روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تا همین اواخر، بخش اعظمی از جامعه‌ی اطلاعات فناوری سفت و سخت بر این باور بودند که دستگاه‌های لینوکس به هیچ محافظتی نیاز ندارند. می‌گفتند معماری این سیستم‌ها -که ذاتاً غیرآسیب‌پذیر است- هرگز طعمه چرب و نرمی برای مجرمان سایبری به حساب نمی‌آید. آن‌ها ایدئولوژی کد منبع باز را نوعی تضمین می‌دانستند برای هر نوع آسیب‌پذیری غیرمنتظره و جدی. اما در سال‌های اخیر حتی مدیران سرسخت حوزه امنیت اطلاعات هم دیگر به این مسئله پی برده‌اند که چنین اظهار نظراتی بی‌اساس است. با ما همراه بمانید تا توضیح دهیم به چه دلیل لینوکس نیز به محافظت نیاز دارد.

خطراتی که سرورهای لینوکسی را تهدید می‌کند

مادامیکه جرم سایبری تمرکزش صرفاً روی پول درآوردن آن هم به جیب کاربران نهایی بود، سرورهای لینوکس نسبتاً در امان بودند. اما مجرمان سایبری مدرن اکنون چشم به کسب و کارها دوخته‌اند؛ این کسب و کارها برایشان پتانسیل بیشتری برای باج دادن دارند. و درست همینجاست که امنیت سازه‌های مختلف لینوکس زیر سوال می‌روند. از اینها گذشته، یک سرور می‌تواند صرف‌نظر از مقصود، مورد علاقه هر مهاجمی قرار بگیرد؛ فرقی ندارد آن مقصود جاسوسی باشد، خرابکاری باشد یا توزیع معمولی باج‌افزار. نمی‌خواهد خود را درگیر نمونه‌ها و مصادیق کنید. ما در ذیل خود برایتان نمونه‌هایی را ارائه داده‌ایم:

•         نوامبر گذشته متخصصین ما نسخه اصلاحی تروجان RansomEXX را که می‌توانست روی دستگاه‌های لینوکس داده‌ها را رمزگذاری کند پیدا کردند. این تروجان که هدفش برخی از سازمان‌های مشخص بودند در زمان کشف همچنان داشت استفاده می‌شد.
•         باج‌افزار DarkRadiation که همین تابستان شناسایی شد مشخصاً برای حمله‌های روی Red Hat/CentOS و Debian Linux ساخته شده است و می‌تواند روی ماشین‌های آلوده همه کانتینرهای Docker را متوقف سازد. این بدافزار تماماً به اسکریپت Bash نوشته شده است و برای برقراری ارتباط با سرورهای C&C از API مسنجر تلگرام استفاده می‌کند.
•         تقریباً هر گروه مدرن APT از بک‌درها و روت‌کیت‌هایی برخوردار است و یا برای لینوکس کد اکسپلویت می‌کند. تیم [1]GReAT ما مطالعه‌ای انجام داده است روی جدیدترین ابزارهای APT که هدفشان دستگاه‌های لینوکسی بوده است.

گرچه این جامعه منبع باز به دقت توزیع‌ها را مورد بررسی قرار می‌دهد، جمیعاً در خصوص آسیب‌پذیری‌ها بحث می‌کنند و از سر وظیفه‌شناسی در مورد آن‌ها اطلاعاتی نشر می‌دهند (بیشتر اوقات) اما ادمین‌ها همیشه هم سرورهای لینوکس خود را آپدیت نمی‌کنند. بسیاری هنوز فکر می‌کنند «اگر نمی‌شکند نیازی هم به بند زدن ندارد!». این فلسفه است باعث شده آسیب‌پذیری‌ها تا این حد به مسئله‌ای جدی تبدیل شوند. برای مثال مجرمان سایبری می‌توانند از CVE-2021-3560 که در سرویس سیستم Polkit (به طور پیش‌فرض در بسیاری از توزیع‌های لینوکس نصب و در ماه ژوئن 2021 برای افزایش مزیت نشر شد) استفاده کنند. این آسیب‌پذیری از 10 امتیاز 7.8 را روی سیستم امتیازدهی آسیب‌پذیری عام (CVSS) گرفت.

