Is xUbuntu gevoelig voor ransomware?

[Jenske]

Ik draai al een eeuwigheid alles bij mij thuis op Ubuntu (nu Kubuntu 21.04), maar je hoort al eens van ransomware.

• En dus: is Ubuntu daar ook gevoelig voor?
• Indien ja, hoe kan ik mijn gegevens beschermen tegen ransomware?

[Pjotr]

Mij is geen enkel geval bekend van afpersingsprogrammatuur op Linux-voor-de-bureaucomputer (hoe het zit met Linux op servers weet ik niet). Ik zou me dus voorlopig beslist geen zorgen maken.

Bescherming van je gegevens doe je trouwens simpelweg door regelmatig kopieën te plaatsen op externe media, die niet standaard met je computer zijn verbonden. Een paar externe harde schijven bijvoorbeeld.

[bart85]

"Linux Ransomware: Famous Attacks & How to Protect Yourself" https://phoenixnap.com/blog/linux-ransomware

"Anatomy of a Linux Ransomware Attack." https://linuxsecurity.com/features/anatomy-of-a-linux-ransomware-attack

[Bloom]

Mag ik even hard lachen met die twee links? De eerste veronderstelt een corrupte medewerker met vervalste authenticaties met de nodige beheerrechten die dan malware kan installeren op Linux machines. Als een onkosjer iemand rootrechten verwerft, kan hij sowieso doen wat hij maar wil - op ieder besturingssysteem.

De tweede link verwijst naar infecties via lekken in e-mailprogramma's, malware in advertenties en lekken in php-scripts die aanvallers zouden moeten toestaan ongewenste code op een Linux systeem uit te voeren. Nee dus. Op moderne Linux systemen draaien webservers niet meer als root maar als een eigen user met zeer beperkte rechten en toegangsmogelijkheden. Zelfs als een aanvaller via een security bug binnen zou raken via een php-script, kan hij niks beginnen omdat hij daar geen rechten voor heeft. Via links in e-mails of malware in web- of e-mailadvertenties kun je niet geïnfecteerd raken met Linux, wel met Windows. Waarom kan dat niet bij Linux? Omdat Linux alles wat van buiten de computer komt nooit als iets uitvoerbaars beschouwt. In principe zou er wel JavaScript code door je browser of je e-mailprogramma uitgevoerd kunnen worden die niet kosjer is, maar daar zijn goede beveiligingen tegen en zelfs als dat gebeurt kan zulke code weinig uitrichten weer wegens een gebrek aan rechten. Al moet ik wel toegeven dat kwaadaardige JavaScript-code in principe heel wat negatiefs kan aanrichten in je home-directory. Dat is niet leuk, maar je kunt je daartegen beveiligen en de kwaadaardige code kan niets in het systeem installeren om zich voort te planten en in het systeem te verbergen. Wat bij Windows weer allemaal wél kan.

Ik krijg wel de indruk dat er heel wat links over malware bij Linux rondzweven die maar één doel hebben: FUD. Als mensen denken dat het bij Linux niet veel beter is dan bij Windows, blijven ze vast en zeker bij Windows he.

Vandaag zag ik dit nieuwsbericht op Tweakers.net: https://tweakers.net/nieuws/184738/bug-in-linux-kernelfilesystemlaag-maakte-verkrijgen-van-rootrechten-mogelijk.html

Het is niet omdat het een bug is en een potentiële kwetsbaarheid, dat het ook zomaar te misbruiken is, nietwaar?
Ik lees dit in het artikel:
"Als een aanvaller een bestandsstructuur met bepaalde lengte kan mounten en vervolgens verwijderen, ontstaat een mogelijkheid om een out-of-boundswrite uit te voeren waarmee een lokaal account code met rootrechten kan draaien."
Welke rechten heb je nodig om een "bestandsstructuur met een bepaalde lengte te mounten" in Linux? Juist ja, ROOT-rechten! Dat kan dus helemaal niet gedaan worden door een lokaal account zonder root-rechten.
En als je al root bent, doe je sowieso wat je wil.
 
