Kirjoittaja Aihe: Hyökkäykset Linuxeihin kovassa kasvussa  (Luettu 3386 kertaa)

ilkant

  • Käyttäjä
  • Viestejä: 1270
  • Kubuntu
    • Profiili
Hyökkäykset Linuxeihin kovassa kasvussa
« : 04.09.22 - klo:03.22 »
TiVi uutisoi: Linux-järjestelmiin kohdistuvat hyökkäykset kovassa kasvussa – tilanne on riistäytymässä käsistä.

Vuosikymeniä on voinut olla rauhassa kun "viruksiakaan ei Linuxissa ole". Aikoinaan joku epäili, että Linuxissa on niin vähän viruksia (4 kpl silloin) kun sitä niin harva käyttää. Onko tässä syytä alkaa ottaa säännöllisesti varmuuskopioita Linux-koneen levyistä tiheämmin kuin aiemmin ja muutenkin katsomaan tarkemmin, mitä outoa koneella tapahtuu? Uutisessa sanotaan, että hyökkäykset kohdistuvat lähinnä yritysten ja instituutioiden sekä julkisien palvelujen koneisiin.

epiphone

  • Käyttäjä
  • Viestejä: 1059
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #1 : 04.09.22 - klo:03.32 »
Hei, laittamasi linkki ei toimi ainakaan minulla.
Kahvi on väkevin juomani

tapion

  • Käyttäjä
  • Viestejä: 216
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #2 : 04.09.22 - klo:06.15 »
Tässä kopio Tivin sivulta.
Trend Micron julkaiseman tietoturvaraportin mukaan kiristyshaittaohjelmahyökkäyksiä tehtailevat verkkorikolliset kohdistavat tulevina vuosina iskujaan enenevissä määrin Linux-palvelimiin ja sulautettuihin järjestelmiin.

Tällaisiin järjestelmiin kohdistuneiden hyökkäysten määrä on kasvanut jo nyt merkittävissä määrin edellisvuoden vastaavaan ajanjaksoon verrattaessa.

Yhtiön mukaan se pysäytti jopa 63 miljardia uhkaa vuoden 2022 ensimmäisellä puoliskolla. Kasvua edellisvuoden vastaavan ajanjakson määriin on 52 prosenttia. Haittaohjelmahyökkäyksiä kohdistettiin erityisesti julkishallinnon, teollisuuden ja terveydenhuollon järjestelmiin.

Kasvussa ovat myös rikokset, joissa kiristyshaittaohjelmahyökkäys on ostettu erillisenä palveluna. Käytetyimpiä kiristyshaittaohjelmia, kuten LockBitiä ja Contia havaittiin käytettävän dramaattisesti enemmän kuin vuoden 2021 alkupuoliskolla. Hyökkäysten määrä kasvoi jopa 500 prosenttia, ja havaintojen lukumäärä lähes kaksinkertaistui vain kuudessa kuukaudessa.

Uusia kiristyshaittaohjelmatoimijoita ilmaantuu Trend Micron mukaan jatkuvasti. Vuoden 2022 ensimmäisen puoliskon merkittävin uusi tulokas on nimeltään Black Basta, jonka on havaittu iskeneen kahden kuukauden aikana 50 organisaatioon.

Vaikka useamman kiristyshaittaohjelmajengin tähtäimessä ovat suuryritykset, ei pk-yritysten kannata tuudittautua valheelliseen turvallisuudentunteeseen. Myös pk-yrityksiä vastaan kohdistetut iskut ovat nimittäin kasvussa.

Tietoturva-aukot ovat yhä tärkein yksittäinen hyökkäysvektori. Paikkaamattomat haavoittuvuudet lisäävät digitaalista hyökkäyspinta-alaa, minkä johdosta monilla organisaatioilla on vaikeuksia etätyön laajentaman it-ympäristönsä turvaamisessa. Yli kaksi viidesosaa (43 prosenttia) kansainvälisistä organisaatioista uskoo, että tilanne on riistäytymässä käsistä.

