Sikkerheden halter med Linux

screen text malicious virus

Linux succés har en bagside: Hackere retter i stigende grad opmærksomheden mod Linux-baserede open source systemer. Og samtidig dukker der i stigende grad sikkerhedshuller op i Linux-systemer. Heartbleed er det mest kendte eksempel, men der findes flere andre nylige eksempler på fejl og angreb på Linux-baserede systemer. Det er en risiko for de mange danske virksomheder,  der benytter sig af Linux-baserede systemer, og f.eks har kreditkort-betalingsløsninger tilknyttet.

Linux kan kompromittere din sikkerhed

 “IT-cheferne bør vågne op af tornerosesøvnen, og det kan kun gå for langsomt”, siger Bjarke Alling, administrerende direktør for Liga, og ekspert i forretningsmæssig anvendelse af Linux.

“Tidligere har man lænet sig tilbage og tænkt, at hvis man opdaterede sine Linux-baserede systemer en gang i kvartalet, var den hellige grav velforvaret. Men det er den ikke længere. Den hellige grav er under belejring,” siger Bjarke Alling, der i mange år har arbejdet med forretningsmæssig Linux-anvendelse og har været en markant stemme i det danske Linux-miljø.

Linux er blevet en fed fisk, værd at fange
Samtidig med der dukker flere og flere ubehagelige overraskelser op i Linux-gemmerne,  får hackerne, der tidligere mest brugte tid på de store windows-systemer,  nu i stigende grad Linux i kikkerten.

“De sidste fem år er Microsoft blevet bedre til at få styr på sikkerheden. Samtidig er der kommet væsentligt flere Linux-baserede systemer. Det betyder, at Linux er blevet meget mere interessant at beskæftige sig med for kriminelle. Linux er ikke længere en lille fisk, man ikke gider fange. Det er en  fed fisk, man godt vil gå efter,” siger Bjarke Alling.

Huller i sikkerheden opdages ikke længere på grund af større kompleksitet
Tidligere har der været et billede af usårlighed omkring Linux, fordi Linux  er et Open Source-system hvor alle kan kigge med.

“Ud fra devisen om at fire øjne ser bedre end to, har man lænet sig tilbage og stolet blindt på, at potentielle fejl og risici bliver opdaget og elimineret effektivt – fordi det er et open Source-system.. Men det har jo vist sig ikke længere at passe. Billedet er krakeleret!” siger Bjarke Alling.

Problemet er, at  open source softwaren nu er blevet så kompleks og mangfoldig, at man ikke længere kan regne med at fejlene bliver fanget – selv om der er mange, der kigger.

“Eller også er det de forkerte, der finder fejlene…” siger Bjarke Alling.

Flere fejl siden Heartbleed
Heartbleed-buggen er nok det mest kendte eksempel på en nylig, katastrofal sikkerhedsbrist i et Linux-baseret open sourcesystem. Det var en fejl i et linuxbaseret stykke open source krypteringssoftware – et ekstremt udbredt krypteringssoftware, som facebook og google for eksempel brugte. Fejlen gav hackere adgang til følsomme data og til at kompromittere serveren og dens brugeres sikkerhed.

Men Heartbleed står ikke alene. Her er to eksempler på nylige, alvorlige sikkerhedsbrister,der knytter sig til Linux og Open Source:

  • Sikkerhedsbrist i Linux-kernen, maj 2014

I maj 2014 opdagede man et  sikkerhedsproblem i Linux-kernen, der havde levet upåagtet i mere end to år. Sårbarheden betød,  at man kunne komme ind som upriviligeret bruger fx via CMS-system og overtage maskinen ved at eskalere sine rettigheder. Og den påvirker de millioner af it-systemer, der baserer sig på Linux-kernen, og som er udviklet inden for de sidste to år.

  • Korrupt kasseapparatsystem på sandwichbarer blev brugt til at kopiere kreditkort

En sag der har skabt opmærksomhed, er  en sag fra USA, hvor leverandører af kasseapparatsystemer til  Subway sandwichbarer havde tilføjet et spionprogram til softwaren. Upåagtet kunne de derefter hente oplysninger om kundernes kreditkort-oplysninger fra kasseapparaterne.  Det påvirkede mere end 146,000 betalingskort og de kriminelle tjente mere end 10 mio dollars. Det kunne lade sig gøre, fordi de Linux-baserede kasseapparats-systemer ikke havde anti-virusovervågning eller et data-loss-preventionprogram, der kunne råbe vagt i gevær over for mystiske dataudvekslinger.

  • Apache ‘slyngelmodul’  sendte brugere til Blackhole exploit-sites

Blackhole exploit kit er et udbredt hackerværktøj.  Men før hackerne kan bruge det, skal det ind på de intetandende ofres maskiner, enten ved at brugerne klikker på et link eller besøger et site, der bliver brugt til at infektere maskinen med Blackhole exploit kittet. Et skurkagtigt, men yderst diskret apache-modul blev brugt til at udsende iFrame injiceringer, som igen sendte inficerede pc’er til sites med Blackhole Exploit kit. Langt de fleste apache-webservere bruger Linux. Noget sådant kan lade sig gøre, fordi det linuxbaserede host-systemet ikke er blevet sikkerhedsopdateret, og fordi malware ikke bliver opdaget, når der ikke er noget anti-malware-system.

Hvad kan man gøre?

Bjarke Alling anbefaler, at man gør to ting:

” For det første bør man bruge et af de kommercielle Linux-producenter som fx SUSE, hvor der er garanterede opdateringer.  Gå væk fra det gratis-gratis simpelthen. Fordelen ved det er, at du får de opdateringer, du skal bruge, i takt med at fejlene bliver opdagede. Hvis man har et usupporteret linux-system er der jo ingen  garanti for, at der kommer en opdatering. Garantier er vigtige når man anvender IT erhvervsmæssigt.”

“For det andet bør alle begynde sig at interessere sig for antivirussoftware til Linux – lige nu.  Også selv om det bare er et internt Linux-system, man har. Det har tidligere været til de virkelig forsigtige, men nu er det relevant for alle,” siger Bjarke Alling.

Se nedenstående link for yderligere oplysninger og baggrund

http://www.verizonenterprise.com/DBIR/2014/
http://nakedsecurity.sophos.com/2014/05/14/linux-got-root-kernel-bug-patched-after-five-years-at-large/
http://nakedsecurity.sophos.com/2014/05/16/seller-of-rigged-pos-systems-pleads-guilty-to-subway-gift-card-hacking/
http://nakedsecurity.sophos.com/2013/05/10/subway-multimillion-dollar-hack-ringleader-pleads-guilty/
http://nakedsecurity.sophos.com/2013/03/05/rogue-apache-modules-iframe-blackhole-exploit-kit/

 

Kunne du lide artiklen?