Heet van de naald: Gegijzelde computers... NIEUWS

[HWE64]

Voor Linux denk ik het volgende:
De email, vaak Thunderbird, staat in de /home map, waar je alle rechten hebt.
Een verkeerde muisklik kan daar dus iets openen en wegschrijven, waarna er twee mogelijkheden zijn.
1. De bewaarde rommel moet gestart worden met iets als "sh rommel", of
2. De rommel wordt alleen in het geheugen gezet en doet zijn werk gelijk.

Conclusie: ook op alles klikken in Linux is gevaarlijk......

Firejail in Thunderbird zetten ?

[Bloom]

Zucht. Linux is geen Windows en heeft een heel andere en veilige architectuur.

1. Klikken op links in Linux is NIET gevaarlijk. Niet in e-mails, niet in het web. Als er al wat meegestuurd wordt, is dat per defiinitie niet uitvoerbaar en kan dus ook niets infecteren. Voor wat mails betreft, natuurlijk wel opletten voor phishing, want dat werkt onafhankelijk van het besturingssysteem.

2. Kunnen Linux webservers malware voor Windows verspreiden? Ja, dat kan. Als de systeembeheerders hun werk niet goed doen en door nalatigheid ervoor zorgen dat hackers binnenraken op die server of zelf allerlei modules in php kunnen installeren, dan kan dat. Een Linux systeem kan vanuit het internet niet besmet worden met malware vermits alles wat van het internet komt per definitie niet uitvoerbaar is.

3. Is Linux dan veilig? Ja, Linux is veilig. Maar blijft het dat ook bij een domme gebruiker? Nee. Als een domme gebruiker iets downloadt van internet, zijn downloadfolder opent en het gedownloade via rechtsklikken en eigenschappen uitvoerbaar maakt en het daarna dubbelklikt om het te doen uitvoeren, dan kan de aldus gestarte software aan heel zijn home directory. Als het gestarte programma om een beheerwachtwoord vraagt, en de nu wel zéér domme gebruiker toetst dat ook nog in, dan heeft het aldus gestarte programma nu toegang tot heel het systeem en kan het hetzelfde doen als standaard bij Windows. Op die manier kun je dus ook malware in Linux krijgen. De malware moet wel specifiek voor Linux geschreven zijn (Windows malware werkt dus niet, tenzij je Wine hebt draaien) en het vereist verregaande medewerking van een wel heel domme gebruiker.

Ik kan met Linux surfen naar de meest griezelige Russische websites en daar klikken op wat ik maar wil zonder dat ik voor wat dan ook schrik moet hebben. Met Windows zou ik dat nooit durven.
En de cyberaanval met ransomware die nu in het nieuws is, zou dus nooit gekund hebben als al die ziekenhuizen, instellingen en bedrijven met Linux gewerkt hadden in plaats van met Windows.

[partyrabbit]

Ik blijf bij mijn stelling: de grootste veiligheidslek zit tussen stoel en keyboard, ongeacht welk OS je gebruikt.

Helemaal mee eens. Als ik lees hoe zelfs bij linux sommigen aanrommelen met allerhande software uit onveilige bronnen en dergelijke .......
En wine of win hoe dan ook komt er bij mij ook niet op.

3. Is Linux dan veilig? Ja, Linux is veilig. Maar blijft het dat ook bij een domme gebruiker? Nee. Als een domme gebruiker iets downloadt van internet, zijn downloadfolder opent en het gedownloade via rechtsklikken en eigenschappen uitvoerbaar maakt en het daarna dubbelklikt om het te doen uitvoeren, dan kan de aldus gestarte software aan heel zijn home directory. Als het gestarte programma om een beheerwachtwoord vraagt, en de nu wel zéér domme gebruiker toetst dat ook nog in, dan heeft het aldus gestarte programma nu toegang tot heel het systeem en kan het hetzelfde doen als standaard bij Windows. Op die manier kun je dus ook malware in Linux krijgen. De malware moet wel specifiek voor Linux geschreven zijn (Windows malware werkt dus niet, tenzij je Wine hebt draaien) en het vereist verregaande medewerking van een wel heel domme gebruiker.