”Uudet ja nousussa olevat uhkatoimijat jatkavat bisnesmalliensa kehittämistä. He kohdistavat hyökkäyksiään aina vain tarkemmin valikoituihin kohteisiin. Niinpä on alati tärkeämpää, että organisaatiot oppivat kartoittamaan, ymmärtämään ja suojelemaan it-ympäristöään entistä paremmin. Kunnollinen yhtenäinen ja kattava tietoturva-alusta olisi paras tapa aloittaa tämä prosessi”, kertoo Trend Micron kyberturva-asiantuntija Kalle Salminen tiedotteessa.
« Viimeksi muokattu: 04.09.22 - klo:06.17 kirjoittanut tapion »
En ole puolesta enkä vastaan, pikemminkin päinvastoin.

juyli

  • Käyttäjä / moderaattori
  • Viestejä: 1198
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #3 : 04.09.22 - klo:23.08 »
Tässä kopio Tivin sivulta.
Trend Micron julkaiseman tietoturvaraportin mukaan kiristyshaittaohjelmahyökkäyksiä tehtailevat verkkorikolliset kohdistavat tulevina vuosina iskujaan enenevissä määrin Linux-palvelimiin ja sulautettuihin järjestelmiin.
Tivi on mediajulkaisu, jonka tavoite on myydä tuotettaan raflaavin otsikoin. Toki myös ajoittain täyttä asiaa.
Tavisten pitänee olla huolellisia verkkokäyttäjänä ja pitää jakelu ajantasalla.

Hajakenttä

  • Käyttäjä / moderaattori
  • Viestejä: 1546
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #4 : 05.09.22 - klo:13.53 »
Onko näistä mitään apua?

Koodia: [Valitse]
sudo ufw enable
Koodia: [Valitse]
sudo ufw default deny incoming
Koodia: [Valitse]
sudo ufw default allow outgoing
Koodia: [Valitse]
sudo ufw status verbose
Tietenkin sen lisäksi, että ei availe selaimessa huijareiden linkkejä ja katsoo muutenkin tarkkaan mitä lataa, mitä asentaa ja mitä koodia ajaa. Ei mikään palomuuri tai muukaan suojaus auta, jos itse tekee siihen reikiä.

DELL Latitude E6220 Xubuntu 20.04, DELL Latitude 5480 Xubuntu 22.04.
– Memento Vivere – Terv: Timo

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3319
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #5 : 06.09.22 - klo:10.46 »
Taitaapi nuo hyökkäykset kohdistua enemmänkin palvelinympäristöihin kuin työpöytäkoneisiin.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 22.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

Jere Sumell

  • Käyttäjä
  • Viestejä: 721
  • Talous, Hallinto ja Markkinointi (AMK, 2017),B.B.A
    • Profiili
    • Tietokone-blogi
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #6 : 06.09.22 - klo:17.08 »
Onko näistä mitään apua?

Koodia: [Valitse]
sudo ufw enable
Koodia: [Valitse]
sudo ufw default deny incoming
Koodia: [Valitse]
sudo ufw default allow outgoing
Koodia: [Valitse]
sudo ufw status verbose
Tietenkin sen lisäksi, että ei availe selaimessa huijareiden linkkejä ja katsoo muutenkin tarkkaan mitä lataa, mitä asentaa ja mitä koodia ajaa. Ei mikään palomuuri tai muukaan suojaus auta, jos itse tekee siihen reikiä.

Eikö tuossa palomuurin  kytkemisessä automaattisesti tule estona tuo sisääntulevan liikenteen rajaus? Vai mikä tarkoitus noita erikseen on komennoilla ulosmenevä sallia ja sisääntuleva estää? Jotenkin jäänyt se käsitys, kun aina kun olen pistänyt palomuurin tuolla enable parametrilla päälle, niin tuo incoming on deny, eli estopäällä oletuksena siinä.

