Valstybės tarnautojai „Ubuntu“ ir „Canonical“ jau kelias valandas patiria spaudimą. Po paskirstytos paslaugų teikimo trikdymo (DDoS) atakos, dėl kurios sutriko su populiaria „Linux“ distribucija susijusios svarbios paslaugos, „Canonical“ šį sutrikimą apibūdino kaip ilgalaikę, tarpvalstybinę ataką. Ataka paveikė oficialią svetainę, saugos API ir svarbiausius sistemų administratorių, įmonių ir kūrėjų komunikacijos kanalus.
Šis incidentas sukėlė nerimą Europos ir Ispanijos IT ir kibernetinio saugumo komandoms, kurios pasikliauja... Ubuntu Server kaip savo infrastruktūros pagrindąypač debesijos ir gamybos aplinkoje. Nors paketų saugyklos ir kai kurie veidrodžiai išlieka prieinami, „Canonical“ pagrindinių paslaugų sutrikimas sukėlė netikrumo dėl pažeidžiamumų skenavimo ir atnaujinimų valdymo realiuoju laiku.
Nuolatinė DDoS ataka prieš Ubuntu infrastruktūrą
Kaip patvirtino „Canonical“ savo oficialiuose kanaluose paskelbtame pranešime, jos Žiniatinklio infrastruktūra patiria ilgalaikę DDoS ataką Elektros energijos tiekimo sutrikimas prasidėjo ketvirtadienį ir vis labiau intensyvėja. Siekdama sušvelninti poveikį, bendrovė prevenciškai atjungė kelias viešąsias paslaugas, kol jos komandos dirba ties situacija.
Incidento trukmė nėra nereikšminga: techniniai šaltiniai ir specializuota žiniasklaida nurodo, kad kritimas truko apie 20–24 valandų didelių sutrikimų kai kuriose paslaugose pirmųjų ataskaitų rengimo metu. „Linux“ ekosistemoje, kur daugelis priežiūros ir diegimo užduočių priklauso nuo pagrindinės projekto infrastruktūros, tokio masto sutrikimas pastebimas iš karto.
DDoS ataka buvo apibūdinta kaip masyvus ir koordinuotasŠi ataka konkrečiai nukreipta į „Canonical“ viešąjį sluoksnį: žiniatinklio portalus, API ir bendruomenės komunikacijos platformas. Nors šio tipo ataka nebūtinai apima įsilaužimą ar duomenų vagystę, jos praktinis poveikis yra blokuoti prieigą prie funkcijų, būtinų kasdieniam Ubuntu pagrindu veikiančių sistemų veikimui.
Techniškai kalbant, DDoS ataka apima tikslinių serverių užtvindymą dideliais kiekiais nepageidaujamo srauto, kol išsenka jų tinklo ar skaičiavimo ištekliai. Nors, palyginti su sudėtingesnėmis atakomis, tai laikoma gana paprasta technika, ji išlieka rimta grėsme. labai efektyvi priemonė matomoms platformoms išjungtiypač kai sujungiami dideli pralaidumai ir paskirstyti susijusios įrangos tinklai.
Sutrikimas paveikė „Ubuntu“ ir „Canonical“ paslaugas
Puolimas neapsiribojo vien įmonės svetaine. Kūrėjai ir administratoriai bendruomenės forumuose nurodė, kad keli svarbūs Ubuntu viešosios infrastruktūros komponentai Jie smarkiai nukentėjo nuo išpuolio.
„Canonical“ ir techninės bendruomenės teigimu, paveiktos paslaugos apima:
- Oficiali Ubuntu svetainė (ubuntu.com), vartai į dokumentaciją, atsisiuntimus ir išteklius vartotojams bei įmonėms.
- CVE API ir saugumo patarimai, naudojamas pažeidžiamumams, prieinamiems pataisymams ir techninei praneštų trūkumų informacijai patikrinti.
- Oficialūs komunikacijos kanalai ir pranešimai, būtina norint skelbti atnaujintą informaciją apie incidentus, jų švelninimo priemones ir rekomendacijas.
- Techninė pagalba ir dokumentacijos paslaugos internetutiek standartiniams vartotojams, tiek klientams, turintiems verslo sutartis.
Lygiagrečiai buvo užfiksuoti atvejai, kai naudotojai ir analitikai aptiko Gedimai bandant įdiegti arba atnaujinti Ubuntu sistemas Atakos piko metu nepriklausomi testai su „Ubuntu“ kompiuteriais parodė, kad bandymai atnaujinti naudojant standartinius įrankius nepavyko, kol sutriko tiekimas, o tai sustiprina mintį, kad ataka paveikė paketų platinimo maršrutus arba susijusias palaikymo paslaugas.
