Názory k článku
Kaspersky: pokročilé útoky se čím dál častěji zaměřují na Linux
-
Tady je problem to, ze se pojem 'linux"' generalizuje a nasledne porovnava s Windows. To je proste nesmysl a Kaspersky jen fabuluje.
Vzhledem k tomu, ze linux reprezentuje vsechno od Desktopu po bezcenou cinskou kameru by bylo daleko zajimavejsi informace, ktery ze to je ten spatny linux.
Nenazyval bych to "pokrocile utoky", pokud se zameruji na lame vychozi pristupy, notoricky problemova zarizeni a detske chyby v konfiguraci.
Podstatny rozdil jem v tom, ze chyba ve Windows ovlivnuje globalne miliony beznych uzivatelu a jejich zarizeni. "Chyba v linuxu" ovlivnuje uzkou skupinu zarizeni a jeste uzsi skupinu uzivatelu.
Jabka, hrusky, nesmyslny clanek.
-
Vzhledem k tomu, ze linux reprezentuje vsechno od Desktopu po bezcenou cinskou kameru by bylo daleko zajimavejsi informace, ktery ze to je ten spatny linux.
Takové srovnání nelze udělat, právě z důvodů, které píšete. Na bezpečnost Linuxu zle nazírat z hlediska slabin samotného jádra, i z hlediska slabin v jeho ekosystémech (GNU, Android, jednoúčelová zařízení, ...).
Podstatny rozdil jem v tom, ze chyba ve Windows ovlivnuje globalne miliony beznych uzivatelu a jejich zarizeni. "Chyba v linuxu" ovlivnuje uzkou skupinu zarizeni a jeste uzsi skupinu uzivatelu.
Toto je falešný argument. Pokud položíte jako výhodu, že rizika jsou nižší, protože Linux nepoužívá tolik lidí (což je samo o sobě odvážné tvrzení), pak je cílem takového prohlášení to, že Linux budou používat další uživatelé. Argument popírá sám sebe (proto je falešný).
Kromě toho, že je to PR na bezpečnostní řešení, strefuje se článek právě do toho nesmyslného argumentu, že Linux je a priori bezpečnější. Není. V posledních letech byly nalezeny díry jako vrata, ať už v Linuxu, tak i v jeho ekosystémech (GNU apod.). Z Windows také nezkoumáme, jestli chyba vznikla v pevném jádru systému, nebo jestli se týká odinstalovatelných komponent.
-
Dalo by se argumentovat, že Linux + ekosystém sice není implicitně bezpečnější, ale je obtížněji napadnutelný díky řádově vyšší diverzitě. Windows je poměrně homogenní prostředí, jak napříč verzemi, tak platformami. Stejným postupem lze dosáhnout cíle jak na WinXP, tak na serverových Windows, tak na Win10 na ARMu.
Zatímco s Linuxem si nemůžete být jistí ničím - různé shelly, rozložení paměti, mnoho variant userspace od systemd až po stovky různých jednorázových skriptů a dočasných řešení, na kterých stojí IoT zařízení od žárovky až po kamery a routery.
Je to security through obscurity, ano, ale statisticky to na úspěšnost útoků má. Cena (náklady / počet úspěšných útoků) je vyšší.
-
Mne raz odchytili heslo ked som sa prihlasoval cez SSH cez iny server.
Nakolko mame na tomto vstupnom servri nejake monitorovanie tak sa zistilo ze sa tam niekto prihlasil 'neopravnene'. Vsetko sme odlozili a router obnovili zo zalohy. Potom sme studovali co sa vlastne stalo.
Chlapik evidentne vedel robit iba s RedHat-om. Pokusil sa stiahnut poskodeny SSH ktory posielal hesla niekam do rumunska. Nenasiel ale CURL tak 'yum' ten tam nebol este poskusal zopar veci a kedze skript ktory po nom uprace nemohol stiahnut tak sme vsetko pekne pozachytavali, bol taky lavy ze ani .bash_history nezmazal. Koniec, bolo po utoku. -
je obtížněji napadnutelný díky řádově vyšší diverzitě
To je právě klam. Typově jsou ty slabiny společné, a jakkoliv se v distribucích kombinují různě, lze je zneužít automaty (roboty).