Dat bedoel ik. Dat had ik.
Kids kregen op een spellensite de vraag tot installeren. De vraag om root-wachtwoord. Niet ingegeven.
Detail: voor het installeren van een .exe =d LOL
En als het de vraag voor installatie van een DEB of zo was geweest had ik ook niet het wachtwoord gegeven.

Ik lees geen goede onderbouwing voor je stelling en blijf dus (mede daarom) regelmatig backup’s maken van persoonlijke en/of waardevolle informatie.

Dit hieronder is volgens mij de onderbouwing zoals deze voor linux geldt.
En regelmatig backups maken steun ik volledig want daar is nooit iets mis mee. Al kun je dan nog steeds de mallware bijlage mee backuppen, en dus het probleem in stand houden waardoor backuppen geen volledige oplossing is.

En software MOET geinstalleerd worden.

Dream on, in Ubuntu kan je software ook in je persoonlijke map (/home, /home/bin of /home/Downloads) plaatsen en gebruiken (zonder sudo-wachtwoord).

Dat leg maar eens uit dan hoe dat werkt. Want dat wil ik begrijpen.

Voor zover ik weet wordt er op die manier hier niets geinstalleerd.
Ik ben de enige gebruiker die kan installeren. De andere gebruikers zijn beperkte users en kunnen niet installeren (voor zover ik weet).
En ik zelf installeer alleen veilige software en dat gaat altijd met wachtwoord.
Ik weet niet beter dat voor installatie van software een root nodig is. En daar geef ik zelf het wachtwoord voor, of ik zou volledig van buitenaf gehacked moeten zijn middels directe verbinding en in dat geval zou mijn probleem veel groter zijn dan een mallware'tje.

Ik spreek je niet tegen. Ik wil overtuigd worden. Graag hoor ik waar bij mij het risico zou zitten, en hoe dan?

[Ron]

Beste Partyrabbit, installeer eens het programma bluegriffon, dat werkt n.l. volledig in de home map.
Zo zijn er meer programma' s, er hoeft minder/niet rekening te worden gehouden met de distributie.

[partyrabbit]

Beste Partyrabbit, installeer eens het programma bluegriffon, dat werkt n.l. volledig in de home map.

Niet te vinden hier in softwarecentrum of synaptic, waardoor ik het als niet veilig bestempel en het derhalve hier ook nooit geinstalleerd zal worden.

[Bloom]

Je kunt ook zoeken naar fastpak, dat zit wel in de standaardrepo's en is inderdaad een oplossing om software lokaal (voor één gebruiker dus) te installeren en vereist dus geen rootrechten. Software die je zo installeert, kan alleen maar aan je homedirectory.

In verband met malware verandert dit niks aan wat ik al eerder schreef. Zolang je als gebruiker geen verregaande medewerking verleent, is het onmogelijk om vanuit het internet malware op een Linux-desktop te krijgen.

[partyrabbit]

Wat ik me dan af vraag:
Om de voorbeelden te installeren, wordt dan het wachtwoord gevraagd?

In verband met malware verandert dit niks aan wat ik al eerder schreef. Zolang je als gebruiker geen verregaande medewerking verleent, is het onmogelijk om vanuit het internet malware op een Linux-desktop te krijgen.

[swake]

Intressant om eens gaan te lezen !
http://baudrez.be/ransomware-op-linux-via-cli/

[partyrabbit]

Je kunt ook zoeken naar fastpak, dat zit wel in de standaardrepo's en is inderdaad een oplossing om software lokaal (voor één gebruiker dus) te installeren en vereist dus geen rootrechten. Software die je zo installeert, kan alleen maar aan je homedirectory.

Kijk. En dat is weer dicht gebouwd hier.
Als het aan mij ligt wordt er niet lokaal geinstalleerd. Daarom zijn de andere gebruikers ook beperkt, en ben ik de enige die kan installeren.
Op die manier kan ik de pc's en de veiligheid prima beheren.
Zelfs al zou een (beperkte) gebruiker per ongeluk op een mallware klikken, zelfs dan heeft deze niet de bevoegdheid te installeren.

Dit deden we hier zo trouwens ook al toen we nog win hadden. Hetzelfde zoals een goede netwerkbeheerder het ook inricht.

