Ny trussel mot tv-bokser og hjemmenett
Popularitet har sin pris. Nå blir Linux også mål for flere virusangrep. Trenden bekymrer sikkerhetsmiljøet i Norge.
En virusfamilie som retter seg inn å angripe svake Linux-klienter i et nettverk for deretter spre seg som en orm er avdekket av Symantec.
Målet er enklere pc-er som kjører eldre prosessortyper fra Intel og har Linux og PHP kjørende. En egen variant er rettet mot de dedikerte lettvariantene av Linux som brukes i forskjellige elektroniske dippedutter som tv-bokser, nettverksrutere og enklere nettverkslager (NAS).
Fikset svakhet
Ormen sprer seg ved å utnytte en svakhet i en komponent i PHP, et programmeringsspråk egentlig utviklet for nettsideutvikling men som er kraftig nok til app- og applikasjonsutvikling.
Svakheten har vært kjent og fikset i PHP siden mai 2012. Men det ligger i bruken av Linux overalt i smådingser at rutinene for oppdatering ikke er helt på stell for de fleste. Hverken for utviklere av systemene eller brukerne.
Fraværet av slike rutiner vil si at de færreste som sitter i godstolen og nyter en tv-serie via tv-boksen som hentes fra NAS-en i kottet tenker over når hun oppdaterte de to Linux-systemene sine sist. Men virkeligheten er at dette er i ferd med å gro til en gigantisk sikkerhetsutfordring, skriver nyhetstjenesten til IDG.
Sikkerhetsmiljø og myndigheter bekymret
Sikkerhetsutfordringen i slike dingser, kalt tingenes internett, er ikke upåaktet. Det norske sikkerhetsmiljøet i Internett Sikkerhetsforum satte av en hel temakveld med fire innledninger på sitt siste møte før jul nå i november.
- Ikke glem at de fleste teknologibrukere ikke egentlig skjønner teknologi. Nå gjelder det for sikkerhetsmiljøet å være proaktive og være klar for å løse sikkerhetsutfordringene fra alle tingene på internett før bråket virkelig starter, poengterte spesialrådgiver Roar Thon i Nasjonal Sikkerhetsmyndighet til tilhørerne.
Kan bli mye verre
Den nye virusormen er døpt Linux.Darlloz, og ble kjent som konseptkode i oktober. Konseptkode, «Proof-of-Concept»-kode, vil si at kode som viste hvordan svakheten kunne utnyttes som skadevare ble kjent da.
Når virusormen infiserer et system, lager den et lett ip-kaos og går etter identiteter og passord som ligger på kjente steder i et Linux-system. Den sender også et sett med nettsidekoder som avslører om sårbarheten er åpen. Dersom det ikke er plastret, bruker skadevaren det infiserte systemet som base for å finne andre Linux-enheter den kan spre seg til, og sette i gang igjen.
Foreløpig ser det ut til at det senker yteevnen i infiserte systemer. Men om en smart skadevareutvikler kopler på komponenter som henter brukernavn og passord, eller lager en fjernstyringsmulighet for Bot-nettangrep kan dette bli eksepsjonelt problematisk.
Foreløpig er det bare x86-varianter av Intel-prosessorer som rammes. Men ifølge Symantec er det kode tilgjengelig som også tar ARM-prosessorer som brukes i lette nettbrett.
Brukere oppfordres til å sjekke og laste ned siste fastvare («Firmware») for datanettilknyttete enheter. Aktivering av autooppdatering er fornuftig. Om man er på kjøper’n, bør man sjekke om den nye hjemmedingsen har autooppdatering slik at man slipper en bekymring til hjemme eller på kontoret.
