Stadig færre angrep mot Linux

Et internasjonalt nettverk av lokkeservere har opplevd stadig færre angrep mot Linux det siste året.

HoneyNet Project er et sikkerhetsprosjekt som legger ut servere med diverse upubliserte tjenester som lokkemat for dataranere. Prosjektet har en norsk avdeling, Norwegian Honeynet Project.

I en rapport offentliggjort rett før jul, Know Your Enemy: Trends, skriver HoneyNet at det i de siste 12 til 24 månedene har vært en betydningsfull nedgang i vellykkede vilkårlige angrep mot Linux-baserte systemer. Med vilkårlig angrep menes angrep som ikke angriper spesielle systemer, om som velger ut ofre på vilkårlig vis. For et par år siden kunne man forvente at en Linux-server uten de siste sikkerhetsoppdateringene ville bli brutt inn i innen 72 timer. Nå er denne «levetiden» økt til tre måneder.

Prosjektet har ikke tilstrekkelig med lokkeservere under Windows til å sammenlikne direkte, men viser til materiale fra blant andre Symantec og Internet Storm Center som tyder på at utviklingen for Windows er direkte motsatt. En Windows-server som legges ut i standard konfigurasjon uten de nyeste sikkerhetsoppdateringer kan ventes å bli kompromittert i løpet av noen få timer.

Data for HoneyNet-rapporten er samlet fra 12 lokkesystemer fordelt på åtte forskjellige land. Av 19 Linux-systemer som ble lagt ut i løpet av 2004 ble fire gjenstand for innbrudd. I to av tilfellene dreide det seg om angrep som gjettet seg fram til passord, i stedet for å dra nytte av kjente sikkerhetshull.

HoneyNet peker på at eldre Linux-systemer angripes oftere enn andre, og at dersom et system først opplever et vellykket innbrudd, blir det gjerne angrepet igjen og igjen.

Systemene som ble kompromittert ble prøvd brukt til å infisere IRC-nettverk, plante agenter eller fiske etter personopplysninger. På minst en av serverne observerte HoneyNet at angriperne prøvde å sette opp en falsk banktjeneste. (HoneyNet-servere settes opp slik at angriperne ikke straks kan oppdage at de er lokket i en felle.)

HoneyNet peker på flere årsaker til at Linux opplever færre angrep, mens Windows opplever flere. En er at det er langt flere Windows-systemer å angripe, noe som øker sjansene for at et angrep skal bli vellykket. En annen er at mange av Windows-systemene som brukes, spesielt i visse deler av verden, er piratkopierte. I tillegg er Linux-distribusjoner blitt bedre konfigurert i utgangspunktet, slik at man i stadig større grad må gjøre noe aktivt for at de skal bli sårbare. En fjerde grunn er at med bedre sikkerhetsteknologi er det blitt enklere å angripe brukeren framfor maskinen, slik at ressurser som tidligere ble brukt til å angripe Linux-servere, nå heller brukes til å lokke enkeltbrukere til å gi fra seg personopplysninger eller klikke på lenker som installerer bakdører og annen fandenskap på deres systemer.

Til toppen