmasligi uchun maxfiy fayllarni o'chirib tashlang

Agar siz kompyuteringizni yoki saqlash muhitini sotishga yoki berishga qaror qilsangiz, uni oddiygina formatlash fayllaringizni butunlay yo'q qiladi deb o'ylamang. Siz fayllarni xavfsiz o'chirish uchun srm yordam dasturini o'z ichiga olgan Linux-da xavfsiz o'chirish vositasini o'rnatishingiz mumkin.

Bundan tashqari, Linux yadrosidagi xavfsizlik devori haqida unutmang. Hammasiga kiritilgan Linux distributivlari yadroning bir qismi bo'lgan lptablesni o'z ichiga oladi. Lptables tarmoq paketlarini filtrlash imkonini beradi. Albatta, siz ushbu yordam dasturini terminalda sozlashingiz mumkin. Ammo bu usul ko'pchilikning, shu jumladan mening ham imkoniyatlaridan tashqarida. Shunday qilib, men uni xuddi o'yin o'ynayotgandek osongina o'rnataman va sozlayman.

Barcha operatsion tizimlar singari, Linux ham turli ilovalarni ishga tushirishda har xil keraksiz narsalarni to'plashga moyil. Va bu Linuxning aybi emas, chunki brauzerlar, matn muharrirlari va hatto video pleerlar kabi turli xil ilovalar yadro darajasida ishlamaydi va vaqtinchalik fayllarni to'playdi. Axlatni universal olib tashlash uchun BleachBit yordam dasturini o'rnatishingiz mumkin.

Anonim sörfing, IP-ni yashirish - Linux ostida shaxsiyatingiz xavfsizligi uchun juda muhimdir

Xulosa qilib, men sizga anonim veb-sörfing haqida gapirib bermoqchiman. Ba'zan shunday bo'ladiki, men xotinimdan yashirincha erotik tarkibga ega saytlarga tashrif buyurganimdek, kerak bo'ladi. Albatta hazillashdim.

Agar tajovuzkorlar sizning joylashuvingizni aniqlay olmasalar, siz bilan bog'lanishlari qiyin bo'ladi. Biz treklarimizni privoxy va tor deb nomlangan ikkita yordamchi dasturdan iborat oddiy sozlash bilan yopamiz.

Menimcha, ushbu qoidalarning barchasiga rioya qilish va sozlash sizni va kompyuteringizni 90% xavfsiz saqlaydi.

P.S. Men dropbox deb nomlangan bulutdan foydalanmoqdaman. Unda eski va yangi, hali chop etilmagan maqolalarimni saqlayman. Dunyoning istalgan joyidan va istalgan kompyuterdan fayllaringizga kirish qulay. Veb-sayt uchun maqolalar yozishda matn muharriri, Men o'zimni saqlayman matnli hujjatlar parol bilan va shundan keyingina men uni dropbox serveriga yuklayman. Hech qachon qo'shimcha xavfsizlikni e'tiborsiz qoldirmasligingiz kerak, bu faqat sizning qo'lingizda o'ynaydi.

Hammaga salom... Ubuntu ostidagi barcha novice administratorlarda tarmoq interfeyslarini (tarmoq, tarmoq kartalari) sozlash vazifasi bor.Ushbu maqolada men buni qanday qilishni sizga ko'rsataman... Bu juda sodda tarzda amalga oshiriladi...

Agar siz qandaydir tarzda tarmoqni sozlashni o'tkazib yuborgan bo'lsangiz yoki tarqatishni o'rnatishda qiyinchiliklarga duch kelsangiz, endi biz buni qo'lda qilamiz. Va shuning uchun biz tarqatish o'rnatildi va bizni hujumda kutmoqda ... Biz 2 ta tarmoq kartasini sozlashimiz kerak..... Birimiz provayderga, ikkinchimiz esa yuzga qaraymiz. mahalliy tarmoq. Keling, darhol kelishib, interfeyslarimiz va manzillarimizni belgilaymiz.

et0— 192.168.0.1 (aytaylik, bu provayder tomonidan berilgan manzil) Internetga qaraydigan interfeys (provayder)
et1— 10.0.0.1 (biz ushbu interfeysga bermoqchi bo'lgan manzil) Mahalliy tarmoqqa qaragan interfeys

Avvalo, buyruq bilan qaysi interfeyslarni ishga tushirganimizni tekshirib ko'raylik ifconfig Siz shunga o'xshash narsani ko'rasiz (xxxxx o'rniga faqat sizning ma'lumotlaringiz bilan)

Eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Mask:255.255.255.252 inet6 addr:xx:x :xxx:xxxx/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 RX paketlari:31694097 xatolar:0 tushib ketdi:0 haddan tashqari yuk:0 freym:0 TX paketlari:15166512 xatoliklar:0 overrun: carer 0 ta to'qnashuv: 0 txqueuelen: 100 RX bayt: 2215593127 (2,2 GB) TX bayt: 1577680249 (1,5 GB) Xotira: b8820000-b8840000 eth1 Havola qopqog'i: Ethernet HWaddrx: add:x:x:x. 0.1 BACCAc: 10.0.2.255 Niqob: 255.255.25.0 InTET6 XXXX :: XXXX: XXX: XXX: XXX: XXX: XXX: XXX: 0 Depr qilingan: 0 haddan tashqari tushkunlik :0 kadr: 0 TX paketlari: 21539638 xato: 0 tushib ketdi: 0 oshib ketish: 0 tashuvchi: 0 to'qnashuv: 0 txqueuelen: 100 RX bayt: 1262641422 (1,2 GB) TX bayt: 1922838889 (1,9 GB) lo800y Link-080y encap:Local loopback inet address:127.0.0.1 Mask:255.0.0.0 inet6 manzil: ::1/128 Scope:Host UP LOOP BACK RUNNING MTU:16436 Metrik:1 RX paketi:3823 xato:0 tushib ketdi:0 kadr: overrun 0 TX paketlari: 3823 xato: 0 tushib ketdi: 0 oshib ketish: 0 tashuvchi: 0 to'qnashuv: 0 txqueuelen: 0 RX bayt: 717663 (717,6 KB) TX bayt: 717663 (717,6 KB)

Agar interfeyslardan biri ko'rinmasa, hammasi joyida. Bu shunchaki o'chirilgan, keling, uni buyruq bilan yoqaylik sudo ifconfig eth1 yuqoriga(eth1 o'rniga interfeysingizni kiriting, agar sizda 2 ta tarmoq kartangiz bo'lsa, unda faqat ikkita interfeys mavjud: eth0 va eth1) Shunday qilib, biz interfeysimizni yoqamiz:

sudo ifconfig eth1 yuqoriga

Va shuning uchun sozlashni boshlaylik.

