Μπορεί να έχετε ακούσει τη φράση που συνοδεύει το λειτουργικό σύστημα Linux, η οποία λέει ότι πρόκειται για το καλύτερο OS όσον αφορά την ασφάλεια. Σε γενικές γραμμές αυτό ισχύει, υπάρχουν όμως ορισμένα ζητήματα στο πρόγραμμα που μπορούν να επηρεάσουν την ασφάλειά του.
Πρόσφατα το SophosLab, δημοσίευσε μια αναφορά σχετικά με ένα νέο κακόβουλο λογισμικό, που ονομάζεται Cloud Snooper και μπορεί να παραβιάσει την ασφάλεια των server που βασίζονται σε Linux ή οποιοδήποτε άλλο λειτουργικό σύστημα, μέσω ενός driver του πυρήνα.
Οι επιτιθέμενοι μπορούν τώρα να εκτελέσουν εντολές στο δίκτυο, χρησιμοποιώντας το νέο κακόβουλο λογισμικό Cloud Snooper.
Τι είναι το Cloud Snooper;
Το Cloud Snooper είναι ένα νέο εξελιγμένο κακόβουλο λογισμικό, που δημιουργεί επικοινωνία με τον cloud computing server, παρακάμπτοντας το τείχος προστασίας.
Πώς μολύνει τους server;
Όπως ίσως γνωρίζετε, τα πάντα στο λειτουργικό σύστημα Linux είναι αρχεία. Έτσι οι κακόβουλοι παράγοντες εκμεταλλεύονται το αρχείο driver του πυρήνα Linux που ονομάζεται «snd_floppy».
Το όνομα του αρχείου, επιλέχθηκε για να μοιάζει με άλλα προγράμματα driver του Linux, που ξεκινούν με “snd” όπως τα snd_pcm, snd_hda_intel, snd_hda_codec και snd_timer.
Για να κατασκοπεύει τον server, ο εισβολέας χρησιμοποιεί μια μέθοδο σηματοδότησης, κατά την οποία η κρυφή εντολή παρακολούθησης προστίθεται στα κανονικά δεδομένα της κυκλοφορίας δικτύου, για την εκτέλεση κακόβουλων ενεργειών.
Το σενάριο λειτουργεί ως μυστικά δεδομένα, τα οποία εξάγονται από την κυκλοφορία δικτύου από το αρχείο driver snd_floppy. Ο εισβολέας χρησιμοποιεί τη θύρα προέλευσης TCP 16 bit για να στείλει την εντολή, παρακάμπτοντας την ανίχνευση από το τείχος προστασίας.
Πώς να προστατεύσετε τον server από το Cloud Snooper;
Το πρώτο πράγμα που μπορείτε να κάνετε είναι να τροποποιήσετε τους τρέχοντες κανόνες ασφαλείας του τείχους προστασίας, για να εντοπίσετε και να αποκλείσετε πακέτα από μια παράνομη θύρα προέλευσης.
Εάν το τείχος προστασίας εξακολουθεί να μην περιορίζει την καταχώριση ενός μολυσμένου αρχείου, μπορείτε να προσθέσετε ένα ακόμα επίπεδο προστασίας για να αποτρέψετε την εκτέλεση μιας δέσμης ενεργειών. Μπορείτε να χρησιμοποιήσετε οποιοδήποτε εργαλείο που μπορεί να παρακολουθεί και να διαγράφει επικίνδυνα προγράμματα driver πυρήνα ή άλλα ανεπιθύμητα προγράμματα από το server σας.
Μπορείτε επίσης να προσθέσετε έλεγχο ταυτότητας δύο παραγόντων σαν ένα πρόσθετο επίπεδο ασφάλειας.
