web analytics

Is mijn Linux box voldoende beveiligd

Print Friendly, PDF & Email

De voorbije weken werden zowel Linux als Apple gebruikers geconfronteerd met door malware besmette software.

  • Op 20 februari werd bekend dat hackers er in geslaagd waren om binnen te breken in de website van Linux Mint en er een ISO-bestand geüpload hebben dat met het Tsunami-backdoor virus besmet was
  • Op 6 maart werd ook bekend dat hacker er in geslaagd waren om de Apple versie van het bestand Transmission te besmetten met OSX.KeRanger.A ransomware

Waar moet je die aanvallen situeren?

In beide gevallen werd de malware buiten je besturingssysteem om toegevoegd aan een bestand. Bij Linux Mint was het via een lek in een plug-in van WordPress en bij Apple werd de website van Transmission gekraakt.

Als gebruiker sta je dus machteloos tegen deze vormen van besmetting, daar je in beide gevallen via ‘veilige’ websites met corrupte software werd opgezadeld.

Is het kraken van websites die je als gebruiker vertrouwt het begin van een hele reeks, of zijn dat heel uitzonderlijke situaties? Het is uiteindelijk de gebruiker, jij en ik, die er het slachtoffer van zullen zijn en dus moeten wij de nodige maatregelen nemen om de risico’s op besmetting zo klein mogelijk te maken.

Aan de andere kant moet je er ook je slaap niet voor laten, want intrinsiek zijn zowel Linux als OS X veel beter gewapend tegen exploits allerhande dan Microsoft Windows. Hou wel in je achterhoofd dat malware, eens op je systeem, even vernietigd zal zijn werk zal doen als bij andere besturingssystemen en dat naast gegevensverlies, ook vertrouwelijk informatie kan gestolen worden en je privacy een ferme deuk kan krijgen.

Wat zijn de lessons learned uit beide aanvallen

  • Je bent nooit 100% safe
  • Satelliet-software (bv. Plugins bij WordPress) kunnen lek zijn en dus bij extensie moet je stellen dat PPA’s kwaadwillige software zouden kunnen bevatten
  • Linux desktops worden doel voor malware, want beide gevallen hebben aangetoond dat het kan, niet rechtstreeks maar onrechtstreeks
  • Linux is not Windows maar malware maakt daar geen onderscheid in.
  • We moeten ons meer toeleggen op het beschermen van onze gegevens, daar deze voor elk van ons onvervangbaar zijn.

Welke stappen kan je nemen om je gegevens (nog) beter te beschermen?

De domeinen waar we op kunnen werken zijn:

  • Hardware
  • Software

Met deze zouden we al wat vertrouwd moeten zijn, met de softwarematige beveiliging al iets meer dan de hardwarematige beveiliging. Maar zoals in alle beveiligingssituaties blijkt de mens ook hier de zwakste schakel. We moeten eventueel ons gedrag bijsturen om veiliger te werken.

Moet je al die richtlijnen volgen. Nee, maar ze kunnen je wel eens doen nadenken over de risico’s die we lopen met onze systemen.

Wat is de bedoeling van al die malware

Daar is slechts één woord voor: geld verdienen – jou geld natuurlijk

  • Ze willen je geld aftroggelen door bv. alle gegevens te vercijferen op je harde schijf. Je moet dan een losgeld betalen, meestal in Bitcoins, om een sleutel te krijgen om je systeem terug te ontcijferen.
  • Je systeem wordt een zombie-computer die vanop afstand instructies krijgt om deel te nemen aan een BOTnet met de bedoeling via een DDOS (Distributed Denial Of Service) een andere website plat te leggen, waardoor het bedrijf achter die website, financieel verlies lijdt en moet betalen om van de DDOS af te geraken.
  • Ze ‘kapen’ gegevens van je harde schijf (bv. foto’s) en je moet hen betalen om te beletten dat foto’s of andere privé informatie op het Internet belanden

Hardware

Op het eerste zicht is hardware beveiliging niet iets dat je kan beschermen tegen malware of andere vormen van misbruik van je gegevens. Niets is echter minder waar.

