Linux-variant van Turla-malware is jarenlang onopgemerkt gebleven

Beveiligingsbedrijf Kaspersky Labs heeft geavanceerde malware voor het Linux-besturingssysteem gevonden die deel lijkt uit te maken van de beruchte Turla-malware. Deze kwaadaardige software wordt vermoedelijk gebruikt voor spionagedoeleinden en is jarenlang onopgemerkt gebleven.

De Turla-component voor Linux is volgens Kaspersky een module die is geschreven in C/C++. De malware zou zich goed verborgen weten te houden en bijvoorbeeld onzichtbaar zijn voor admintools als Netstat. Ook maakt de malware geen gebruik van Linux-componenten die root-toegang vereisen. De kwaadaardige software wordt pas actief als deze een speciaal pakketje ontvangt van een command&control-server. Vervolgens kan de malware ongemerkt commando's van de aanvaller uitvoeren.

Hoewel niet geheel duidelijk is wie achter de malware zit, stelt Kaspersky dat de malware deel uitmaakt van de Turla-malwarefamilie. Deze werd tot nu toe alleen op Windows-systemen aangetroffen. Turla zou eigenschappen bevatten die wijzen op een Russische oorsprong en de malware zou dermate geavanceerd zijn dat er een overheid achter de ontwikkeling van de malware moet zitten, maar een specifiek land wil het Russische beveiligingsbedrijf niet noemen.

In maart van dit jaar liet Symantec weten dat de Turla-malware vermoedelijk duizend computernetwerken heeft besmet in Europa, het Midden-Oosten en de Verenigde Staten, waaronder systemen van Europese geheime diensten. Turla is waarschijnlijk ingezet voor spionagedoeleinden en zou zeker vier jaar lang onopgemerkt zijn gebleven.

IT-banen

Reacties (123)

randomnumber 9 december 2014 10:03

Administrators who want to check for Turla-infected Linux systems can check outgoing traffic for connections to news-bbc.podzone[.]org or 80.248.65.183, which are the addresses of known command and control channels hardcoded into the Linux trojan. Admins can also build a signature using a tool called YARA that detects the strings "TREX_PID=%u" and "Remote VS is empty !"

http://arstechnica.com/se...fected-victims-for-years/

Ik heb in mijn firewall van intern > extern als eerste een drop traffic op een groep waarin IP 's / DNS namen van botnets/cc staan. Met daarop logging. Mochten alle zaken falen op de servers dan blocked deze rule alsnog traffic en zie ik het direct in het log.

[Reactie gewijzigd door randomnumber op 24 juli 2024 16:40]

svennd @randomnumber • 9 december 2014 10:24

Kun je hiervoor iptables gebruiken ? zoja, care to share the rule ?

randomnumber @svennd • 9 december 2014 10:33

Ik heb het op een hardwarematige firewal gedaan, maar ik denk dat dit wel een aardige is:

http://www.potato-people....sctools/spamhausdrop.phps
/edit> Het lijkt me netter als de ip's in een chain zouden komen, zodat je in je overzichten (iptables -L -v -n) maar 1 rule bovenin ziet in plaats van de hele lijst IP's die gedropped moeten worden.
edit/

of
http://prithak.blogspot.n...r-spamhaus-and-apews.html

Pakt reeds bekende command en control center IP's en genereerd een IPtabels config.
De lijst: http://www.spamhaus.org/drop/drop.txt

Een opzetje wat ongetest is (heb even geen test machine), maar wellicht voor een ander om het aan te vullen / verbeteren.

Opzetje gebaseerd op Centos en een draaiende IPtables

http://www.spamhaus.org/drop/
http://www.spamhaus.org/drop/drop.txt

vi spamhaus.sh
iptables -N SpamhausDrop
iptables -A SpamhausDrop -j RETURN

iptables -I INPUT -j SpamhausDrop
iptables -I OUTPUT -j SpamhausDrop

for x in $(cat ip_list.txt | grep -i SBL | cut -f 1 -d ';' )
do
iptables -I SpamhausDrop -s $x -j DROP
iptables -I SpamhausDrop -d $x -j DROP
done
service iptables save
//Einde script
chmod +x spamhaus.sh
sudo ./spamhaus.sh

[Reactie gewijzigd door randomnumber op 24 juli 2024 16:40]

wica @randomnumber • 9 december 2014 11:31

Serieus je gebruikt de DROP list van Spamhaus? Een lijst met hele subnetten.
Spamhaus zet subnet er in, als de betreffende ISP niet volgens de eisen van Spamhaus werkt.

randomnumber @wica • 9 december 2014 11:36

In mijn post erboven gaf ik aan dat ik de IP voor dit botnet cc heb toegevoegd aan mijn firewall. Als reactie op hoe dit evt kan met IPtables gaf ik het voorbeeld.

Je kunt ook andere drop lists gebruiken, of er zelf 1 met de hand bijhouden. Het voorbeeld is misschien te gebruiken voor/door mensen die nu niet op (bekende) IP's filteren. Suggesties voor andere drop listen zijn natuurlijk een toevoeging.

wica @randomnumber • 9 december 2014 11:39

Geef dan AUB niet spamhaus met hun DROP list als voorbeeld.
Dit is zo'n beetje de slechtste DROP list die er bestaat.

Vandaar mijn reactie.

Maar als iemand al moet vragen hoe je een IP met iptables DROP, is een cursus of howto een veel beter idee.

randomnumber @wica • 9 december 2014 11:45

Je had ook misschien een betere droplist kunnen voorstellen, dan had ik mijn voorbeeld nog kunnen veranderen.

Een enkel IP droppen was een korte reactie geweest die zou volstaan voor dit issue. Echter in combinatie met een droplist zoals ik met het voorbeeld wilde laten zien, zou iemand met beperkte kennis maar wel een eigen VPS bijvoorbeeld een hoop issues kunnen weren, van spambots, botnets etc. Dat zou iets meer zoden aan de dijk zetten dan een oplossing die alleen voor dit nieuwsbericht opgaat.

Casplantje @randomnumber • 9 december 2014 11:15

Ik heb net even wat zitten lezen hoe deze malware traffic verbergt zonder rootrechten, maar die "exploit"(ik zou het eerder een creatieve toepassing noemen) is gebaseerd op libpcap, de library die ook door Wireshark wordt gebruikt voor het aftappen van netwerkverkeer.

Bij veel linux distributies heb ik gemerkt dat je root rechten nodig hebt of een gebruiker moet toevoegen aan de juiste groep om libpcap te kunnen gebruiken, dus ik vraag me wel af op welke systemen deze malware succesvol draait.

Anoniem: 112442 9 december 2014 12:04

Even de originele link:
The 'Penquin' Turla
gelezen.

Dit is malware van een type waarvan er op een gemiddelde Windows PC enkele aanwezig zijn.

Deze kan zowel als user of als root draaien.
Als root via bijvoorbeeld de Snake rootkit. In dat geval moet de Server/PC gehacked zijn.

Als niet root user moet het proces starten als de user inlogt, via cron, at , screen etc.

Dit soort zaken zijn voor geen enkele PC te voorkomen.

Bij dit deel uit de tekst wil een een opmerking plaatsen.

It can't be discovered via netstat, a commonly used administrative tool.

Dit denk ik dat alleen het geval is als het proces als root of als de user die het netstat commando uitvoert draait.

Ik geloof niet dat als deze malware als user x c.q. !root draait dat ik het als root user in netstat niet zien kan. Het proces kan door ontbreken van root rechten op root niveau niets manipuleren.

Cornelisjuh 9 december 2014 09:59

"Turla zou eigenschappen bevatten die wijzen op een Russische oorsprong en dermate geavanceerd is dat er een overheid achter de ontwikkeling van de malware moet zitten, maar een specifiek land wil het Russische beveiligingsbedrijf niet noemen."

