УДК 004

Атаки и уязвимости в операционной системе Ubuntu 23.04.2 «Lunar Lobster»

Гарманов Сергей Семенович – кандидат военных наук, доцент кафедры Воздушно-космических сил Военного учебного центра при Российском технологическом университете МИРЭА.

Ковалев Илья Александрович – студент Института безопасности информационных технологий в правоохранительной сфере Российского технологического университета МИРЭА.

Аннотация: Данное исследование анализирует потенциальные опасности и уязвимости в области информационной безопасности, а также предлагает меры по их предотвращению. В ходе исследования подробно рассматриваются различные виды атак, такие как "Heartbleed," атаки с перехватом данных в среде MITM ("Man-in-the-Middle") и эксплойты типа "Dirty COW."

Ключевые слова: MITM, Heartbleed, Dirty COW.

Операционная система Ubuntu 23.04, основанная на ядре Linux, представляет собой последнюю версию данной операционной системы. Важно осознать, что, даже в случае использования операционных систем с высокими стандартами безопасности, всегда существует потенциал для наличия уязвимостей, которые могут быть целью злоумышленников. Ubuntu 23.04
не исключение из этого правила.

Несмотря на общее признание ее надежности, в системе могут существовать уязвимости, их понимание и превентивные меры по защите
от них имеют важное значение. Настоящая статья посвящена рассмотрению некоторых из ключевых уязвимостей, специфичных для Ubuntu 23.04, а также предоставляет рекомендации по их обнаружению и обеспечению безопасности. [1]

Уязвимость Heartbleed

Уязвимость Heartbleed, возникшая в криптографической библиотеке OpenSSL, применяемой для обеспечения безопасности серверных систем, заслуживает внимания в контексте информационной безопасности. В данном исследовании мы проведем подробный анализ этой уязвимости
в операционной системе Ubuntu 23.04. В ходе нашего анализа мы рассмотрим характеристики данной проблемы, оценим ее потенциальные последствия
и предоставим исчерпывающее руководство по методам предотвращения
ее использования.[2]

Уязвимость Heartbleed является результатом ошибки в коде OpenSSL, открытой криптографической библиотеке, широко используемой
для обеспечения безопасности серверов. Эта ошибка позволяет злоумышленникам извлекать произвольные фрагменты данных
из оперативной памяти сервера. Такие данные могут включать в себя конфиденциальную информацию, такую как пароли, ключи шифрования
и другие секретные данные. Учитывая серьезность этой уязвимости, она представляет собой значительную угрозу для информационной безопасности. В связи с этим необходимо предпринимать соответствующие меры предосторожности и защиты для минимизации рисков. [3]

Параметры уязвимости Hearbleed

Уязвимость Heartbleed в операционной системе Ubuntu 23.04 характеризуется следующими ключевыми аспектами (см. табл. 1)

Таблица 1. Ключевые аспекты Heartbleed

Аспект

Описание

Версии OpenSSL, подверженные уязвимости

Уязвимость Heartbleed затрагивает версии OpenSSL с 1.0.1 по 1.0.1f включительно. Серверы, использующие эти версии OpenSSL, подвержены атакам Heartbleed.

Уязвимая функция Heartbeat

Основой уязвимости является функция Heartbeat, предназначенная для проверки связи между клиентом и сервером. Ошибка в коде этой функции позволяет злоумышленникам извлекать из сервера больше данных, чем необходимо.

Утечка конфиденциальной информации

Атаки, связанные с уязвимостью Heartbleed, могут привести к утечке до 64 килобайт данных из оперативной памяти сервера. В эту информацию может входить конфиденциальная информация, такая как приватные ключи и пароли.

Потенциальные последствия

Уязвимость Heartbleed может иметь серьезные последствия, включая компрометацию безопасности данных, утечку конфиденциальных ключей и паролей, а также возможность несанкционированного доступа к системе.

Влияние на Ubuntu 23.04 Heartbleed уязвимости

Операционная система Ubuntu 23.04 находится в широком использовании, особенно в контексте веб-серверов и других критически важных систем. Уязвимость Heartbleed, охватывающая версии OpenSSL
с 1.0.1 по 1.0.1f, представляет серьезную угрозу для безопасности этой операционной системы, если сервер использует уязвимую версию OpenSSL.

В случае эксплуатации уязвимости, злоумышленники могут получить доступ к конфиденциальным данным, таким как приватные ключи и пароли. Это может привести к компрометации безопасности данных, несанкционированному доступу к системе и потенциальным нарушениям конфиденциальности. [4]

Методы защиты от уязвимости Heartbleed

Инструкция по защите от уязвимости Heartbleed для операционной системы Ubuntu 23.04 представляет собой набор ключевых шагов, необходимых для обеспечения безопасности сервера.

Обновление OpenSSL

OpenSSL-это библиотека программного обеспечения для приложений, которые защищают связь по компьютерным сетям от подслушивания
или нуждаются в идентификации стороны на другом конце. Он широко используется интернет-серверами, включая большинство HTTPS-сайтов. OpenSSL содержит реализацию протоколов SSL и TLS с открытым исходным кодом. [5]

Для обновления OpenSSL в Ubuntu 23.04 можно воспользоваться следующими командами в терминале (см. листинг 1).

sudo apt-get update

sudo apt-get upgrade openssl

Листинг 1. Обновления OpenSSL

«Sudo apt – get update» данная команда обновляет список пакетов
в вашей системе до последней версии.

«Sudo apt – get upgrade openssl» данная команда обновит OpenSSL
до последней исправной версии. Убедитесь, что ваша система использует версию, в которой уязвимость Heartbleed исправлена (см. листинг 2).

openssl version

Листинг 2. Проверка «Openssl version»

Перевыпуск SSL-сертификатов

SSL (Secure Sockets Layer) — это протокол шифрования данных, используемый для защиты передачи данных между веб-браузерами и веб-серверами. SSL-сертификат — это цифровой сертификат, который выдается удостоверяющим центром и используется для аутентификации веб-сайта
и обеспечения конфиденциальности данных, передаваемых между клиентом
и сервером. SSL-сертификаты используются для защиты личных данных пользователей, таких как пароли и номера кредитных карт, от перехвата
и несанкционированного доступа. Они также способствуют доверию пользователей к веб-сайту, так как браузеры отображают зеленую пиктограмму замка или название организации, которая выдала сертификат, при наличии SSL-сертификата на сайте. Это убеждает пользователей
в том, что они находятся на защищенном и подлинном
веб-сайте. [6]

SSL-сертификаты являются неотъемлемой частью безопасности передачи данных в интернете и используются для обеспечения конфиденциальности и целостности информации, а также подтверждения подлинности веб-сайтов.

Если на сервере используются SSL-сертификаты, их следует перевыпустить. Вам потребуется воспользоваться соответствующей командой для вашего сертификационного центра (см. листинг 2).

sudo openssl req -new -key existing-private-key.key -out new-certificate-request.csr

Листинг 3. Перевыпуск сертификатов

Мониторинг активности с помощью Fail2ban

Fail2ban - это программное обеспечение для обеспечения безопасности и мониторинга безопасности компьютерных систем. Оно предназначено
для обнаружения и предотвращения попыток несанкционированного доступа
к системам и сервисам, путем автоматической блокировки IP-адресов,
с которых были совершены неудачные попытки входа. Fail2ban широко используется администраторами систем для защиты от атак, таких
как «брутфорс», при которых злоумышленники пытаются угадать пароли, перебирая их в автоматическом режиме. Fail2ban анализирует журналы системы и настраиваемые правила, чтобы определить аномалии и действовать соответствующим образом. [7]

Настройка брандмауэра и Fail2ban является критически важным аспектом обеспечения безопасности сервера в операционной системе Ubuntu 23.04. Для этого необходимо выполнить следующие шаги.

Для того чтоб начать работать с системой требуется установить следующие компоненты (см. листинг 4).

sudo apt-get install fail2ban

Листинг 4. Установка Fail2ban

После установки fail2ban, необходимо внести резервную копию файла «jail.conf», который служит основным файлом конфигурации (см. листинг 5).

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Листинг 5. Файл конфигурации

И требуется настроить некоторые правила конфигурационного файла «jail.local» в текстовом редакторе «nano» (см. листинг 6).

sudo nano /etc/fail2ban/jail.local

Листинг 6. Вход в текстовый документ «jail.local»

Внесите следующие изменения для настройки fail2ban:

  • Определите правила для брандмауэра (какие порты разрешить
    или блокировать) в секции [DEFAULT] или создайте отдельные секции для необходимых служб.
  • Настройте параметры bantime (период блокировки), findtime (время, в течение которого атаки будут отслеживаться) и maxretry (количество неудачных попыток до блокировки) под ваши потребности.