Keling, eth0 interfeysiga provayder tomonidan quyidagi buyruq bilan berilgan IP-manzilni tayinlaymiz:

sudo ifconfig eth1 inet 192.168.0.2

Va tarmoq niqobini belgilang:

sudo ifconfig eth0 tarmoq niqobi 255.255.255.0

Shu tarzda qilingan sozlamalar server qayta ishga tushirilgandan so'ng qayta o'rnatiladi.
Buning oldini olish uchun siz sozlamalarni o'zgartirishingiz kerak konfiguratsiya fayli tarmoq interfeyslari. Buning uchun sizga ildiz huquqlari kerak. Keling, huquqlarni olamiz Ildiz quyidagi buyruq bilan:

sudo su

Tarmoq interfeyslari konfiguratsiya fayli quyidagi manzilda joylashgan /etc/network/interfaces Uni tahrirlash uchun biz Nano muharriridan foydalanamiz (siz o'z muharriringizdan foydalanishingiz mumkin) menga yoqadi Nano

nano /etc/network/interfeyslar

Biz quyidagilarni ko'ramiz:

# Ushbu fayl tizimingizda mavjud tarmoq interfeyslarini tavsiflaydi # va ularni qanday faollashtirish kerak. Qo'shimcha ma'lumot olish uchun interfeyslarga qarang(5). # Orqaga aylanish tarmog'i interfeysi avtomatik lo iface lo inet loopback # Asosiy tarmoq interfeysi//Birlamchi tarmoq interfeysi avtomatik et0//Tarmoq interfeysiga quyidagi atributlarni belgilash iface eth0 inet statik//Tarmoq interfeysini avtomatik yoqish manzil 192.168.0.2//tarmoq kartamizning IP manzili (provayder tomonidan berilgan) tarmoq niqobi 255.255.255.0//Bizning IP joylashgan tarmoq niqobi tarmoq 192.168.0.0//To'liq diapazon tarmog'i translyatsiya 192.168.0.255//Maks. manzillar soni shlyuz 192.168.0.1//Gateway # dns-* variantlari, agar o'rnatilgan bo'lsa, resolvconf paketi tomonidan amalga oshiriladi

Uni quyidagi shaklga qisqartirish kerak

# Ushbu fayl tizimingizda # mavjud tarmoq interfeyslarini va ularni qanday faollashtirishni tavsiflaydi. Qo'shimcha ma'lumot olish uchun interfeyslarga qarang(5). # Loopback tarmoq interfeysi auto lo iface lo inet loopback # Asosiy tarmoq interfeysi avtomatik eth0 iface eth0 inet statik manzili 192.168.0.2 tarmoq niqobi 255.255.255.0 tarmoq 192.168.0.0 shlyuzi 192.168.0.0 shlyuzi, opsiyalarni qayta ishga tushirdi* dns-nom serverlari o'rnatilgan bo'lsa 192.168.22.22 192.168.33.33 #Lokal tarmoqqa qaraydigan interfeys avtomatik et1 iface eth1 inet statik manzil 10.0.0.1 tarmoq niqobi 255.255.255.0

O'zgarishlarni bosish orqali saqlang Ctrl tugmalari+ O va Ctrl + X tugmalarini bosib chiqing

DNS server manzillari /etc/network/interfaces faylida o'rnatilishi mumkin, ammo Ubuntu'dagi DNS server manzillari /etc/resolv.conf fayli orqali boshqariladi; men uchun bu shunday ko'rinadi:

nom serveri xx.xx.xx.xx nom serveri xx.xx.xx.xx

DNS ni sozlaymiz; buning uchun qatorga quyidagi buyruqni kiriting:

Sudo nano /etc/resolv.conf # provayderingiz DNS serverlari nom serverining IP manzillari xx.xxx.xxx.xxx nom serveri xxx.xxx.xx.xxx

Saqlaylik Ctrl+O va biz chiqamiz Ctrl +x shuningdek, quyidagi buyruq bilan tarmoqni qayta ishga tushirishingiz kerak.

Operatsiya xonasi ekanligini hammamiz bilamiz Linux tizimi ko'p Windowsga qaraganda xavfsizroq arxitekturasi va foydalanuvchilar o'rtasida kirishni taqsimlash uchun maxsus tizim tufayli. Ammo dasturchilar ham odamlar, biz qanchalik yoqtirmasin, ular ham xato qiladilar. Va bu xatolar tufayli tizimda tajovuzkorlar xavfsizlik tizimlarini chetlab o'tishlari mumkin bo'lgan teshiklar paydo bo'ladi.

Ushbu xatolar zaifliklar deb ataladi va ularda paydo bo'lishi mumkin turli dasturlar va hatto tizimning o'zagida, uning xavfsizligini buzadi. Orqada o'tgan yillar Linux-ning mashhurligi o'sishni boshladi va xavfsizlik tadqiqotchilari ushbu tizimga ko'proq e'tibor berishadi. Borgan sari ko'proq zaifliklar aniqlanmoqda va ochiq kodli kod tufayli ularni juda tez yo'q qilish mumkin. Ushbu maqolada biz so'nggi bir necha yil ichida aniqlangan eng xavfli Linux zaifliklarini ko'rib chiqamiz.

Zaifliklar ro'yxatiga o'tishdan oldin, ular nima ekanligini va nima ekanligini tushunish kerak. Aytganimdek, zaiflik - bu dasturdagi xato bo'lib, foydalanuvchi dasturni ishlab chiquvchi tomonidan mo'ljallanmagan tarzda ishlatishga imkon beradi.

Bu olingan ma'lumotlarning to'g'riligini tekshirishning etishmasligi, ma'lumotlar manbasini tekshirish va eng qizig'i, ma'lumotlarning hajmi bo'lishi mumkin. Eng xavfli zaifliklar - bu o'zboshimchalik bilan kodni bajarishga imkon beradigan zaifliklar. IN tasodifiy kirish xotirasi barcha ma'lumotlar ma'lum hajmga ega va dastur foydalanuvchidan ma'lum hajmdagi ma'lumotlarni xotiraga yozish uchun mo'ljallangan. Agar foydalanuvchi ko'proq ma'lumot uzatsa, u xatoga yo'l qo'yishi kerak.

Ammo dasturchi xatoga yo'l qo'ysa, ma'lumotlar dastur kodini qayta yozadi va protsessor uni bajarishga harakat qiladi, bu esa buferning to'lib ketishi zaifliklarini yaratadi.

Bundan tashqari, barcha zaifliklarni mahalliylarga bo'lish mumkin, ular faqat xakerga kirish imkoniga ega bo'lsa ishlaydi mahalliy kompyuter va masofaviy, Internet orqali kirish etarli bo'lganda. Endi zaifliklar ro'yxatiga o'tamiz.

1.Nopok sigir

Bizning ro'yxatimizda birinchi bo'lib bu kuzda aniqlangan yangi zaiflik bo'ladi. Dirty COW nomi "Yozuvda nusxa ko'chirish" degan ma'noni anglatadi. Nusxa ko'chirish va yozish paytida fayl tizimida xatolik yuz beradi. Bu har qanday imtiyozsiz foydalanuvchiga tizimga to'liq kirish imkonini beruvchi mahalliy zaiflikdir.

Muxtasar qilib aytganda, zaiflikdan foydalanish uchun sizga ikkita fayl kerak bo'ladi, biri faqat superuser nomidan yozilishi mumkin, ikkinchisi biz uchun. Biz faylimizga ko'p marta ma'lumot yozishni boshlaymiz va superuser faylidan o'qiymiz ma'lum vaqt har ikkala faylning buferlari aralashadigan vaqt keladi va foydalanuvchi o'zi yoza olmaydigan faylga ma'lumotlarni yozish imkoniyatiga ega bo'ladi va shu bilan tizimda o'ziga ildiz huquqlarini beradi.