Taitaapi nuo hyökkäykset kohdistua enemmänkin palvelinympäristöihin kuin työpöytäkoneisiin.

On tuossa Janin kommentissa perää, että varmaan voisi kuvitella, että enemmänkin palvelimiin nuo verkkorikolliset kohdistavat esitiedustelun jälkeen, koska yleensä niissä on ainakin nykyisin jo raha motiivina, niin suuremman taloudellisen hyödyn hyökkäjät saavat joidenkin yritysten palvelimiin kohdistaen ne hyökkäykset, mitä työpöytäkäyttäjillä on sellaista varmaan aika vähän mitään rahan arvoista dataa, mitä voisivat varastaa ja sitten kiristää lunnasrahoja.
Free Internet and  people for humans all over the globe!

(Profiilikuvassa oma valokuvani GIMPissä editoituna Disney Classic-väripaletin väreihin ja muunnettuna bittikartta-tiedostosta vektorigrafiikaksi.)

raimo

  • Käyttäjä
  • Viestejä: 4155
  • openSUSE Tumbleweed
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #7 : 06.09.22 - klo:19.44 »

Eikö tuossa palomuurin  kytkemisessä automaattisesti tule estona tuo sisääntulevan liikenteen rajaus? Vai mikä tarkoitus noita erikseen on komennoilla ulosmenevä sallia ja sisääntuleva estää? Jotenkin jäänyt se käsitys, kun aina kun olen pistänyt palomuurin tuolla enable parametrilla päälle, niin tuo incoming on deny, eli estopäällä oletuksena siinä.

Koodia: [Valitse]
sudo ufw enable
riittää siihen että palomuuri ei päästä mitään itsepyytämätöntä liikennettä sisään.
Porttien tms avaus sitten netistä löytyvistä ohjeista jos tarvetta on, no saa niitä täälläkin kysyä, luonnollisesti. :)
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

Jere Sumell

  • Käyttäjä
  • Viestejä: 721
  • Talous, Hallinto ja Markkinointi (AMK, 2017),B.B.A
    • Profiili
    • Tietokone-blogi
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #8 : 06.09.22 - klo:20.56 »
riittää siihen että palomuuri ei päästä mitään itsepyytämätöntä liikennettä sisään.
Porttien tms avaus sitten netistä löytyvistä ohjeista jos tarvetta on, no saa niitä täälläkin kysyä, luonnollisesti. :)

Porttien availun sijaan paremminkin olisi aiheellista sulkea tai estää pääsy niistä?

Onko muuten näissä Ubuntu ja Ubuntu-pohjaisissa distroissa jotain sovellusprofiileja sellaisia prosesseja aktiivisena käynnistyksen jälkeen, joihin kannattaisi lisätä listaan, sulkea portti?

Mitä tuo ufw ja graafinen käyttöliittymä työpöytäympäristössä gufw pohjautuu iptables:iin, niin voi olla jossain määrin kätevää määritellä kotiverkossa valkoinen lista whitelist ja rajata osoite-alue pelkästään niiden koneiden kesken, mitä kotiverkossa on. Mutta en tiedä sitten, onko tuo valkoinen lista ulkopuolelta mahdollista kiertää jotenkin, jos joku yrittää ottaa palvelimeen tai koneeseen yhteyden sellaisesta osoitteesta, joka ei ole määriteltynä tuossa whitelistissa?
Free Internet and  people for humans all over the globe!

(Profiilikuvassa oma valokuvani GIMPissä editoituna Disney Classic-väripaletin väreihin ja muunnettuna bittikartta-tiedostosta vektorigrafiikaksi.)