Moest lachen bij het lezen van deze zin

Maar even inhoudelijk op het artikel ingaand, waarom lees ik in vergelijking met bijvoorbeeld Windows veel minder over Linux gerelateerde malware? Is dat puur omdat het weinig covered wordt of ligt het besmettingsniveau lager (of blijft de malware langer ongemerkt)? Je zou zeggen dat er veel animo zou zijn voor Linux malware, als je kijkt hoeveel (web)server er op draaien.

[Reactie gewijzigd door Cornelisjuh op 24 juli 2024 16:40]

SoloH @Cornelisjuh • 9 december 2014 11:46

Dat komt ook omdat Windows voor gebruikers is en dus meer nieuwswaarde heeft voor de lezers van Tweakers. Wanneer je naar blogs gaat over server security dan kom je meer tegen over beveiligingsproblemen op Linux, etc.
Daarbij gaat het ook om het soort malware. Bij Windows wordt gewoon veel geïnstalleerd door mensen en is het relatief makkelijk om er malware op te krijgen in de vorm van Trojans.
Bij Linux wordt voornamelijk heel specifieke software geïnstalleerd uit "betrouwbare" bronnen. Malware zal daar dan voornamelijk via hacks geïnstalleerd moeten worden.

Sn0zz @Cornelisjuh • 9 december 2014 10:04

Linux is doorgaans sneller met patchen van beveiligingslekken en het schijnt lastiger voor malware te zijn om root toegang te krijgen bij Linux, waardoor de impact beperkter is.
-edit-: Zoals hieronder ook al een paar keer is aangegeven moeten de patches die Linux doet natuurlijk wel geïnstalleerd worden, anders heb je er nog niets aan.

[Reactie gewijzigd door Sn0zz op 24 juli 2024 16:40]

pietjuhhh1990 @Sn0zz • 9 december 2014 10:08

Qua lastiger zijn met roottoegang is denk ik toch voor 99% de gebruiker de schakel. In de meeste gevallen wordt een Linux machine beheerd door iemand die toch wel iets van computers af weet.

Op Windows zijn veel a-technische mensen te vinden. Wanneer zij iets downloaden en UAC geeft aan dat het om admin rechten vraagt klikken zij vaak blind op ja.

Denk dat dit een van de grootste schakels is.

svennd @pietjuhhh1990 • 9 december 2014 10:19

Hoewel ik bij de "elite" hoor die met linux werk, denk ik dat je oorzaak&gevolg omdraait, de meeste mensen die niet met computers zijn vertrouwd worden in een windows machine geduwd, het gevolg is dat windows eenvoudiger is, linux is voornamelijk sterk op servers, waar doordehand enkel geschoold personeel aankomt.

Maar Linux zal even goed vatbaar zijn voor aanvallen, zoals hier duidelijk wordt, linux patch sneller, maar het is de gebruiker die moet updaten ...

Titan_Fox @svennd • 9 december 2014 10:38

Dat ligt eraan. Je kunt in Linux aangeven dat beveiligingsupdates zonder tussenkomst van de gebruiker worden gedownload en geïnstalleerd. Kwestie van deze optie aanvinken in de instellingen voor Linux Updates.

Bovendien kun je er voor kiezen om optionele updates (of updates van externe PPA's - "Personal Package Archives") ook automatisch te downloaden en installeren. Dit zijn de zogenaamde "unattended updates". Je opent simpelweg /etc/apt/apt.conf.d en haalt de "//" weg voor de betreffende regel. PPA's zijn hier ook aan toe te voegen. Je kunt er ook voor kiezen om bepaalde updates weg te laten; dan voeg je simpelweg "//" toe.

Lijkt ingewikkeld, maar is een eenmalige handeling. Gewoon even de handleiding op de volgende site lezen en volgen : http://community.linuxmint.com/tutorial/view/1217

Werkt overigens ook op Ubuntu. Hoe het met andere distro's gaat weet ik niet, maar ik kan me voorstellen dat daar een soortgelijke oplossing voor is.

Feitelijk hoef je je in Linux dus nooit zorgen te maken dat je belangrijke patches over het hoofd ziet. Je zult hoogstens periodiek een melding krijgen om opnieuw te starten nadat een kernel-update is geïnstalleerd. Dit hebben ze in mijn optiek beter geregeld dan bij Windows.

Je Ubuntu / Mint-systeem schoon je overigens op d.m.v. Ubuntu-Tweak; zeg maar een soort CCleaner. Die gooit oude package-bestanden weg, verwijdert tijdelijke bestanden en oude kernels. Je GRUB(2) configuratie wordt indien nodig automatisch bijgewerkt.

svennd @Titan_Fox • 9 december 2014 10:43

Bedankt, voor je uitgebreid antwoord. Een zeer goeie tip, maar in productie servers kan ik dat spijtig genoeg niet verkocht krijgen, kernel updates vereisen een reboot, zo ook kernel modules, ... reboot = downtime ...

acemoo @svennd • 9 december 2014 10:48

Je hoeft natuurlijk niet te rebooten met een kernel update.
https://www.suse.com/comm...aft-live-kernel-patching/

svennd @acemoo • 9 december 2014 12:10

Het prijskaartje is daarvoor nog te hoog, alsook het gebruik is zeker nog niet "mainstream"; Bleeding edge technologie is leuk maar niet als je er nauwelijks tijd voor krijgt.

tinus61 @svennd • 9 december 2014 14:29

Wellicht is Ksplice in combinatie met Kexec een goed en gratis alternatief.

Ksplice:
https://en.wikipedia.org/wiki/Ksplice

Kexec:
https://en.wikipedia.org/wiki/Kexec

Draait hier onder Ubuntu 14.04 LTS als 'n zonnetje

svennd @tinus61 • 9 december 2014 14:32

draaien onze servers wel allemaal centos

maar dank voor de tip.

tinus61 @svennd • 9 december 2014 14:49

Helaas, net getest in een VM onder CentOS 7. Ksplice en Kexec zijn niet beschikbaar in de standaard repositories.

[Reactie gewijzigd door tinus61 op 24 juli 2024 16:40]

hackerhater @svennd • 9 december 2014 11:02

Op de buntu's is er qua update-commando een groot verschil tussen gewone updates (apt-get upgrade) en major- en kernelupgrades (apt-get dist-upgrade).

CAPSLOCK2000

Netwerk en systeembeheer

@svennd • 9 december 2014 12:12

Gelukkig zitten de meeste problemen niet in de kernel maar in applicaties. Applicaties kun je vrijwel altijd patchen zonder reboot. In theorie altijd maar in praktijk is een reboot soms minder werk.

Overigens zou ik er voor zorgen dat er afspraken zijn zodat je servers regelmatig kan rebooten. Als een server zo belangrijk is dat je niet eens per maand een paar minuten downtime kan hebben dan moet je zorgen voor een High-Available oplossing. Alles gaat namelijk ooit stuk. Als het je server niet is dan valt de stroom of het netwerk wel uit.

Blokker_1999

Netwerk en systeembeheer
Rusland

@svennd • 9 december 2014 13:54

hoewel downtime zo klein mogelijk gehouden moet worden, zouden er in principe voldoende backups moeten zijn om dit op te vangen in iets of wat bedrijf, en indien niet voorhanden zouden er toch echt momenten (buiten de normale werkuren) moeten zijn waarin dit wel mogelijk is. Wat ga je anders doen wanneer het systeem uit zichzelf faalt? Het belangrijkste is downtime beperken door goede voorbereiding.

divvid @svennd • 9 december 2014 14:39

dan nog, liever downtime dan een gehackte server. Dat laatste is pas echt niet te verkopen.