Bescherm je laptop tegen diefstal

kensingtonlockkensingtonlock-2Zodra een dief je laptop in handen heeft, kan hij bij de gegevens en kan hij je blackmailen of in diskrediet brengen door die gegevens te publiceren.

Je kan je laptop hardwarematig tegen diefstal beveiligen door bv. een Kensingtonslot te gebruiken als je je laptop meeneemt naar een publieke plaats.

Iedere laptop heeft zo’n ‘sleutelgat’ waar je een Kensingtonkabel aan kan vastmaken zodat het stelen van je systeem bemoeilijkt wordt.
Het zal geen brute kracht aanval beletten, daarvoor is het materiaal van het slot in de meeste gevallen niet sterk genoeg, maar zal wel de aanvaller dermate hinderen dat een niet beveiligde laptop ernaast een beter idee lijkt. Door de kabel goed zichtbaar te bevestigen, zal een potentiële dief ook het nutteloze van zijn daad inzien en op zoek gaan naar een gewilliger slachtoffer.

Sluit je BIOS of UEFI af

Door de toegang tot je systeem via een wachtwoord te beveiligen, maak je het hackers/dieven lastig om aan je gegevens te geraken via het opstarten van je systeem.

In je BIOS/UEFI kan je wachtwoorden instellen, waardoor enkel de toegang tot je BIOS/UEFI belet wordt, of toegang tot het hele systeem. Dat is ook geen definitieve oplossing, maar het vraagt al een technische ingreep van de dief om überhaupt toegang tot je systeem te verkrijgen door het BIOS/UEFI wachtwoord te resetten (http://www.wikihow.com/Reset-a-BIOS-Password).

Het is ook een goede manier om ‘onbevoegden’ toegang tot je systeem te beletten. Als iemand de stroomkabel uittrekt en de batterij verwijdert van je laptop dan kan hij gemakkelijk een screensaver omzeilen doordat je systeem uitvalt. Als hij dan tijdens de reboot op een BIOS/UEFI wachtwoord botst, belet je dat je systeem gemanipuleerd zal worden.

Pas je Boot Order aan

In je BIOS/UEFI kan je aangeven waar de hardware eerst moet gaan kijken naar een OS bij het opstarten van het systeem. Je hebt de keuze tussen diverse randapparaten zoals je Harde schijf (HDD), DVD (Optische schijf), USB (een memory stick), …

Zet de keuze op Harde schijf, zodat vreemden niet via een CD/DVD of USB-stick toegang tot je systeem kunnen krijgen. In combinatie met een BIOS/UEFI wachtwoord kunnen ze ook die volgorde niet veranderen en is de BootOrder functie toets uitgeschakeld.

Vercijfer je harde schijf

Als iemand al moeite gedaan heeft om je systeem te ontvreemden, en gestopt wordt door je BIOS/UEFI wachtwoord, dan is de volgende stap meestal het verwijderen van je harde schijf en deze in een ander systeem te plaatsen. Want het gaat hen meestal enkel om de gegevens die je op je harde schijf hebt staan (vertrouwelijke documenten, lijstje met wachtwoorden, foto’s, …), zodat ze je kunnen blackmailen of in diskrediet brengen door foto’s te publiceren op sociale media.

Door je harde schijf te vercijferen zijn je gegevens veilig en kan de dief niks doen met je harde schijf. Alle Linux distro’s hebben de mogelijkheid om tijdens de installatie je harde schijf te vercijferen. Onder Linux Mint kan je aanduiden dat je de harde schijf wenst te vercijferen tijdens de installatie.
Wens je niet zo drastisch te werk te gaan, dan kan je enkel je /home folder vercijferen tijdens de installatie. Dat kan je per gebruiker doen.

Ontkoppel alle externe opslagapparaten

Als je externe harde schijven of een NAS hebt, zorg dat deze niet altijd automatisch en continu gekoppeld zijn. Mocht er ooit een cryptografische besmetting gebeuren die je gegevens vercijfert, dan gaat die malware alle aangekoppelde schijven ook vercijferen, waardoor je back-ups ook verloren zijn.

Log uit van je externe cloudopslag

Ook cloudopslag zoals Dropbox zet je best maar aan wanneer je een synchronisatie wenst te doen, want als je cloudopslag opstart bij het booten van je systeem, zal bij een cryptografische besmetting ook die informatie vercijferd worden, waardoor je cloudopslag als back-up waardeloos wordt.

