Hyökkäykset Linuxeihin kovassa kasvussa

[ilkant]

TiVi uutisoi: Linux-järjestelmiin kohdistuvat hyökkäykset kovassa kasvussa – tilanne on riistäytymässä käsistä.

Vuosikymeniä on voinut olla rauhassa kun "viruksiakaan ei Linuxissa ole". Aikoinaan joku epäili, että Linuxissa on niin vähän viruksia (4 kpl silloin) kun sitä niin harva käyttää. Onko tässä syytä alkaa ottaa säännöllisesti varmuuskopioita Linux-koneen levyistä tiheämmin kuin aiemmin ja muutenkin katsomaan tarkemmin, mitä outoa koneella tapahtuu? Uutisessa sanotaan, että hyökkäykset kohdistuvat lähinnä yritysten ja instituutioiden sekä julkisien palvelujen koneisiin.

[epiphone]

Hei, laittamasi linkki ei toimi ainakaan minulla.

[tapion]

Tässä kopio Tivin sivulta.
Trend Micron julkaiseman tietoturvaraportin mukaan kiristyshaittaohjelmahyökkäyksiä tehtailevat verkkorikolliset kohdistavat tulevina vuosina iskujaan enenevissä määrin Linux-palvelimiin ja sulautettuihin järjestelmiin.

Tällaisiin järjestelmiin kohdistuneiden hyökkäysten määrä on kasvanut jo nyt merkittävissä määrin edellisvuoden vastaavaan ajanjaksoon verrattaessa.

Yhtiön mukaan se pysäytti jopa 63 miljardia uhkaa vuoden 2022 ensimmäisellä puoliskolla. Kasvua edellisvuoden vastaavan ajanjakson määriin on 52 prosenttia. Haittaohjelmahyökkäyksiä kohdistettiin erityisesti julkishallinnon, teollisuuden ja terveydenhuollon järjestelmiin.

Kasvussa ovat myös rikokset, joissa kiristyshaittaohjelmahyökkäys on ostettu erillisenä palveluna. Käytetyimpiä kiristyshaittaohjelmia, kuten LockBitiä ja Contia havaittiin käytettävän dramaattisesti enemmän kuin vuoden 2021 alkupuoliskolla. Hyökkäysten määrä kasvoi jopa 500 prosenttia, ja havaintojen lukumäärä lähes kaksinkertaistui vain kuudessa kuukaudessa.

Uusia kiristyshaittaohjelmatoimijoita ilmaantuu Trend Micron mukaan jatkuvasti. Vuoden 2022 ensimmäisen puoliskon merkittävin uusi tulokas on nimeltään Black Basta, jonka on havaittu iskeneen kahden kuukauden aikana 50 organisaatioon.

Vaikka useamman kiristyshaittaohjelmajengin tähtäimessä ovat suuryritykset, ei pk-yritysten kannata tuudittautua valheelliseen turvallisuudentunteeseen. Myös pk-yrityksiä vastaan kohdistetut iskut ovat nimittäin kasvussa.

Tietoturva-aukot ovat yhä tärkein yksittäinen hyökkäysvektori. Paikkaamattomat haavoittuvuudet lisäävät digitaalista hyökkäyspinta-alaa, minkä johdosta monilla organisaatioilla on vaikeuksia etätyön laajentaman it-ympäristönsä turvaamisessa. Yli kaksi viidesosaa (43 prosenttia) kansainvälisistä organisaatioista uskoo, että tilanne on riistäytymässä käsistä.

”Uudet ja nousussa olevat uhkatoimijat jatkavat bisnesmalliensa kehittämistä. He kohdistavat hyökkäyksiään aina vain tarkemmin valikoituihin kohteisiin. Niinpä on alati tärkeämpää, että organisaatiot oppivat kartoittamaan, ymmärtämään ja suojelemaan it-ympäristöään entistä paremmin. Kunnollinen yhtenäinen ja kattava tietoturva-alusta olisi paras tapa aloittaa tämä prosessi”, kertoo Trend Micron kyberturva-asiantuntija Kalle Salminen tiedotteessa.

[juyli]

Tässä kopio Tivin sivulta.
Trend Micron julkaiseman tietoturvaraportin mukaan kiristyshaittaohjelmahyökkäyksiä tehtailevat verkkorikolliset kohdistavat tulevina vuosina iskujaan enenevissä määrin Linux-palvelimiin ja sulautettuihin järjestelmiin.

Tivi on mediajulkaisu, jonka tavoite on myydä tuotettaan raflaavin otsikoin. Toki myös ajoittain täyttä asiaa.
Tavisten pitänee olla huolellisia verkkokäyttäjänä ja pitää jakelu ajantasalla.

[Hajakenttä]

Onko näistä mitään apua?