Также потребуется добавить секции для служб или приложений, которые вы хотите монтировать и защищать. Например, для SSH-сервера
(см. листинг 7).

[sshd]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/auth.log

maxretry = 5

Листинг 7. Настройка мониторинга SSH-сервера

В этой ситуации «enabled» определяет, включено ли данное правило, «port» указывает на порт (в данном случае это порт SSH), «filter» определяет фильтр для анализа логов, «logpath» указывает на местоположение лог-файла для службы, и «maxretry» задает максимальное количество попыток перед блокировкой IP. Подбирайте значения этих параметров в зависимости от ваших требований к безопасности и частоте неудачных попыток входа на вашем сервере.

Дальше надлежит запустить fail2ban и добавить его в автозагрузку
(см. листинг 8).

sudo systemctl start fail2ban

sudo systemctl enable fail2ban

Листинг 8. Запуск fail2ban

Для проверки работоспособности falil2ban введем следующую команду (см. листинг 9).

sudo fail2ban-client status

Листинг 9. Проверка работоспособности fail2ban

Команда fail2ban-client status предоставляет информацию о текущем состоянии Fail2Ban, включая количество активных "jail" (наблюдательных пунктов) и список этих "jail" (см. рис. 1).

Рисунок1

Рисунок 1. Вывод команды

Заключение уязвимости Heartbleed

В данном контексте были рассмотрены важные аспекты обеспечения безопасности системы Ubuntu 23.04 с учетом уязвимости Heartbleed. В ходе анализа были предложены различные методы и команды, которые могут быть применены для усиления безопасности операционной системы. Эти меры направлены на предотвращение атак и защиту от возможных угроз.

Важно подчеркнуть, что обеспечение безопасности системы — это непрерывный и многогранный процесс, который требует внимания к деталям и актуальной информации о новых угрозах и методах атак. Применение рекомендованных мер, таких как обновление OpenSSL, настройка брандмауэра и использование инструментов аудита безопасности, помогает повысить уровень защиты системы и уменьшить риски.

Атака MITM

Атака Man-in-the-Middle (MITM) олицетворяет собой одну
из существенных и наиболее широко распространенных угроз в области безопасности компьютерных сетей. Анализ этой уязвимости
и ее потенциальных последствий на операционную систему Ubuntu версии 23.04.02 приобретает критическое значение в свете постоянно растущей зависимости от сетевых технологий и цифровой коммуникации. [8]

Уязвимость MITM представляет собой ситуацию, в которой злоумышленник встраивается между двумя легитимными участниками обмена данными в сети, притворяясь, будто он является посредником в обмене информацией. Таким образом, злоумышленник может перехватывать и даже изменять передаваемую информацию между участниками сети, не оставляя при этом видимых следов для них. Это открывает широкий спектр возможных атак и угроз, включая украденную личную информацию, взломанные сессии, вредоносные внедрения, а также анализ и мониторинг сетевого трафика.

Параметры уязвимости MITM

Уязвимость MITM в операционной системе Ubuntu 23.04 характеризуется следующими ключевыми аспектами (см. табл. 2)

Таблица 2. Ключевые аспекты MITM

Параметры

Описание параметра

Типы MITM-атак

Атаки посредника (MITM) - это категория атак, при которых злоумышленник позиционирует себя между двумя легитимными сторонами, перехватывая и изменяя их коммуникацию.

Методы реализации

Существуют различные методы реализации MITM-атак, включая атаки с ARP-отравлением, DNS-подделкой, атаки типа SSLSTRIP и другие.

Утечка конфиденциальной информации

В рамках MITM-атаки злоумышленник может перехватывать и анализировать передаваемые данные, что может привести к утечке конфиденциальной информации, такой как логины, пароли и другие чувствительные данные.

Потенциальные последствия

MITM-атаки могут иметь серьезные последствия, включая компрометацию конфиденциальных данных, подмену трафика, а также создание возможности для выполнения дополнительных атак.

Влияние на Ubuntu 23.04 MITM атаки

Влияние уязвимостей к атакам типа "Man-In-The-Middle" (MITM)
на Ubuntu 23.04 проявляется в нескольких ключевых областях, существенно затрагивающих безопасность и надежность системы. Прежде всего, такие атаки создают значительный риск утечки конфиденциальной информации. Злоумышленники, успешно реализуя MITM-атаки, могут перехватывать
и просматривать чувствительные данные, такие как логины, пароли, финансовые сведения и личные сообщения пользователей. Это особенно опасно в корпоративной среде, где такие утечки могут привести к серьезным финансовым потерям и нанести ущерб репутации компании.