Gebruik je interne harde schijf niet als archief

Als je een systeem met een grote harde schijf hebt, dan is de verleiding groot om die te vullen met je gegevens. In het geval van besmetting of van diefstal, ben je ook alle gegevens kwijt.

Gebruik voor je back-ups externe opslagmedia.

Zorg dat je op je laptop enkel het minimum aan gegevens meesleurt.

Als je met je laptop naar een publieke plaats gaat, zorg dan dat enkel die zaken die je die dag nodig hebt op je laptop staan. Bij verlies (of beschadiging door het vallen) ben je dan ook maar die enkele bestanden kwijt. Extra gegevens kan je eventueel op een externe dragen of via de Cloud bereiken.

Software

Het beveiligen van een systeem middels software is een meer bekend domein. Wat zijn hier de belangrijkste punten die we kunnen toepassen

Gebruik een sterk wachtwoord

Het mag op een kapotte grammofoonplaat lijken, maar velen nemen het niet zo nauw met hun wachtwoord op hun systeem. Nochtans is ingeven van een sterk wachtwoord de eerste verdedigingslijn tegen inbraak op je systeem. Hoe complexer je wachtwoord, hoe langer het zal duren alvorens een hacker het kan raden. Zie http://www.zdnet.be/article/135917/hoe-maak-je-een-goed-te-onthouden-wachtwoord/.

Systeem up to date houden

Wanneer je systeem aangeeft dat er een update voor een bepaald programma beschikbaar is, dan is het geraadzaam om die update door te voeren.
In tegenstelling tot het Microsoft Windows besturingssysteem, waar enkel updates uitgerold worden voor Microsoft producten, levert je distro updates aan voor alle op je systeem geïnstalleerde software. Dat verklaart ook het feit dan bijna dagelijks updates verschijnen.
Updates doen in feite twee zaken: Fouten in een vorige versie wegwerken en nieuwe mogelijkheden toevoegen. In dat laatste kunnen er ook weer fouten zitten en dus zal er opnieuw een update verschijnen.

Installeer enkel software uit de repositories

Je kan via softwarebeheer nieuwe programma’s installeren. Deze software is door de ontwikkelaars speciaal getest voor jouw distributie. Deze is dan ook veilig te installeren, al werd deze stelling door een besmet programma voor het OS X besturingssysteem onderuitgehaald. Kan dat bij een Linux distributie ook gebeuren? Ja natuurlijk, maar met tientallen verschillende distro’s elk met hun eigen software servers zou het een hele klus zijn om veel gebruikers simultaan te besmetten. Bij Apple waar de gebruiker rechtstreeks zijn programma van de gehackte website haalde en er geen 25-plus verschillende Apple-distro’s zijn, was het voor de hacker een koud kunstje om met één bestandje op één website de hele Apple gemeenschap te bereiken.
We kunnen er van uitgaan dat software via de repo’s binnengehaald veilig is.

Beperk het gebruik van PPA’s

Een PPA of Personal Package Archive, is een verzameling van software die niet in standaard repo’s te vinden zijn. Een PPA zal zich meestal op één bepaald programma toespitsen, al kunnen dat er meerdere zijn. Het hangt af van wat de ontwikkelaar wil aanbieden. Een typisch voorbeeld van een programma dat je via een PPA kan installeren is Grub-optimizer (https://launchpad.net/~danielrichter2007/+archive/ubuntu/grub-customizer).
Een PPA kan ook een manier zijn om sneller bij een recentere versie van een bepaald programma te geraken omdat voor jou distro een te oude versie in de repo’s zit die door het ontwikkelingsteam van je repo blijkbaar niet meer bijgewerkt wordt.
Naast die duidelijke voordelen is het een mogelijk risico dat de broncode voor de programma’s die door de PPA aangeboden wordt, niet gecontroleerd worden door de ontwikkelaars van je distro en dat er dus via deze weg manke, slechte tot zelfs besmette software zou kunnen aangeboden worden. Als je dus PPA’s gebruikt, doe het enkel voor die programma’s waarvan je weet dat er geen risico is. Daartoe kan je bij bepaalde sites terecht die regelmatig nieuwe software bespreken en meestal een PPA meegeven om die software te downloaden.

