Chester Wisniewski er sikkerhetsforsker hos Sophos og besøkte i onsdag Norge og sikkerhetskonferansen HackCon for første gang. Foredraget hans hadde tittelen «When Penguins Attack». Wisniewski hevdet at Linux er det største problemet innen skadevare til Windows, før han dokumenterte hvorfor.
– Selv om Linux ikke er den foretrukne desktopen til de fleste, så er det Linux som driver weben, sa Wisniewski.
– I tillegg kjøres mange andre servertjenester, som DNS og e-post, og masse virtualisering på Linux. Disse serverne har gjerne tilgang på høy båndbredde og brukes som en plattform til å angripe Windows.
Linux-skadevare
Fordi skadevare til Linux er sjeldent og lite kjent (men det finnes), så kjøres det i liten grad antiskadevareprogrammer på slike maskiner. Det kan ifølge Wisniewski føre til at når en Linux-maskin først blir infisert med skadevare, så kan det ta svært lang tid før den oppdages, dersom ikke administratoren har god forståelse av hvordan systemet skal oppføre seg og ikke.
Et konkret eksempel som Wisniewski presenterte, dreide seg om Linux-viruset Linux/RST-B. Dette ble oppdaget allerede i 2001. I 2008 skal dette fortsatt ha fått flere tusen Linux-maskiner til «å ringe hjem» til C&C-serveren (Command and Control). Nå, åtte år senere, er har antallet bare blitt redusert med 25 prosent.
På en Windows-server, hvor Wisniewski mener de fleste kjører en antiskadevareverktøy, så vil en skadevareinfeksjon raskere kunne bli oppdaget.
Oppdateres for sjelden
Selv om dette sikkert kan trekkes fram som et positivt eksempel på at mange Linux-maskiner bare går og går til tross for manglende vedlikehold, så mener Wisniewski at det også er et tegn på at mange Linux-maskiner sjelden eller aldri blir oppdatert. De er dermed berørt av mange store og kjente sikkerhetshull.
Det samme gjelder programvaren som kjøres på mange av disse maskinene.
Wisniewski sa at selv om han ikke er noen stor fan av Microsoft, så mener han at Microsoft har gjort noe riktig med selskapets patche-tirsdag.
– Alle vet at da må de oppdatere programvaren sin. Noe slikt finnes ikke for andre operativsystemer. Du får oppdateringer flere ganger i uka med Linux, sa Wisniewski.
Han mener at det å sette opp en cron-jobb for automatisert oppdatering av Linux-maskiner er for risikabelt. Å måtte installere oppdateringer bortimot daglig på et fungerende system, er heller ikke ønskelig. Derfor må systemadministratorer etablere sine egne rutiner for dette, men det er ikke alle som er så profesjonelle.
- Har du oppdatert dette? Alvorlig sårbarhet funnet i utbredt Linux-bibliotek
Overlat det til fagfolk
– Ikke la noen i fotballaget sette opp en webserver på egne bokser eller VM-er som aldri patches, sa Wisniewski. I stedet bør slike nettsteder kjøres i profesjonelt drevne webhoteller som sørger for vedlikehold og drift av operativsystemet og installert programvare.
Wisniewski viste til en undersøkelse Sophos har gjort basert på data fra en ukes innsamling av infiserte webservere. Dataene omfattet nesten 35 000 infiserte webservere med unike IP-adresser. Et flertall Linux-baserte.
Ser man på hvilken webserverprogramvare som benyttes på de infiserte serverne og sammenligner det med de generelle tallene for webserverprogramvare fra Netcraft, var det en betydelig høyere andel av serverne som benyttet Apache blant de infiserte serverne enn Apache-andelen totalt. Også Nginx-andelen var en del høyere, spesielt i Russland.
Tilsvarende var andelen av webservere basert på Microsoft-teknologi omtrent 15 prosentpoeng lavere enn ellers, til tross for at tallene også omfattet andre typer webservere enn IIS, blant annet Xbox.
De mest infiserte operativsystemene var henholdsvis CentOS, Ubuntu, Debian, Windows, Red Hat og FreeBSD. Felles for de aller fleste var at webserverprogramvaren, PHP-installasjonen og mye annet ikke var blitt oppdatert på lang tid.