Fastpack komt dan ook niet op pc's hier in huis, om dezelfde reden dat wine of win onder linux niet geinstalleerd worden.
En installeren ... ikke root, ikke baas

Wat ik al zei, je moet zelf ook geen linux ondermijnende fratsen gaan installeren.
Je voordeur kan veilig op slot, maar wat schiet je er mee op als je de achterdeur en wat ramen open zet?

[partyrabbit]

Intressant om eens gaan te lezen !
http://baudrez.be/ransomware-op-linux-via-cli/

Leuk. Maar dat is een zip of een elf.
En uiteindelijk zal de ransomware zich toch moeten installeren. Correctie, JIJ zult het moeten activeren/installeren.

To use this malware, a crook needs to sneak just two small files onto your computer: the malware program and a public key.

En dat lukt hier niet ongeziens  (vraag installatiewachtwoord, beperkte users, verstandige root gebruiker).

Wat ik me dan af vraag:
Om de voorbeelden te installeren, wordt dan het wachtwoord gevraagd?

[jvecht]

Wat ik me dan af vraag:
Om de voorbeelden te installeren, wordt dan het wachtwoord gevraagd?

NÉÉ, ongelovige, NÉÉ. Geen wachtwoord nodig. Echt heus eerlijk waar niet. Je hoeft niet eens de naam van je home te weten (zoals bijvoorbeeld /home/rabbit).

groet,

Just

[jvecht]

Ik las vanmorgen dat ze ook de parkeergarages van Q-park te grazen hadden. Tja, dat is toch even heel vervelend. Het broodje aap is dus wel degelijk serieus.

groet,

Just

[MKe]

Partyrabbit, ik kan een scriptje schrijven die je niet hoeft te installeren, maar wel gewoon uitgevoerd kan worden en je home folder versleuteld. Installeren is niet nodig. Een slimme programmeur zou dit zo kunnen schrijven dat je niet merkt dat het stiekem automatisch uitgevoerd wordt, maar dat is niet mijn specialiteit.

[MKe]

In verband met malware verandert dit niks aan wat ik al eerder schreef. Zolang je als gebruiker geen verregaande medewerking verleent, is het onmogelijk om vanuit het internet malware op een Linux-desktop te krijgen.

Wat niet specifiek is voor Linux. Deze regel geldt ook voor de andere OS'en. Nogmaals de grootste veiligheidslek is de gebruiker zelf.

[partyrabbit]

@jvecht. Ik ben geen ongelovige, maar ik laat me ook niet zomaar bang maken en wil dan wel graag weten hoe dat precies zou kunnen.

Partyrabbit, ik kan een scriptje schrijven die je niet hoeft te installeren, maar wel gewoon uitgevoerd kan worden en je home folder versleuteld. Installeren is niet nodig.

Maar dat zal dan toch uitgevoerd moeten worden? Geactiveerd moeten worden?
Dat kan toch niet uit zichzelf? Dat doe JIJ dan toch? Of de hacker moet toegang tot je pc hebben maar dan is je probleem groter, toch?

Of anders gezegd, zoals het onder win ongemerkt gebeurd kan dit toch onder linux niet? Sterker nog, ik zeg dat je het onder win zelfs ook zelf activeert en dus kunt weten.

En dan nog is er bij dit betreffende ransomware sprake van mallware welke geinstalleerd moet worden. En waardoor ik nu dus gewoon rustig slaap.

[MKe]

Nee, dat hoeft in principe niet. Een bestand hoeft niet eens uitvoerbaar gemaakt te worden. De mogelijkheden om dit te doen zijn in principe gelijk aan die Windows, behalve dan dat de aanvaller moet weten dat het een Linux OS betreft.

Je punt over Windows is idd correct tenzij de aanvaller en methode vind om het automatisch te starten. Dat zijn vaak de bewuste veiligheidslekken van OS's for gedicht moeten worden.

[partyrabbit]

Nee, dat hoeft in principe niet. Een bestand hoeft niet eens uitvoerbaar gemaakt te worden. De mogelijkheden om dit te doen zijn in principe gelijk aan die Windows, behalve dan dat de aanvaller moet weten dat het een Linux OS betreft.