Anti-virus

Daar is al menig velletje papier over geschreven. Moet je nu wel of niet overgaan tot het installeren van een Anti-virus.
Bekijk de risico’s die je kan lopen als er via een omweg besmette software op je systeem zou kunnen geïnstalleerd worden. Als je anti-virus mooi up to date is, dan is dat toch een extra bescherming tegen mogelijke malware. De last op je systeem door continu een anti-virus te laten draaien is te verwaarlozen. Dropbox bv. heeft een veel grotere impact op je systeem dan een anti-virus.

Firewall

GufwTot een paar maanden geleden zou ik gezegd hebben dat je, gezien je achter de firewall van je router (Belgacom/Telenet) zit, geen software firewall nodig zou moeten hebben. Wat ik echter over het hoofd gezien had, was dat je met je systeem kan inloggen op publieke wifi-netwerken en dat je daar plots oog in oog komt te staan met het rauwe internet.

Het firewall programma Gufw is niet standaard geïnstalleerd, maar via een simpele

$ sudo apt-get install gufw

kan je het installeren. Eens geïnstalleerd kan je de firewall activeren door in je menu Gufw op te starten. Guwf start automatisch op na het inloggen. Meer info kun je vinden op http://help.ubuntu.com/community/Gufw

Overbodige services uitzetten

Bij een standaard installatie worden er ook diverse services mee geïnstalleerd en opgestart. Services zijn programma’s die zoals de term het zelf zegt, diensten verlenen.
Bepaalde services heb je nodig om bv. te Printen (CUPS), andere draaien maar zal je nooit gebruiken. In mijn geval zal ik nooit een verbinding leggen met mijn laptop via de bluetooth, dus heb ik de bluetooth service uitgeschakeld.
Om de bluetooth service niet te laten opstarten, kan je een kleine aanpassing doen in het bestand /etc/bluetooth main.conf.

Open /etc/bluetooth/main.conf als root met je favoriete editor en verander de lijn

InitiallyPowered = false
naar
InitiallyPowered = true

Gebruik fingerprinting

Als je systeem een fingerprint sensor heeft, dan kan je deze gebruiken om je root wachtwoord in te geven. Daarmee belet je ook dat iemand mee kijkt over je schouders als je het wachtwoord moet ingeven om root opdrachten uit te voeren. Meer info over het instellen van je fingerprint sensor vind je hier en hier.
Ik heb de fingerprint sensor op mijn Toshiba Tecra J11 onder Linux Mint 17.3 MATE volgens de manier beschreven in de links hierboven aan de praat gekregen.

Humanware

We willen allemaal met zo min mogelijk moeite zo veel mogelijk gedaan krijgen. En alles moet steeds sneller gebeuren. Maar veiligheid en haast gaan nooit samen. Als je je systeem wenst veilig te houden, dan zijn de bovenstaande aanpassingen wel goed, maar wat heb je aan een vercijferde schijf, als je tijdens een plaspauze niet uitlogt of een screensaver opstart.

Lock je scherm

Je kan je scherm direct locken door de toetsencombinatie Alt-Ctrl-L in te drukken. Je vindt deze en andere sneltoetsen in je Configuratiecentrum.

SneltoetsenGebruik meerdere wachtwoorden

Dat is één van de moeilijkste zaken. Zowat bijna iedereen gebruikt hetzelfde wachtwoord voor meerdere forums, FB, Twitter, … en dat is logisch ook. Hoe onthou je in hemelsnaam al die verschillende wachtwoorden.

Je kan gebruik maken van Add-ons in Firefox en Chromium die voor jou wachtwoorden bijhouden en die vervolgens automatisch invullen. Een bekende is LastPass (https://lastpass.com/nl/). In theorie moet je enkel het masterwachtwoord van je Lastpass account onthouden en Lastpass doet de rest voor jou. Alleen mag je Lastpass niet automatisch laten inloggen, gezien een hacker dan ook direct aan alle je wachtwoorden kan.

