Báo cáo An toàn thông ninh và bảo mật cho hệ điều hành Linux năm 2016
Trong 10 năm qua, GNU/Linux đã đạt được những thành quả tưởng chừng như không thể: trang bị rộng rãi ừ thiết bị nhỏ nhất tới thiết bị lớn nhất trên thế giới, mọi thứ đều nằm trong vùng phủ sóng Linux. Trong bài báo cáo này, hãy cùng nhìn lại và đánh giá về tính An toàn thông ninh và bảo mật hệ ...
Trong 10 năm qua, GNU/Linux đã đạt được những thành quả tưởng chừng như không thể: trang bị rộng rãi ừ thiết bị nhỏ nhất tới thiết bị lớn nhất trên thế giới, mọi thứ đều nằm trong vùng phủ sóng Linux. Trong bài báo cáo này, hãy cùng nhìn lại và đánh giá về tính An toàn thông ninh và bảo mật hệ cho điều hành Linux.
25 năm tuổi đời của Linux
Năm 2016 diễn ra một sự kiện kỉ niệm 25 năm Linux ra đời. Một trong những phát biểu đầu tiên của nhà sáng lập Linus Torvalds đó là về vấn đề bảo mật, làm thế nào để bảo mật hệ điều hành Linux.
Sự kiện nổi bật: Backdoor trên hệ điều hành linux
1. Sự kiện Backdoor trong Linux Mint (Tháng 2 2016)
Người dùng tải về bản phân phối Linux vào ngày 20/1 có nguy cơ bị tấn công bằng backdoor. Máy chủ của Linux Mint đã bị xâm nhập thông qua WordPress. Tin tặc tải lên tệp tin ISO giả mạo. Nếu bạn tìm thấy tệp tin /var/lib/man.cy thì chắc chắn rằng bản cài đặt của bạn chứa backdoor.
Bài học rút ra: Ngừng sử dụng MD5. Nếu bạn vẫn sử dụng SHA1, hãy bổ sung SHA256 hoặc SHA512
2. Bảo mật kernel (lõi) Linux và cơ chế tự bảo vệ
Một chủ đề nóng xung quanh vấn đề nâng cao bảo mật kernel Linux và ý tưởng về một cơ chế “tự bảo vệ”. Kernel Linux nên được thiết kế tự chống lại các cuộc tấn công thông thường. Đó là các cuộc tấn công tràn bộ đệm, dẫn tới truy cập trái phép vào bộ nhớ.
Ví dụ với phiên bản Linux 4.9, phần kernel đã được bảo vệ dựa trên kiểu dữ liệu lưu trong bộ nhớ. Mã bộ nhớ được phân thành có thể thực thi và chỉ đọc; với chỉ đọc, dữ liệu không thể thực thi.
Một bổ sung mới đây đó là việc tăng cường bảo mật cho stack. Stack được dùng cho việc duy trì danh sách hoạt động của một tiến trình và xác định bước tiếp theo. Phần kernel giúp tất cả stack của tiến trình ánh sạ với nhau, và xảy ra nguy cơ một tiến trình thực hiện tràn stack (giống tràn bộ đệm). Lớp bảo vệ mới cho phép kernel gửi về thông báo lỗi và tránh các cuộc tấn công tương tự.
Vá Kernel trực tiếp để đảm bảo bảo mật cho hệ điều hành linux
Công nghệ vá trực tiếp kernel không mới. Một vài công nghệ đã được phát triển trong nhiều năm như:
- KernelCare
- kexec
- kGraft (SUSE)
- kpatch (Red Hat)
- Ksplice (Ksplice, hiện tại thuộc Oracle)
Khi một lỗ hổng an ninh mới tấn công vào kernel, các bản phân phối có thể tạo ra một bản vá tương ứng. Sau đó bán vá sẽ được chạy như một mô đun trong kernel và cách li chức năng chứa lỗ hổng.
Lỗ hổng bảo mật trên hệ điều hành Linux
- CVE-2015-7547 – glibc: Lỗ hổng tồn tại trong glibc, một thư viện phổ biến ảnh hướng tới hầu hết các hệ thống Linux.