Ja theoretisch begrijp ik prima dat ook linux gaten heeft en het héél misschien kan gebeuren.
Maar dat bestand komt er toch niet uit zichzelf op en start zichzelf toch niet op?
Bij win moet je het toch ook installeren zodat het zichzelf uitvoerbaar kan maken? Dat installeren merken de meesten met win meestal niet, maar gebeurd wel degelijk.

En binnen halen gebeurd met onbetrouwbare bijlagen of software uit onbetrouwbare bronnen die jij zelf activeert.

En dan komt mijn punt, installeren = wachtwoord.
Dat had ik in elk geval wel destijds met die spellensite. Daar kreeg ik meteen de welbekende installatie-melding met vraag om wachtwoord ter installatie.

Hier geen fastpak, wine, win. Wel eigen router met firewall, scriptblockers in ff, beperkte users die zelf niet mogen installeren en ikzelf als pc beheerder uiterst oplettend, dus hoe zou in godsnaam dan mallware zichzelf moeten installeren zonder dat ik dat weet?
Dat stuk begrijp ik niet. Of begrijp ik het wel en ben ik gewoon safe? (voor zover mogelijk, wat ik ook denk)

[Ron]

Zolang je in je /home blijft, is er geen wachtwoord nodig.
Daar staat ook ergens de inhoud van je menu, wanneer daar staat b.v.
firefox
Dan zou een script dat gestart wordt dit kunnen aanpassen in:
sh script.sh && firefox
De vraag is alleen, wie start dat script.
Waarbij de cirkel weer rond is, iemand (menselijk) moet een blunder begaan, wil het werken, lijkt mij.

[MKe]

Partyrabbit, je blijft steeds vasthouden aan dat installeren, maar b.v. elk Python of bash script wordt uitgevoerd door de interpreter. Die runnen rechtstreeks in user space, geen installatie nodig. Je kunt dan niet bij de systeem bestanden, maar dat heeft random ware niet nodig.
Je hebt gelijk dat het wel uitgevoerd moet worden, maar in die zin geldt dat ook gewoon voor Windows of osx. In alle gevallen is het meestal de gebruiker die het probleem vormt en al-dan-niet bewust iets (laat) uitvoeren.

[partyrabbit]

Python of bash script wordt uitgevoerd door de interpreter. Die runnen rechtstreeks in user space, geen installatie nodig. Je kunt dan niet bij de systeem bestanden, maar dat heeft random ware niet nodig.

Ja, zoals het nu gebracht wordt klinkt het heel simpel.
Maar een hacker kan toch niet zomaar even een script op mijn pc uitvoeren?

[MKe]

In principe niet, net zoals dat ook in Windows niet kan. Zoals ik al zei is het grootste gevaar de gebruiker zelf. Dat is ook het punt dat ik wil maken aan iedereen. Linux maakt je computer niet per definitie veilig. Net als Windows is ook Linux niet perfect. Jijzelf kan het echter wel veilig maken. Ik weet dat je dit al begreep, want je hebt al een aantal keer gezegd dat je het daar mee eens was.

Overigens duiken er af-en-toe 'remote execution vulnerabillities" op in OS'en, ook in Linux. Maar als je up-to-date bent met je veiligheids updates dan is het risico niet zo heel groot. Ook niet in Windows/OSX, dus.

Het het universele motto is:
- blijf up-to-date met updates
- maak backups van je belangrijke bestanden
- laat die backup schijf niet altijd gekoppeld aan je computer.
- wees voorzichtig et mail van vreemde afzenders
- open niet blindelings bijlagen
- ga niet naar websites waar het certificaat niet van vertrouwd wordt (geen groen slotje in je adresbalk!)
- internet niet op een onbeveiligde WIFI
- verander je wachtwoorden elke 3 maanden
- check je logs

Misschien ben ik er nog een paar vergeten, maar als je bovenstaande doet is het erg onwaarschijnlijk dat je iets ernsitgs gebeurt.