Tačiau „Canonical“ tvirtino, kad Paketų atsisiuntimo veidrodžiai toliau veikia Baziniai diegimai ir atnaujinimai išlieka įmanomi naudojant šias alternatyvias saugyklas. Pagrindinė problema yra ta, kad neturint patikimos prieigos prie saugumo API ir oficialių rekomendacijų, saugumo komandoms tampa sunkiau tiesiogiai patikrinti, kurie pažeidžiamumai veikia jų sistemas ir kurie pataisymai yra visiškai prieinami.
Dėl to daugelis organizacijų yra priverstos laikinai pasinaudoti alternatyvūs pažeidžiamumo informacijos šaltiniai, pavyzdžiui, Nacionalinę pažeidžiamumų duomenų bazę (NVD) arba tokias platformas kaip Atvirojo kodo pažeidžiamumai (OSV), o „Canonical“ atkuria paslaugą ir paskelbia išsamesnę ataskaitą apie tai, kas įvyko.
Hakerių grupė, prisiėmusi atsakomybę už išpuolį prieš „Canonical“
Atsakomybę už išpuolį prisiėmė hakerių aktyvistų grupuotė, pasivadinusi... „Islamo kibernetinis pasipriešinimas Irake – 313 komanda“ (Islamo kibernetinis pasipriešinimas Irake – 313 komanda). Pranešimas apie atsakomybę buvo išplatintas per jų „Telegram“ kanalą, kuriame nariai tvirtina, kad jie buvo atsakingi už viešosios „Ubuntu“ ir „Canonical“ infrastruktūros uždarymą koordinuotos DDoS atakos metu.
Savo žinutėse grupė teigia, kad griebėsi „Beamed“ – komercinė DDoS paslauga pagal pareikalavimąŠios platformos, dar žinomos kaip „booter“ arba „stresoriai“, leidžia praktiškai bet kam vykdyti didelio masto atakas, mokant už srauto pajėgumus, nereikalaujant savo pažeistų kompiuterių tinklo ar pažangių techninių žinių.
„Beamed“ teigia galinti generuoti pranašesnius puolimus nei 3,5 terabito per sekundę kenkėjiško srautoŠis skaičius leidžia suprasti, kokį mastą gali pasiekti tokio tipo atakos. Nors nėra nepriklausomo patvirtinimo, kad „Ubuntu“ atveju buvo pasiektas toks konkretus mastas, ši nuoroda padeda suprasti šio tipo paslaugų teikėjo reklamuojamą galią.
Ideologinių motyvų, prieinamų atakų pajėgumų nuomos įrankių prieinamumo ir žiniasklaidos matomumo, susijusio su tokiu taikiniu kaip „Ubuntu“, derinys kelia nerimą: Valstybės aparatas ir didelė nusikalstama organizacija nebėra būtini. Norint sutrikdyti kritinės infrastruktūros veikimą, tereikia grupės, turinčios politinių ar simbolinių tikslų, ir pakankamo biudžeto slaptoms DDoS paslaugoms samdyti.
Europos teisėsaugos institucijos ir institucijos, tokios kaip Europolas, jau daugelį metų žaidžia katės ir pelės žaidimą su šiais paslaugų teikėjais. Nepaisant domenų vardų šalinimo operacijų, konfiskavimo ir retkarčiais vykdomų areštų, rinka DDoS paslaugos pagal pareikalavimą greitai atkuriamosdėl to atsiranda naujos platformos, kurios pakeičia uždarytas platformas, ir išlaiko problemą, kuri daro įtaką įmonėms, žiniasklaidai, viešojo administravimo institucijoms ir visų rūšių technologiniams projektams.
Veiklos rizika startuoliams ir įmonėms, kurios naudojasi „Ubuntu“
Incidento mastas stipriai atliepė Europos startuolius ir bendroves, kurios naudojasi Ubuntu serveris viešuosiuose ir privačiuose debesyseApskaičiuota, kad labai didelė dalis didelių debesijos paslaugų teikėjų egzempliorių naudoja kokį nors „Ubuntu“ variantą, todėl bet koks poveikis „Canonical“ infrastruktūrai kelia tiekimo grandinės riziką daugeliui skaitmeninių operacijų.
Inžinierių ir saugumo komandoms problema yra ne tiek galimas tiesioginis įsilaužimas į jų serverius – nėra jokių požymių, kad būtų pažeistas gamybinių „Ubuntu“ diegimų vientisumas, kiek... per didelė priklausomybė nuo vieno atskaitos taško atnaujinimams, saugumo įspėjimams ir dokumentacijai. Kai sugenda oficialūs kanalai, tam tikrų architektūrų trapumas tampa akivaizdus.