Dit is dus enorm veel geblaat over nul komma nul niks aan wol. Okee, zulke "out of bound" geheugenbugs zijn niet kosjer en moeten hersteld worden, maar om het voor te stellen alsof dit een beveiligingslek is met een ernstige kans om misbruikt te worden, gaat wel heel erg ver. Er moest tegenwicht zijn voor de vele veel ergere beveiligingsproblemen en lekken in Windows zeker?

[Tom]

Meneer Jenske gewoon lachen en blijven lachen :en verder werken met Ubuntu ,Xubuntu of uw KDE .

[jan11000]

Ja, alle operating systems zijn gevoelig.

Wat kun je hier tegen doen:
1e Iedereen die aan je pc komt , leren tav beveiliging, dus opvoeding pc gebruiker, en dit is vaak een probleem.
2e een backup maken, en zoek dit op hoe dit gaat, op verschillende forums, dit kost veel geld als je dit goed doet.
Een nas met raid is goed(2x), en gebruik versioning op de backup, dwz als een file veranderddan kun je terug in de tijd, dus bij een crypto virus, dan kun je terug naar de vorige versie.
En bij erg belangrijke belangrijke data. ook een offline backup regelen.

En een sync opzetten is geen backup.
En vooral alles automatisch maken is het beste, gebruikers zijn lui en vergeten een backup te maken.
Bijv 2 nassen, een nas als opslag gebruiken, en dan naar de 2e een backup maken met versioning. overal een aparte wachtwoord op zetten, admin nas en gewone gebruiker nas toegang naar files, 2e nas maak andere wachtwoorden.

Vooral zoek op het internet, hoe je een backup maakt, zorg dat je verschillende bronnen hebt en maak daar een " hoe en backup te maken is"

Een leuke,
-Ik zet een file op een hd, hoe lang blijft deze goed?
-Hoe kan ik zien of de file bitrot heeft gehad na een aantal jaren, terwijl ik de file niet gebruik?
-Een ssd of een harde schijf gebruiken, wat gebeurd er als je deze lang laat liggen en niet gebruikt?

[Bloom]

FUD!

[kfboerne]

@ reactie 3 van Bloom.

Bedankt Bloom voor je reactie! Is duidelijk en professioneel. Daar kunnen we wat mee. Ook geruststellend om te lezen...

[Bloom]

verkeerd, wis maar

[Noidem]

verkeerd, wis maar

Wat bedoel je precies?

[Bloom]

Mijn hele bericht met die zin mag weg, het was abusievelijk geplaatst.

[Ron]

Mijn hele bericht met die zin mag weg, het was abusievelijk geplaatst.

Je kunt dat gewoon zelf aanpassen...........

[MKe]

Antwoord: ja, elk OS heeft veiligheidslekken. Er zijn zeker Linux servers die randsomware hebben gehad en in theorie kan dat dus ook op je desktop/laptop gebeuren. Hoe groot is die kans? Niet echt groot. Maar welk OS je ook gebruikt, het is altijd goed om je aan de basis regels van digitale veiligheid te houden. UIteindelijk is het grootste lek in elke OS de persoon die achter de computer zit. Ik vind dus het antwoord van jan11000 helemaal geen fud. De mentaliteit van 'ik gebruik linux dus er kan mij niets gebeuren' is echt niet de goede. Het geeft een verkeerd signaal.

Maar als je je aan de juiste voorzorgsmaatregelen houdt ben je echter wel veiliger op Linux/Ubuntu dan op de twee meest populaire OS'en. Maak ook gebruik van de tools die Linux je biedt. Gebruik firejail voor je browser en email client. Zorg ervoor dat je niet standaard programma's uitvoer rechten geeft. Wees niet te gemakkelijk met het sudo commando enz.

[Bloom]

Mijn hele bericht met die zin mag weg, het was abusievelijk geplaatst.

Je kunt dat gewoon zelf aanpassen...........

Hoe dan? Er is geen optie om een eenmaal geplaatst bericht te wissen. En lege inhoud mag ook al niet.

