近日,一位程序員父親親眼目睹了熊孩子破解linux系統密碼的全過程。整個過程看似黑客卻不是黑客,熊孩子只是在鍵盤和屏幕上一通亂按,linux系統的屏幕鎖定程序居然崩潰了,直接給孩子們讓道了,不用輸入密碼就進解鎖了系統。這位父親看完簡直不敢相信自己的眼睛,為了證實情況。他讓孩子們再來一次,結果發現孩子們再次亂按一通,又一次解鎖了。這次他相信了,將該漏洞提交到了Github上,最終這個低級漏洞被正式修復了。
低級漏洞被廣泛吐槽
漏洞雖然被修復了,但卻引起了網絡的熱議。linux號稱開源,代碼不知道被多少人看過。然而這麼低級的漏洞直到現在才被發現,而且是被兩個熊孩子發現的。這讓網絡上的linux程序員們情何以堪啊。不過著名程序員大神jwz就吐槽說,我早在17年前就警告過Cinnamon和GNOME官方。當時他發表過帖子說”如果沒有在linux上運行XScreenSaver,那麼你的屏幕就相當於沒有鎖定”。而且,之後每隔幾年,它都會把這個話再說一遍,然而多年以來都沒有真正解決。
Linux曾經發生的低級漏洞
很多熟悉Linux的朋友肯定知道,linux存在那麼多年,發生過的低級漏洞可不少。例如:
● 2014年曝光的Bash bug代碼注入漏洞:黑客可以利用該Bash漏洞完全控制目標系統併發起攻擊。而且方法非常簡單,只要直接剪切和粘貼一行軟件代碼,就能攻擊目標計算機。
● 2015年曝光的GRUB 2 整數下溢漏洞:黑客利用該漏洞可進入GRUB的Rescue Shell,進而提升權限、複製磁盤信息、安裝RootKit、或是摧毀包括GRUB在內的任何資料,即使磁盤加密也可能遭到覆寫,導致系統無法工作。攻擊方法也是很簡單:只需在GRUB要求輸入用戶名時,連續按28次倒退鍵,就可進入Rescue Shell。而且從2009年12月發行的1.98版到2015年12月的2.02版都存在這個漏洞。
● 2016年曝光的DirtyCow漏洞:該漏洞是 Linux 內核的內存子系統在處理寫時拷貝(Copy-on-Write)時存在條件競爭漏洞, 導致可以破壞私有隻讀內存映射。黑客可以在獲取低權限的本地用戶後,利用此漏洞獲取 其他只讀內存映射的寫權限,進一步獲取 root 權限。而且,這個漏洞一直存在了9年才被人發現。
linux並沒有比windows安全
很多會點linux的人經常會說,linux比windows更安全。事實上這個觀點並沒有什麼科學的依據。事實上,windows之所以被人認為不安全,是因為使用它的人很多。於是,研究它的人也就很多。最後,導致攻擊它的人也就很多。我們經常聽到windows被曝漏洞、被病毒、木馬攻擊,也正是因為這個原因。而不是因為windows比linux更不安全。
相反,linux在個人電腦上使用非常少。而用於服務器領域時,又通常會有很多安全設備保駕護航。所以,給人的感覺是,linux更安全。而事實上,linux因為用得少,更多低級漏洞都沒長時間沒被發現,未必比windows更安全。就像前面提到的這些低級漏洞,都存在了好多年才被無意發現。
如何更安全地使用開源系統
開源系統因為代碼公開,大家都可以查看到源代碼。這樣開發者至少不敢在代碼中放置人為的後門,這一點確實比閉源的會放心一點。但是,開源系統要做到更安全,還是需要注意以下幾點:
、閉源軟件都需要保持更新,開源軟件同樣儘量使用最新版本。確保過去發現的漏洞都被修復了。千萬不要安裝了以後,再也不去更新,不去關注安全補丁。
、如果單位有代碼審計的能力,儘量還是進行代碼審計一下。
、定期要對軟件進行滲透測試、漏洞掃描。對發現的漏洞要及時修補。
、root賬戶密碼要保持一定的複雜度,並定期更換。其他賬戶要設置合理權限。
如今信息化已經非常普及,網絡安全也變得越來越重要。無論是開源軟件,還是閉源軟件,我們都應該重視網絡安全。
轉載請超鏈接註明:頭條資訊 » Linux被曝低級漏洞,熊孩子不輸密碼,也能解鎖系統
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。