Je to security through obscurity, ano, ale statisticky to na úspěšnost útoků má.
To je právě ono. Má to význam jen statisticky - tj. při pohledu nazpět. Nemá to žádnou cenu při odhadování rizik do budoucna, což je obvykle to, co chcete. (Když Vám na minci padne desetkrát za sebou orel, pak na jedenáctý hod je zase pravděpodobnost 50 %, že padne znovu - nijak tu pravděpodobnost (riziko) neovlivňuje minulost).
-
- - (neregistrovaný)
@Miroslav Šilhavý
Typově možná, ale prakticky ne. Často potřebujete řetěz událostí k průniku a už o jeden patch vyšší některá knihovna Vám to může překazit. V prostředí, kde jsou rozmanité programy a to je násobení tunami verzí chrlených komunitami máte daleko větší šanci, že na většině strojů Vám útok selže, nebo nebude možný vůbec. Naproti tomu pokud máte pouze jeden program v prostředí a pouze několik možných verzí, máte velkou šanci dobře trefit s daleko daleko menším úsiliím a větší jistotou. Možná je otázka, jestli je prostředí rozmanité dostatečně, např. u SSH to asi tak moc platit nebude, ale klam to rozhodně není.
Nejsem super guru, ale neřekl bych, že se při hardeningu hází mincí a vždy skončíte s 50%.
-
Nejsem super guru, ale neřekl bych, že se při hardeningu hází mincí a vždy skončíte s 50%.
Diverzita prostředí není hardening. Komplikuje to cestu (průniku), ale bezpečnost to nezvyšuje. To je podobné, jako říct, že nejbezpečnější auto na světě je to, kterým nejezdíte. Je to taky totiž svým způsobem pravda, ale není to měřítko bezpečnosti.
Víte, ta různorodost prostředí byla tak někdy v devadesátých letech opravdu využívaná k "zabezpečení". Ještě dodnes najdete "experty", kteří za bezpečnostní opatření považují změnu portu SSH (a např. netuší, že změnou portu >1000 naopak bezpečnost snižují).
Proto je na místě osvěta, co je a co není bezpečnost.
-
To jsou hezke teoreticke zvasty, praxe je jina. Vasim jazykem, cislo portu samo o sobe s bezpecnosti nesouvisi, ale na ta nizka pro serverove sluzby v pripade unixu a vstupnich bran miri 99% automatickych scanneru a nasledne i utocnici.
Logy mych zarizeni to potvrzuji.
Cili minimalne pro prvni fazi utoku a pro hledani ciziho prostredi, z nehoz povedu nasledny utok, je pravdepodobnost detekce spusteneho ssh serveru na portu 22 nasobne vyssi. Jednak k ni dojde prakticky okamzite, druhak, pokud je na tom portu neco, co neni ssh a pouze kazde spojeni odmitne rst az po navazani, bude mit utocnik pocit, ze nalezl, ale nelze pouzit.
-
- - (neregistrovaný)
@Miroslav Šilhavy
Taky nikdo netvrdil, že diverzita je hardening, ale bude to asi chvíle, ldy si vezmete tu Vaši minci.
A to jako musí být meřitko bezpecnosti, aby se dalo mluvit o tom, že to má skutečně vliv? Nemusi a stejně uznáváte, že má. Takže si sám protiargumentuje, úspěšně vyvracíte a dáváte za pravdu.Druhý odstavec je dvakrát Strawman - jak SSH tak to co údajně nekdo použival v devadesatkách.
Směšujete "zabezpečení" a " vliv na zabezpečnost". A pak se sám perete se svými vlastními přiklady.
-
- - (neregistrovaný)
@Miroslav Šilhavý
Lepší říklad než krají svat s autem je s byt a dvěřmi. Je lepší se zaměřit na množinu bytů, kde dveře jsou od různých výrobců, zámky od jiných a v různých verzích často záplatované komunitami, nebo na výrobce dveří i zámků kde verzí je pouze několik a patchů jako šafránu?