Ispanijos ir Europos kontekste, kur daugelis technologijų startuolių veikia su mažomis komandomis ir ribotais ištekliais, tokio tipo sutrikimai turi papildomą poveikį: Infrastruktūros valdytojai priversti improvizuoti atsarginiais planais tuo pačiu metu valdant vidinę komunikaciją su verslu, klientais ir partneriais, o tai gali dar labiau apkrauti organizacijas, turinčias labai ribotus terminus.
Šis epizodas taip pat priminė mums, kaip svarbu atsižvelgti ne tik į pačios platformos („Kubernetes“, serverių, duomenų bazių) prieinamumą, bet ir į kritinių išorinių paslaugų atsparumas Štai dalykai, nuo kurių priklauso kasdienis gyvenimas: paketų saugyklos, mokėjimo paslaugų teikėjai, kodų saugyklos, DNS paslaugos arba pranešimų platformos.
Vidiniuose pokalbiuose daugelis Europos įmonių technologijų direktorių ir sistemų vadovų užduoda sau nepatogius, bet būtinus klausimus: Kas nutiktų, jei panašus sutrikimas rytoj paveiktų AWS, „GitHub“ ar pagrindinį mokėjimų teikėją? Ubuntu atvejis yra tarsi generalinė repeticija, pabrėžianti, kiek nenumatytų atvejų planai iš tikrųjų yra parengti, ar egzistuoja tik popieriuje.
Neatidėliotinos priemonės, skirtos sumažinti poveikį gamybos aplinkai
Organizacijoms, kurios gamyboje labai naudoja „Ubuntu“, ši ataka aiškiai parodo, kad kai kurios atsargumo priemonės nebėra pasirenkamos. DevOps ir saugumo komandos Ispanijoje ir Europoje teikia pirmenybę... imtis skubių veiksmų siekiant sumažinti tiesioginę priklausomybę nuo pagrindinės „Canonical“ infrastruktūros krizės laikais.
Tarp priemonių, kurias labiausiai rekomenduoja sektoriaus specialistai, yra šios:
- Konfigūruokite alternatyvius pažeidžiamumų šaltiniusIntegruoti duomenų bazes, tokias kaip NVD arba OSV, į saugumo procesą, kad pažeidžiamumų analizė nebūtų vien tik priklausoma nuo „Canonical“ API.
- Įdiegti vietinių saugyklų veidrodžiusNaudokite tokius įrankius kaip „apt-cacher-ng“ arba talpyklos tarpinius serverius (pavyzdžiui, „Squid“), kad išsaugotumėte dažniausiai naudojamų „Ubuntu“ paketų kopijas savo infrastruktūroje.
- Kurkite iš anksto sukurtus atvaizdus ir vidines saugyklasSistemos konteinerius arba atvaizdus nuolat atnaujinkite privačiuose registruose (debesyse, pvz., AWS, „Azure“ arba vietinėse infrastruktūrose), kad galėtumėte diegti nereikalaudami nuolatinio prisijungimo prie išorinių saugyklų.
- Sukurti incidentų komunikacijos planąApibrėžkite antrinius kanalus („Slack“, „Telegram“, el. paštą, SMS žinutes) saugumo įspėjimams, kai neveikia oficialios svetainės, ir paskirkite aiškius sprendimus priimančius asmenis krizės atveju.
Pagrindinė idėja yra ta, kad Atleidimas iš darbo nebeturėtų būti laikomas prabanga Tai tampa standartine praktika tiek didelėms korporacijoms, tiek startuoliams, tiek technologijų MVĮ. Vietinės talpyklos, alternatyvūs duomenų šaltiniai, paskirstytos atsarginės kopijos ir gerai dokumentuoti procesai gali lemti skirtumą tarp nedidelių nepatogumų ir ilgalaikio verslo sutrikimo.
Be to, šiame epizode pabrėžiama, kad paramos sutartyse, jei jos egzistuoja, reikia įtraukti aiškios paslaugų teikimo sutartys (SLA) dėl komunikacijoskad verslo klientai žinotų, ko tikėtis ir kokiais kanalais jie gaus prioritetinę informaciją tokiose situacijose kaip dabartinė.
Ilgalaikės „Linux“ infrastruktūrų apsaugos strategijos
Be skubių sprendimų, ataka prieš „Ubuntu“ atveria esmines diskusijas apie tai, kaip organizacijos turėtų ruoštis tokio tipo įvykiams. Daugeliui ispanakalbių techninių komandų išvada yra tokia: Atsparumas turi būti projektuojamas nuo pat pradžių, neimprovizuoti, kai ištinka krizė.
Viena iš rekomendacijų, kuri sulaukia vis didesnio populiarumo, yra diversifikuoti operacinių sistemų rinkinį ir tiekėjusNors „Ubuntu“ išlieka pagrindiniu pasirinkimu, kai kurios įmonės vertina kritinių paslaugų replikaciją kituose platinimuose, tokiuose kaip „Debian“ ar „Alpine“, taip sumažinant riziką, kad itin tikslinė ataka prieš vieną platinimą paliks visą organizaciją be paslaugų.