Zaiflik yadroda taxminan 10 yil bo'lgan, ammo kashf etilgandan so'ng u tezda tuzatildi, garchi hali ham yadro yangilanmagan va o'ylamagan millionlab Andoid qurilmalari mavjud va bu zaiflikdan qayerda foydalanish mumkin. Zaiflik kodi CVE-2016-5195 edi.

2. Glibc zaifligi

Zaiflik kodi CVE-2015-7547 edi. Bu ochiq kodli loyihalar orasida eng ko'p muhokama qilinadigan zaifliklardan biri bo'ldi. 2016-yil fevral oyida Glibc kutubxonasida tajovuzkorga o‘z kodini masofaviy tizimda bajarishga imkon beruvchi juda jiddiy zaiflik borligi aniqlandi.

Shuni ta'kidlash kerakki, Glibc ko'pchilikda qo'llaniladigan standart C va C ++ kutubxonalarining amalga oshirilishidir Linux dasturlari PHP, Python, Perl kabi xizmatlar va dasturlash tillarini o'z ichiga oladi.

DNS server javobini tahlil qilish uchun kodda xatolik yuz berdi. Shunday qilib, zaiflikdan DNS-ga zaif mashinalar orqali kirgan xakerlar, shuningdek, MITM hujumini amalga oshiruvchilar foydalanishi mumkin. Ammo zaiflik tizim ustidan to'liq nazoratni berdi

Zaiflik kutubxonada 2008 yildan beri mavjud edi, ammo topilgandan so'ng, yamalar juda tez chiqarildi.

3. Yurak qon ketishi

2014 yilda miqyos va oqibatlar bo'yicha eng jiddiy zaifliklardan biri aniqlandi. Bunga OpenSSL dasturining yurak o'lik modulidagi xatolik sabab bo'lgan, shuning uchun Heartbleed nomi. Zaiflik tajovuzkorlarga 64 kilobayt server operativ xotirasiga to'g'ridan-to'g'ri kirish imkonini berdi; hujum barcha xotira o'qilguncha takrorlanishi mumkin edi.

Tuzatish juda tez chiqarilgan bo'lsa ham, ko'plab saytlar va ilovalar ta'sir ko'rsatdi. Aslida, trafikni himoya qilish uchun HTTPS-dan foydalangan barcha saytlar zaif edi. Buzg'unchilar foydalanuvchi parollarini, shaxsiy ma'lumotlarini va hujum paytida xotirada bo'lgan barcha narsalarni olishlari mumkin edi. Zaiflik kodi CVE-2014-0160 edi.

4.Stagefright

Agar zaiflik kod nomini olgan bo'lsa, bu aniq e'tiborga loyiqligini anglatadi. Stagerfight zaifligi bundan mustasno emas. To'g'ri, bu Linux muammosi emas. Stagefright - bu Android-da multimedia formatlarini qayta ishlash uchun kutubxona.

U C++ da amalga oshirilgan, ya'ni u barcha Java xavfsizlik mexanizmlarini chetlab o'tadi. 2015 yilda tizimda o'zboshimchalik bilan kodni masofadan turib bajarish imkonini beruvchi zaifliklarning butun guruhi aniqlandi. Bular: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 va CVE-2015-3829.

Buzg‘unchi faqat maxsus o‘zgartirilgan media faylga ega zaif smartfonga MMS yuborishi kerak edi va u xotira kartasidan ma’lumotlarni yozish va o‘qish qobiliyatiga ega qurilma ustidan to‘liq nazoratni qo‘lga kiritadi. Zaiflik Android ishlab chiquvchilari tomonidan tuzatildi, ammo millionlab qurilmalar hali ham zaifligicha qolmoqda.

5. Yadroning nol kunlik zaifligi

Bu imtiyozlarni oshirish imkonini beruvchi mahalliy zaiflikdir. joriy foydalanuvchi xotirada saqlangan yadro kriptografik ma'lumotlari bilan ishlash tizimidagi xatolik tufayli root-ga. U 2016-yil fevral oyida kashf etilgan va 3.8 dan boshlab barcha yadrolarni qamrab olgan, ya'ni zaiflik 4 yil davomida mavjud edi.

Xato xakerlar yoki zararli maqsadlarda foydalanishi mumkin dasturiy ta'minot tizimda o'z vakolatlarini oshirish, lekin juda tez tuzatildi.

6. MySQL tizimidagi zaiflik

Ushbu zaiflik CVE-2016-6662 kodini oldi va barchasiga ta'sir qildi mavjud versiyalar ma'lumotlar bazasi serverlari MySQL ma'lumotlari(5.7.15, 5.6.33 va 5.5.52), Oracle ma'lumotlar bazalari va MariaDB va PerconaDB klonlari.

Buzg'unchilar tizimga to'liq kirishlari mumkin edi SQL so'rovi my.conf-ni o'z versiyangiz bilan almashtirish va serverni qayta ishga tushirish imkonini beruvchi kod uzatildi. Bundan tashqari, superfoydalanuvchi huquqlari bilan zararli kodni amalga oshirish mumkin edi.

MariaDB va PerconaDB yechimlari yamoqlarni juda tez chiqardi, Oracle javob berdi, lekin ancha keyinroq.

7. Shellshock

Ushbu zaiflik 2014 yilda 22 yil davom etishidan oldin aniqlangan. U CVE-2014-6271 deb belgilandi va Shellshock kod nomini oldi. Ushbu zaiflik, biz allaqachon bilgan Heartbleed bilan solishtirish mumkin. Bunga ko'pgina Linux distributivlarida standart buyruq tarjimoni bo'lgan Bash buyruq tarjimonidagi xato sabab bo'ladi.

Bash sizga e'lon qilish imkonini beradi atrof-muhit o'zgaruvchilari foydalanuvchi autentifikatsiyasisiz, lekin birgalikda ulardagi istalgan buyruqni bajarishingiz mumkin. Bu ko'pchilik saytlar tomonidan qo'llab-quvvatlanadigan CGI skriptlarida ayniqsa xavflidir. Nafaqat serverlar, balki himoyasiz shaxsiy kompyuterlar foydalanuvchilar, routerlar va boshqa qurilmalar. Aslida, tajovuzkor har qanday buyruqni masofadan turib bajarishi mumkin; bu autentifikatsiyasiz to'liq masofadan boshqarish.

Bash-ning barcha versiyalari, shu jumladan 4.3-ga ta'sir qildi, ammo muammo aniqlangandan so'ng, ishlab chiquvchilar tezda tuzatishni chiqardilar.

8. Quadrooter

Bu 2016-yil avgust oyida aniqlangan Android tizimidagi zaifliklarning butun seriyasidir. Ular CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503 kodlarini oldilar. Xatodan 900 milliondan ortiq kishi zarar ko'radi Android qurilmalari. Barcha zaifliklar Qualcomm ARM protsessor drayverida topilgan va ularning barchasidan foydalanish mumkin ildiz olish qurilmaga kirish.

