Три «бытовые» атаки на Linux

В XXI веке операционная система Linux стала такой же вездесущей, как и Windows. Хотя на ноутбуках и ПК ей пользуются всего 3% людей, Linux доминирует в Интернете вещей и является популярнейшей серверной ОС. У вас дома почти наверняка есть хотя бы одно Linux-устройство, например Wi-Fi роутер, или «коробочка с вайфаем». Но весьма вероятно, что устройств на самом деле куда больше: Linux часто используется в умных дверных звонках, камерах наблюдения, видеонянях, домашних сетевых хранилищах (NAS), телевизорах и так далее.

При этом из прошлого века Linux вынес репутацию «беспроблемной» ОС, которая не требует особого обслуживания и не интересует хакеров. К сожалению, оба этих факта больше не верны. Что может грозить домашнему Linux-устройству? Приведем три примера из жизни.

Ботнет из роутеров

Запустив вредоносное ПО на роутере, камере видеонаблюдения или другом постоянно работающем и подключенном к Интернету устройстве, злоумышленники могут активно пользоваться им для различных кибератак. Очень популярно применение таких ботов в DDoS-атаках. Хрестоматийный случай — ботнет Mirai, с помощью которого проводились крупнейшие DDoS-атаки прошлого десятилетия.

Другое популярное применение зараженных роутеров — запуск на них прокси-сервера. Через такой прокси преступники могут выходить в Интернет, пользуясь IP-адресом жертвы и заметая свои следы. Обе эти услуги пользуются стабильным спросом в подполье, поэтому операторы ботнета могут перепродавать их другим киберпреступникам.

NAS-вымогательство

Крупные кибератаки на большие компании с последующим требованиями выкупа, то есть ransomware, почти заставили нас забыть, что начиналась эта подпольная индустрия с очень даже небольших угроз домашним пользователям. Зашифровали компьютер, потребовали сто долларов за расшифровку — помните еще? В немного измененном виде эта угроза возродилась в 2021-м и развилась в 2022 году — только теперь хакеры целятся не в ноутбуки и десктопы, а в домашние файл-серверы, NAS. Минимум дважды зловредное ПО атаковало владельцев NAS от QNAP (Qlocker, Deadbolt), также под атаками побывали устройства Synology, LG, ZyXEL. Сценарий во всех случаях одинаков: доступное через Интернет сетевое хранилище атакуют, перебирая пароли или используя уязвимость в его ПО. Дальше на нем запускают Linux-зловреда, который шифрует все данные и выводит требование выкупа.

Шпионаж на десктопах

Владельцы настольных компьютеров или ноутбуков с Ubuntu, Mint и прочими разновидностями Linux тоже должны быть настороже. «Десктопные» зловреды существуют для Linux давно, но теперь их можно подхватить даже на официальных сайтах. Совсем недавно мы обнаружили атаку, в которой некоторые пользователи Linux-версии Free Download Manager перенаправлялись на вредоносный репозиторий и загружали на свои компьютеры троянизированную версию FDM.

Чтобы провернуть этот трюк, злоумышленники взломали сайт Free Download Manager и оставили там скрипт, случайным образом направлявший одних посетителей на официальную, «чистую» версию FDM, а других — на зараженную. Троянская версия разворачивала на компьютере вредоносное ПО, ворующее пароли и другую важную информацию. Бывали подобные случаи и в прошлом, например с образами Linux Mint.

Особо отметим, что уязвимостей в Linux и популярных Linux-приложениях обнаруживают предостаточно, поэтому даже верно сконфигурированные средства ОС и роли доступа не дают полной защиты от подобных атак.

В общем, полагаться на то, что «Linux мало популярен и никому не нужен», «я не хожу на подозрительные сайты», «не надо работать под root» и прочие народные рецепты уже давно нельзя. Защищать рабочие станции на базе Linux надо столь же тщательно, как с Windows и MacOS.

Как защищать Linux-системы дома

Используйте надежный пароль администратора на роутере, NAS, видеоняне, домашних компьютерах. Пароли на этих устройствах должны отличаться. Перебор паролей и использование стандартных заводских паролей остаются популярными способами атак на домашний Linux. Правильные (длинные и сложные) пароли удобно хранить в менеджере паролей, чтобы не вводить вручную.

Регулярно обновляйте прошивку роутера, NAS и прочих устройств. Поищите в настройках функцию автоматического обновления, здесь она будет особенно удобна. Эти обновления защитят от популярных атак через эксплуатацию уязвимостей в Linux-устройствах.

Отключите управление из Интернета. Почти все роутеры и NAS позволяют ограничить доступ к своей панели управления. Сделайте так, чтобы она вообще не открывалась из Интернета и была доступна лишь из домашней сети.

Минимизируйте ненужные сервисы. И NAS, и роутер, и даже смарт-звонок являются миниатюрными серверами. В них часто доступны дополнительные функции: медиасервер, обращение к файлам по FTP, подключение принтера для печати с любого домашнего компьютера, управление из командной строки по SSH и так далее. Оставьте включенными только те функции, которыми действительно пользуетесь.

Обдумайте ограничение «облака». Если вы не пользуетесь «облачными» функциями своего NAS (например, WD My Cloud) или пользуетесь, но можете без них обойтись, лучше их вообще отключить и обращаться к NAS только по локальной сети, из дома. Это не только остановит многие кибератаки, но и защитит в случае инцидентов на стороне поставщика.

Используйте специализированные средства защиты. В зависимости от устройства, названия и функции доступных инструментов могут отличаться. Для ПК и ноутбуков на Linux, а также для некоторых NAS доступны антивирусы, включая регулярно обновляемые решения Open Source, например ClamAV. Также существуют инструменты для узких задач, например для поиска руткитов.

Для настольных компьютеров можно обдумать переход на операционную систему Qubes. Она целиком построена на принципах контейнеризации и позволяет полностью изолировать приложения друг от друга. Контейнеры Qubes основаны на Fedora и Debian.