Linux-systemen worden steeds vaker gebruikt voor DDoS-aanvallen. En dat is opvallend omdat Linux-machines vaak als veiliger worden gezien en bovendien in mindere hoeveelheden worden gebruikt binnen bedrijven dan bijvoorbeeld Windows-machines. Dat meldt netwerkdienstverlener Akamai op basis van eigen onderzoek.
Volgens Stuart Scholly, senior vice president bij Akamai, werden eerder voornamelijk Windows-machines aangevallen voor het bouwen van botnets. ‘Op dit moment worden botnets steeds meer opgebouwd uit Linux-systemen om DDoS-aanvallen uit te voeren.’
Het hacken van Linux-toestellen wordt gedaan met XOR DDoS, meldt Akamai op zijn website. Dit is een Trojan malware die het Linux-systeem infecteert, zodat een cybercrimineel vanaf afstand een DDoS-aanval kan lanceren. Voornamelijk de gaming-sector en onderwijsinstellingen worden geraakt door deze XOR DDoS-botnets. Er vinden tot twintig van dergelijke aanvallen per dag plaats, die meer dan 150 gigabit per seconde (Gbps) halen.
De aanvallers krijgen de controle over een Linux-systeem in twee stappen. Ze voeren eerst een ‘brute force’-aanval uit om het wachtwoord voor de Secure shell-services te bemachtigen. Vervolgens gebruiken ze de zo verkregen ‘root privileges’, die toegang bieden tot systeembestanden en -programma’s, om een ‘Bash shell’-script te draaien en zo de controle over het toestel te krijgen.
Linux niet meer veilig
Hans Nipshagen, regionaal verkoopmanager bij Akamai, legt uit dat deze ontwikkeling opvallend is, omdat Linux altijd werd gezien als veiliger dan Windows. Aanvallers gebruiken namelijk vooral systemen met veel kwetsbaarheden en met de meeste gebruikers voor een DDoS-aanval, legt hij uit. ‘Ondertussen gebruiken aanvallers geavanceerde technieken en grote aanvallen, waardoor eigenlijk elk apparaat dat op het internet is aangesloten, kwetsbaar is. Dus ook Linux-toestellen.’
Nipshagen noemt als voorbeeld van de mogelijkheden van aanvallers dat een gemiddelde website een bandbreedte heeft van 1 Gbps. ‘De gemiddelde aanvalsgrootte is echter al 13 Gbps. Dit betekent dat zo’n aanval gemakkelijk de internetlijn doet vollopen en dan werkt de website niet meer.’ Veel organisaties denken volgens hem nog steeds dat een firewall hier wel voldoende bescherming tegen biedt, ‘maar dat werkt niet tegen zo’n aanvalsgrootte’.
Rare conclusie om te stellen dat Linux niet (meer) veilig is. Wanneer je een geen of een eenvoudig wachtwoord gebruikt, weet je dat ongenode gasten binnenkomen. Ongeacht of het nu Linux, Windows of OS X is.
Dit type misbruik heeft niets met het smaakje OS te maken.
ssh
authenticatie
bruteforce
ddos
defaultsettings
firewall
sudo
beheer
patchen
onderbuikgevoel
firewall
daar kun je me toch een hoop onzin over vertellen..
Als je op een Linux server inlogt, hoe weet je dan zeker dat het de juiste Linux server is, met MITM kun je IP adres niet vertrouwen.
Inloggen op Linux servers doe je in de regel niet met een username, wachtwoord, maar met een SSH sleutel.
Niets is altijd veilig, het maakt ook erg uit wat je met een server doet. Beide zijn veilig te maken.
Het punt lijkt mij hier (en ook bij soortgelijke meldingen over Windows) dat onderzoekers helemaal geen onderscheid maken tussen (technische) onveiligheid van het platform en onveiligheid door ondeskundigheid van de beheerders. Men constateert dat Linux-systemen relatief meer voor dDos-aanvallen gebruikt worden dan eerder en stelt op basis daarvan dat Linux minder veilig is geworden ten opzichte van andere platformen. Die ‘zie je nou wel’- en ‘wat is dit nou voor gelul?’-reacties bij respectievelijk Windows en Linux zijn volgens mij niet relevant als verdisconteerd is dat Linux-beheerders vaker onvoldoende deskundig zijn dan daarvoor. Zo kwamen wij op Windows in het verleden wel beheerders tegen die alle netwerkprotocollen (inclusief die ten behoeve van sniffing/monitoring aanzetten op werkplekken en servers). Want dan deden ze het tenminste, wisten ze uit ervaring. Dat weegt allemaal mee als de onveiligheid van Windows gemeten wordt.