Conclusie

Je gegevens zijn het belangrijkste. Het afdoende beschermen ervan is dansen op een slappe koord, een moeilijke evenwichtsoefening tussen enerzijds je gebruikersgemak en anderzijds de te nemen maatregelen.

Er zijn wellicht nog tientallen andere tips die je kan aanwenden om je gegevens beter te beschermen, en het is aan de gebruiker om zelf in te schatten hoe strikt of hoe laks hij/zij wil omgaan met bescherming van zijn gegevens.

839 totaal aantal vertoningen, 2 aantal vertoningen vandaag

Beoordeling

1 Reactie

  1. François

    Mijn mening over dit alles .
    Hedendaags leven we in een digitaal tijdperk . Sinds begin jaren 80 tot hedendaags ben ik de computerevolutie blijven volgen . Vroeger was een computer een werkgereedschap in bedrijven , nu is het voor iedereen een onmisbaar voorwerp geworden . Om zelf nog gaan te winkelen is er geen tijd meer , gaat men maar online winkelen .Er word niet meer cash betaald , en betalen we digitaal . De Computer en het internet hebben ons zo gemakzuchtig gemaakt en word er niet meer bij stilgestaan dat een computer geen gebruiksvoorwerp meer is maar een voorwerp dat gebruikt word voor criminele doeleinden .
    Wij hebben dit eigenlijk allemaal te danken aan de wetenschappers die maar nieuwe dingen zijn blijven uitvinden maar nooit hebben bij nagedacht voor wat de nieuwe dingen ooit zouden kunnen gebruikt worden .
    Vroeger toen het geld nog in kluizen bewaard werd in de bank pleegde men gemaskerde overvallen met een vluchtwagen . De vluchtwagen werd dan ergens uitgebrand teruggevonden om alle sporen van de overvallers te wissen .
    Nu gebruiken computercriminelen anderen hun computer, laptop, smartphone, tablet , ipad , iphone enz.. (vluchtwagen) om digitaal te gaan roven . Deze apparaten zijn tegenwoordig niet meer weg te denken . Bijna iedereen heeft een apparaat om zich op internet te kunnen begeven . Nog beter , er zijn zelfs al banken waar men verplicht digitaal te gaan bankieren .
    Om bij een bank te gaan werken moet je een hooggeschoold of Bachelor diploma hebben . Men moet met de computer kunnen werken om financiële transacties te kunnen uitvoeren . Men stapt een financiële instelling binnen en het eerste wat je te horen krijgt , doet u al aan digitaal bankieren? Het enige wat je nodig hebt is een computer , laptop of ander toestel en een internetverbinding en alles is zeer eenvoudig . Een toestelletjje om je bankkart in te stoppen, je pincode in te voeren en je kan zelf van thuis uit bankieren . Wat men mij nog nooit gevraagd heeft is hebt u een hooggeschoold of bachelor diploma want dat is wel vereist om aan internetbankieren te doen . Welnu ik ben laaggeschoold en doe ook aan internetbankieren , met het enige grote verschil dat ik ooit op de lagere school nog met mijn hoofd leren denken heb en mijn studies op de lagere school nog gedaan heb toen er zelfs nog geen sprake was van zak rekenmachientjes en nog alles uit het hoofd moest leren rekenen of met potlood op papier . Nu laat men zelfs vanaf de kleuterklas kinderen leren werken met de computer , terwijl men de kleuter nog niet heeft geleerd hoe een computer in elkaar zit en hoe hij werkt . Zo kan je ook een kleuter met de auto leren rijden maar niets leren hoe het verkeer in elkaar zit en de verkeersregels moeten nageleefd worden
    De snelheid van computers zijn enorm toegenomen dat men niet eens meer merkt , wat is er nu juist gebeurd . Een mooi voorbeeld hiervan zijn de SSD schijven . computer aanzetten en binnen 2-3 seconden kan er mee gewerkt worden .
    Alles begint bij de allereerste sector (bootsector) bij de harde schijf voor het besturingssysteem al opgestart is . Bij een SSD is geen sprake meer van sectoren en ja computercriminelen weten dat maar al te goed , en kennen wij nu hiervan allemaal de gevolgen . Nieuwe technieken zijn daarom geen betere technieken !

    Reageren

Geef een reactie

%d bloggers liken dit: