Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: ilkant - 04.09.22 - klo:03.22

Otsikko: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: ilkant - 04.09.22 - klo:03.22
TiVi uutisoi: Linux-järjestelmiin kohdistuvat hyökkäykset kovassa kasvussa – tilanne on riistäytymässä käsistä (https://www.tivi.fi/uutiset/tv/388e9775-5a13-4942-acfe-7615d4a98930[/url).

Vuosikymeniä on voinut olla rauhassa kun "viruksiakaan ei Linuxissa ole". Aikoinaan joku epäili, että Linuxissa on niin vähän viruksia (4 kpl silloin) kun sitä niin harva käyttää. Onko tässä syytä alkaa ottaa säännöllisesti varmuuskopioita Linux-koneen levyistä tiheämmin kuin aiemmin ja muutenkin katsomaan tarkemmin, mitä outoa koneella tapahtuu? Uutisessa sanotaan, että hyökkäykset kohdistuvat lähinnä yritysten ja instituutioiden sekä julkisien palvelujen koneisiin.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: epiphone - 04.09.22 - klo:03.32
Hei, laittamasi linkki ei toimi ainakaan minulla.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: tapion - 04.09.22 - klo:06.15
Tässä kopio Tivin sivulta.
Trend Micron julkaiseman tietoturvaraportin mukaan kiristyshaittaohjelmahyökkäyksiä tehtailevat verkkorikolliset kohdistavat tulevina vuosina iskujaan enenevissä määrin Linux-palvelimiin ja sulautettuihin järjestelmiin.

Tällaisiin järjestelmiin kohdistuneiden hyökkäysten määrä on kasvanut jo nyt merkittävissä määrin edellisvuoden vastaavaan ajanjaksoon verrattaessa.

Yhtiön mukaan se pysäytti jopa 63 miljardia uhkaa vuoden 2022 ensimmäisellä puoliskolla. Kasvua edellisvuoden vastaavan ajanjakson määriin on 52 prosenttia. Haittaohjelmahyökkäyksiä kohdistettiin erityisesti julkishallinnon, teollisuuden ja terveydenhuollon järjestelmiin.

Kasvussa ovat myös rikokset, joissa kiristyshaittaohjelmahyökkäys on ostettu erillisenä palveluna. Käytetyimpiä kiristyshaittaohjelmia, kuten LockBitiä ja Contia havaittiin käytettävän dramaattisesti enemmän kuin vuoden 2021 alkupuoliskolla. Hyökkäysten määrä kasvoi jopa 500 prosenttia, ja havaintojen lukumäärä lähes kaksinkertaistui vain kuudessa kuukaudessa.

Uusia kiristyshaittaohjelmatoimijoita ilmaantuu Trend Micron mukaan jatkuvasti. Vuoden 2022 ensimmäisen puoliskon merkittävin uusi tulokas on nimeltään Black Basta, jonka on havaittu iskeneen kahden kuukauden aikana 50 organisaatioon.

Vaikka useamman kiristyshaittaohjelmajengin tähtäimessä ovat suuryritykset, ei pk-yritysten kannata tuudittautua valheelliseen turvallisuudentunteeseen. Myös pk-yrityksiä vastaan kohdistetut iskut ovat nimittäin kasvussa.

Tietoturva-aukot ovat yhä tärkein yksittäinen hyökkäysvektori. Paikkaamattomat haavoittuvuudet lisäävät digitaalista hyökkäyspinta-alaa, minkä johdosta monilla organisaatioilla on vaikeuksia etätyön laajentaman it-ympäristönsä turvaamisessa. Yli kaksi viidesosaa (43 prosenttia) kansainvälisistä organisaatioista uskoo, että tilanne on riistäytymässä käsistä.

”Uudet ja nousussa olevat uhkatoimijat jatkavat bisnesmalliensa kehittämistä. He kohdistavat hyökkäyksiään aina vain tarkemmin valikoituihin kohteisiin. Niinpä on alati tärkeämpää, että organisaatiot oppivat kartoittamaan, ymmärtämään ja suojelemaan it-ympäristöään entistä paremmin. Kunnollinen yhtenäinen ja kattava tietoturva-alusta olisi paras tapa aloittaa tämä prosessi”, kertoo Trend Micron kyberturva-asiantuntija Kalle Salminen tiedotteessa.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: juyli - 04.09.22 - klo:23.08
Tässä kopio Tivin sivulta.
Trend Micron julkaiseman tietoturvaraportin mukaan kiristyshaittaohjelmahyökkäyksiä tehtailevat verkkorikolliset kohdistavat tulevina vuosina iskujaan enenevissä määrin Linux-palvelimiin ja sulautettuihin järjestelmiin.
Tivi on mediajulkaisu, jonka tavoite on myydä tuotettaan raflaavin otsikoin. Toki myös ajoittain täyttä asiaa.
Tavisten pitänee olla huolellisia verkkokäyttäjänä ja pitää jakelu ajantasalla.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Hajakenttä - 05.09.22 - klo:13.53
Onko näistä mitään apua?

Koodia: [Valitse]
sudo ufw enable
Koodia: [Valitse]
sudo ufw default deny incoming
Koodia: [Valitse]
sudo ufw default allow outgoing
Koodia: [Valitse]
sudo ufw status verbose
Tietenkin sen lisäksi, että ei availe selaimessa huijareiden linkkejä ja katsoo muutenkin tarkkaan mitä lataa, mitä asentaa ja mitä koodia ajaa. Ei mikään palomuuri tai muukaan suojaus auta, jos itse tekee siihen reikiä.

Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: JaniAlander - 06.09.22 - klo:10.46
Taitaapi nuo hyökkäykset kohdistua enemmänkin palvelinympäristöihin kuin työpöytäkoneisiin.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Jere Sumell - 06.09.22 - klo:17.08
Onko näistä mitään apua?

Koodia: [Valitse]
sudo ufw enable
Koodia: [Valitse]
sudo ufw default deny incoming
Koodia: [Valitse]
sudo ufw default allow outgoing
Koodia: [Valitse]
sudo ufw status verbose
Tietenkin sen lisäksi, että ei availe selaimessa huijareiden linkkejä ja katsoo muutenkin tarkkaan mitä lataa, mitä asentaa ja mitä koodia ajaa. Ei mikään palomuuri tai muukaan suojaus auta, jos itse tekee siihen reikiä.

Eikö tuossa palomuurin  kytkemisessä automaattisesti tule estona tuo sisääntulevan liikenteen rajaus? Vai mikä tarkoitus noita erikseen on komennoilla ulosmenevä sallia ja sisääntuleva estää? Jotenkin jäänyt se käsitys, kun aina kun olen pistänyt palomuurin tuolla enable parametrilla päälle, niin tuo incoming on deny, eli estopäällä oletuksena siinä.

Taitaapi nuo hyökkäykset kohdistua enemmänkin palvelinympäristöihin kuin työpöytäkoneisiin.

On tuossa Janin kommentissa perää, että varmaan voisi kuvitella, että enemmänkin palvelimiin nuo verkkorikolliset kohdistavat esitiedustelun jälkeen, koska yleensä niissä on ainakin nykyisin jo raha motiivina, niin suuremman taloudellisen hyödyn hyökkäjät saavat joidenkin yritysten palvelimiin kohdistaen ne hyökkäykset, mitä työpöytäkäyttäjillä on sellaista varmaan aika vähän mitään rahan arvoista dataa, mitä voisivat varastaa ja sitten kiristää lunnasrahoja.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: raimo - 06.09.22 - klo:19.44

Eikö tuossa palomuurin  kytkemisessä automaattisesti tule estona tuo sisääntulevan liikenteen rajaus? Vai mikä tarkoitus noita erikseen on komennoilla ulosmenevä sallia ja sisääntuleva estää? Jotenkin jäänyt se käsitys, kun aina kun olen pistänyt palomuurin tuolla enable parametrilla päälle, niin tuo incoming on deny, eli estopäällä oletuksena siinä.