DirtyCOW singari, bu erda hech qanday ruxsatnomalar kerak emas, shunchaki zararli dasturni o'rnating va u barcha ma'lumotlaringizni olib, tajovuzkorga o'tkazishi mumkin bo'ladi.

9. OpenJDK da zaiflik

Bu CVE-2016-0636 kodi bo'lgan OpenJDK Java mashinasida juda jiddiy Linux 2016 zaifligi bo'lib, u Windows, Solaris, Linux va Mac OS X uchun Oracle Java SE 7 Update 97 va 8 Update 73 va 74 ishlaydigan barcha foydalanuvchilarga ta'sir qiladi. Bu zaiflik tajovuzkorga Java-ning zaif versiyasiga ega brauzerda maxsus sahifani ochsangiz, Java mashinasidan tashqarida o'zboshimchalik bilan kodni bajarishga imkon beradi.

Bu tajovuzkorga parollaringizga, shaxsiy ma'lumotlaringizga kirishga, shuningdek, kompyuteringizda dasturlarni ishga tushirishga imkon berdi. Umuman Java versiyalari Xato juda tez tuzatildi, u 2013 yildan beri mavjud.

10. HTTP/2 protokoli zaifligi

Bu 2016-yilda HTTP/2 protokolida aniqlangan bir qator zaifliklar. Ular CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544 kodlarini oldilar. Ushbu protokolning Apache, Nginx Microsoft, Jetty va nghttp2-dagi barcha ilovalari zaif edi.

Ularning barchasi tajovuzkorga veb-serverni sezilarli darajada sekinlashtirishga va xizmat ko'rsatishni rad etish hujumini amalga oshirishga imkon beradi. Masalan, xatolardan biri serverda gigabaytlarga ajratilgan kichik xabarni yuborish imkoniyatiga olib keldi. Xato juda tez tuzatildi va shuning uchun jamiyatda ko'p shovqin tug'dirmadi.

Siz xavfsizmisiz?

Ushbu maqolada biz 2016, 2015 va 2014 yillardagi eng xavfli Linux zaifliklarini ko'rib chiqdik. Ularning aksariyati o'z vaqtida tuzatilmasa, tizimlarga jiddiy zarar etkazishi mumkin. Ochiq kodli kod tufayli Linuxning bunday zaifliklari samarali tarzda aniqlanadi va tezda tuzatiladi. Tizimingizni yangilashni unutmang. Muammo faqat Android bilan qolmoqda. Ba'zi qurilmalar endi yangilanishlarni olmaydilar va bu muammoni hal qilish hali yo'q.

Linux operatsion tizimida ishlaydigan serverlar eng xavfsiz va tashqi hujumlardan himoyalangan degan noto'g'ri tushuncha mavjud. Afsuski, bunday emas, har qanday serverning xavfsizligi uni ta'minlash uchun bir qator omillar va chora-tadbirlarga bog'liq va amalda ishlatiladigan operatsion tizimdan mustaqildir.

Biz Ubuntu Server bilan tarmoq xavfsizligiga bag'ishlangan bir qator maqolalarni boshlashga qaror qildik, chunki ushbu platformadagi echimlar bizning o'quvchilarimiz uchun katta qiziqish uyg'otadi va ko'pchilik Linux yechimlari o'z-o'zidan xavfsiz ekanligiga ishonishadi.

Shu bilan birga, maxsus IP-manzilga ega marshrutizator mahalliy tarmoqqa "eshik" bo'lib, bu darvoza ishonchli to'siq bo'ladimi yoki mamlakat darvozasi bo'ladimi, bu faqat ma'murga bog'liq bo'ladi. tirnoq.

Yana bir keng tarqalgan noto'g'ri tushuncha bu: "kimga kerak, bizning serverimiz, bizda qiziq narsa yo'q" uslubidagi fikrlashdir. Haqiqatan ham, sizning mahalliy tarmog'ingiz tajovuzkorlarni qiziqtirmasligi mumkin, ammo ular spam yuborish, boshqa serverlarga hujumlar, anonim proksi-serverdan, qisqasi, o'zlarining xira muomalalari uchun boshlang'ich nuqtasi sifatida buzilgan serverdan foydalanishlari mumkin.

Va bu allaqachon yoqimsiz va turli muammolarning manbai bo'lib xizmat qilishi mumkin: provayderdan tortib huquqni muhofaza qilish organlarigacha. Va viruslarning tarqalishi, o'g'irlik va halokat haqida muhim ma'lumotlar Shuni ham unutmaslik kerak, shuningdek, korxonaning to'xtab qolishi sezilarli yo'qotishlarga olib keladi.

Maqola Ubuntu Serveriga bag'ishlangan bo'lishiga qaramay, birinchi navbatda biz har qanday platformaga teng ravishda qo'llaniladigan va asoslar bo'lgan umumiy xavfsizlik masalalarini ko'rib chiqamiz, ularsiz masalani batafsilroq muhokama qilishning ma'nosi yo'q.

Xavfsizlik qaerdan boshlanadi?

Yo'q, xavfsizlik xavfsizlik devoridan boshlanmaydi, u umuman xavfsizlik devoridan boshlanmaydi. texnik vositalar, xavfsizlik foydalanuvchidan boshlanadi. Axir, agar egasi kalitni gilam ostida qoldirsa, eng yaxshi mutaxassislar tomonidan o'rnatilgan eng zo'r metall eshikdan nima foyda?

Shuning uchun, siz qilishingiz kerak bo'lgan birinchi narsa - xavfsizlik auditini o'tkazish. Bu so'zdan qo'rqmang, hamma narsa unchalik murakkab emas: sxematik tarmoq rejasini tuzing, unda siz xavfsiz zonani, potentsial xavfli zonani va yuqori xavfli zonani belgilang, shuningdek (bo'lishi kerak) foydalanuvchilar ro'yxatini tuzing. ushbu zonalarga kirish).

Xavfsiz zona o'z ichiga olishi kerak ichki resurslar tashqaridan kirish imkoni bo'lmagan va xavfsizlikning past darajasi maqbul bo'lgan tarmoqlar. Bular ish stantsiyalari, fayl serverlari va boshqalar bo'lishi mumkin. kirish korporativ mahalliy tarmoq bilan cheklangan qurilmalar.

Potentsial xavfli zonaga tashqi tarmoqqa to'g'ridan-to'g'ri kirish imkoni bo'lmagan, lekin alohida xizmatlariga tashqaridan kirish mumkin bo'lgan serverlar va qurilmalar kiradi, masalan, xavfsizlik devori orqasida joylashgan, ammo tashqi tarmoqdan so'rovlarga xizmat qiladigan veb va pochta serverlari.

Xavfli zona tashqi tomondan to'g'ridan-to'g'ri kirish mumkin bo'lgan qurilmalarni o'z ichiga olishi kerak; ideal holda, bu bitta router bo'lishi kerak.

Iloji bo'lsa, potentsial xavfli zonani alohida kichik tarmoqqa joylashtirish kerak - asosiy tarmoqdan qo'shimcha xavfsizlik devori bilan ajratilgan demilitarizatsiya zonasi (DMZ).

LAN qurilmalari faqat SMTP, POP3, HTTP kabi kerakli DMZ xizmatlaridan foydalanishi kerak va boshqa ulanishlar bloklanishi kerak. Bu qurolsizlantirilgan zonadagi alohida xizmatdagi zaiflikdan foydalangan tajovuzkor yoki zararli dasturni ishonchli tarzda izolyatsiya qilish imkonini beradi va ularga asosiy tarmoqqa kirishni taqiqlaydi.

Jismoniy jihatdan, DMZ alohida server / apparat xavfsizlik devorini o'rnatish yoki qo'shimcha qo'shish orqali tashkil etilishi mumkin. tarmoq kartasi marshrutizatorga, lekin ikkinchi holatda siz yo'riqnoma xavfsizligiga katta e'tibor berishingiz kerak bo'ladi. Lekin har qanday holatda ham bir guruh serverlarga qaraganda bitta server xavfsizligini ta'minlash ancha oson.

Keyingi qadam foydalanuvchilar ro'yxatini tahlil qilish bo'lishi kerak, ularning barchasi DMZ va marshrutizatorga kirishga muhtojmi yoki yo'qmi (davlat xizmatlari bundan mustasno), tashqaridan ulanadigan foydalanuvchilarga alohida e'tibor berilishi kerak.

Odatda, bu parol siyosatini qo'llash bo'yicha juda mashhur bo'lmagan qadamni talab qiladi. Muhim xizmatlarga kirish huquqiga ega bo'lgan va tashqaridan ulanish imkoniyatiga ega foydalanuvchilar uchun barcha parollar kamida 6 ta belgidan iborat bo'lishi kerak, bundan tashqari kichik harflar, uchta toifadan ikkita toifadagi belgilar: bosh harflar, raqamlar, alifbodan tashqari belgilar.

Bundan tashqari, parol foydalanuvchi loginini yoki uning bir qismini o'z ichiga olmaydi, foydalanuvchi bilan bog'lanishi mumkin bo'lgan sanalar yoki nomlarni o'z ichiga olmaydi va afzalroq, lug'at so'zi bo'lmasligi kerak.

Har 30-40 kunda parollarni o'zgartirish amaliyotiga kirishish yaxshidir. Bunday siyosat foydalanuvchilar tomonidan rad etilishiga olib kelishi aniq, ammo parollar yoqadi 123 yoki qwerty gilam ostida kalit qoldirishga teng.

Server xavfsizligi - ortiqcha narsa yo'q.

Endi biz nimani va nimadan himoya qilmoqchi ekanligimiz haqida tasavvurga ega bo'lib, serverning o'ziga o'tamiz. Barcha xizmatlar va xizmatlar ro'yxatini tuzing, so'ngra ularning barchasi ushbu serverda kerakmi yoki boshqa joyga ko'chirilishi mumkinmi, deb o'ylang.

Xizmatlar qanchalik kam bo'lsa, xavfsizlikni ta'minlash shunchalik oson bo'ladi va ulardan biridagi muhim zaiflik tufayli serverning buzilishi ehtimoli shunchalik kam bo'ladi.

Mahalliy tarmoqqa xizmat ko'rsatadigan xizmatlarni (masalan, squid) sozlang, shunda ular so'rovlarni faqat mahalliy interfeysdan qabul qiladi. Tashqarida qancha kam xizmatlar mavjud bo'lsa, shuncha yaxshi.

Zaiflik skaneri xavfsizlikni ta'minlashda yaxshi yordamchi bo'ladi, u serverning tashqi interfeysini skanerlash uchun ishlatilishi kerak. Biz eng mashhur mahsulotlardan biri - XSpider 7.7 ning demo versiyasidan foydalandik.

Skaner ko'rsatadi ochiq portlar, ishlayotgan xizmat turini va agar muvaffaqiyatli bo'lsa, uning zaif tomonlarini aniqlashga harakat qiladi. Ko'rib turganingizdek, to'g'ri sozlangan tizim juda xavfsiz, ammo kalitni gilam ostida qoldirmaslik kerak, ochiq portlar mavjudligi 1723 (VPN) va 3389 (RDP, terminal serveri) parol siyosati haqida o'ylash uchun yaxshi sababdir.

Bundan tashqari, SSH xavfsizligi haqida gapirishimiz kerak; bu xizmat odatda ma'murlar tomonidan ishlatiladi masofaviy boshqarish server va tajovuzkorlar uchun katta qiziqish uyg'otadi. SSH sozlamalari faylda saqlanadi /etc/ssh/sshd_config, quyida tavsiflangan barcha o'zgarishlar unga kiritilgan. Avvalo, siz root foydalanuvchisi ostida avtorizatsiyani o'chirib qo'yishingiz kerak, buning uchun variantni qo'shing:

PermitRootLogin raqami

Endi tajovuzkor nafaqat parolni, balki loginni ham taxmin qilishi kerak bo'ladi va u hali ham superuser parolini bilmaydi (u sizning parolingizga mos kelmaydi deb umid qilamiz). Tashqaridan ulanishda barcha ma'muriy vazifalar pastdan bajarilishi kerak sudo imtiyozsiz foydalanuvchi sifatida tizimga kirish.

Ruxsat etilgan foydalanuvchilar ro'yxatini aniq ko'rsatishga arziydi va siz kabi yozuvlardan foydalanishingiz mumkin user@host, bu ko'rsatilgan foydalanuvchiga faqat belgilangan xostdan ulanish imkonini beradi. Masalan, foydalanuvchi ivanovga uydan ulanishga ruxsat berish uchun (IP 1.2.3.4) quyidagi yozuvni qo'shishingiz kerak:

AllowUser [elektron pochta himoyalangan]

Shuningdek, protokolning faqat ikkinchi versiyasiga ruxsat beruvchi eskirgan va kamroq xavfsiz SSH1 protokolidan foydalanishni o'chirib qo'ying, buning uchun quyidagi qatorni shaklga o'zgartiring:

Protokol 2

Ko'rilgan barcha choralarga qaramay, SSH va boshqa davlat xizmatlariga ulanishga urinishlar davom etadi; parolni taxmin qilishni oldini olish uchun yordamchi dasturdan foydalaning. fail2ban, bu sizga bir nechta muvaffaqiyatsiz kirish urinishlaridan keyin foydalanuvchini avtomatik ravishda taqiqlash imkonini beradi. Siz uni quyidagi buyruq bilan o'rnatishingiz mumkin:

Sudo apt-get install fail2ban

Ushbu yordamchi dastur o'rnatilgandan so'ng darhol ishlashga tayyor, ammo biz sizga ba'zi parametrlarni darhol o'zgartirishingizni maslahat beramiz, buning uchun faylga o'zgartirishlar kiriting. /etc/fail2ban/jail.conf. Odatiy bo'lib, faqat SSH-ga kirish nazorat qilinadi va taqiqlash vaqti 10 daqiqa (600 soniya), bizning fikrimizcha, quyidagi variantni o'zgartirish orqali uni oshirishga arziydi:

Bantime = 6000

Keyin faylni aylantiring va tegishli bo'lim nomidan keyin parametrni o'rnatib, tizimingizda ishlaydigan xizmatlar uchun bo'limlarni yoqing. yoqilgan bir holatda rost, masalan, xizmat uchun proftpd u shunday ko'rinadi:

yoqilgan = rost

Yana bitta muhim parametr maxretry, bu ulanish urinishlarining maksimal soni uchun javobgardir. Sozlamalarni o'zgartirgandan so'ng, xizmatni qayta ishga tushirishni unutmang:

Sudo /etc/init.d/fail2ban qayta ishga tushiring

Utility jurnalini quyidagi manzilda ko'rishingiz mumkin /var/log/fail2ban.log.

cvedetails.com maʼlumotlariga koʻra, 1999 yildan beri Linux yadrosida 1305 ta zaiflik aniqlangan, shundan 68 tasi 2015 yilda aniqlangan. Ularning aksariyati hech qanday maxsus muammolarni keltirib chiqarmaydi, ular Mahalliy va Past deb belgilangan, ba'zilari esa faqat ma'lum ilovalar yoki OS sozlamalariga ulanganda chaqirilishi mumkin. Aslida, raqamlar kichik, ammo yadro butun OS emas. Zaifliklar GNU Coreutils, Binutils, glibs va, albatta, foydalanuvchi ilovalarida ham mavjud. Keling, eng qiziqarlilarini ko'rib chiqaylik.

LINUX KERNELDAGI YO'G'ULLIKLAR

OS: Linux
Daraja: O'rta, past
Vektor: Masofadan
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Foydalanish: kontseptsiya, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Iyun oyida Linux yadrosida arch/x86/crypto/aesni-intel_glue.c saytidagi __driver_rfc4106_decrypt funksiyasida 3.19.3 dan oldin topilgan zaiflik AES ko‘rsatmalar to‘plami AES-NI kengaytmasini qo‘llab-quvvatlovchi x86 protsessorlari uchun RFC4106 ning amalga oshirilishi bilan bog‘liq. Intel, Intel Advanced Encryption Standard Instructions) ba'zi hollarda bufer manzillarini to'g'ri hisoblamaydi. Agar IPsec tunneli ushbu rejimdan foydalanish uchun sozlangan bo'lsa (AES algoritmi - CONFIG_CRYPTO_AES_NI_INTEL), zaiflik xotira buzilishiga, ishdan chiqishga va CryptoAPI kodining potentsial masofadan bajarilishiga olib kelishi mumkin. Bundan tashqari, eng qiziq narsa shundaki, muammo o'z-o'zidan, butunlay qonuniy trafikda, tashqi aralashuvsiz paydo bo'lishi mumkin. Nashr qilingan paytda muammo hal qilindi.

Eksperimental maqomga ega Linux 4.0.5 ozwpan drayverida beshta zaiflik aniqlangan, ulardan to'rttasi maxsus ishlab chiqilgan paketlarni jo'natish orqali yadroni ishdan chiqarish orqali DoS hujumini tashkil qilish imkonini beradi. Muammo imzolangan butun sonlarni noto'g'ri ishlash tufayli bufer to'lib ketishi bilan bog'liq bo'lib, bunda memcpy-da talab qilinadigan_size va ofset o'rtasidagi hisob-kitob manfiy raqamni qaytardi, natijada ma'lumotlar to'pga ko'chiriladi.

Drivers/staging/ozwpan/ozhcd.c da oz_hcd_get_desc_cnf funksiyasida va drivers/staging/ozwpan/ozusbsvc1.c faylining oz_usb_rx va oz_usb_handle_ep_data funksiyalarida topilgan. Boshqa zaifliklar 0 ga bo'linishi, tizimning aylanishi yoki ajratilgan bufer chegarasidan tashqaridagi joylardan o'qish qobiliyatini o'z ichiga oladi.

Linux-ga yangi qo'shimcha bo'lgan ozwpan drayveri Ozmo Devices texnologiyasiga mos keladigan mavjud simsiz qurilmalar bilan bog'lanishi mumkin ( Wi-Fi Direct). USB xost boshqaruvchisini amalga oshirishni ta'minlaydi, ammo hiyla shundaki, jismoniy ulanish o'rniga periferik Wi-Fi orqali aloqa qiladi. Drayv 0x892e turi (ethertype) bo'lgan tarmoq paketlarini qabul qiladi, keyin ularni tahlil qiladi va ularni turli USB funksiyalariga tarjima qiladi. Hozircha u kamdan-kam hollarda qo'llaniladi, shuning uchun ozwpan.ko modulini tushirish orqali uni o'chirib qo'yish mumkin.

LINUX UBUNTU

OS: Linux Ubuntu 04/12–04/15 (asosiy 2015 yil 15 iyungacha)
Daraja: Tanqidiy
Vektor: Mahalliy
CVE: CVE-2015-1328
Foydalanish: https://www.exploit-db.com/exploits/37292/

OverlayFS fayl tizimidagi muhim zaiflik imtiyozsiz foydalanuvchi tomonidan OverlayFS bo'limlarini o'rnatish imkonini beruvchi Ubuntu tizimlarida ildizga kirish imkonini beradi. Zaiflikdan foydalanish uchun zarur bo'lgan standart sozlamalar Ubuntu 12.04–15.04 ning barcha filiallarida qo'llaniladi. OverlayFS o'zi Linux yadrosida nisbatan yaqinda paydo bo'lgan - 3.18-rc2 (2014) dan boshlab, UnionFS va AUFS o'rnini bosuvchi SUSE ishlanmasi. OverlayFS virtual ko'p qatlamni yaratishga imkon beradi fayl tizimi, bu boshqa fayl tizimlarining bir nechta qismlarini birlashtiradi.

Fayl tizimi har biri alohida kataloglarga biriktirilgan pastki va yuqori qatlamdan yaratilgan. Pastki qatlam faqat Linuxda qo'llab-quvvatlanadigan har qanday fayl tizimlarining kataloglarini, shu jumladan tarmoqni o'qish uchun ishlatiladi. Yuqori qatlam odatda yozilishi mumkin va agar fayllar takrorlangan bo'lsa, pastki qatlamdagi ma'lumotlarni bekor qiladi. U Live tarqatishlarda, konteyner virtualizatsiya tizimlarida va ba'zi ish stoli ilovalari uchun konteynerlarning ishlashini tashkil qilishda talabga ega. Foydalanuvchi nomlari bo'shliqlari konteynerlarda o'z foydalanuvchi va guruh identifikatorlarini yaratishga imkon beradi. Zaiflik asosiy fayl tizimining katalogida yangi fayllarni yaratishda kirish huquqlarini noto'g'ri tekshirish natijasida yuzaga keladi.

Agar yadro CONFIG_USER_NS=y (foydalanuvchi nom maydonini yoqish) bilan qurilgan bo'lsa va o'rnatish vaqtida FS_USERNS_MOUNT bayrog'i ko'rsatilgan bo'lsa, OverlayFS oddiy foydalanuvchi tomonidan boshqa nomlar maydoniga o'rnatilishi mumkin, shu jumladan ildiz huquqlari. Bunday holda, bunday nomlar bo'shliqlarida amalga oshiriladigan ildiz huquqlariga ega fayllar bilan operatsiyalar asosiy fayl tizimi bilan amallarni bajarishda bir xil imtiyozlarni oladi. Shunday qilib, siz istalgan FS bo'limini o'rnatishingiz va istalgan fayl yoki katalogni ko'rishingiz yoki o'zgartirishingiz mumkin.