Помимо риска утечки данных, уязвимости для MITM-атак также могут подрывать целостность данных в Ubuntu 23.04. Злоумышленники могут изменять передаваемые данные, что приводит к распространению неверной информации или внедрению вредоносного кода. Такие действия могут нарушать работу системы, вызывая сбои и ошибки, что делает важные данные и ресурсы недоступными для легитимных пользователей. Это также создает риск для непрерывности бизнес-процессов, особенно в средах, где требуется высокий уровень надежности и безопасности.

Кроме того, MITM-атаки могут использоваться для подготовки
и реализации дополнительных атак, таких как фишинг, распространение вредоносного ПО или даже атак на другие системы в сети. Такие действия могут оказывать долгосрочное влияние на безопасность сети и целостность данных, подрывая доверие пользователей к системе и ее эффективность.

Методы защиты от уязвимости MITM

Защита от уязвимостей для атак типа "Man-In-The-Middle" (MITM) требует комплексного подхода, который включает в себя использование различных методов и настройку соответствующих систем.

Использование Шифрования

Применение исключительно безопасных сетевых протоколов представляет собой неотъемлемый аспект современной информационной безопасности в контексте сети Интернет. Среди множества доступных сетевых протоколов, выделяется стандарт HTTPS (Hypertext Transfer Protocol Secure), который служит основой для защищенной передачи данных в сети Интернет.

Протокол HTTPS считается безопасным по сравнению с обычным HTTP, благодаря использованию шифрования данных с использованием криптографических методов. Это позволяет обеспечить конфиденциальность информации, передаваемой между клиентом и сервером, а также защитить данные от несанкционированного доступа и перехвата.

В данном блоке приведены плюсы использования протокола:

  1. HTTPS обеспечивает шифрование данных, что делает
    их недоступными для посторонних лиц и обеспечивает конфиденциальность информации, передаваемой через сеть;
  2. HTTPS позволяет клиентам проверить подлинность веб-сервера,
    с которым они взаимодействуют, через использование SSL/TLS сертификатов;
  3. протокол гарантирует, что данные, передаваемые между клиентом и сервером, не подверглись изменениям или повреждению в процессе передачи;
  4. HTTPS помогает предотвратить атаки типа "перехват и модификация" и защищает от многих видов сетевых атак, таких как атаки типа "Man-in-the-Middle";
  5. использование HTTPS отмечается зеленым замком в адресной строке браузера, что увеличивает доверие пользователей к веб-сайту
    и подтверждает его безопасность.

Дополнительным средством, способствующим обеспечению безопасности сетевых соединений и защите от потенциальных атак, таких как атака типа "Man-in-the-Middle" (MITM), является использование виртуальных частных сетей (VPN). VPN представляет собой технологию, которая создает шифрованный туннель между клиентским устройством и удаленным сервером, что обеспечивает дополнительный уровень конфиденциальности и безопасности в сети Интернет.

Использование VPN в данном контексте играет ключевую роль в предотвращении атак MITM. Когда клиентское устройство подключается к VPN-серверу, все данные, передаваемые между клиентом и сервером, шифруются и прокладываются через защищенный канал, что делает их недоступными для злоумышленников, даже если они находятся между клиентом и сервером.

Важные преимущества использования VPN для защиты от MITM-атак:

  1. VPN обеспечивает шифрование данных, что предотвращает
    их перехват и просмотр злоумышленниками;
  2. VPN-серверы обычно требуют аутентификацию клиента,
    что помогает предотвратить подключение несанкционированных устройств;
  3. VPN создает защищенный канал между клиентом и сервером,
    что делает невозможным вмешательство злоумышленника в сетевое соединение;
  4. VPN может скрыть реальный IP-адрес клиента, что обеспечивает дополнительный уровень анонимности и защиты.

