Linux-systemen worden steeds vaker gebruikt voor DDoS-aanvallen. En dat is opvallend omdat Linux-machines vaak als veiliger worden gezien en bovendien in mindere hoeveelheden worden gebruikt binnen bedrijven dan bijvoorbeeld Windows-machines. Dat meldt netwerkdienstverlener Akamai op basis van eigen onderzoek.
Volgens Stuart Scholly, senior vice president bij Akamai, werden eerder voornamelijk Windows-machines aangevallen voor het bouwen van botnets. ‘Op dit moment worden botnets steeds meer opgebouwd uit Linux-systemen om DDoS-aanvallen uit te voeren.’
Het hacken van Linux-toestellen wordt gedaan met XOR DDoS, meldt Akamai op zijn website. Dit is een Trojan malware die het Linux-systeem infecteert, zodat een cybercrimineel vanaf afstand een DDoS-aanval kan lanceren. Voornamelijk de gaming-sector en onderwijsinstellingen worden geraakt door deze XOR DDoS-botnets. Er vinden tot twintig van dergelijke aanvallen per dag plaats, die meer dan 150 gigabit per seconde (Gbps) halen.
De aanvallers krijgen de controle over een Linux-systeem in twee stappen. Ze voeren eerst een ‘brute force’-aanval uit om het wachtwoord voor de Secure shell-services te bemachtigen. Vervolgens gebruiken ze de zo verkregen ‘root privileges’, die toegang bieden tot systeembestanden en -programma’s, om een ‘Bash shell’-script te draaien en zo de controle over het toestel te krijgen.
Linux niet meer veilig
Hans Nipshagen, regionaal verkoopmanager bij Akamai, legt uit dat deze ontwikkeling opvallend is, omdat Linux altijd werd gezien als veiliger dan Windows. Aanvallers gebruiken namelijk vooral systemen met veel kwetsbaarheden en met de meeste gebruikers voor een DDoS-aanval, legt hij uit. ‘Ondertussen gebruiken aanvallers geavanceerde technieken en grote aanvallen, waardoor eigenlijk elk apparaat dat op het internet is aangesloten, kwetsbaar is. Dus ook Linux-toestellen.’
Nipshagen noemt als voorbeeld van de mogelijkheden van aanvallers dat een gemiddelde website een bandbreedte heeft van 1 Gbps. ‘De gemiddelde aanvalsgrootte is echter al 13 Gbps. Dit betekent dat zo’n aanval gemakkelijk de internetlijn doet vollopen en dan werkt de website niet meer.’ Veel organisaties denken volgens hem nog steeds dat een firewall hier wel voldoende bescherming tegen biedt, ‘maar dat werkt niet tegen zo’n aanvalsgrootte’.
Linux is nog steeds veiliger dan Windows, want de wijze van aanval is door een bruteforce aanval op SSH. Dit heeft dus niks met de veiligheid van Linux te maken, maar met de sterkte van het root wachtwoord en dus de competentie van de beheerder.
Voor een gedecompileerde versie van XOR.DDOS, zie http://www.leisink.net/xor.ddos.asm
@Hugo, dat zie je volgens mij verkeerd. De in het artikel gevoerde redenatie rondom platformveiligheid werd ook in het gros van de gevallen bij Windows als onveiligheid aangemerkt. Vervelend daarbij was, dat Microsoft dat soort redenaties nooit bestreed, maar altijd met de standaardreactie kwamen in de trant van: “Microsoft recognizes this to be a potential security risk etc” en dat er gewerkt ging worden aan een oplossing.
Helaas, zoals gewoonlijk weer een artikel dat de plank mis slaat. Hier een juistere weergave van de werkelijkheid.
http://news.softpedia.com/news/xor-ddos-malware-for-linux-attacks-have-been-greatly-exaggerated-493287.shtml
@Hugo: Of juist het gebrek van de competenties bij de beheerders.
Laatst kwam ik er bij een Linux installatie achter dat de root gebruiker wel gewoon standaard mag inloggen met SSH. Ik vond dat exteem raar en heb gelijk de /etc/login.defs aangepast.