Titan_Fox @svennd • 9 december 2014 23:12

Je kunt de kernel-updates ook uitsluiten. Als je systeem goed werkt hoef je de kernel feitelijk niet te updaten, tenzij er veiligheidsproblemen zijn geconstateerd.

sfranken @Titan_Fox • 9 december 2014 11:23

Op een server is een gui een no-go:

sudo apt-get update && sudo apt-upgrade && sudo apt-get autoremove --purge && update-grub

Doet hetzelfde, maar dan zonder tweak tool en dus zonder gui

Boefs @Titan_Fox • 9 december 2014 12:59

Ubuntu Tweak is mijn inziens een onnodig agressief programma. Google maar eens op de problemen die het veroorzaakt.
Gebruik liever 'sudo apt-get autoremove' om oude packeges en kernels op te ruimen.

Titan_Fox @Boefs • 9 december 2014 23:16

Dat klopt wellicht, maar dan moet ik vervolgens handmatig de GRUB2 configuratie bijwerken om de verwijzingen naar oudere kernelversies te verwijderen. Persoonlijk heb ik nog geen problemen ondervonden met Ubuntu-Tweak.

ejabberd @svennd • 9 december 2014 10:26

Maar Linux zal even goed vatbaar zijn voor aanvallen, zoals hier duidelijk wordt, linux patch sneller, maar het is de gebruiker die moet updaten ...

Gelukkig vergt dat regelmatig updaten onder Linux vaak praktisch geen inspanning.

svennd @ejabberd • 9 december 2014 10:30

maar dat wil je niet op een productie server natuurlijk

ejabberd @svennd • 9 december 2014 10:46

Waarom zou je dat niet willen? Als er een ernstig lek gedicht is, wil je dat dat zo snel mogelijk gerepareerd is. Denk bijvoorbeeld aan de recente Drupal-gebeurtenissen (dat was wel heel erg snel). Zaak is natuurlijk om via monitoringsoftware ook automatisch in de gaten te houden dat alles blijft werken. Ik heb liever dat ik 's morgens wakker wordt met een mailtje van dergelijke software in mijn mailbox om te vertellen dat op mijn volledig bijgewerkte server iets niet meer werkt na een update, dan dat ik naar backups moet teruggrijpen omdat onbevoegden toegang hadden en eventueel vertrouwelijke (gebruikers)data werd ontvreemd... Ik heb dus liever af en toe geen 100% uptime.

halfgaar @ejabberd • 9 december 2014 14:18

Houdt er ook rekening mee dat automatische updates die restarts van services veroorzaken dus zorgen dat sommige bezoekers even errors te zien krijgen. Dit kan bijvoorbeeld met een DB met groot transactie log. Die kan zo minuten stampen voordat de dirty writes weg zijn en echt restart.

Als je geen load balancers e.d. hebt, zet je je firewall toegang even dicht, zodat alle nieuwe verbindingen alleen even timeouten. Beter dan 'database has gone away' errors.

kakanox @halfgaar • 9 december 2014 14:59

Als je met gerepliceerde databases werkt (mirrors) heb je helemaal geen downtime, wordt de boel alleen wat trager. In hele grote omgevingen zal dat waarschijnlijk zo zijn.

Gert @ejabberd • 9 december 2014 13:48

Als je 's ochtend 150 servers moet repareren word je daar ook niet blij van (en de afdelingen helpdesk en verkoop ook niet).
Een productie platform kan je gewoon niet volledig unattended, of alles in één keer, updaten, tenzij volledige doorgetest in een test omgeving (en dat kost ook tijd). Je moet gewoon zorgen dat de impact geminimaliseerd wordt. Bugs zijn er toch wel, maar hopen dat alles op tijd gepatched wordt is een vreemde aanpak van beveiligen.

supersnathan94 @Gert • 9 december 2014 14:03

Je gaat toch ook niet 150 servers tegelijk upgraden? als je er zoveel hebt kan je het je ook niet veroorloven ze alle 150 te missen. Je begint eerst met een kleine server die ergens achteraan in de chain zit en weinig wordt gebruikt uiteraard. Daarnaast maak je daar natuurlijk eerst een clown van op een "reserve server" die je in geval van downtime kan gebruiken om het gat weer op te vangen.

Brahiewahiewa @supersnathan94 • 9 december 2014 17:49

clown

Lache!

defixje @Brahiewahiewa • 10 december 2014 02:38

Lol

svennd @ejabberd • 9 december 2014 12:13

En jij bent ook een IT'r

Veel mensen begrijpen niet, dat door toedoen van A (updates/upgrades) B (service) niet meer werkt.

Anoniem: 345198 @svennd • 9 december 2014 10:45

maar dat wil je niet op een productie server natuurlijk

Dat ligt eraan. Upgrades hier zijn bugfixes en beveliging upgrades en niet major versions. Je mag zelf bepalen wat je wel en niet meeneemt in
deze upgrade ronde met apt-pinning.

Ik kan me goed voorstellen dat je altijd je libopenssl van de laatste updates
wilt voorzien hoor

Rob Coops @Anoniem: 345198 • 9 december 2014 16:45

Nou nee... ik werk op dit moment toevallig voor een grote bank met een paar 100k servers. En er is echt niemand die het risico neemt om te zeggen het zal wel werken.

Alle patches moeten eerst getest worden en alleen dan durft men het aan een update uit te rollen. Niet zo heel gek als je bedenkt dat deze systemen letterlijk miljarden per dag verplaatsen.

Aan de andere kant als een van de grootste investment banks in de wereld is security toch wel belangrijk. En zijn de systemen die direct contact hebben met de buiten wereld vaak veel eerder gepatched dan bijvoorbeeld een systeem dat alleen maar reports genereert en helemaal niet met de buiten wereld kan communiceren.

i-chat @Rob Coops • 9 december 2014 18:44

Nou nee... ik werk op dit moment toevallig voor een grote bank met een paar 100k servers. En er is echt niemand die het risico neemt om te zeggen het zal wel werken.

Alle patches moeten eerst getest worden en alleen dan durft men het aan een update uit te rollen. Niet zo heel gek als je bedenkt dat deze systemen letterlijk miljarden per dag verplaatsen.

hoewel je verhaal weer klopt is het ook onvolledig, want doordat het bij bepaalde pakketten om langlopende ondersteuning en veiligheid gaat zal deze bank relatief gemakkelijk en standaard regressie-tests kunnen uitvoeren, daardoor zal een security update van php 5.4.x veel sneller uitgerolt worden dan een major upgrade van 5.4 naar 5.6 ... juist een opensource platform kan dan betekenen dat je in bepaalde gevallen kunt kiezen om code wel of niet te draaien, desnoods door een programmeur in te huren om bepaalde veiligheids feature te backporten als je migra-traject nog niet in orde is.

Rob Coops @i-chat • 11 december 2014 11:41

Leuk idee maar als je in banking gewerkt hebt en zeker bij investment banken dan is alles wat je kunt doen

Om maar aan te geven externe partijen (veel al overheden) dwingen banken om alleen met software te werken waar nog support voor is. Op dat moment denk je al

Als je dan weet dat dit alleen van toepassing is op echte trading systemen en dat er bijvoorbeeld nog steeds Win2003 en RetHat 4 gebruikt wordt als dit soort dingen niet afgedwongen worden...

Helaas is de theorie correct maar in de praktijk durft men simpel weg niet het risico te nemen dat een nieuwe versie toch ergens voor een probleem zorgt. Om die reden is Java 6 dan ook nog steeds de standaard. En zullen vele applicaties waarschijnlijk niet voor 2020 op een latere versie van Java draaien. Zelfs een upgrade van Java 6.x naar 6.x+1 wordt als een high risk change gezien

Je wordt er niet blij van als je dat soort dingen hoort, en nog minder als je er mee moet werken maar dat is helaas waar veel bedrijven zijn met hun software. Wat werkt werkt en als je er mee gaat prutsen dan kan het eigenlijk alleen maar kapot gaan in de beleving van veel managers die uiteindelijk de beslissingen nemen.

svennd @Anoniem: 345198 • 9 december 2014 12:12

Die krijgen zoveel aandacht dat je wel moet natuurlijk.