Koodia: [Valitse]
sudo ufw enable
riittää siihen että palomuuri ei päästä mitään itsepyytämätöntä liikennettä sisään.
Porttien tms avaus sitten netistä löytyvistä ohjeista jos tarvetta on, no saa niitä täälläkin kysyä, luonnollisesti. :)
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Jere Sumell - 06.09.22 - klo:20.56
riittää siihen että palomuuri ei päästä mitään itsepyytämätöntä liikennettä sisään.
Porttien tms avaus sitten netistä löytyvistä ohjeista jos tarvetta on, no saa niitä täälläkin kysyä, luonnollisesti. :)

Porttien availun sijaan paremminkin olisi aiheellista sulkea tai estää pääsy niistä?

Onko muuten näissä Ubuntu ja Ubuntu-pohjaisissa distroissa jotain sovellusprofiileja sellaisia prosesseja aktiivisena käynnistyksen jälkeen, joihin kannattaisi lisätä listaan, sulkea portti?

Mitä tuo ufw ja graafinen käyttöliittymä työpöytäympäristössä gufw pohjautuu iptables:iin, niin voi olla jossain määrin kätevää määritellä kotiverkossa valkoinen lista whitelist ja rajata osoite-alue pelkästään niiden koneiden kesken, mitä kotiverkossa on. Mutta en tiedä sitten, onko tuo valkoinen lista ulkopuolelta mahdollista kiertää jotenkin, jos joku yrittää ottaa palvelimeen tai koneeseen yhteyden sellaisesta osoitteesta, joka ei ole määriteltynä tuossa whitelistissa?
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: AimoE - 06.09.22 - klo:21.03
Mitä tuo ufw ja graafinen käyttöliittymä työpöytäympäristössä gufw pohjautuu iptables:iin,
Ubuntu 21.10:stä alkaen palomuuri on nftables (ainakin oletuksena), ja ufw tulee sen kanssa juttuun ihan yhtä hyvin.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Jere Sumell - 06.09.22 - klo:21.28
Tuosta iptables -sääntöjen ja valkoisen listan luonnista yhdistettynä, että rajaa ulkopuolisten ip-osotteiden yhteyspyyntöjen maksimia sallittua määrää liittyy myös jollain tavalla palvelimen ylläpitäjän kannalta turvallsuuden lisääntymiseen palvelunestohyökkäyksiä silmällä pitäen, vai olenko aivan väärillä jäljillä?

Perustuuko kaikki Linuxille saatavvilla olevat palomuuriohjelmistot iptables / nftables -jollain tavalla, mitä nuo tulee joka jakelussa asennuksen yhteydessä?

Luin tuolta Linuxconfig.orgista, että nuo iptables / nftables -on kykeneviä monimutkaisiinkin konfigurointi-konffeihin, niin voisi kuvitella, jos otttaa haltuun noiden käytön, voisi saada aika tehokkaan ainakin kotikäytössä olevan työpöytäkone-Linuxkoneen turvallisuustason tuon palomuurin toimivuuden suhteen?

Tuossa Linuxconfig.org-artikkelissa oli sitten cons, eli haitat listassa noista iptables / nftables -että komentosyntaksi voi kestää hetken ottaa haltuun, tai se on siis aikaa vievää.Mutta tuo nyt oli pros -eli eduksi luettava asia listattuna tuonne, että kykenee monimutkaisiinkin konffeihin edellyttäen, että käyttäjä hallitsee ja tietää mitä tekee.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: mniem - 07.09.22 - klo:16.37
Tämä raimon HOWTO oli kovaa tavaraa aikana, jolloin vasta aloittelin Linuxin käyttöä:
https://forum.ubuntu-fi.org/index.php?topic=4107.0

En ole sen koomin viritellyt palomuuria, joten en ole varma, miltä osin ohje vielä toimii.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: igor_2 - 07.09.22 - klo:19.22
Tästä palomuurista ja kotikäytössä olevasta koneesta kysyisin, että jos on tavan modeemi, joka ei ole siltaavassa tilassa, niin eikö jo pelkästään se riitä varsin pitkälle ulkoa tulevia hyökkäyksiä vastaan? Mitä lisäarvoa tulee sitte vielä koneessa mahdollisesti päällä oleva palomuuri tuo?

