Nonprofit-organisasjonen The Honeynet Project publiserte i slutten av desember en rapport fra en undersøkelse om faren for vellykkede angrep på ikke-oppdaterte Linux-distribusjoner. Organisasjonen skriver at det i løpet av de siste 12 til 24 månedene har vært en betydelig nedgang i antallet vellykkede, tilfeldige angrep på Linux-baserte systemer. Ikke-oppdaterte Linux-systemer, det vil si systemer hvor ingen sikkerhetsoppdateringer er blitt installert, har ifølge prosjektets undersøkelse fått en forventet, gjennomsnittlig levetid på tre måneder. Undersøkelser gjort i 2001 og 2002 viste at det i snitt ville ta 72 timer før et ikke-oppdatert Linux-system ble kompromittert via Internett.
Dataene til The Honeynet Project er basert på 12 nettverk av "lokkemaskiner" (honeypots) installert i åtte forskjellige land - USA, India, Storbritannia, Pakistan, Hellas, Portugal, Brasil og Tyskland. Dataene er samlet inn i kalenderåret 2004 - det fleste i andre halvdel av 2004. Nettverkene besto av ulike Linux-systemer - til sammen 19 maskiner - som alle var tilgjengelige fra Internett. I tillegg ble fire Solaris-maskiner og ett FreeBSD-system inkludert i testen.
I tillegg til standardtjenestene, var en rekke andre tjenester, inkludert SSH, HTTPS, FTP og SMB, skrudd på. I de fleste tilfellene tillot den interne brannmuren innkommende forbindelser til disse tjenestene. Flere av systemene hadde også passord som kunne være enkle å gjette.
De aller fleste av Linux-maskinene var utstyrt med en Red Hat-distribusjon, enten 7.2, 7.3, 8.0, 9.0 eller Fedora Core 1. I tillegg var to maskiner utstyrt med henholdsvis SuSE Linux 7.2 og 6.3.
Ingen av maskinene var registrert i søkemotorer eller DNS, slik at angrep primært måtte skyldes tilfeldigheter eller automatikk. Det antas at godt kjente maskiner med verdifullt innhold vil ha kortere levetid enn disse anonyme systemene.
De ikke-oppdaterte systemene som ble kompromittert, hadde i snitt en levetid på 3 måneder. Systemer som fortsatt ikke var blitt angrepet ved utgangen av testene, anslås å ha en gjennomsnittlig levetid på 4,46 måneder. En maskinen som var ustyrt med Red Hat 7.3, ble aldri kompromittert i de ni månedene den var koblet til nettet.
Dette var likevel et unntak, for undersøkelsene viste at faren for å bli kompromittert økte med alderen til distribusjonen. Tre av de fem maskinen utstyrt med Red Hat 7.3 ble kompromittert i løpet av de minst to månedene de var med i testen, mens bare én av åtte maskiner med Red Hat 9.0 ble invadert. Ingen av de to Fedora-maskinene ble utsatt for vellykkede angrep.
Den vanligste, vellykkede angrepsformen var gjetting av passord og utnyttelse av feil i HTTPS. Så snart et system var blitt kompromittert, var sannsynligheten for å bli kompromittert igjen, mye høyere. En Red Hat-maskin utplassert i Storbritannia ble invadert 18 ganger på rad i løpet av én måned.
Selv om antallet Solaris-maskiner i testen var for lite til å gjøre endelige konklusjoner, viste de fire maskinene, utstyrt med enten Solaris 8 eller 9 for Sparc, svakere levedyktighet en de Linux-baserte maskinene. Tre av maskinene ble kompromittert på mindre enn tre uker. Den fjerde maskinen var derimot koblet til nettet i mer enn seks måneder uten å bli kompromittert. Rapporten antyder at årsakene til den svakere levetiden kan være at Solaris-maskinene har flere tjenester aktivisert som standard, samt at de mangler en enkel, integrert brannmur.
De fleste av de sju systemene som ble kompromittert de siste seks månedene, ble utnyttet for å utføre ulike IRC-tjenester, inkludert bots, i tillegg til forsøk svindelforsøk/phishing. Minst ett av systemene ble forsøkt brukt til å sette opp en forfalsket bank for å samle inn bank- og kredittkortinformasjon.
The Honeynet Project mener det er flere mulige årsaker til at Linux-systemene har fått kraftig forbedret levetid, uten at det konkluderes noe om hva som er mest sannsynlig, eller om det er kombinasjoner av de følgende faktorene som er årsaken.
Blant årsakene er at nyere distribusjoner har færre tjenester (daemons) skrudd på som standard, at de har egne brannmurer og har fått nye sikkerhetsmekanismer som skal beskytte mot kjente trusler. I tillegg har de eldre distribusjonene vært tilgjengelige lenger, slik at angriperne har hatt bedre tid på seg til å finne sårbarheter.
En annen teori er at angriperne har begynt å fokusere på mennesker i stedet for maskiner. The Honeynet Project mener det er en voksende trend mot ”sosial hacking”, det vil si å angripe databrukerne. I mange tilfeller vil informasjon brukerne har, være mer interessant enn det som ligger på datamaskinen. Phishing, det vil si å narre brukere inn på forfalskede nettsteder for å lokke ut blant annet kredittkortinformasjon, regnet mer som et angrep rettet mot brukeren enn mot datamaskinen.
En tredje teori er at det ikke er økonomisk lønnsomt å fokusere på annet enn Windows-baserte systemer, siden det er disse systemene som er mest utbredt og som har flest brukere.
En lignende teori er det at Windows har, ikke minst i utviklingsland, blitt betydelig mer utbredt, ofte som følge av piratkopiering. Dette har gjort at andelen av systemene som er basert på Linux, er blitt mindre - selv om antallet systemer er i vekst. Som et resultat av dette bør det ventes at trusselen mot Windows vil være større enn trusselen mot Linux.
The Honeynet Project har også hatt noen Windows-systemer med i undersøkelsen, men for få til konkludere noe. Det lille antallet Windows-maskiner underbygger likevel observasjoner gjort av blant annet Symantec, som forteller at levetiden til ikke-oppdaterte Windows-maskiner i snitt handler om timer i stedet for måneder. Likevel var to av de testede Windows-maskinene som var installert i Brasil, koblet til nettet i flere måneder før de ble kompromittert.
Det understrekes likevel at undersøkelsen ikke har til hensikt å sammenligne sikkerheten mellom Linux og Windows, men å finne ut hvorfor "ingen hacker" Linux lenger.
Rapporten er tilgjengelig her (PDF).