Men fra dataene kunne Sophos-forskerne se at alt fra smart lyspærer til smarte tv-er.
Tingenes internett
Som en digresjon til dette kom Wisniewski på tingenes internett og sikkerhetsrisikoene der. Han sa at problemet med slike enheter er at de sjelden er sårbare på samme måte, så de krever ulik form for beskyttelse. Om leverandørene sa han at Samsung tar sikkerhetsfeil på selskapets IoT-enheter veldig alvorlig. Det samme gjør Nest, som eies av Google/Alphabet.
De øvrige leverandørene av IoT-enheter kunne ikke Wisniewski si så mye positivt om.
Wisniewski understreket at selskapet skiller mellom infiserte webservere og KMD-er (Known Malware Destinations). Selv om KMD-er – altså serverne hvor skadevaren lastes fra – også dukker opp i vestlige land, blir de raskt stengt igjen av hostingleverandører eller andre.
De fleste av KMD-ene finnes i tidligere sovjetiske republikker eller i Kina, hvor de ofte får være i fred så lenge de ikke angriper innbyggerne i landet hvor serveren står. Sophos har for eksempel ikke funnet mange infiserte websider i Kina, selv om mye av skadevaren kommer derfra.
De infiserte nettstedene, som gjerne bare videresender brukerne til den faktiske skadevaren, er vanskeligere å få has på. Ifølge Wisniewski dreier det seg ofte en liten kodeinjisering på sidene, for eksempel en iframe-tagg, noe som kan være vanskelig å oppdage dersom man ikke aktivt leter etter det.
Skuffet over Google
Mange av de infiserte webserverne benytter populære serverapplikasjoner som lokalt installert WordPress, Joomla, Bulletin eller Drupal. Ofte er det sårbare plugins som blir utnyttet av angriperne. Nettsteder som kjøres på WordPress.com er i liten grad berørt.
Google Docs, derimot, viste seg å være en kilde til skadevare. Sophos fant over 250 000 sider som leder til KMD-er. Under en ny gjennomgang åtte dager etter den første registreringen, var ikke sidene blitt fjernet.
– Jeg er skuffet over Google, som vanligvis er flinke til å stoppe slikt som dette, blant annet i Gmail og annonsene, sa Wisniewski. Han mener at siden Google har ressurser nok til å ha kontroll på disse områdene, burde de også greie det i Google Docs.
Hva kan man gjøre?
Dersom man må drifte serveren selv, så må den i det minste oppdatere alle programvaren jevnlig. Men ifølge Wisniewski er det også viktig at man ikke legger for mye til rette for angriperne.
– Har man først kommet på innsiden av en Linux-server, er alle verktøyene tilgjengelige. Slik som gcc, Perl og mye annet finnes gjerne på Linux-baserte webservere, selv om det ikke brukes. Sørg for at angriperne i det minste må hente ting selv, sa Wisniewski.
Han sa videre at nettstedeiere må slutte å bruke ukryptert FTP når de oppdaterer innholdet på websidene. Selv brukernavn og passord overføres ukryptert med vanlig FTP, og dette kan fanges opp av ondsinnede som ønsker tilgang til serveren.
Men selv kryptert forbindelse er ikke nødvendigvis nok, dersom den bare er beskyttet av brukernavn og passord.
To-faktor autentisering
– Bruk Google Authenticator. Den er til og med gratis å benytte, fortalte Wisniewski.
Denne løsningen for to-faktors autentisering kan installeres på Linux-maskiner ved å installere en enkelt pakke, enten libpam-google-authenticator med apt-get (Ubuntu, etc) eller google-authenticator med yum/dnf (Red Hat etc). Åpen kildekode-prosjektet er tilgjengelig her.
På noen minutter kan man aktivere to-faktors autentisering med tidsbegrensede engangskoder ved innlogging, blant annet for SSH (Secure Shell). Et par ikke helt oppdaterte gjennomganger av hvordan dette kan gjøres, finnes her (Ubuntu) og her (Fedora).
SFTP med to-faktors autentisering fungerer helt uproblematisk med filoverføringsverktøy for Windows, som FileZilla, så lenge man bruker en interaktiv innloggingstype.