Koodia: [Valitse]

sudo ufw enable

Koodia: [Valitse]

sudo ufw default deny incoming

Koodia: [Valitse]

sudo ufw default allow outgoing

Koodia: [Valitse]

sudo ufw status verbose
Tietenkin sen lisäksi, että ei availe selaimessa huijareiden linkkejä ja katsoo muutenkin tarkkaan mitä lataa, mitä asentaa ja mitä koodia ajaa. Ei mikään palomuuri tai muukaan suojaus auta, jos itse tekee siihen reikiä.

[JaniAlander]

Taitaapi nuo hyökkäykset kohdistua enemmänkin palvelinympäristöihin kuin työpöytäkoneisiin.

[Jere Sumell]

Onko näistä mitään apua?

Koodia: [Valitse]

sudo ufw enable

Koodia: [Valitse]

sudo ufw default deny incoming

Koodia: [Valitse]

sudo ufw default allow outgoing

Koodia: [Valitse]

sudo ufw status verbose
Tietenkin sen lisäksi, että ei availe selaimessa huijareiden linkkejä ja katsoo muutenkin tarkkaan mitä lataa, mitä asentaa ja mitä koodia ajaa. Ei mikään palomuuri tai muukaan suojaus auta, jos itse tekee siihen reikiä.

Eikö tuossa palomuurin  kytkemisessä automaattisesti tule estona tuo sisääntulevan liikenteen rajaus? Vai mikä tarkoitus noita erikseen on komennoilla ulosmenevä sallia ja sisääntuleva estää? Jotenkin jäänyt se käsitys, kun aina kun olen pistänyt palomuurin tuolla enable parametrilla päälle, niin tuo incoming on deny, eli estopäällä oletuksena siinä.

Taitaapi nuo hyökkäykset kohdistua enemmänkin palvelinympäristöihin kuin työpöytäkoneisiin.

On tuossa Janin kommentissa perää, että varmaan voisi kuvitella, että enemmänkin palvelimiin nuo verkkorikolliset kohdistavat esitiedustelun jälkeen, koska yleensä niissä on ainakin nykyisin jo raha motiivina, niin suuremman taloudellisen hyödyn hyökkäjät saavat joidenkin yritysten palvelimiin kohdistaen ne hyökkäykset, mitä työpöytäkäyttäjillä on sellaista varmaan aika vähän mitään rahan arvoista dataa, mitä voisivat varastaa ja sitten kiristää lunnasrahoja.

[raimo]

Eikö tuossa palomuurin  kytkemisessä automaattisesti tule estona tuo sisääntulevan liikenteen rajaus? Vai mikä tarkoitus noita erikseen on komennoilla ulosmenevä sallia ja sisääntuleva estää? Jotenkin jäänyt se käsitys, kun aina kun olen pistänyt palomuurin tuolla enable parametrilla päälle, niin tuo incoming on deny, eli estopäällä oletuksena siinä.

Koodia: [Valitse]

sudo ufw enable
riittää siihen että palomuuri ei päästä mitään itsepyytämätöntä liikennettä sisään.
Porttien tms avaus sitten netistä löytyvistä ohjeista jos tarvetta on, no saa niitä täälläkin kysyä, luonnollisesti.

[Jere Sumell]

riittää siihen että palomuuri ei päästä mitään itsepyytämätöntä liikennettä sisään.
Porttien tms avaus sitten netistä löytyvistä ohjeista jos tarvetta on, no saa niitä täälläkin kysyä, luonnollisesti.

Porttien availun sijaan paremminkin olisi aiheellista sulkea tai estää pääsy niistä?

Onko muuten näissä Ubuntu ja Ubuntu-pohjaisissa distroissa jotain sovellusprofiileja sellaisia prosesseja aktiivisena käynnistyksen jälkeen, joihin kannattaisi lisätä listaan, sulkea portti?

Mitä tuo ufw ja graafinen käyttöliittymä työpöytäympäristössä gufw pohjautuu iptables:iin, niin voi olla jossain määrin kätevää määritellä kotiverkossa valkoinen lista whitelist ja rajata osoite-alue pelkästään niiden koneiden kesken, mitä kotiverkossa on. Mutta en tiedä sitten, onko tuo valkoinen lista ulkopuolelta mahdollista kiertää jotenkin, jos joku yrittää ottaa palvelimeen tai koneeseen yhteyden sellaisesta osoitteesta, joka ei ole määriteltynä tuossa whitelistissa?

[AimoE]

Mitä tuo ufw ja graafinen käyttöliittymä työpöytäympäristössä gufw pohjautuu iptables:iin,

Ubuntu 21.10:stä alkaen palomuuri on nftables (ainakin oletuksena), ja ufw tulee sen kanssa juttuun ihan yhtä hyvin.