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #9 : 06.09.22 - klo:21.03 »
Mitä tuo ufw ja graafinen käyttöliittymä työpöytäympäristössä gufw pohjautuu iptables:iin,
Ubuntu 21.10:stä alkaen palomuuri on nftables (ainakin oletuksena), ja ufw tulee sen kanssa juttuun ihan yhtä hyvin.

Jere Sumell

  • Käyttäjä
  • Viestejä: 721
  • Talous, Hallinto ja Markkinointi (AMK, 2017),B.B.A
    • Profiili
    • Tietokone-blogi
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #10 : 06.09.22 - klo:21.28 »
Tuosta iptables -sääntöjen ja valkoisen listan luonnista yhdistettynä, että rajaa ulkopuolisten ip-osotteiden yhteyspyyntöjen maksimia sallittua määrää liittyy myös jollain tavalla palvelimen ylläpitäjän kannalta turvallsuuden lisääntymiseen palvelunestohyökkäyksiä silmällä pitäen, vai olenko aivan väärillä jäljillä?

Perustuuko kaikki Linuxille saatavvilla olevat palomuuriohjelmistot iptables / nftables -jollain tavalla, mitä nuo tulee joka jakelussa asennuksen yhteydessä?

Luin tuolta Linuxconfig.orgista, että nuo iptables / nftables -on kykeneviä monimutkaisiinkin konfigurointi-konffeihin, niin voisi kuvitella, jos otttaa haltuun noiden käytön, voisi saada aika tehokkaan ainakin kotikäytössä olevan työpöytäkone-Linuxkoneen turvallisuustason tuon palomuurin toimivuuden suhteen?

Tuossa Linuxconfig.org-artikkelissa oli sitten cons, eli haitat listassa noista iptables / nftables -että komentosyntaksi voi kestää hetken ottaa haltuun, tai se on siis aikaa vievää.Mutta tuo nyt oli pros -eli eduksi luettava asia listattuna tuonne, että kykenee monimutkaisiinkin konffeihin edellyttäen, että käyttäjä hallitsee ja tietää mitä tekee.
Free Internet and  people for humans all over the globe!

(Profiilikuvassa oma valokuvani GIMPissä editoituna Disney Classic-väripaletin väreihin ja muunnettuna bittikartta-tiedostosta vektorigrafiikaksi.)

mniem

  • Käyttäjä
  • Viestejä: 51
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #11 : 07.09.22 - klo:16.37 »
Tämä raimon HOWTO oli kovaa tavaraa aikana, jolloin vasta aloittelin Linuxin käyttöä:
https://forum.ubuntu-fi.org/index.php?topic=4107.0

En ole sen koomin viritellyt palomuuria, joten en ole varma, miltä osin ohje vielä toimii.

igor_2

  • Käyttäjä
  • Viestejä: 751
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #12 : 07.09.22 - klo:19.22 »
Tästä palomuurista ja kotikäytössä olevasta koneesta kysyisin, että jos on tavan modeemi, joka ei ole siltaavassa tilassa, niin eikö jo pelkästään se riitä varsin pitkälle ulkoa tulevia hyökkäyksiä vastaan? Mitä lisäarvoa tulee sitte vielä koneessa mahdollisesti päällä oleva palomuuri tuo?

Kyselen vain, kun en näistä oikein mitään tiedä.

mniem

  • Käyttäjä
  • Viestejä: 51
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #13 : 07.09.22 - klo:20.47 »
Tästä palomuurista ja kotikäytössä olevasta koneesta kysyisin, että jos on tavan modeemi, joka ei ole siltaavassa tilassa, niin eikö jo pelkästään se riitä varsin pitkälle ulkoa tulevia hyökkäyksiä vastaan? Mitä lisäarvoa tulee sitte vielä koneessa mahdollisesti päällä oleva palomuuri tuo?