[HWE64]

In principe niet, net zoals dat ook in Windows niet kan. Zoals ik al zei is het grootste gevaar de gebruiker zelf. Dat is ook het punt dat ik wil maken aan iedereen. Linux maakt je computer niet per definitie veilig. Net als Windows is ook Linux niet perfect. Jijzelf kan het echter wel veilig maken. Ik weet dat je dit al begreep, want je hebt al een aantal keer gezegd dat je het daar mee eens was.

Overigens duiken er af-en-toe 'remote execution vulnerabillities" op in OS'en, ook in Linux. Maar als je up-to-date bent met je veiligheids updates dan is het risico niet zo heel groot. Ook niet in Windows/OSX, dus.

Het het universele motto is:
- blijf up-to-date met updates
- maak backups van je belangrijke bestanden
- laat die backup schijf niet altijd gekoppeld aan je computer.
- wees voorzichtig et mail van vreemde afzenders
- open niet blindelings bijlagen
- ga niet naar websites waar het certificaat niet van vertrouwd wordt (geen groen slotje in je adresbalk!)
- internet niet op een onbeveiligde WIFI
- verander je wachtwoorden elke 3 maanden
- check je logs

Misschien ben ik er nog een paar vergeten, maar als je bovenstaande doet is het erg onwaarschijnlijk dat je iets ernsitgs gebeurt.

Helpt Firejail dan nog in FF en misschien ook nog in Thunderbird? Of heeft dit hier geen invloed op?

[Paul Matthijsse]

Ik lees geen goede onderbouwing voor je stelling en blijf dus (mede daarom) regelmatig backup’s maken van persoonlijke en/of waardevolle informatie.

Maar testcees, het automatisch maken van een backup gebruikmakend van rsync en dat twee keer per dag dmv. een cronjob is hoop ik toch een standaardprocedure voor iedereen die deze draad leest? Bij mij wel en dat al jaren.

En dan nog even, en graag een gedetailleerd antwoord. Welk stuk software kan zich in mijn Linux home-map plaatsen en zich vervolgens starten en dingen doen die aan mijn aandacht ontsnappen? Dus:

1. Hoe komt die software (script, uitvoerbaar programma, anderszins) in mijn home-map? Via een website, forum, door te klikken op een link in een e-mail...?
2. Op welke manier kan die software geactiveerd/gestart worden zonderdat ik dat in de gaten heb?

Via een cronjob misschien ja, daar heb je geen sudo-rechten voor nodig. Maar van de andere kant bekeken, als ik een map op mijn harde schijf wil versleutelen, dan moet ik een programmaatje installeren en starten die dat voor mij doet (of zelf schrijven). Als iemand anders een mapje op mijn harde schijf wil versleutelen, zal hij of zij toch op een of andere manier over mijn toestemming moeten beschikken toch?

De hamvraag is dus: hoe kan iemand een mapje op mijn harde Linux-schijf versleutelen zonder daar ik daar op voorhand mee akkoord ben gegaan, zonder dat ik heb aangegeven hier met plezier mijn medewerking aan te verlenen?

Ik wil heel graag een antwoord dat zegt: dat is heel makkelijk, dat moet je zus&zo doen. Zeer benieuwd!

[Paul Matthijsse]

1. Klikken op links in Linux is NIET gevaarlijk. Niet in e-mails, niet in het web. Als er al wat meegestuurd wordt, is dat per defiinitie niet uitvoerbaar en kan dus ook niets infecteren.

Deze stelling onderschrijf ik, Bloom.

[Pjotr]

Jongens, er is een verschil tussen theorie en praktijk. De bewezen praktijk is vooralsnog uiterst gunstig voor Linux-op-de-bureaucomputer. 

Een heel korte samenvatting van de beste veiligheidsaanpak in Linux Mint en Ubuntu is deze:
- installeer bijgewerkte pakketten zodra die beschikbaar zijn;
- installeer alleen programmatuur vanuit de eigen standaardpakketbronnen van Linux Mint en Ubuntu;
- installeer beslist geen antivirusprogramma (!);
- installeer geen Windows-nabootsers zoals Wine;
- schakel de firewall in;
- en boven alles: gebruik je gezonde verstand.

Voor degenen die nog een tandje erbij willen zetten: gebruik Firejail voor je webverkenners en voor je e-mailprogramma.

Verder: ontspan, je draait Linux.