[Bloom]

Antwoord: ja, elk OS heeft veiligheidslekken. Er zijn zeker Linux servers die randsomware hebben gehad en in theorie kan dat dus ook op je desktop/laptop gebeuren. Hoe groot is die kans? Niet echt groot. Maar welk OS je ook gebruikt, het is altijd goed om je aan de basis regels van digitale veiligheid te houden. UIteindelijk is het grootste lek in elke OS de persoon die achter de computer zit. Ik vind dus het antwoord van jan11000 helemaal geen fud. De mentaliteit van 'ik gebruik linux dus er kan mij niets gebeuren' is echt niet de goede. Het geeft een verkeerd signaal.

Er zijn GEEN Linux systemen die ooit ransomware hebben gehad. Er zijn wel demo's gegeven van hoe Linux met ransomware besmet kan worden door iemand met rootrechten, maar dat soort demo's is onzinnig. Als je rootrechten hebt, kun je immers alles, dus ook kwaadaardige dingen. En er zijn ook gevallen van Linux gebaseerde opslagsystemen waarvan alle data versleuteld werd door ransomware. Maar die ransomware draaide op Windows en vermits die Windows toegang had tot die opslagsystemen, kon de inhoud daarvan versleuteld worden. Dat is geen tekortkoming van Linux, maar van Windows.


Alles draait rond de architectuur van Windows, die eender welke stuk code dat van eender welke bron komt en uitvoerbaar is, ook uitvoert. Linux doet dat niet. Er is dus echt geen mogelijkheid om malware in een Linux systeem te krijgen ZONDER verregaande medewerking van een gebruiker met rootrechten (of sudorechten, dat komt op hetzelfde neer). Idioten heb je natuurlijk overal. Maar dat is geen fout van Linux, maar van de bewuste gebruiker. Je kunt ook idiote gebruikers hebben bij Windows, maar daar wordt alles erger gemaakt doordat het besturingssysteem zelf malware mogelijk maakt en uitvoering toestaat. Een inherent veilig besturingssysteem moet de basis van alles zijn. Een idiote gebruiker kan de beste beveiliging om zeep helpen, maar het is al veel als het OS daar zelf niet toe bijdraagt.


Ik moet er natuurlijk wel aan toevoegen dat de kans voor malware op Linux stijgt naarmate software-installeersystemen omarmd worden die geen rootrechten meer vereisen en afgehaald worden van een bron die niet gecontroleerd wordt op malware. Ja, dan vraag je erom natuurlijk. Ik raad dus altijd alle Linux-gebruikers die ik ken aan om geen SNAP en FlatPak e.d. te gebruiken maar exclusief te blijven bij de standaard repository's van de Linux-distributie. En specifiek voor Ubuntu: blijf liever weg van Launchpad-bronnen. Met repo's van derden loop je weer risico, zeker als ze niet gecontroleerd worden op malware.


Waarom denk je dat sinds het ontstaan van Debian (en Red Hat, dat mag ook eens gezegd worden) nooit of te nimmer malware is voorgekomen in hun repositories? Omdat ze een strikte controle hebben op wie mag uploaden en wie niet. En alleen bewezen ontwikkelaars die een jaar lang hebben bijgedragen onder het peterschap van een reeds erkend ontwikkelaar, krijgen toegang. Zo houd je alles malwarevrij. Hoe Apple, Microsoft en Google het doen met hun "stores" is een voorbeeld van hoe het niet moet. Maar ja, daar telde alleen zoveel mogelijk software erin krijgen he.

[MKe]

Zucht. Lees wat er staat. "De grootste veiligheidslek is de gebruiker zelf". Als je je niet aan de regels houdt dan ben je kwetsbaar ongeacht het OS.
Ik weet niet waar je je info vandaan haalt, maar er zijn wel gevallen bekend van randsomeware op Linux. Zo is QNAP (dat draait op Linux) al eens een target geweest. Toegegeven, het is zeldzaam dat het gebeurd, maar om nou te zeggen dat Linux onkwetsbaar is is je kop in het zand steken en nog steeds een verkeerd signaal naar gebruikers. Randsomware is geen technisch verhaal, maar een menselijke. Vrijwel alle randsomeware aanvallen die gelukt zijn zijn binnengekomen omdat gebruikers zich niet genoeg bewust waren van de veiligheid. Nogmaals, in het wilde weg roepen dat Linux onkwetsbaar is met allerlei theoretische argumenten werkt tegen bewustvorming van de gebruiker. IT professionals zouden bezig moeten zijn met gebruikers opvoeden. Vrijwel alle randsomeware is binnengekomen 'met vergaande medewerking van gebruikers" zoals je dat zelf al aangeeft.