Anoniem: 175233 @ejabberd • 9 december 2014 11:34

Je doet nu alsof dit bijzonder is, maar dat geautomatiseerde updates heb je ook gewoon (default) onder Windows. Voor consumenten computers een fantastische oplossing, maar voor servers wil je toch even zelf testen. Zou vervelend zijn als jouw systeem nou één van die 1 op de miljopen uitzonderingen is, waarbij het zaakje niet meer werkt.

postbus51 @pietjuhhh1990 • 9 december 2014 17:30

Ook maakt de malware geen gebruik van Linux-componenten die root-toegang vereisen

Dus vraag . hoe komt dit dan op die bewuste Linbox (doodgewone user die ff wat dl. ???)

Maar goed
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, stripped

Statically linked libraries:

glibc2.3.2 - the GNU C library
openssl v0.9.6 - an older OpenSSL library
libpcap - tcpdump's network capture library

Wel een heel oude kernel en Glibc

Titan_Fox @postbus51 • 9 december 2014 23:19

Dat bedoel ik. De meest recente stable kernel is (op het moment van schrijven) v3.18. Ubuntu maakt gebruik van v3.14.xx vanwege de long-term support. Daarbij gebruik ik een 64-bits versie van Ubuntu, dus vraag ik me af of deze malware nog wel schade kan aanrichten op moderne hardware met geactualiseerde software...

matty___ @Sn0zz • 9 december 2014 10:10

Ben benieuwd of je een man-in-the-middle kunt uitvoeren die een apt repo faked en updates waar een virus/trojan in zit naar clients stuurt.

[Reactie gewijzigd door matty___ op 24 juli 2024 16:40]

berkes @matty___ • 9 december 2014 10:22

Nee. Kan niet. Voor verschillende gradaties van "niet".

Packages worden gesigned. Je software-center (installer) accepteert enkel packages die met de juiste sleutel zijn ondertekend. Daarnaast controleert je installer of de shasum van de packages gelijk is aan een gepubliceerde shasum;

Vrijwel alle Linux-package-managers zijn al heel lang geleden ontworpen om decentraal te werken. Vroeger was dat vooral om mirrors mogelijk te maken: iedereen een zijn hond mag een FTP-server draaien waarop deze packages gepubliceerd worden, terwijl de eindgebruiker de packages daarop toch moet kunnen vertrouwen.

Wil je dit omzeilen, dan moet je:

* GPG sleutels laten tekenen door de eindgebruiker (superuser rechten nodig)
* de controlesums afvangen en vervalsen.
* de packages vervalsen.

Dat kán theoretisch vast wel, maar is AFAIK nog nooit gelukt. Het is veel makkelijker om een eindgebruiker te "leren" iets als "curl http://linode.com/longview.sh | sudo bash -" uit te voeren om "makkelijk X en Y te installeren".

mard0 @berkes • 9 december 2014 10:58

Packages worden gesigned. Je software-center (installer) accepteert enkel packages die met de juiste sleutel zijn ondertekend. Daarnaast controleert je installer of de shasum van de packages gelijk is aan een gepubliceerde shasum;

Behalve bij Arch...

Sh4wn @mard0 • 9 december 2014 11:09

Ook bij Arch worden packages tegenwoordig gewoon gesigned.

Source: https://en.wikipedia.org/wiki/Arch_Linux

[Reactie gewijzigd door Sh4wn op 24 juli 2024 16:40]

jeroen7s @mard0 • 9 december 2014 11:20

bij arch worden packages ook gesigned, zelfs bij de AUR

sfranken @mard0 • 9 december 2014 11:25

https://wiki.archlinux.org/index.php/pacman-key

Allang niet meer..

SED @matty___ • 9 december 2014 11:35

voorbeeld van zoiets hebben we reeds gezien:
http://www.theregister.co...x_kernel_security_breach/

Gelukkig viel de schade acheraf mee.

freaky @Sn0zz • 9 december 2014 12:25

Linux is ook geen linux. Windows is overal windows.

Red Hat gebruikt andere paden en standaard configuraties dan Ubuntu welke weer anders zijn dan Archlinux, wat weer niet hetzelfde is als Gentoo, etc.. Om nog maar niet over compiler opties te spreken of kernel / glibc versies. Het is daarmee inherent al een heel stuk moeilijker om een exploit te schrijven die het op alle distributies doet, als het al mogelijk is.

Blokker_1999

Netwerk en systeembeheer
Rusland

@freaky • 9 december 2014 13:57

alle config files staan in al die distros in /etc . Ze hebben allemaal een /sbin filer, /var, /home, ... . Ze hebben allemaal dezelfde definities om te bepalen wat waar zit, ze werken namelijk allemaal vanaf eenzelfde broncode, al dan niet met eigen aanpassingen. Dat maakt dat code voor de ene distro op de andere zou moeten werken. Hoewel het mogelijk is om code te compileren voor 1 specifieke distro is het ook perfect mogelijk om code te compileren die op de meeste distros zonder problemen werkt.

freaky @Blokker_1999 • 9 december 2014 15:08

Er zijn wel degelijk verschillen. Niet iedereen installeert binary x in /bin of /lib, soms gaan ze naar /usr/bin en /usr/lib, of /opt/package/bin en /opt/package/lib.

Maar het zijn met name de compiler opties die een stack overflow lastiger maken evenals verschillende versies van dependencies die anders zijn per distributie.

Titan_Fox @Blokker_1999 • 9 december 2014 23:27

Dat vraag ik me af ... Het is voor veel programmeurs al moeilijk genoeg om legitieme software feilloos aan de praat te krijgen op diverse distro's. Dat vergt toch behoorlijk wat kennis en de juiste software.

Daarbij hebben de meeste distro's een heel specifieke doelgroep met ieder hun eigen specialisten.

Deze malware wordt pas actief zodra deze een signaal krijgt van een externe server, dus dat moet dus eerst nog door twee firewalls (router en Linux) heen. Standaard staan SELinux en de Firewall dusdanig ingesteld dat je toch veilig kunt internetten.

[Reactie gewijzigd door Titan_Fox op 24 juli 2024 16:40]

rob12424 @freaky • 9 december 2014 17:08

uhm wel eens gehoord van LSB (linux standard base) tegenwoordig verschild er minder per distro dan vroeger. Ubuntu gebruikt upstart.
Fedora system d dat zin de grootste verschillen tegenwoordig

Anoniem: 500749 @Sn0zz • 9 december 2014 15:50

textbook fanboy antwoord hierboven over "hoeveel beter en veiliger linux is door open source" wat in de praktijk hogus schmogus is

een meer realistisch en logisch antwoord is omdat windows nog altijd meer gebruikt word door interessantere doelwitten
werklui en consumenten en in het algemeen een consistenter platform

[Reactie gewijzigd door Anoniem: 500749 op 24 juli 2024 16:40]

the-dark-force @Anoniem: 500749 • 9 december 2014 19:55

een meer realistisch en logisch antwoord is omdat windows nog altijd meer gebruikt word door interessantere doelwitten.

Ik betwijfel dat ten zeerste, meeste servers draaien linux dacht ik.
Dat consumenten malware sneller gevonden wordt zegt niet dat er minder non-consumer malware beschikbaar is, zolang je maar samenwerkt met bedrijven als microsoft, HP of iets in die richting.
Deze bedrijven zullen bewust of onbewust backdoors inbouwen waardoor malware simpelweg niet gevonden wordt.
Bijvoorbeeld: ik heb hier een stapeltje HP DL360G5's staan welke een kleine datastorage hebben met drivers (zegt de fabrikant)
Mijn OS kan de drive niet eens zien, laat staan benaderen of controleren en dankzij wetten zoals de patriot act kunnen bedrijven er niets tegen doen
(als ze het Uberhaupt meekrijgen, sommige hardware zou bij vervoer worden onderschept en gebackdoored worden.)