Nashr qilingan vaqtda Ubuntu-dan qattiq OverlayFS moduli bilan yadro yangilanishi allaqachon mavjud edi. Va agar tizim yangilangan bo'lsa, hech qanday muammo bo'lmasligi kerak. Xuddi shu holatda, yangilash mumkin bo'lmaganda, vaqtinchalik chora sifatida, overlayfs.ko modulini olib tashlash orqali OverlayFS-dan foydalanishni to'xtatishingiz kerak.

ASOSIY ILOVALARNING YOZIFLIKLARI

OS: Linux
Daraja: Tanqidiy
Vektor: mahalliy, uzoq
CVE: CVE-2015-0235
Foydalanish: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Xavfli zaiflik standart kutubxona Linux OT ning asosiy qismi boʻlgan GNU glibc hamda Oracle Communications Applications va Oracle Pillar Axiom ning baʼzi versiyalarida Qualys xakerlari tomonidan kod auditi paytida topilgan. GHOST kod nomini oldi. Bu __nss_hostname_digits_dots() funksiyasi ichidagi bufer to'lib ketishi bo'lib, u gethostbyname() va gethostbyname2() kabi glibc funktsiyalari tomonidan xost nomini (shuning uchun GetHOST nomi) olish uchun ishlatiladi. Zaiflikdan foydalanish uchun DNS orqali nomni aniqlashni amalga oshiruvchi ilovaga noto‘g‘ri xost nomi argumenti yordamida bufer to‘lib ketishiga olib kelishi kerak. Ya'ni, nazariy jihatdan, bu zaiflik tarmoqdan u yoki bu darajada foydalanadigan har qanday dasturga nisbatan qo'llanilishi mumkin. O'zboshimchalik bilan kodni bajarishga imkon beruvchi mahalliy va masofadan chaqirilishi mumkin.

Eng qizig'i shundaki, xato 2013 yil may oyida tuzatilgan, glibc 2.17 va 2.18 versiyalari o'rtasida yamoq taqdim etilgan, ammo muammo xavfsizlik yamog'i sifatida tasniflanmagan, shuning uchun unga e'tibor berilmagan. Natijada, ko'plab tarqatishlar zaif bo'lib chiqdi. Dastlab, birinchi zaif versiya 2000 yil 10-noyabrda 2.2 bo'lgani haqida xabar berilgan edi, ammo u 2.0 ga qadar paydo bo'lishi ehtimoli bor. Boshqalar qatorida RHEL/CentOS 5.x–7.x, Debian 7 va Ubuntu 12.04 LTS distributivlari taʼsir koʻrsatdi. Hozirda tuzatishlar mavjud. Xakerlarning o'zlari zaiflikning mohiyatini tushuntiruvchi va tizimingizni tekshirish imkonini beruvchi yordamchi dasturni taklif qilishdi. Ubuntu 12.04.4 LTS da hamma narsa yaxshi:

$ wget https: //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 zaif emas

Tizimni GHOST da tekshirish

Deyarli darhol x86 va x86_64 Linux-da ishlaydigan dastur bilan kodni masofadan bajarish imkonini beruvchi modul chiqarildi. pochta serveri Exim (helo_try_verify_hosts yoki helo_verify_hosts yoqilgan). Keyinchalik, boshqa ilovalar paydo bo'ldi, masalan, WordPress-da blogni tekshirish uchun Metasploit moduli.

Biroz vaqt o'tgach, 2015 yilda GNU glibc-da yana uchta zaiflik aniqlandi, ular masofaviy foydalanuvchiga DoS hujumini amalga oshirish yoki stek chegarasidan tashqarida xotira hujayralarini qayta yozish imkonini berdi: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781 yil.

OS: Linux (GNU Coreutils)
Daraja: Past
Vektor: Mahalliy, masofaviy
CVE: CVE-2014-9471
Foydalanish: Yo'q

GNU Coreutils asosiy *nix paketlaridan biri boʻlib, deyarli barcha asosiy yordamchi dasturlarni (cat, ls, rm, date...) oʻz ichiga oladi. Muammo sanada topildi. parse_datetime funksiyasidagi xato masofaviy tajovuzkorga ruxsatsiz ruxsat beradi hisob tizimda xizmat ko'rsatishni rad etishga sabab bo'ladi va, ehtimol, vaqt mintaqasidan foydalangan holda maxsus tayyorlangan sana qatori orqali o'zboshimchalik bilan kodni amalga oshirishi mumkin. Zaiflik quyidagicha ko'rinadi:

$ teging ‘-- sana = TZ = ”123”345”@1’ Segmentatsiya xatosi $ sana - d ‘TZ = “Yevropa / Moskva” “00 : 00 + 1 soat”’ Segmentatsiya xatosi $ sana ‘-- sana = TZ = ”123”345”@1’ * * * “Sana”dagi xato: bepul () : noto‘g‘ri ko‘rsatgich: 0xbfc11414 * * *

GNU Coreutils-da zaiflik

Agar zaiflik bo'lmasa, biz noto'g'ri sana formati haqida xabar olamiz. Deyarli barcha Linux tarqatish ishlab chiquvchilari zaiflik mavjudligi haqida xabar berishdi. Hozirda yangilanish mavjud.

Yamalgan GNU Coreutils-ning normal chiqishi

OS: Linux (grep 2.19–2.21)
Daraja: Past
Vektor: Mahalliy
CVE: CVE-2015-1345
Foydalanish: Yo'q

Naqsh yordamida matnni qidirish uchun ishlatiladigan grep yordam dasturida zaifliklar kamdan-kam uchraydi. Ammo bu yordamchi dastur ko'pincha boshqa dasturlar, shu jumladan tizim dasturlari tomonidan chaqiriladi, shuning uchun zaifliklarning mavjudligi birinchi qarashda ko'rinadiganidan ancha muammoli. kwset.c-dagi bmexec_trans funksiyasidagi xato ajratilgan buferdan tashqaridagi hududdan ishga tushirilmagan ma'lumotlarni o'qishga yoki ilovaning ishdan chiqishiga olib kelishi mumkin. Hacker grep -F yordamida ilova kiritish uchun taqdim etilgan maxsus ma'lumotlar to'plamini yaratish orqali bundan foydalanishi mumkin. Hozirda yangilanishlar mavjud. Zaiflikdan yoki Metasploit modulidan foydalanadigan ekspluatatsiyalar mavjud emas.

FREEBSD OSHIRISHDA HOZAFLIK

OS: FreeBSD
Daraja: Past
Vektor: Mahalliy, masofaviy
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Foydalanish: https://www.exploit-db.com/exploits/35938/

2015 yil uchun CVE ma'lumotlar bazasida juda ko'p zaifliklar mavjud emas, aniqrog'i - atigi oltita. 2015-yil yanvar oyi oxirida Core Exploit Writers Team tadqiqotchilari tomonidan FreeBSD 8.4–10.x-da uchta zaiflik topilgan. CVE-2014-0998 VT konsoli drayverini (Newcons) amalga oshirish bilan bog'liq bo'lib, u /boot/loader.conf-dagi kern.vty=vt parametri bilan faollashtirilgan bir nechta virtual terminallarni ta'minlaydi.
CVE-2014-8612 SCTP protokolidan foydalanganda yuzaga keladi va SCTP soketlarini (mahalliy port 4444) amalga oshiradigan SCTP oqim identifikatorini tekshirish kodidagi xatolik tufayli yuzaga keladi. Mohiyati sctp_setopt() funksiyasidagi (sys/netinet/sctp_userreq.c) xotiradan qolgan xatodir. Bu mahalliy imtiyozsiz foydalanuvchiga 16 bit yadro xotirasi ma'lumotlarini yozish yoki o'qish va tizimdagi imtiyozlarini oshirish, nozik ma'lumotlarni ochish yoki tizimni buzish qobiliyatini beradi.

CVE-2014-8613 SCTP_SS_VALUE SCTP soket opsiyasi o'rnatilganda, tashqi qabul qilingan SCTP paketini qayta ishlashda NULL ko'rsatkichni yo'qotishga ruxsat beradi. Oldingi versiyalardan farqli o'laroq, CVE-2014-8613 maxsus ishlab chiqilgan paketlarni yuborish orqali yadro ishdan chiqishiga olib kelishi uchun masofadan foydalanish mumkin. FreeBSD 10.1 da siz net.inet.sctp.reconfig_enable o'zgaruvchisini 0 ga o'rnatish orqali o'zingizni himoya qilishingiz mumkin va shu bilan RE_CONFIG bloklarini qayta ishlashni o'chirib qo'yishingiz mumkin. Yoki shunchaki ilovalarni taqiqlang (brauzerlar, pochta mijozlari va hokazo). Garchi nashr paytida ishlab chiquvchilar allaqachon yangilanishni chiqargan bo'lsalar ham.

FreeBSD zaiflik statistikasi

OPENSSL OSHIRIBLIK

OS: OpenSSL
Daraja: Masofadan
Vektor: Mahalliy
CVE: CVE-2015-1793
Foydalanish: Yo'q

2014-yilda SSL/TLS bilan ishlash uchun keng qo‘llaniladigan kriptografik paket bo‘lgan OpenSSL-da Heartbleed-ning muhim zaifligi aniqlandi. Voqea bir vaqtning o'zida kodning sifati bo'yicha katta tanqidlarga sabab bo'ldi va bu, bir tomondan, LibreSSL kabi alternativalarning paydo bo'lishiga olib keldi, boshqa tomondan, ishlab chiquvchilarning o'zlari nihoyat biznesga kirishdi.

Zaifliklar bo'yicha eng yaxshi sotuvchilar

Kritik zaiflikni Google’dan Adam Langli va BoringSSL’dan Devid Benjamin aniqlagan. OpenSSL 1.0.1n va 1.0.2b versiyalarida amalga oshirilgan o'zgarishlar, agar ishonch zanjirini yaratishga birinchi urinish muvaffaqiyatsiz bo'lsa, OpenSSL sertifikatni tekshirishning alternativ zanjirini topishga harakat qildi. Bu sizga sertifikatni tekshirish protsedurasini chetlab o'tish va soxta sertifikat yordamida tasdiqlangan ulanishni tashkil qilish imkonini beradi, boshqacha qilib aytganda - foydalanuvchini soxta saytlar yoki serverlarga xotirjam jalb qilish. Elektron pochta yoki sertifikat ishlatiladigan har qanday MITM hujumini amalga oshirish.

Zaiflik aniqlangandan so'ng, ishlab chiquvchilar 9 iyulda 1.0.1p va 1.0.2d relizlarini chiqardilar, bu esa ushbu muammoni hal qildi. 0.9.8 yoki 1.0.0 versiyalarida bu zaiflik mavjud emas.

Linux.Encoder

Kuzning oxiri bir qator shifrlash viruslarining paydo bo'lishi bilan belgilandi, birinchi navbatda Linux.Encoder.0, keyin esa 2500 dan ortiq saytlarni zararlangan Linux.Encoder.1 va Linux.Encoder.2 modifikatsiyalari. Antivirus kompaniyalari ma'lumotlariga ko'ra, turli CMS-lar - WordPress, Magento CMS, Joomla va boshqalar yordamida ishlaydigan veb-saytlari bo'lgan Linux va FreeBSD serverlari hujumga uchramoqda. Xakerlar noma'lum zaiflikdan foydalanmoqda. Keyinchalik, qobiq skripti joylashtirildi (xato.php fayli), uning yordamida har qanday keyingi harakatlar(brauzer orqali). Xususan, Linux kodlovchi troyan ishga tushirildi.

OT arxitekturasini aniqlagan va to'lov dasturini ishga tushirgan kodlovchi. Kodlovchi veb-server huquqlari (Ubuntu - www-data) bilan ishga tushirildi, bu CMS fayllari va komponentlari saqlanadigan katalogdagi fayllarni shifrlash uchun etarli. Shifrlangan fayllar yangi kengaytmani oladi.encrypted.

Ransomware shuningdek, boshqa OS kataloglarini chetlab o'tishga harakat qiladi; agar huquqlar noto'g'ri sozlangan bo'lsa, u veb-sayt chegaralaridan osongina chiqib ketishi mumkin. Keyinchalik, README_FOR_DECRYPT.txt fayli katalogda saqlandi, unda fayllar shifrini ochish bo'yicha ko'rsatmalar va xaker talablari mavjud. Yoniq bu daqiqa antivirus kompaniyalari kataloglarni shifrlash imkonini beruvchi yordamchi dasturlarni taqdim etdi. Masalan, Bitdefender-dan to'plam. Ammo shuni yodda tutish kerakki, fayllarni shifrlash uchun mo'ljallangan barcha yordamchi dasturlar qobiq kodini olib tashlamaydi va hamma narsa yana sodir bo'lishi mumkin.

Veb-sayt ma'muriyatini ishlab chiqadigan yoki sinab ko'radigan ko'plab foydalanuvchilar ko'pincha veb-serverni o'rnatishini hisobga olsak uy kompyuteri, siz xavfsizlik haqida qayg'urishingiz kerak: tashqaridan kirishni bloklash, dasturiy ta'minotni yangilash, VMda tajribalar o'tkazish. Va g'oyaning o'zi kelajakda uy tizimlariga hujum qilish uchun ishlatilishi mumkin.

XULOSA

Jismonan xatosiz murakkab dasturiy ta'minot mavjud emas, shuning uchun siz zaifliklar doimo aniqlanishi bilan kelishishingiz kerak. Ammo ularning hammasi ham haqiqatan ham muammoli bo'lishi mumkin emas. Va olish orqali o'zingizni himoya qilishingiz mumkin oddiy qadamlar: foydalanilmagan dasturlarni olib tashlang, yangi zaifliklarni kuzatib boring va xavfsizlik yangilanishlarini o'rnatishni, xavfsizlik devorini sozlashni, antivirusni o'rnatishni unutmang. Va SELinux kabi maxsus texnologiyalar haqida unutmang, ular demon yoki foydalanuvchi dasturini buzishga qodir.