نحوه امنیت‌بخشی به سرورهای لینوکس

Kaspersky Endpoint Security for Linux از خیلی وقت پیش کارش محافظت از کاربران در برابر چنین مشکلاتی بوده است. با این حال با توجه به افزایش تعداد حملات به سرورهایی که لینوکس اجرا می‌کنند ما تصمیم گرفتیم راهکار خود را با چند فناوری جدید آپدیت کنیم. نخست این راهکار اکنون از Application Control تمام برخوردار است؛ فناوری‌ای که مخصوص اجرای اپ‌هایی است که در لیست اعتماد قرار دارند. این فناوری هر اپ دیگر را در لیست غیرقابل‌ اعتماد بلاک می‌کند. ما همچنین به منظور کمک به کاربران در تنظیم و پیکربندی این ماژول قابلیت‌هایی اضافه کردیم برای درآوردن لیست موجودی برنامه‌های قابل‌اجرا و تعریف طبقه‌بندی‌های سفارشی. این کار حفاظت تمام‌عیاری را در مقابل طیف وسیعی از تهدیدها تضمین می‌دهد. دوم اینکه زمان آن رسیده بود که دستی به سر و روی قابلیت ضدباج‌افزار این سیستم بکشیم (بدافزار این مدل اکنون با رفتارش شناسایی می‌شود). همچنین عالم به این هستیم که بخش اعظمی از ماشین‌های لینوکس سرورهای کلود هستند و نه دستگاه‌های فیزیکی که بخواهند در دفاتر کلاینت‌ها اجرا شوند. افزون بر این، به لطف پیشرفت فناوری‌های کانتینرسازی اکنون این امکان ایجاد شده تا اپ‌ها در کانتینرها اجرا شوند؛ همین ادمین‌ها را قادر می‌سازد تا مشکلات تعیین مقیاس را حل کنند. بدین‌ترتیب پایداری اپ بیشتر می‌شود و کارایی رایانش منبع نیز بهبود پیدا می‌کند. بنابراین، تمرکز ما این است که راهکار مذکور را در کلودهای عمومی به کار ببریم و از پلت‌فرم‌های کانتینرسازی (Docker، Podman، Cri-O و Runc) محافظت کنیم.

با این تفاسیر متخصصین می‌توانند کانتینترهایی را که حاوی تهدیدند مشخص کرده و مسیر فایل‌های آلوده را پیدا کنند (آن هم در محیط زمان اجرا) و نیز به محض تقاضا تصاویر کانتینر را بررسی کنند (هم آن‌هایی که لوکال هستند و هم آن‌هایی که در ذخایر وجود دارند). در سناریوی دوم این امکان وجود دارد که بشود Kaspersky Endpoint Security for Linux را داخل کانتینتر Docker اجرا کرد و از طریق    RESTful API  از آن برای اسکن سایر کانتینرها استفاده کرد (تا ببینیم در آن‌ها تهدیدی پیدا می‌شد یا خیر). کاربران اکنون برای مدیریت محافظت سرورها و لودهای کانتینتر در کلودهای عمومی چون Microsoft Azure، AWS، Google Cloud و Yandex Cloud بیش از یک آپشن در اختیار دارند. اولی از طریق این کنسول است خواه در مرکز داده درون‌خانگی و خواه در کلودی عمومی. دومی از طریق Kaspersky Security Center Cloud Console که توسط خودمان پشتیبانی می‌شود و ادمین را برای تمرکز روی مدیریت محافظت زیرساختش آزاد می‌گذارد. Kaspersky Endpoint Security for Linux بخشی از بسته راهکارهای Kaspersky Hybrid Cloud است. این با سرویس Kaspersky Managed Detection and Response یکپارچگی دارد؛ سرویسی که مشخصاً تهدیدهای سایبری خطرناک را که قادر به دور زدن موانع خودکار هستند مدیریت می‌کند.

[1]  Global Research & Analysis Team

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.