TAO (nsa clubje) geeft niks om het OS en dit is een kleine greep uit hun arsenaal.
"DEITYBOUNCE: Technology that installs a backdoor software implant on Dell PowerEdge servers via the motherboard BIOS and RAID controller(s)"
"IRATEMONK: Technology that can infiltrate the firmware of hard drives manufactured by Maxtor, Samsung, Seagate, and Western Digital."
"SWAP: Technology that can reflash the BIOS of multiprocessor systems that run FreeBSD, Linux, Solaris, or Windows."
bron

[Reactie gewijzigd door the-dark-force op 24 juli 2024 16:40]

Anoniem: 500749 @the-dark-force • 9 december 2014 20:16

ik begrijp je enthousiasme en gedrevenheid als ik naar je naam kijk
al begrijp je niet helemaal wat er bedoeld was

in het geval van malware gaat het om informatie zoals keylogs voor wachtwoorden, creditcard gegevens en dat soort dingen

malware word naar mijn weten bijna nooit echt gericht gemaakt voor servers
voor webservers zijn er allerlei andere manieren van aanpakken en dat ligt dan weer helemaal aan de services die naar buiten geboden worden
vaak gaat het dan om shells die door remote file inclusion uitgevoerd worden
en veel minder vaak dat er daadwerkelijk rotzooi permanent achterblijft
hetzij misschien kleine aanpassingen in scripts onder het idee van backdoors

het is veel interessanter voor de meesten om zich te richten op desktops en workstations van werknemers en huis, tuin en keukengebruikers
omdat die een veel minder specialistische kijk op het gebruik van hun beestje hebben dan de systeem en netwerkbeheerders die de servers van bedrijven opzetten
en dan word toch echt wel door de meesten mensen windows gebruikt

[Reactie gewijzigd door Anoniem: 500749 op 24 juli 2024 16:40]

the-dark-force @Anoniem: 500749 • 9 december 2014 20:28

Malware is een verzamelnaam voor kwaadaardige en/of schadelijke software.

Keyloggers zul je niet gauw op een webserver vinden maar een rootkit misschien wel, de werking is anders maar de verzamelnaam hetzelfde.

Ook voor consumenten pc's is er gelukkig geen "one-size-fits-all" oplossing.

Jammer van je edit maargoed ik zal dat apart copy pasten en reageren. :
"malware word naar mijn weten bijna nooit echt gericht gemaakt voor servers"
Het wordt juist wel gericht gemaakt anders werkt het niet...En wanneer zoiets wordt gemaakt wordt dat over het algemeen niet op twitter gezet.

voor webservers zijn er allerlei andere manieren van aanpakken en dat ligt dan weer helemaal aan de services die naar buiten geboden worden"
Klopt, alleen zijn er racks vol met servers verbonden met het internet welke verouderde of ongepatchte software draaien. Vandaar dat er zat scripts & google dorks te vinden zijn om automatisch sqli/heartbleed/whatever vulnerable servers te vinden

vaak gaat het dan om shells die door remote file inclusion uitgevoerd worden
en veel minder vaak dat er daadwerkelijk rotzooi permanent achterblijft
hetzij misschien kleine aanpassingen in scripts onder het idee van backdoors
Dat weet ik niet, shells zijn misschien makkelijker maar de professionele malware is simpelweg onvindbaar dus hoe verzamel je statistieken ? 't is een retorische vraag 'k verwacht geen antwoord

het is veel interessanter voor de meesten om zich te richten op desktops en workstations van werknemers en huis, tuin en keukengebruikers
omdat die een veel minder specialistische kijk op het gebruik van hun beestje hebben dan de systeem en netwerkbeheerders die de servers van bedrijven opzetten.
Ja we hebben de specialisten wel aan het werk gezien afgelopen jaar, EPD op straat, overheidsdiensten met malware, KPN met ongepatchte servers etc....
Tuurlijk is windows makkelijker, koop wat advertentie ruimte en verspreiden maar... en dan kun je vervolgens bitcoins minen, ddos aanvallen uitvoeren of prive gegevens verzamelen voor fraude.
Dat is niet interresant... kan ieder kind op hackforums en er is maar een handjevol dat daadwerkelijk wat geld verdient,
bedrijfsgegevens, EPD's, overheids communicatie e.d. dat zijn de echt interresante doelwitten

Op je reactie hieronder.
Daarnaast hoeft windows ook niet kwetsbaar te zijn, ook dat ligt aan de services die draaien, vaak is het social engineering
(denk aan keygens, cracks e.d.)
Of een kwetsbaarheid in een add-on als java of flash.
Mjah, zwart vergiet, wit vergiet... gaten zat

Oh mijn naam is afgeleid van star wars, heeft verder weinig met mij te maken haha

[Reactie gewijzigd door the-dark-force op 24 juli 2024 16:40]

Anoniem: 500749 @the-dark-force • 9 december 2014 20:34

je laatste zin klopt niet helemaal

weliswaar met een verschil tussen de NT versies maar in grove lijnen is Windows heel consistent zeker in manier van aanpakken gezien vanuit een hacky dev pov ;d

en nogmaals, mijn argument is dat werknemers en gebruikers die veelal windows gebruiken een veel interessanter en gemakkelijker doelwit zijn dan servers
dus ook het grootst aantal programmeurs hebben daar hun basis en kunnen hebben liggen die het vervolgens gaan misbruiken om dit soort software te ontwerpen
linux is een subcult waarvan de gebruikers het veelal om hun eigen idee "van het mystieke hax0rer pro linux" gebruiken en een veel kleinere groep specialisten die zich verdiepen in performance en veiligheid voor hun custom gebruik (waar veel servers baat bij hebben)
vooral ook als je naar de hele opzet van linux en verschillende distros kijkt en hun gebruikersgroepen dan zul je wel zien dat er overeenkomsten zijn maar toch is er geen "één linux" zoals dat bij "windows" wel het geval is

debian, centos, gentoo? welke kernels? welke andere speciefieke packages en welke versies? veel minder consistent

de mensen die hun eigen NT kernel compileren en ontdoen van functionaliteit of custom drivers moet ik nog vinden ;D

nou zal basis functionaliteit voor gebruiksdoeleinden in grote lijnen het zelfde blijven (hooks voor networking, keylogging, IO, etc) maar om jezelf eerst maar eens te installeren door een ander proces te misbruiken is "veiliger" in linux doordat veel gebruikers of andere software gebruiken en daar tussen ook nog andere versies (inconsistent)
waarbij iets wel of niet gepatched is, een geheugenadres voor de ene versie exploited kan worden en in een ander versie waardeloos is

[Reactie gewijzigd door Anoniem: 500749 op 24 juli 2024 16:40]

LinuxMan @Anoniem: 500749 • 10 december 2014 22:41

met "Linux is een subcult" daar doel je wel op een miniscule fractie van de Linux gebruikers: de hobbyisten die hun eigen kernel voor een enkele machine compilen.

Linux zit tegenwoordig op alles dat je maar kunt kopen: 90% van de smart TV's en set-top boxen, 70% van de thuis routers, 75% van de enterprise appliances, 80% van de NAS-en, 50% van de firewalls/vpn's/etc., 60% van de smartphones, 80% van de cloud servers, 99% van de supercomputers...

Alleen de notie dat er nauwelijks Linux malware is dat is natuurlijk maar half waar. Kijk maar naar de Android malware. Alleen zie je dat die malware ook helemaal niks speciaals doet met het operating system: die malware wordt geinstalleerd door de gebruiker, krijgt zijn permissies van de gebruiker, dus het operating system functioneert precies zoals het bedoeld is. Of kijk naar verouderde routers zonder updates met lekke web-applicaties die als root draaien. Heel leuk hackable. Maar ook hier doet het operating system precies waar het voor gemaakt is, alleen draait er een enorm slechte applicatie bovenop die een hacker alsnog toegang geeft tot alles.