A přesto jsou to pořád dveře a přesto nejde přímo o kvalitu a přesto za pomocí hrubé síly mohou být zničeny. -
@87vdf4vg82
Já Vaše teze i závěry beru, jen to nepatří do okruhu bezpečnosti. Správné je tedy říct: neumím server zabezpečit / nemám na zabezpečení čas a peníze, a tak jsem aspoň změnil porty. S tím pak samozřejmě souvisí i hodnocení bezpečnosti Linuxu, o kterém zde hovoříme.
Pokud je výsledek zakrytý nahodilými jevy (např. že robot nenajde zranitelný port, protože je nestandardní), nebo protože jsou ekosystémy Linuxu různorodé, pak to musíte od hodnocení bezpečnosti odečíst.
-
- - (neregistrovaný)
@Miroslav Šilhavý
O změně portu hovoříte stále jenom Vy. Stejně jako o autech a o bezpečnosti, kterou zaměňujete za "vliv na bezpečnost".
Já jsem zmínil SSH jako program, který "nemá moc alternativ", na rozdíl od např. Web browserů nebo pošt. klientů na "linuxu". Tím je tedy narušená ta diverzita prostředí pro specifické situace. Na rozdíl např.od těch browserů. Nějaká bezpečnost s porty a problematika je pouze Vaše tvrzení a perete se s tím sám.
Opakuji:
"Směšujete "zabezpečení" a " vliv na zabezpečnost"" A pak stavíte do takové polohy i tvrzení ostatních. -
@87vdf4vg82
Mě víceméně nezajímá "vliv na bezpečnost", ale syrová bezpečnost jako taková, protože o ní se neustále diskutuje. Vznikají pak tvrzení, že Linux je bezpečnější než Windows, což prostě v jádru není pravda. Pravda je jen to, že díky rozdílnosti prostředí a nízké penetraci u uživatelů desktopu (kteří nejčastěji pomohou hrozbě vstoupit dovnitř), se rizika Linuxu projevují ve velmi malé míře. A proč mě taková tvrzení rozčilují? Protože dávají lidem falešný pocit bezpečí, aniž by rozlišili bezpečnost od nesouvisejících vnějších projevů - a čím víc lidí bude Linux používat a čím méně distribucí, nastartuje se dost nepříjemný trend růstu hrozeb.
SSH nemá alternativy, ale taky není obvykle potřeba ho exponovat do širého světa. Pro správu stačí bezpečnost vrstvit - např. přes VPN/DMZ, omezení firewallem, přístupem přes relay, ... Samotné ověření klíčem, je možno přidat OTP, je možno přidat externí token, ...Tedy metodami, kdy záměrně kombinujete několik technologií tak, aby při selhání jedné hrozbu zadržela druhá.
Linuxovým distribucím poměrně zazlívám, že málo uplatňují politiku "secure by default" - např. není zvykem instalace s restriktivním OS firewallem. Nebo za poměrně velký úlet dlouhodobě považuji, že nelze parametry kernelu říct, aby všechny chainy FILTERU měly DROP BY DEFAULT. Když selže init / systemd či jiný script, zůstane filter v default policy accept.
Mohli bychom hovořit dlouho, ale asi se míjíme v tom, že já diskutuji o původním tvrzení, že by Linux měl být implicitně bezpečnější než Windows.
-
- - (neregistrovaný)
@Miroslav ŠIlhavý
"je obtížněji napadnutelný díky řádově vyšší diverzitě
To je právě klam. Typově jsou ty slabiny společné, a jakkoliv se v distribucích kombinují různě, lze je zneužít automaty (roboty)."
[Miiroslav Šilhavý]
Evidentně jste někde ztratil nit a začal jste tvrzení o "vlivu na bezpečnost", za nějaké kritéria bezpečnosti.
Vás sice nezajímá "vliv na bezpečnost" ale to bylo sdělení příspěvku. Je trošku divné vzít něčí příspěvek, jeho sdělení a začít odpovídat o něčem úplně jiném co jste si sám o sobě zvolil.
-
Zdaaarek.
Niektore techniky diverzifikacie systemov su celkom zaujimave a dost ucinne, vid. par prikladovych odkazov nizsie.