Использование IDS/IPS/XDR систем

В данной секции будет проведен анализ систем и механизмов, способных обеспечить защиту от киберугрозы, известной как атака
"Man-in-the-Middle" (MITM). [9]

Расширенное обнаружение и реагирование (XDR) (Extended Detection and Response) ориентировано на систематическое анализ и контроль точек проникновения в информационную систему, предоставляя информационно-безопасному специалисту всестороннее представление о состоянии данных точек и таким образом содействуя в предотвращении или осложнении выполнения кибератак. Кроме того, решения, включающие в себя XDR, аккумулируют данных относительно киберинцидентов, которые могут быть использованы для их последующего исследования, хотя этот аспект считается вторичным. В первую очередь, цель состоит в обнаружении потенциальных угроз и их обезвреживании до возможности их реализации. XDR, следовательно, рассматривается как продукт, обеспечивающий комплексное обеспечение информационной безопасности.

Системы обнаружения вторжений (IDS) ориентированы на выявление несанкционированных вторжений в корпоративные информационные системы, уделяя внимание более ограниченной области оперативной деятельности. Когда обнаруживается инцидент, инструменты данного класса генерируют уведомление для информационно-безопасного сотрудника,
что предоставляет ему возможность предпринимать соответствующие меры по ситуации. Более сложной версией таких решений является система предотвращения вторжений (IPS), которая немедленно блокирует потенциальные угрозы сразу после их обнаружения.

Система предотвращения (Intrusion Prevention System, IPS) представляет собой средство информационной безопасности, которое выполняет функции обнаружения и предотвращения несанкционированных вторжений и атак
в информационных системах и сетях. В отличие от системы IDS (Intrusion Detection System), которая только обнаруживает аномалии и предостерегает об атаке, IPS способен непосредственно блокировать атаку или аномалию
в реальном времени. Отличие от (XDR) тем, что (IPS) система представляет более статическую структуру, когда (XDR) является аналитической
и адаптивной системой. (XDR) использует искусственный интеллект (ИИ)
и аналитику для выявления нестандартных и эволюционирующих угроз,
что позволяет выявлять угрозы, которые могут обходить сигнатурные
методы. [10]

С помощью данных систем можно предотвращать сетевые атаки
и полностью защищать системы Ubuntu 23.04.2 «Lunar Lobster».

Таким образом, Ubuntu 23.04 - надежная и безопасная операционная система, но все же существуют атаки, которые могут быть использованы злоумышленниками. Чтобы защитить свою систему от атак, необходимо убедиться, что настроены все соответствующие меры. Надеемся, что эта статья помогла вам понять, какие атаки могут существовать в Ubuntu 23.04
и как вы можете защитить свою систему от возможных атак. Следуя простым рекомендациям по безопасности, вы можете защитить свою систему и личную информацию от несанкционированного доступа.

Список литературы

  1. Исследовательское сообщество ubuntu.ru: [Электронный ресурс] URL: https://ubuntu.ru/about#:~:text=Ubuntu%20—%20это%20разрабатываемая%20сообществом%2C,в%20Интернет%20и%20много%20других
  2. Русскоязычный веб-сайт в формате системы тематических коллективных блогов [Электронный ресурс] URL: https://habr.com/ru/articles/218661/
  3. Сервис для совместной разработки и хостинга проектов. [Электронный ресурс] URL: https://sohvaxus.github.io/content/heartbleed.html
  4. Русскоязычный веб-сайт в формате системы тематических коллективных блогов [Электронный ресурс] URL: https://habr.com/ru/companies/ruvds/articles/576380/
  5. Блог компьютерного мастера [Электронный ресурс] URL: https://www.dmosk.ru/miniinstruktions.php?mini=openssl-update-centos
  6. Техническая документация по Linux [Электронный ресурс] URL: https://www.golinuxcloud.com/renew-ssl-tls-server-certificate-openssl/
  7. Блог компьютерного мастера [Электронный ресурс] URL: https://www.dmosk.ru/instruktions.php?object=fail2ban
  8. Российский финансовый конгломерат, банк России и Восточной Европы [Электронный ресурс] URL: http://www.sberbank.ru/ru/person/kibrary/articles/ataka-chelovek-poseredine-kak-ne-stat-eyo-zhertvoj
  9. Кибербезопасность, новости и статьи по информационной безопасности [Электронный ресурс] URL: https://securitymedia.org/analytics/xdr-dlp-ids-kakoe-ib-reshenie-vybrat-kompanii.html
  10. Настройка и бнаружение сетевых атак [Электронный ресурс] URL: https://sadykov.notion.site/2-IDS-IPS-SNORT-9a0f69dc71a749e480864f2ef1be3299