Dus zeg het maar, is Linux dan veilig of niet? Enerzijds zijn er genoeg applicaties die op Linux draaien die te hacken zijn. Anderzijds zouden die applicaties met een dergelijk ontwerp op elk platform hackable zijn..

Titan_Fox @Anoniem: 500749 • 9 december 2014 23:35

Linux is veiliger omdat het met gesigneerde pakketten werkt. Alles wat je via de standaard repositories installeert is gecontroleerd op malware. Patches en updates worden bijna dagelijks vrijgegeven. Dat is toch heel wat veiliger dan Windows, alwaar je veel 3rd party software van dubieuze downloadsites moet binnen harken en je vaak handmatig naar updates moet zoeken. Lang niet alle Windows-software maakt gebruik van een automatische update-functie.

Natuurlijk kun je een Linux-systeem verkloten. Dan moet je vooral met onbekende PPA's gaan werken en "bleeding-edge" software gebruiken. Op die manier krijg je een systeem als Android - wat in de basis een veilig systeem is - ook kapot; installeren van APK's uit externe bronnen...

Een gewone huis-tuin-en-keuken gebruiker zal met Linux zelden of nooit in aanraking komen met malware en/of virussen.

Anoniem: 500749 @Titan_Fox • 9 december 2014 23:50

dat klopt hoor, dat wil ik niet tegenspreken
mijn punt had betrekking tot de inconsistencies tussen systemen en zelfs de distros zelf
bijvoorbeeld door andere desktop environments, versies van software en verschillende alternatieven voor vanalles en nog wat...
je kunt als malware bakker er moeilijk vanuit gaan dat er iets geinstalleerd is om te misbruiken waarbij een hele core bij windows altijd gelijk blijft

daar naast wanneer gebruikers zelf aan de slag gaan en maar een so module van internet gaan downloaden omdat een package niet beschikbaar is bijv.
of oudere versies gaan installeren "zodat het eindelijk werkt"
wat dat betreft loopt er weer veel oudere (mogelijk exploitable) software op systemen
maar ook dat is niet te voorspellen en niet verstandig om vanuit te gaan als je malware wilt versprijden lol

Anoniem: 428562 @Sn0zz • 9 december 2014 10:33

Heb je het artikel wel gelezen ?
Turla for Linux doet het zonder root.

Sn0zz @Anoniem: 428562 • 9 december 2014 10:44

Jazeker. De vraag was waarom je zo weinig over Linux malware hoort en zo veel over Windows. De zaken die ik noemde verklaren dat. Dit wil niet zeggen dat het onmogelijk is om zonder root malware op je linux machine te krijgen; het gebeurt (tot nu toe iig) gewoon een stuk minder en dus hoor je er ook minder over.
Hoe wijdverbreider en toegankelijker Linux gaat worden, hoe meer het ook doelwit zal zijn van malware.

Dorank @Sn0zz • 9 december 2014 11:54

Ik zou eigenlijk niet weten waarom malware zo nodig als root moet draaien. Als malware onder mijn uid zou draaien kan het al bij de belangrijkste bestanden (die van mij) en kan het netwerk verbindingen opzetten en onderhouden met de buitenwereld (om spam te versturen of deel te nemen aan een botnet).

De malware kan voldoende goed gedefineerde bestanden aanpassen om ervoor te zorgen dat het zichzelf weer opstart indien nodig. Verkrijgen van root toegang zou ook niet al te moeilijk zijn: wachten op een sudo waar ik mijn wachtwoord invoer.

Keysniffing onder X11 is overigens een ingebouwde feature. Elke applicatie kan alle keypresses inzien indien gewenst (er is wel een secure input mogelijkheid maar voor zover ik weet maakt alleen xterm daar gebruik van en het staat natuurlijk gemak ik de weg).

Tuurlijk kan ik mezelf beperkingen opleggen als een outbound firewall, maar alweer, dat is niet handig. noexec mounten van plekken waar ik kan schrijven heeft nauwelijks nut, dat heeft geen effect op malware die bestaande interpreters gebruikt (shell/python/perl/php/java/etc scripts)

Titan_Fox @Dorank • 9 december 2014 23:24

Omdat root-toegang nodig is om essentiele systeembestanden te veranderen (en dus infecteren). Zonder root kan malware hoogstens voor wat tijdelijke irritatie zorgen terwijl de systeemkern schoon blijft. Dat maakt de kans op verspreiding minder groot en maakt het opschonen eenvoudiger.

crazylemon @Sn0zz • 9 december 2014 10:16

Nou die illusie is bij deze dus vervlogen, ok misschien komt er snel een patch nu, maar dat ding heeft 4 jaar ongezien kunnen draaien.

Anoniem: 80466 @Cornelisjuh • 9 december 2014 10:34

Je zou zeggen dat er veel animo zou zijn voor Linux malware, als je kijkt hoeveel (web)server er op draaien.

Vrijwel alle malware verspreid zich ofwel door gebruikers ofwel door client software aan te vallen (o.a. browser, java, pdf, flash).

Een webserver kan je zo niet aanvallen.
Webserver hebben geen gebruikers die je om te tuin kan leiden.
De meeste webservers zijn eigenlijk ingericht om alleen http requests te ontvangen en zo'n request is heel beperkt en makkelijk te controleren.
Client software moet heel complexe data verwerken tot bijvoorbeeld webpagina's met grafische en multimedia compnenten. Daarom zijn die veel makkelijker aan te vallen als webservers.

Malware is dus lastig tegen webservers maar veel makkelijker tegen clients.
Daarom worden tegen servers vaak een batterij van andere middelen ingezet om ze te hacken

[Reactie gewijzigd door Anoniem: 80466 op 24 juli 2024 16:40]

sfranken @Anoniem: 80466 • 9 december 2014 11:27

Je kunt apache responses ook aanpassen, zeker als je al toegang hebt. Ik heb het een keer meegemaakt, allerlei htaccess aanpassingen en apache conf wijzigingen, die doodleuk bepaalde requests doorstuurde naar een adult website.

Anoniem: 80466 @sfranken • 9 december 2014 11:59

Je kunt request wel aanpassen maar de data die erin zit blijft toch sterk gelimiteerd qua formaat en is voor de server redelijk makkelijk te controleren. Een client aan de ander kant kan in theorie honderden (of zelfs meer afhankelijk van de beschikbare client software) soorten content ontvangen en verwerken gestuurd door een webserver op basis van zo'n request.

Een webserver krijgt meestal alleen maar httprequests te verwerken en kan alles wat daar niet aan voldoet negeren.

[Reactie gewijzigd door Anoniem: 80466 op 24 juli 2024 16:40]

sfranken @Anoniem: 80466 • 9 december 2014 13:27

Een webserver krijgt niet "meestal" alleen http requests te verwerken: iets anders doet een WEBserver niet. Maar je snapt niet wat ik bedoel:

als je de response vanuit Apache aanpast (de HTML, even simpel gezegd) kun je een client laten doen wat je wilt. Een download van "hotbabes-wallpaper.exe" forceren bijvoorbeeld ;-)

wpoely86 @Cornelisjuh • 9 december 2014 10:09

Maar even inhoudelijk op het artikel ingaand, waarom lees ik in vergelijking met bijvoorbeeld Windows veel minder over Linux gerelateerde malware? Is dat puur omdat het weinig covered wordt of ligt het besmettingsniveau lager (of blijft de malware langer ongemerkt)? Je zou zeggen dat er veel animo zou zijn voor Linux malware, als je kijkt hoeveel (web)server er op draaien.