- CVE-2016-1247 – nginx (vượt quyền root): Chức năng tự động xóa tệp tin log trên hệ thống sử dụng nginx trên Debian có thể dẫn tới lỗ hổng vượt quyền.
- CVE-2016-0636 – OpenJDK: Một lỗ hổng trong phiên bản Java 7 và 8 tấn công các Windows lẫn Linux. Với xu hướng hiện tại, các chuyên gia bảo mật khuyến cao vô hiệu hóa Java và Flash.
- CVE-2016-0800 – DROWN attack: Tấn công DROWN được phát hiện trong SSLv2. Mặc dù rất nhiều máy chủ web được cấu hình đúng, nhưng vẫn có thể bị tin tặc tấn công nếu SSLv2 được bật trên hệ thống khác (ví dụ mail), khi sử dụng chung một khóa cho chứng chỉ SSL
- CVE-2016-0728 – Khai thác 0-day Linux root: Một lỗ hổng trong thành phần lõi của Linux có thể dẫn tới rò rỉ dữ liệu. Chi tiết về lỗ hổng được đăng tải tại đây.
- CVE-2016-5696 – Lỗ hổng trong Linux kernel 4.6: Không ảnh hưởng máy chủ và thiết bị máy tính, lỗ hổng tập trung chủ yếu vào Android 4.4 KitKat và các phiên bản cũ hơn. Lỗ hổng có thể được sử dụng để tấn công TCP session.
- CVE-2016-6662 – Lỗ hổng nghiêm trọng trong MySQL và MariaDB: Lỗ hổng dẫn tới vượt quyền root. Chi tiết được đăng tải tại đây.
- CVE-2016-4484 – Bypass mã hóa ổ đĩa Linux: Lỗ hổng tương tự bypass xác thực GRUD2 được phát hiện vào năm 2015.
- CVE-2016-5195 – Dirty COW: Lỗ hổng rò rỉ bộ nhớ Copy-on-write
Mã độc Linux
Mã độc không phải là một điều mới trên Linux và nó tộn tại ngay từ khi Linux ra đời. Vào đầu năm 2000, các nhà nghiên cứu đã tìm ra rootkit, backdoor và một vài công cụ tấn công khiến phần mềm bị treo. Chất lượng và số lượng mã độc ngày càng được nâng cao.
1. Mã độc Mirai botnet
Botnet (mạng ma ảo) là một công cụ đắc lực cho tin tặc thực hiện tấn công từ chối dịch vụ, gửi thư rác hay thu thập bitcoin. Các mạng ma ảo đa dạng từ các client IRC có thể thực thi lệnh đến các client mã hóa mạnh mẽ với các cơ chế khác nhau kiểm soát bởi chủ mạng ma.
Tổ chức Core Infrastructure Initiative
Linux Foundation đóng góp nguồn lưc và kinh phí của mình giúp Linux bảo mật hơn, an toàn hơn. Không chỉ trong Linux kernel, các phần mềm được sử dụng rộng rãi trong Linux như OpenSSL và các dự án mã nguồn mở khác cũng được hỗ trợ trong Core Infrastructure Initiative. Hàng loạt các công ty hàng đầu thế giới chịu trách nhiệm và tham gia vào tổ chức như Amazon Web Services, Cisco Systems, Dell, Facebook, Fujitsu, Google, IBM, Intel,Microsoft, NetApp, Rackspace, Qualcomm, VMware …
Các hội nghị bảo mật
1. Hội nghị O’Reilly Security
Hầu hết các hội nghị bảo mật đều tập trung vào khía cạnh tấn công như Black Hat hay Defcon. Hiếm có hội nghị bảo mật nào tập trung vào việc phòng thủ như O’Reilly. O’Reilly được tổ chức thành hai sự kiện tại New York và Amsterdam.
2. Ngày hội bảo mật cho hệ điều hành lĩnh – Linux Security
Là hội nghị thượng đỉnh hàng năm cung cấp đầy đủ thông tin về vấn đề bao mật Linux. Bạn đọc có thể theo dõi thông qua video được đăng tải tại đây.
linux-audit