Citaat uit het originele stuk van akamai:
“Attackers use the Linux vulnerabilities on unmaintained servers to gain access”
Het probleem is dus niet “Linux” maar systemen die niet onderhouden zijn.
De titel kan ik alleen maar als click-bait zien.
Ieder systeem dat slecht onderhouden wordt, kan gehacked worden dat is nou niet bepaald nieuw.
@Jan Dat is een mooie zin over de unmaintained servers met de vulnerabilities. Moet meteen denken aan de cloud. Die cloud biedt veel moois maar ook de mogelijkheid om maar machines of containers naar lieve lust aan te maken. Dat is een nadeel. Wat dat betreft is het beheer en die beheersbaarheid er niet eenvoudiger op geworden. En de mogelijkheden tot dit soort narigheid.
@Jan
Je verdedigt Linux maar gaat even voorbij aan de vraag waarom deze servers vaak slecht onderhouden zijn. Veelal komt Linux mee als OS onder de ‘one-click’ appliances die door de business is aangeschaft binnen een ‘Windows-engaged environment’ waardoor dit de ‘Shadow IT’ wordt van buiten de afdeling IT om gecontracteerde oplossingen.
Enig idee hebben hoeveel van deze slecht onderhouden Linux installaties er zijn binnen de proces automation?
Patch management is daar nog niet eens op papier geregeld en als je me even IP nummer van je smart thermostaat geeft dan zet ik deze alvast wat lager….. Lang leve IoT;-)
Ewout haalt een heel heikel punt aan.
Server beheer vereist kennis van zaken en de wens dit onderhoud goed te doen.
Allerlij handige klikklakklaar tools kunnen daarbij helpen maar zijn evenvaak de oorzaak van het probleem.
Ik ken maar weinig produktie omgevingen die werkelijk up to date gehouden worden, want als je aangeeft dat onderhoud onheroepelijk maintenancetijd (downtime) inhoud, dan hoeft het al niet meer.
Voordeel van de cloud is natuurlijk wel dat je die vervelende klus aan een betrouwbare partij (zo hoop je dan) kunt overdragen.
Iot ook zo’n mooi verhaal… heb dat soort spullen niet.
@Pascal Het hangt er vanaf wat je uit de cloud afneemt, zijn het gewoon machines en infrastructuur dan is het nog aan jou om het beheer te doen. Je schrijft ook dat er maar weinig productie omgevingen zijn die up to date gehouden worden. Dat geloof ik ook zo, dat is ook mijn ervaringen in omgevingen waar ik gewerkt heb. Eerder chaos dan orde. Misschien moeten we wel concluderen dat de computer te ingewikkeld voor ons is. Een apparaat met mogelijkheden die niet overzien zijn laat staan hoe ze toe te passen. Uiteindelijk doen we maar wat.
Van de week moest ik even mijn kennis van Google Compute Engine oppoetsen. Belangrijk, want zo’n cloud provider voegt sneller nieuwe toe dan Shadow IT aan kan 😉
En inderdaad. Je klikt een image naar keuze aan (Moodle, Postgres, WordPress, whatever) en vijf minuten later heb je een Linux server met alvast wat voor geconfigureerd.
Grappig is dat je geen Putty of iets dergelijks meer nodig hebt maar gewoon “native” via je browser met SSH naar binnen kan. Zonder username en wachtwoord, dus standaard veilig.
Dus ook veiliger zijn gaat steeds gemakkelijker (Je kunt zelfs niet standaard via de buitenkant op de Linux server komen).
Dit zijn dus redenen om voor cloud computing te kiezen. Het is veiliger. Oja, leuke take away. Een 600 MB ram, 10GB SSD Linux server kost je 5 dollar per maand….