Automatizavimas taip pat atlieka svarbų vaidmenį. Tokios priemonės kaip neautomatiniai atnaujinimai Ubuntu sistemoje arba centralizuoti pataisų valdymo sprendimai gali Saugos pataisymus pritaikykite beveik iš karto Kai įmanoma, apriboti poveikio laikotarpį. Tačiau šie mechanizmai turi būti sukonfigūruoti taip, kad toleruotų dalinius oficialių kanalų sutrikimus, naudojant perteklines saugyklas ir aiškias elgesio taisykles šaltinio gedimo atveju.
Kitas svarbus vektorius yra nuolatinis atvirojo kodo bendruomenės stebėjimasDaugeliu atvejų techniniai forumai, adresų sąrašai ir socialiniai tinklai aptinka ir aptaria incidentus prieš paskelbiant oficialius pranešimus. Atitinkamų paskyrų sekimas, dalyvavimas platinimo forumuose ir prenumerata saugumu pagrįstuose šaltiniuose gali suteikti vertingų ankstyvųjų įspėjimų, padėsiančių priimti sprendimus dėl rizikos mažinimo.
Galiausiai, pageidautina, kad kiekviena įmonė turėtų dokumentuotų incidentų vadovas Šioje dokumentacijoje turėtų būti išsamiai aprašyta, kas ką nusprendžia, su kokiais alternatyviais šaltiniais konsultuojamasi, kada kreiptis į mokamus palaikymo paslaugų teikėjus ir kada apsvarstyti laikiną perkėlimą į kitą aplinką. Tokia dokumentacija sumažina improvizaciją, sutrumpina reagavimo laiką ir neleidžia svarbiems sprendimams priklausyti nuo neoficialių pokalbių krizės metu.
Ar prasminga po šio incidento atsisakyti Ubuntu?
Techninėse diskusijose šis klausimas buvo iškeltas ne kartą: Ar šios atakos pakanka masiniam migravimui iš Ubuntu į kitus distribucinius? Dauguma ekspertų sutinka, kad tai nebūtinai tiesa. „Canonical“ turi didelę patirtį incidentų valdymo srityje ir, remiantis turima informacija, ataka buvo sutelkta į žiniatinklio ir komunalinių paslaugų lygmenį, o tiesioginių vartotojų diegimų pažeidimų įrodymų nėra.
Sprendimas migruoti ar ne turėtų būti grindžiamas kiekvienai organizacijai pritaikyta rizikos analizėAtsižvelgiant į tokius veiksnius kaip sektorius, kuriame įmonė veikia, paslaugų kritiškumo lygis ir reguliavimo reikalavimai. Europoje griežtai reguliuojamoms įmonėms, tokioms kaip finansinių technologijų, skaitmeninės sveikatos ar vyriausybės paslaugų teikėjai, gali būti prasminga sudaryti įmonių palaikymo sutartis (pvz., „Ubuntu Pro“), kuri apima prioritetinius ryšio kanalus ir garantuojamą reagavimo laiką.
Tačiau daugumai technologijų startuolių ir MVĮ išvados rodo kitą kryptį: užuot keitę platinimo strategiją iš reakcijos, Efektyviau investuoti į perteklinių sluoksnių, stebėsenos ir nenumatytų atvejų planų tobulinimą. platformoje, kurią jie jau žino ir įvaldo.
Akivaizdu, kad šis epizodas turėtų paskatinti vidinius pokalbius apie dažnai atidedamas problemas: kaip reaguoti į pagrindinių tiekėjų sutrikimus, kurios išorinės paslaugos yra išties svarbios, kiek laiko įmonė galėtų tęsti veiklą, jei svarbiausios saugyklos ar API būtų nepasiekiamos dieną ar dvi.
DDoS ataka prieš „Ubuntu“ ir „Canonical“ viešąją infrastruktūrą yra nemalonus, bet naudingas priminimas: net ir plačiai žinomi projektai laisvosios programinės įrangos pasaulyje gali būti pažeisti. būti rimtai sutrikdytam gerai organizuotų prisotinimo atakųIndividualiems vartotojams poveikis reiškia nepatogumus ir atnaujinimų vėlavimus; įmonėms ir startuoliams, kurie savo veiklą grindė „Ubuntu“, tai yra žadinantis skambutis apie būtinybę sustiprinti atsargas, įvairinti saugumo informacijos šaltinius ir iki kitos krizės parengti mechanizmus, kurie leistų jiems toliau veikti, kai sutrinka svarbi grandinės grandis.