Maar ik vroeg me wel af waarom dat zo scheef stond.
De aanval is niet alleen op SSH, maar tevens alleen op root.
Als je geen root wachtwoord hebt, zoals dat bij Ubuntu het geval is, hoef je je daarvoor minder zorgen te maken.
Verder moet je dan nog Root login geactiveerd hebben in SSH.
En een eenvoudig (maximaal 8 letters) paswoord.
Desalniettemin heb ik nog wat extra beveiliging in mijn websites ingebouwd om te zorgen dat XOR.DDos vergelijkbare aanvallen op niets uitlopen.
(Ik heb alleen nog mogelijke problemen met Xcross-scripting)
Ik wil hier graag een analogie gebruiken. Een Bunker en Linux. Een bunker wordt als heel veilig en ondoordringbaar beschoud. Echter, alles staat of valt met een goed beheer van een bunker. Bijvoorbeeld als de sleutel op straat ligt of mensen werken niet volgens het protocol, dan is een bunker ook lek als een mandje.
Als we Linux als een bunker vergelijken, dan is het zaak om het linux systeem adequaat en professioneel te beheren, maar ook pro-actief te patchen. Verzuim je hierin, dan geef je de hackers munitie om je linux systeem te misbruiken. Het is een rat race die je loopt.
Wat mij betreft is Linux zeer veilig, getuige het feit dat Linux tegenwoordig mission critical workload niet alleen primair op x86 platform draait maar ook op IBM Mainframes. Wat mij betreft is goed huisvaderschap de sleutel om linux veilig te hebben en te houden.
If you also read the article this is probably based on (PCWorld) then while it says Linux – the thing that caught my eye is that it is also about embedded systems based on Linux.
While it is important to read what is there – around security topics it is almost more important to read between the lines to discover the threats that have not been mentioned.
In a normal, even, or perhaps especially, there are many devices in our “Internet of Things” that have one or more core services based on Linux – in one form or another. Especially these devices that are largely unmonitored and rarely updated are (potential) targets of brute-force attacks of any login mechanism.
In any case, there is no point is saying X is more secure than Y. That is a point in time for discussions such as this. More interesting is what we can do to motivate people to have sensible passwords and update procedures – and not to forget – just going through the infrastructure looking for “weak” components – especially those in a critical zone (e.g., the home router connecting WLAN to Home Network).
And that Linux is targeted – especially Intel based Linux (from the assembly code I saw behind one link) – comes because of it’s success in the market. Easier pickings.
Think Vigilance!
Zoals zoveel staat of valt alles met goed onderhoud en goed systeembeheer.
Ten eerste: alleen die systemen die SSH open hebben staan voor remote root login hebben hier last van. Als je niet met root kan inloggen is deze route al snel afgesneden.
Ten tweede: een sterk genoeg root wachtwoord. Hier is een stuk minder zekerheid te verkrijgen. Een langer wachtwoord vertraagt op z’n hoogst het moment waarop de hacker toegang krijgt. Een betere methode blijft om SSH niet open te zetten voor root inlog.
Ten derde: Een goede virusscanner. Ja ook die zijn nodig voor Linux.
Is Linux veiliger dan Windows? Mijn onderbuikgevoel zegt: bij goed systeembeheer zeker.
Linux heeft een interne firewall die iptables heet. Als die firewall goed wordt geconfigureerd dan is het systeem niet meer kwetsbaar voor aanvallen van buitenaf.
@Technicus,
Het ligt veelal aan de distro.
Bij Debian en SuSe kun je bijvoorbeeld ook standaard als root inloggen,
Bij Ubuntu weer niet.
Idd een kwestie hoeveel tijd je aan beheer wil besteden.
Het artikel slaat verder idd de plank behoorlijk mis, en haalt zaken door elkaar.
Er wordt immers gesteld dat er DDOS attacks worden gedaan m.b.v. Linux-computers en dat Linux daardoor niet meer veilig is. Ehhhh uhmmm??? Say what?