[Jere Sumell]

Tuosta iptables -sääntöjen ja valkoisen listan luonnista yhdistettynä, että rajaa ulkopuolisten ip-osotteiden yhteyspyyntöjen maksimia sallittua määrää liittyy myös jollain tavalla palvelimen ylläpitäjän kannalta turvallsuuden lisääntymiseen palvelunestohyökkäyksiä silmällä pitäen, vai olenko aivan väärillä jäljillä?

Perustuuko kaikki Linuxille saatavvilla olevat palomuuriohjelmistot iptables / nftables -jollain tavalla, mitä nuo tulee joka jakelussa asennuksen yhteydessä?

Luin tuolta Linuxconfig.orgista, että nuo iptables / nftables -on kykeneviä monimutkaisiinkin konfigurointi-konffeihin, niin voisi kuvitella, jos otttaa haltuun noiden käytön, voisi saada aika tehokkaan ainakin kotikäytössä olevan työpöytäkone-Linuxkoneen turvallisuustason tuon palomuurin toimivuuden suhteen?

Tuossa Linuxconfig.org-artikkelissa oli sitten cons, eli haitat listassa noista iptables / nftables -että komentosyntaksi voi kestää hetken ottaa haltuun, tai se on siis aikaa vievää.Mutta tuo nyt oli pros -eli eduksi luettava asia listattuna tuonne, että kykenee monimutkaisiinkin konffeihin edellyttäen, että käyttäjä hallitsee ja tietää mitä tekee.

[mniem]

Tämä raimon HOWTO oli kovaa tavaraa aikana, jolloin vasta aloittelin Linuxin käyttöä:
https://forum.ubuntu-fi.org/index.php?topic=4107.0

En ole sen koomin viritellyt palomuuria, joten en ole varma, miltä osin ohje vielä toimii.

[igor_2]

Tästä palomuurista ja kotikäytössä olevasta koneesta kysyisin, että jos on tavan modeemi, joka ei ole siltaavassa tilassa, niin eikö jo pelkästään se riitä varsin pitkälle ulkoa tulevia hyökkäyksiä vastaan? Mitä lisäarvoa tulee sitte vielä koneessa mahdollisesti päällä oleva palomuuri tuo?

Kyselen vain, kun en näistä oikein mitään tiedä.

[mniem]

Tästä palomuurista ja kotikäytössä olevasta koneesta kysyisin, että jos on tavan modeemi, joka ei ole siltaavassa tilassa, niin eikö jo pelkästään se riitä varsin pitkälle ulkoa tulevia hyökkäyksiä vastaan? Mitä lisäarvoa tulee sitte vielä koneessa mahdollisesti päällä oleva palomuuri tuo?

Kyselen vain, kun en näistä oikein mitään tiedä.

Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22. Peruskäytössä noita portteja ei juurikaan tarvitse availla. Enemmän olisin tarkkana selaimen käytössä, että tule vahingossa asentaneeksi mitään epäilyttäviä lisäosia, joidenka kautta hakkerit voisivat urkkia perinteistä netin käyttöä.

[igor_2]

Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22.

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.

[mniem]

Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22.

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.

Siltaavassa tilassa IP-osoite on julkinen. Reitittävässä tilassa (192.168. alkuinen) tietokoneen IP-osoitteen ei pitäisi olla julkinen. Eli oikeassa olet tässä tapauksessa.

[Leko]

Yleisesti ajattelen, en asiantuntijana.
Verkossa toimivat palvelimet ovat paljolti linuxeja. Totta kai niistä kiinnostuvat koputtelijat. Yksityisiiin peruskäyttäjien koneisiin en usko heidän kykynsä riittävän, ellei heitä päästetä ensin oikein fyysisesti koneen viereen.

Oikaiskaa, jos ajattelussani on mielestänne virhe.

[Jere Sumell]

Kännikirjoittelut seis, poistin tämän viestin oma-alotteisesti, koska katsoin sen olevan offtopicia ja viestissä ei ollut päätä ei häntää.

[raimo]

Porttien availun sijaan paremminkin olisi aiheellista sulkea tai estää pääsy niistä?

Onko muuten näissä Ubuntu ja Ubuntu-pohjaisissa distroissa jotain sovellusprofiileja sellaisia prosesseja aktiivisena käynnistyksen jälkeen, joihin kannattaisi lisätä listaan, sulkea portti?

Kaikki sisääntunkevat portit on suljettu tuon sudo ufw enable komennon jälkeen, mitään ei siis tarvi sulkea.

[kuutio]

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.

Ei siitä sisäverkon laitteen IP-osoitteen tietämisestäkään mitään hyötyä ole, jos ulkoverkon ja sisäverkon välissä on (NAT-)reititin. Ei siihen sisäverkon laitteeseen saa ulkoverkosta yhteyttä, jos reitittimeen ei ole porttiohjauksia tehty.