Kyselen vain, kun en näistä oikein mitään tiedä.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: mniem - 07.09.22 - klo:20.47
Tästä palomuurista ja kotikäytössä olevasta koneesta kysyisin, että jos on tavan modeemi, joka ei ole siltaavassa tilassa, niin eikö jo pelkästään se riitä varsin pitkälle ulkoa tulevia hyökkäyksiä vastaan? Mitä lisäarvoa tulee sitte vielä koneessa mahdollisesti päällä oleva palomuuri tuo?

Kyselen vain, kun en näistä oikein mitään tiedä.
Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22. Peruskäytössä noita portteja ei juurikaan tarvitse availla. Enemmän olisin tarkkana selaimen käytössä, että tule vahingossa asentaneeksi mitään epäilyttäviä lisäosia, joidenka kautta hakkerit voisivat urkkia perinteistä netin käyttöä.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: igor_2 - 07.09.22 - klo:21.05
Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22.

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: mniem - 07.09.22 - klo:21.11
Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22.

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.
Siltaavassa tilassa IP-osoite on julkinen. Reitittävässä tilassa (192.168. alkuinen) tietokoneen IP-osoitteen ei pitäisi olla julkinen. Eli oikeassa olet tässä tapauksessa.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Leko - 07.09.22 - klo:22.03
Yleisesti ajattelen, en asiantuntijana.
Verkossa toimivat palvelimet ovat paljolti linuxeja. Totta kai niistä kiinnostuvat koputtelijat. Yksityisiiin peruskäyttäjien koneisiin en usko heidän kykynsä riittävän, ellei heitä päästetä ensin oikein fyysisesti koneen viereen.

Oikaiskaa, jos ajattelussani on mielestänne virhe.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Jere Sumell - 08.09.22 - klo:08.56
Kännikirjoittelut seis, poistin tämän viestin oma-alotteisesti, koska katsoin sen olevan offtopicia ja viestissä ei ollut päätä ei häntää.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: raimo - 08.09.22 - klo:12.11
Porttien availun sijaan paremminkin olisi aiheellista sulkea tai estää pääsy niistä?

Onko muuten näissä Ubuntu ja Ubuntu-pohjaisissa distroissa jotain sovellusprofiileja sellaisia prosesseja aktiivisena käynnistyksen jälkeen, joihin kannattaisi lisätä listaan, sulkea portti?

Kaikki sisääntunkevat portit on suljettu tuon sudo ufw enable komennon jälkeen, mitään ei siis tarvi sulkea.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: kuutio - 08.09.22 - klo:12.30
Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.
Ei siitä sisäverkon laitteen IP-osoitteen tietämisestäkään mitään hyötyä ole, jos ulkoverkon ja sisäverkon välissä on (NAT-)reititin. Ei siihen sisäverkon laitteeseen saa ulkoverkosta yhteyttä, jos reitittimeen ei ole porttiohjauksia tehty.
Otsikko: Vs: Hyökkäykset Linuxeihin kovassa kasvussa
Kirjoitti: Jere Sumell - 11.09.22 - klo:08.11
palaan vielä tuohon paketti-filtterointi -palomuuriratkaisuun, kun eilen illalla katselin ja luin siinä, ja tänä aamuna jatkoin, mitä noissa rautapalomuureissa on tekniikkaa palvelunestohyokkäyksiä silmällä pitäen, niin tuosta on jotain papereita kirjoitettuna maailmalla pakettifiltterointimetodeista noiden DDOS -hyokkäysten osalta.

Techtargetista luin artikkelin, että etuna on halpa hinta, ja sopii joidenkin organisaatioiden palomuuriratkaisuun, mutta oli samalla sitten haittapuolena että noita on helppo huijata.

En sitten tiedä, kuinka yleistä, että ainakin varmaan isommissa organisaatioissa on useampia noita palomuuriratkaisuja käytossä yhtä aikaa, ja varmaan useampia rautaratkaisujakin noiden pakettifilttereiden lisäksi, niin varmaan sitten noihin rautapalomuureihinkin kohdistuu sitten sitä yrityksen kannalta ei-toivottuja yhteyspyyntosarjoja.