Ne krivite Linux za XOR botnet

Pravi krivci su neodgovorni dobavljači jeftinih širokopojasnih rutera i njihove glupe mušterije. Među naslovima tehnološke štampe prošle nedelje se našla vest o teškom Linux botnetu koji je navodno onesposobio različite sajtove na Internetu sa 150Gbps saobraćaja.

Pošto sam pročitao više izveštaja u kojima nije bilo dovoljno važnih detalja i koji su na izvestan način krivili Linux, osećam potrebu da razjasnim neke stvari. Kao prvo, činjenica da je ovaj botnet nastao na ugroženim Linux sistemima je irelevantna. To ništa ne govori o Linuxu niti o bezbednosti Linux sistema – zato što su ti sistemi oštećeni pomoću napada grubom silom na otvorenim SSH portovima. Ti napadi su bili uspešni najvećim delom zbog jednostavnih lozinki i nedovoljne bezbednosti koju su primenjivali dovabljači koji forsiraju jeftine širokopojasne rutere. Kao drugo, svako ko je neko vreme koristio Unix-ov sistem na javnoj mreži zna da se stalno javljaju pokušaji napada prijavljivanja grubom silom – i da ih je lako osujetiti.

 

Jedan takav sistem kojim ja upravljam privukao je za proteklih par meseci preko 27.000 pojedinačnih napada grubom silom. Jedan drugi sistem doživljava u proseku nekoliko stotina pojedinačnih pokušaja svake nedelje. Naravno, ti pokušaji su u velikoj meri ublaženi zbog alata koji otkrivaju i zaustavljaju ovu vrstu napada. Denyhosts i fail2ban nadgledaju u evidencionim fajlovima postojane pokušaje prijavljivanja sa jedinstvenih IP adresa i blokiraju ih na mrežnom nivou, tako da im se sprečava pristup bilo kojem vektoru koji su pokušavali da oštete. U kontekstu XOR botneta, reč je o loše projektovanim ugrađenim Linux sistemima kojima ne samo da nedostaje osnovna zaštita od napada prijavljivanja grubom silom, nego oni čak ni ne nameću razumnu politiku lozinki. Ovo ima više veze sa lošom praksom nesavesnih dobavljača nego sa bilo koji drugim faktorom.  Iskreno, ako već imate neki bezbednosni problem, najlakše je kad je reč o pokušajima prijavljivanja grubom silom. To je lako osujetiti i kontrolisati, i postiže se pomoću dobro poznatog vektora sa obimnim evidentiranjem. Ukratko, to bi se uglavnom smatralo za uznemiravanje, a ne za problem.

Pravi bezbednosni problemi potiču iz nepoznatih i nepristupačnih vektora, kao što je greška u pristupačnom servisu ili aplikacijama za koje nije potrebno prijavljivanje ili koje nemaju nikakvo korisno evidentiranje. To su one greške koje ne vidite – i protiv kojih ne možete da se zaštitite ako niste i dok niste već oštećeni. Mada mnogi izgleda misle da najveću ulogu u bezbednosti računara imaju operativni sistemi, istina je da najuspešniji napadi idu kroz kôd drugih dobavljača, kao što su veb aplikacije. Kao što SSH portovi privlače pokušaje prijavljivanja grubom silom, javno dostupni veb serveri doživljavaju istu vrstu napada na HTTP portovima. Ti napadi traže uobičajene aplikacije koje se možda izvršavaju, pa ako ih pronađu, koriste poznate zloupotrebe da na neki način oštete sistem. Izvanredno uobičajen vektor ovde je WordPress,koji ima neujednačenu istoriju bezbednosti. Stara instalacija WordPress-a koja se izvršava na sistemu u suštini predstavlja otvorena vrata za napadače. Isti server koji je izdržao na desetine hiljada jedinstvenih SSH napada grubom silom u proteklim mesecima, video je takođe na desetine hiljada napada ove vrste u sličnom vremenskom intervalu. U stvari, WordPress napadi se javljaju učestalošću od nekoliko stotina na dan. Drugi HTTP napadi su uobičajeni, pa verovatno vredi napomenuti da priličan broj tih napada potiče sa sistema na kojima se izvršava AWS.

Verovatno ovih dana nije više potrebno da se Linux brani od preteranih tvrdnji o nedostacima funkcionalnosti i bezbednosti. Ali bilo je takvo vreme – godinama krajem devedesetih pa sve do dvehiljaditih – kada je za Linux bilo potrebna čvrsta odbrana od lavine dezinformacija generisanih zajedničkim naporima da se minimizira rast Linuxa. Ne čuje se više mnogo o poređenjima Linuxa sa Windowsom, niti o Linuxovim nedostacima u funkcionalnosti ili bezbednosti – dokazi su isuviše dugački i istaknuti. Windows i Linux su se na neki način uskladili, tako da Linux vozi Internet, a Windows vozi korporacijske stone računare i osnovne korporacijske NOS zadatke. Prema tome, Akamai bi trebalo da se stidi ove izjave o botnetu: “Pre deset godina, Linux se smatrao bezbednijom alternativom za Windows okruženja, koja su trpela lavovski deo napada u to vreme, pa su kompanije sve više prihvatale Linux u sklopu svojih napora da se učvrsti bezbednost. Pošto je broj Linux okruženja povećan, raste i potencijal prilika i koristi za kriminalce. Napadači će nastaviti da razvijaju taktike i alate, pa bi stručnjaci za bezbednost morali na nastave sa učvršćivanjem svojih Linux sistema u skladu sa tim.” Ova izjava ne kazuje skoro ništa korisno, ali je data na način koji kao da tvrdi da je problem u Linuxu. Bolje bi bilo reći: "Nemojte koristiti jednostavne podrazumevane administratorske lozinke na ugrađenim sistemima i ne ostavljajte prijavljivanje otvoreno." To je jedna sveopšta istina koja predstavlja srž ovih problema. XOR botnet je svakako jedna opasna pretnja, ali su je omogućili nesposobnost i neznanje, a ne fundamentalni problemi jednog operativnog sistema. To nije bezbednosni problem, već ljudski problem, a njih je skoro nemoguće sprečiti.