2015 - The Multiple Facets of Software Diversity: Recent Developments in Year 2000 and Beyond
https://hal.inria.fr/hal-01182103/document2014 - Diversification of System Calls in Linux Binaries
https://www.springer.com/cda/content/document/cda_downloaddocument/9783319279978-c2.pdf2006 - N-Variant Systems - A Secretless Framework for Security through Diversity
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.62.9331&rep=rep1&type=pdf -
Nevím, jestli bych security through obscurity přeložil jako bezpečnost založenou na zvláštnostech. Překládá se to jako bezpečnost skrze neznalost, tedy nikdo neví, jak daný software vevnitř funguje, takže je bezpečnější, protože bezpečnostní problémy nejsou tak viditelné, což je samozřejmě dlouhodobě lichá strategie.
Software se zdrojovým kódem má výrazně omezenější prostor dělat security through obscurity. -
Zranitelnost Windows ovlivnuje automaticky globalne miliony zarizeni = uzivatelu je proste fakt. Chyba v linuxu ovlivnuje uzkou skupinu zarizeni a jeste uzsi skupinu uzivatelu. Tak to je snad logicke ne? Vy vidite v tomto tvrzeni nejaky falesny argument, nebo nejake cile? Nepodsouvejte laskave neco co nikdo nepsal..
-
"Chyba v linuxu ovlivnuje uzkou skupinu zarizeni a jeste uzsi skupinu uzivatelu."
To je docela odvážné tvrzení vzhledem k tomu, že je Linux dnes zdaleka nejrozšířenějším systémem na světě. Troufl bych si tvrdit, že kritická chyba v Linuxu dnes může mít ve výsledku dopad na víc lidí než kritická chyba ve Windows. Desktopy nejsou všechno a neútočí se jen na desktopy.
-
"To je docela odvážné tvrzení vzhledem k tomu, že je Linux dnes zdaleka nejrozšířenějším systémem na světě. "
Tak tohle je teda fakt odvazne tvrzeni? Mohl byste to nejak dolozit?
Pokud mate na mysli fakt, ze Android je vlastne Linux, tak OK, ale pak by Kasperskeho report znamenal hlavne to, ze se zacina vice utocit na Android jako na specifickou platformu zalozenou na Linuxu a nikoli na servery a desktopy s Linuxem, ktere tedy opravdu nejsou "zdaleka nejrozšířenějším systémem na světě", jak matoucim zpusobem naznacujete.
Zabezpeceni Androidu je ovsem diky stylu pouziti (mobilni telefony) zcela jina vec, nez zabezpeceni Linuxu na serverech nebo desktopech. To prece musite vedet, ne?23. 9. 2020, 14:26 editováno autorem komentáře
-
A proč by linuxový systém, který není Android, měl být automaticky desktop nebo server? Dnes Linux běží všude možně: televize, set-top-boxy, lednice, auta, bezpečnostní kamery, nemocniční přístroje, informační tabule atd. atd. Pořád jsou to miliardy zařízení. Userspace se liší, ale kernel to má pořád stejný a jak už tady psal, pokud někdo využije zranitelnost, která je v kernelu třeba několik let, tak ten počet potenciálně ohrožených systémů je obrovský, klidně výrazně větší než u Windows.
A pak je tu ještě jeden aspekt: důležitost jednotlivých systémů. Pokud někdo napadne 1000 serverů Amazonu, tak tím může klidně ohrozit víc uživatelů, než když napadne milion desktopů s Windows. -
Přesně tak. Dám k tomu příklad: pokud se objeví zneužitelná chyba v jádře (nebo jiné společné komponentě), která tam visí od 2.4 až do 5.7, může reálně ovlivnit všechna zařízení vyrobená za posledních deset let. To máme miliony android telefonů, další miliony různých domácích routerů a switchů, kamer, hodinek, iot krabiček (tj zařízení často bez podpory a aktualizací, ale stále v "produkci" a připojená k internetu). Schválně jsem nejmenoval cloudové služby, linuxové servery a desktopy, kde často dorazí aktualizace na druhý den po objevení.