Kyselen vain, kun en näistä oikein mitään tiedä.
Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22. Peruskäytössä noita portteja ei juurikaan tarvitse availla. Enemmän olisin tarkkana selaimen käytössä, että tule vahingossa asentaneeksi mitään epäilyttäviä lisäosia, joidenka kautta hakkerit voisivat urkkia perinteistä netin käyttöä.

igor_2

  • Käyttäjä
  • Viestejä: 751
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #14 : 07.09.22 - klo:21.05 »
Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22.

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.

mniem

  • Käyttäjä
  • Viestejä: 51
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #15 : 07.09.22 - klo:21.11 »
Ainut ongelma, joka tulee mieleen on se, että jos sinulle on jokin portti auki kuuntelemassa liikennettä, niin hyökkäyksiä voi kohdista kyseiseen porttiin. Web-serverin tapauksessa käytetään yleensä porttia 80. Ssh:lla portti taisi olla 22.

Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.
Siltaavassa tilassa IP-osoite on julkinen. Reitittävässä tilassa (192.168. alkuinen) tietokoneen IP-osoitteen ei pitäisi olla julkinen. Eli oikeassa olet tässä tapauksessa.
« Viimeksi muokattu: 07.09.22 - klo:21.16 kirjoittanut mniem »

Leko

  • Käyttäjä
  • Viestejä: 329
    • Profiili
    • taistop.kapsi.fi
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #16 : 07.09.22 - klo:22.03 »
Yleisesti ajattelen, en asiantuntijana.
Verkossa toimivat palvelimet ovat paljolti linuxeja. Totta kai niistä kiinnostuvat koputtelijat. Yksityisiiin peruskäyttäjien koneisiin en usko heidän kykynsä riittävän, ellei heitä päästetä ensin oikein fyysisesti koneen viereen.

Oikaiskaa, jos ajattelussani on mielestänne virhe.

Jere Sumell

  • Käyttäjä
  • Viestejä: 721
  • Talous, Hallinto ja Markkinointi (AMK, 2017),B.B.A
    • Profiili
    • Tietokone-blogi
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #17 : 08.09.22 - klo:08.56 »
Kännikirjoittelut seis, poistin tämän viestin oma-alotteisesti, koska katsoin sen olevan offtopicia ja viestissä ei ollut päätä ei häntää.
« Viimeksi muokattu: 10.09.22 - klo:16.40 kirjoittanut Jere Sumell »
Free Internet and  people for humans all over the globe!

(Profiilikuvassa oma valokuvani GIMPissä editoituna Disney Classic-väripaletin väreihin ja muunnettuna bittikartta-tiedostosta vektorigrafiikaksi.)

raimo

  • Käyttäjä
  • Viestejä: 4155
  • openSUSE Tumbleweed
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #18 : 08.09.22 - klo:12.11 »
Porttien availun sijaan paremminkin olisi aiheellista sulkea tai estää pääsy niistä?

Onko muuten näissä Ubuntu ja Ubuntu-pohjaisissa distroissa jotain sovellusprofiileja sellaisia prosesseja aktiivisena käynnistyksen jälkeen, joihin kannattaisi lisätä listaan, sulkea portti?

Kaikki sisääntunkevat portit on suljettu tuon sudo ufw enable komennon jälkeen, mitään ei siis tarvi sulkea.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

kuutio

  • Käyttäjä
  • Viestejä: 160
    • Profiili
Vs: Hyökkäykset Linuxeihin kovassa kasvussa
« Vastaus #19 : 08.09.22 - klo:12.30 »
Niin, mutta jos vaikka portti 80 portti (tms.) olisi auki, niin eikö ulkoa tulevan täytyisi tietää myös työaseman sisäinen IP osoite? Siis kun modeemi ei ole siltaava.
Ei siitä sisäverkon laitteen IP-osoitteen tietämisestäkään mitään hyötyä ole, jos ulkoverkon ja sisäverkon välissä on (NAT-)reititin. Ei siihen sisäverkon laitteeseen saa ulkoverkosta yhteyttä, jos reitittimeen ei ole porttiohjauksia tehty.