Ik denk dat Windows computer gewoon een interessanter doelwit zijn. Dat zijn meestal de PC's van de gebruikers en die zullen meestal de zwakste schakel in de beveiliging zijn.

Tijger @wpoely86 • 9 december 2014 14:34

Dat was ooit het geval maar nu alles online gaat worden Linux servers veel interessanter.

Anoniem: 500749 @Tijger • 9 december 2014 21:01

ja als specifiek target wanneer je weet dat er iets gehost word waar je interesse in kunt hebben
maar het is en blijft veel interessanter om werknemers en gebruikers of consumenten op grote schaal met hun windows desktops e.d. te infecteren

vooral ook omdat het veel gemakkelijker te doen is
met wachtwoorden en informatie die je vind ga je dan vervolgens achter hun servers aan

Anoniem: 166774 9 december 2014 09:59

Hoe kan het dat er de laatste tijd ineens allemaal malware/virussen gevonden worden die al jaren lang onopgemerkt gebleven zijn ?

HCHRIST @Anoniem: 166774 • 9 december 2014 10:20

Eigenlijk heb ik niet veel zin om hierop te reageren, want iedere keer als ik dat doe krijg ik -1 aan m'n broek. Dus dat zal nu ook wel weer het geval zijn.

Ik zeg al jaren dat dit zo is. Alle reacties hieronder wijzen daarop. We draaien linux gebruikelijk niet onder root. Dat is bij Windows (vroeger en nu) vaak wel het geval geweest. Gelukkig is dat onder linux minder het geval. Maar bekijk de veiligheid van de wachtwoorden. Wachtwoorden als 'Wachtwoord' of de naam van de beheerder e.d. helpen dan niet veel (en dat soort dingen ben ikzelf tegengekomen). En met social engineering komt men heel erg ver.

Wordt linux vaak gepatched? Zeker. Vaker dan bijvoorbeeld Windows? Geen idee. Is open source veiliger? Denk het niet. Bekijk de bekende lekken van de laatste tijd. Over hoeveel regels code hebben we het dan? Twee regels? Tweehonderd? Tweeduizend? .... ? Is dat allemaal correcte code? Waarom wordt gedacht dat open source veiliger is? Soms werken er maar een paar mensen aan.

Linux wordt inderdaad verder ontsloten. Initiatieven als Steam voor games kunnen dit verder opvoeren. En daarmee groeit de aandacht er ook voor.

Linux is kwetsbaar, zoals alles dat door mensen gemaakt wordt.

CAPSLOCK2000

Netwerk en systeembeheer

@HCHRIST • 9 december 2014 12:20

Overal zitten fouten in, het belangrijkste is hoe ze worden opgelost.
Linux heeft hierbij het voordeel dat iedereen toegang heeft tot de source en dat er verschillende groepen beheerders zijn die problemen op kunnen lossen. Desnoods kun je het zelf doen. Bij grote problemen ben je niet afhankelijk van (het bedrijf van) de oorpsronkelijke auteur maar kan iedereen met een belang zich er mee bemoeien. Dat hebben we ook gezien bij recente bugs als Shellshock en Heartbleed. Dan wordt er opeens door heel veel mensen met verschillende achtergronden aan het probleem gewerkt totdat iemand een bruikbare oplossing heeft.

mcDavid @CAPSLOCK2000 • 9 december 2014 13:13

En het belangrijkste: De kans dat een exploit als eerste door een goedwillend persoon gevonden wordt, is érg groot. Waardoor de exploit bekend gemaakt (en gepatcht) kan worden vóórdat er misbruik van gemaakt wordt.

Dit in tegenstelling tot gesloten software waarvan de bron alleen op illegale wijze verkregen kan worden. Als iemand daar een exploit in vind, hoor je er pas van als hij die voor veel geld verkocht heeft aan een boze extremist die er op grote schaal misbruik van maakt.

Tijger @mcDavid • 9 december 2014 14:36

Dat is echter niet het patroon wat we de laatste jaren zien.

sfranken @HCHRIST • 9 december 2014 11:29

Als je het artikel gelezen had had je geweten dat dit draait zonder root..

Blokker_1999

Netwerk en systeembeheer
Rusland

@HCHRIST • 9 december 2014 14:00

[quote]Wordt linux vaak gepatched? Zeker. Vaker dan bijvoorbeeld Windows? [/qoute]Misschien niet, maar wel sneller. Door het open karakter heb je vaak dat wanneer een fout kenbaar word gemaakt aan de developers (bijv. op mailinglist) dat binnen enkele uren er patches beschikbaar zijn. Bij windows gebeurd het dat zulke meldingen in de doofpot gaan. Zelfs als ze daar opgelost worden is het minstens wachten op de eerstvolgende patch tuesday tenzij het lek zeer ernstig is en er actief misbruik is vastgesteld.

Is open source veiliger? Niet noodzakelijk. Maar door het OSS karakter is het moeilijker om iets in de doofpot te stoppen en door het OSS karakter ben je niet afhankelijk van 1 enkele developer.

regmaster @Anoniem: 166774 • 9 december 2014 10:08

Als dat inderdaad zo is. De aanwezigheid van overheidsmalware (Regin, Finfisher) is al langer bekend maar is recent pas bekend gemaakt alleen maar omdat Symantec wilde voorkomen dat een concurent het verhaal zou gaan publiceren. Wat houden de anti-virus bedrijven nog meer onder de pet? FoX-IT heeft bij Belgacom zelfs de Regin malware laten zitten om de NSA/GHCQ niet in de weg te zitten. Hoeveel vertrouwen moeten we in dit soort 'beveiligingsbedrijven' nog hebben?

http://www.technologyrevi...ment-malware-discoveries/

[Reactie gewijzigd door regmaster op 24 juli 2024 16:40]

wica @regmaster • 9 december 2014 10:42

Serieus, heb je een link naar die bewering omtrent FOX-IT?

regmaster @wica • 9 december 2014 11:45

Here you go .. http://mashable.com/2014/11/25/regin-spy-malware-nsa-gchq/

Cornelisjuh @regmaster • 9 december 2014 10:57

Het "smerige" vind ik is dat Finfisher bestaat uit voormalig Backtrack developers, ik vind dit een beetje een steek in de rug.

regmaster @Cornelisjuh • 9 december 2014 11:48

Belangen belangen en nog eens belangen.

bonus @Anoniem: 166774 • 9 december 2014 10:06

Een bepaald soort code die gewoon niet opvalt of door een ander zoek algoritme te gebruiken om te zoeken naar dit soort dingen. Als je niet weet waar of hoe je naar iets zoeken moet kan het heel lang onopgemerkt blijven.

the-dark-force @bonus • 9 december 2014 20:09

http://unews.utah.edu/new...ng-software-tackles-bugs/
"Nov. 13, 2014 – University of Utah computer scientists have developed software that not only detects and eradicates never-before-seen viruses and other malware, but also automatically repairs damage caused by them. The software then prevents the invader from ever infecting the computer again."

Het zou mooi zijn als deze software en/of achterlliggende techniek in te toekomst toch voor de consument of developers beschikbaar is

Thekilldevilhil @Anoniem: 166774 • 9 december 2014 10:02

De interesse in linux stijgt onder consumenten (aangezien android ook een linux basis heeft) wat het platform aantrekkelijk maakt voor de ontwikkeling van malware.

Anoniem: 574136 @Anoniem: 166774 • 9 december 2014 10:02

Nieuw technieken, nieuwe inzichten, onderzoek wat al langer loopt wat nu pas op z'n eind loopt, etc. Wellicht ligt de focus nu ook veel meer op dit soort 'software'.