Overigens is het ook onzin dat je root moet zijn om iets met randsomware te doen. Randsomeware gaat om data. Het hoeft alleen je home te encrypten, wat gewoon in userspace is.

Je lijkt dit als een aanval op Linux te zien. Ik wou dat Linux gebruikers eens ophielden met dat nerveuze gedoe. Ik val Linux niet aan. Het is gewoon een feit dat je overal risico loopt en dat je allereerst naar jezelf moet kijken w.b. veiligheid.

[Bloom]

Dat geval met QNAP kwam omdat die NAS aan internet hing (inclusief zijn beheerGUI) met een idioot wachtwoord. Ja, dan vraag je erom. En dat ligt niet aan Linux.

Waar ik tegen in het geweer kom is de stelling dat Linux even kwetsbaar zou zijn als Windows en dat Windows vooral "negatief" in het nieuws komt omdat het nu eenmaal meer gebruikt wordt. Twee keer fout. De architectuur van Windows maakt malware mogelijk en die van Linux niet, dat is héél belangrijk en een reuzegroot verschil. Dat Windows meer gebruikt zou worden is alleen voor desktopsystemen waar. Niet voor servers. De overgrote meerderheid (ik dacht meer dan 95%) van alle internetservers draait Linux. Maar die paar procent die zo dom zijn om een Windows systeem aan internet te hangen, die worden het vaakst en met succes aangevallen. Het draait dus niet om wat het meest gebruikt wordt, maar of het MOGELIJK is.

Ja, de gebruiker kan zeker het belangrijkste veiligheidslek zijn. Dat heb ik ook niet ontkend. En een domme gebruiker met rootrechten kan zeer grote schade aanrichten op een Linux systeem. Maar op Windows is het véél erger omdat je daar nog besmet kunt raken als je heel hard je best doet op niets verkeerds te klikken, alle beveiligingsupdates geïnstalleerd hebt en geld hebt uitgegeven aan de allerbeste internet security suite. Vraag maar eens aan de universiteit Maastricht. Die hadden dat allemaal. En toch nog ransomware.

Het is trouwens niet 'randsome' maar 'ransom': dat Engelse woord betekent 'losgeld'.

[bart85]

https://wiki.archlinux.org/title/Security

zo heb ik mount opties nodev,nosuid,noexec toegevoegd aan /home partitie.

[MKe]

Ja, dat Windows meer gevoelig is ben ik het mee eens. Op Linux moet je meer fout doen om een probleem te krijgen. We moeten ons alleen niet wijs maken dat dat betekend dat we met Linux helemaal immuun zijn. Ook op Linux is het belangrijk dat je op een goede manier met de geboden veiligheid omgaat en dat je een bewuste gebruiker bent.


Bedankt voor de verbetering trouwens. Ik wist dat wel, maar bleef die ‘d’ er onbewust instoppen orzo. 

[Ron]

Mijn hele bericht met die zin mag weg, het was abusievelijk geplaatst.

Je kunt dat gewoon zelf aanpassen...........

Hoe dan? Er is geen optie om een eenmaal geplaatst bericht te wissen. En lege inhoud mag ook al niet.

Gewoon de tekst vervangen door iets als ¨bericht is vervallen", of een melding maken aan een moderator met het bericht-nummer, dan wordt het bericht verwijderd.

[bart85]

Ubuntu en andere Linux distro brengen security updates uit. Er worden dus wel lekken gevonden in Linux systemen. Gelukkig zijn deze dan wel gedicht.  De tijd tussen het gevonden lek en de update ervan maakt uit hoe veilig een besturingssysteem is. Van Arch Linux weet ik dat ze snel zijn met kernel updates.