Midas.e 9 december 2014 10:34

Heerlijk, iedereen schreeuwt weer "Linux patched dat wel snel, windows zuigt!!" alleen vergeten we allemaal 1 klein detail. Linux patched dat niet automatisch. Zolang je distro deze patch niet meepakt of jij als beheerder het niet installeert komt dat nooit op je server en zal je gewoon kwetsbaar zijn. En we hebben genoeg zolderkamer hostjes die BANG zijn voor het installeren van updates omdat "misschien wel een site stuk gaat". Geschoold personeel aan linux servers? laat me niet lachen.

Casplantje @Midas.e • 9 december 2014 11:08

Easy there, tiger!
Ik hoor zelden van Linux gebruikers dat windows daadwerkelijk zuigt. Belangrijker: zoals al in eerdere comments is genoemd zijn er automatische updatemechanismen, en bij debian(based) servers zijn die voor security patches redelijk vaak ingeschakeld om voor de hand liggende redenen.

Windows dringt zijn updates nogal op, Linux laat de keuze aan de gebruiker maar biedt zeker de mogelijkheden.

Midas.e @Casplantje • 9 december 2014 12:38

Klopt, dit was even mijn rant. Het klopt dat Windows meer opdringt met zijn updates maar is dat weliswaar slecht? Als je ziet hoeveel mensen hun servers niet updaten waardoor er machines oa gebruikt worden voor het versturen van spam maak je je af en toe wel zorgen over de status van hosters in nederland.

Somoghi @Midas.e • 9 december 2014 13:47

Hoe minder kennis van zaken, hoe harder je je best moet doen om de boodschap over te brengen en mensen het belang te laten inzien.

Mooi vergelijk met auto onderhoud is hier niet echt te maken, maar olie verversen en bandenspanning komen in de buurt. Als je eenmaal weet wat de gevolgen kunnen zijn hou je die wel in de 'peiling'.

Nafets @Midas.e • 9 december 2014 10:59

Weet niet hoe jij leest, maar niemand heeft gezegd Windows zuigt, in welke form dan ook. En natuurlijk als mensen patches niet installeren dan heeft het geen zin, geld voor elk os natuurlijk. Verder kan je gewoon instellen dat belangrijke patches automatisch worden geïnstalleerd zonder tussenkomst van een gebruiker. Volgens mij is verder het iedereen er over eens dat Microsoft heel veel stappen heeft genomen na xp.

Ontopic,

Vraag me af of er ook niet een variant voor osx bestaat.

[Reactie gewijzigd door Nafets op 24 juli 2024 16:40]

Anoniem: 547741 @Midas.e • 9 december 2014 11:02

Waar is het verschil met Windows in je betoog?

FreezeXJ @Midas.e • 9 december 2014 11:12

Die zolderkamer-hosters heb je in alle smaken, ik denk niet dat Linuxianen daar een meerderheid hebben... Sowieso is beveiliging een interessant issue, en hoop ik dat grotere hosters het bijgeleverde IP blocken, zodat de malware onschadelijk is. Einde oefening.
Linux zal dit ongetwijfeld binnenkort patchen, en daarna... is het niet meer hun fout, maar die van de sysadmin. Dat kan ik het OS niet kwalijk nemen, net zo min als ik het Microsoft kwalijk neem dat er nog steeds mensen op XP zitten, die dus onbeveiligd zijn...

26779 9 december 2014 10:32

Ook maakt de malware geen gebruik van Linux-componenten die root-toegang vereisen. De kwaadaardige software wordt pas actief als deze een speciaal pakketje ontvangt van een command&control-server. Vervolgens kan de malware ongemerkt commando's van de aanvaller uitvoeren.

Noem mij maar simpel maar als er geen root toegang is voor de software, hoe kan die dan alsnog commandos uit laten voeren? Wat voor gevaarlijks moet ik dan aan denken? Spam bot of DDoS client of iets dergelijks?

mxcreep @26779 • 9 december 2014 10:43

Je kunt echt heel veel dingen uitvoeren zonder root te zijn hoor, vergis je daar niet in. Hoe zou je anders als normale gebruiker op een linux systeem kunnen werken ?

[Reactie gewijzigd door mxcreep op 24 juli 2024 16:40]

acemoo @26779 • 9 december 2014 10:46

Poorten boven 1000 kan je gewoon gebruik van maken onder root rechten op linux. Daarmee kan je gewoon communicatie hebben dus. Ik vraag mij alleen wel af hoe deze malware zich wil versprijden.

Q-collective

9 december 2014 10:05

Although Linux variants from the Turla framework were known to exist, we haven't seen any in the wild yet.

Ik ga ervan uit dat er dan ook een oplossing voor bestaat, maar kan deze zo snel niet lezen in dit artikel of in de bron bij Kaspersky?

CodeAsm @Q-collective • 9 december 2014 10:19

randomnumber boven jouw reactie geeft volgens mij al een mooie detectie mogelijkheid

Q-collective

@CodeAsm • 9 december 2014 11:43

Het is inderdaad een goede methode om te detecteren dat je het probleem hebt. Het is echter niet de oplossing, in de zin dat je weet hoe je het kunt verwijderen. Naast een schone herinstallatie dan.

randomnumber @Q-collective • 9 december 2014 12:25

En in dit geval het ook blokkeerd.

Stap 1: signaleren van het probleem
Stap 2: de boel onder controle krijgen
Stap 3: bekijken hoe het probleem valt op te lossen
Stap 4: wat is er mogelijk om dit in de toekomst te voorkomen of hier sneller op te kunnen reageren

In mijn situatie, stel dat ik een besmetting zou hebben dan is deze nu gestopt (niet verwijderd) maar doet in iedergeval geen connecties meer leggen die ik niet wil. En ben ik ervan op de hoogte. Dat lijkt me al een stuk meer dan het niet weten en blijven bijdragen aan bijvoorbeeld een botnet.

koelpasta @CodeAsm • 9 december 2014 11:50

randomnumber boven jouw reactie geeft volgens mij al een mooie detectie mogelijkheid

Die dus al 4 jaar compleet nutteloos was in het tegengaan van deze malware,.,., mooie oplossing...

VincentdeVreede 9 december 2014 10:22

... en dermate geavanceerd is dat er een overheid achter de ontwikkeling van de malware moet zitten, ...

Waarom moet er een overheid achter de ontwikkeling zitten? Waarom zou een individueel of kleine groep dit niet kunnen ontwikkelen? Het geld wat je er mee kan verdienen is voor sommige mensen erg aantrekkelijk.

CivLord

Rusland

@VincentdeVreede • 9 december 2014 11:38

Waarschijnlijk omdat er zoveel werk voor hooggekwalificeerde programmeurs in zit, inclusief de achterliggend infrastructuur van CC-servers, dat het erg onwaarschijnlijk is dat dat werk onbetaald, of alleen met een vooruitzicht op een mogelijke 'beloning' wordt verricht.
Misschien zijn er onderdelen die veel verder ontwikkeld zijn dan gebruikelijk is voor 'zelfontwikkelde' malware.

Anoniem: 636203 9 december 2014 10:14

Wat ik veel interessanter vind is hoe men deze software op een Linux-server geinstalleerd krijgt.

Maanzaad 9 december 2014 11:33

"Turla zou eigenschappen bevatten die wijzen op een Russische oorsprong en de malware zou dermate geavanceerd zijn dat er een overheid achter de ontwikkeling van de malware moet zitten, maar een specifiek land wil het Russische beveiligingsbedrijf niet noemen."

Na de laatste parlemantaire onderzoek over ICT bij de overheid, vraag ik me toch af hoe men zo snel tot de conclusie komt dat de oorsprong van de malware wel bij een overheid vandaan moet komen.
Misschien moet Ton Elias eens gaan kijken hoe de Russen geavanceerde software maken. Kan misschien nog in een erratum bij het rapport.

Op dit item kan niet meer gereageerd worden.

Linux-variant van Turla-malware is jarenlang onopgemerkt gebleven

Lees meer

IT-banen

Reacties (123)

Sorteer op:

Weergave: