Tre minacce per i sistemi Linux negli ambienti domestici

Nel corso di questi primi 23 anni del nostro secolo, il sistema operativo Linux è diventato altrettanto onnipresente di Windows. Sebbene venga utilizzato solo nel 3% dei laptop e PC, Linux domina l’Internet of Things ed è anche il sistema operativo server più diffuso. Quasi sicuramente anche in casa tua è presente almeno un dispositivo Linux: il router Wi-Fi. Ma è molto probabile che ce ne siano anche altri: Linux è infatti spesso utilizzato in campanelli smart, telecamere di sicurezza, baby monitor, NAS (Network-Attached Storage), apparecchi TV e così via.

Allo stesso tempo, Linux ha da sempre la reputazione di essere un sistema operativo “trouble-free”, che non richiede una manutenzione speciale, e poco interessante per gli hacker. Purtroppo, ormai tutte queste affermazioni riguardanti Linux non sono più valide. Quali sono quindi le minacce che prendono di mira i dispositivi domestici basati su Linux? Esaminiamo tre esempi pratici.

Botnet del router

Eseguendo qualche malware su router, videocamere di sicurezza o altri apparecchi sempre accesi e connessi a Internet, i cybercriminali sono in grado di sfruttare questi dispositivi per mettere a segno svariati attacchi. L’utilizzo dei bot è molto diffuso negli attacchi DDoS. Un caso da manuale è stata la botnet Mirai, utilizzata per sferrare i più grandi attacchi DDoS dell’ultimo decennio.

Un’altra pratica piuttosto comune prevede l’esecuzione di un server proxy sui router infetti. Attraverso questo proxy, i criminali possono accedere a Internet utilizzando l’indirizzo IP della vittima, in modo da coprire le proprie tracce.

In entrambi i casi si tratta di servizi molto richiesti nel mondo del crimine informatico, che gli operatori di botnet rivendono ad altri cybercriminali.

Ransomware NAS

I gravi attacchi ransomware sferrati contro grandi aziende costrette a pagare un riscatto, ci hanno quasi fatto dimenticare che i primi attacchi informatici erano rappresentati da minacce di minore portata che prendevano di mira i singoli utenti. Dopo aver criptato un computer, gli hacker chiedevano al proprietario cento dollari per decriptarlo… Leggermente modificata, questa minaccia è riemersa nel 2021 e si è in seguito evoluta nel 2022: ora però, anziché laptop e desktop, a essere presi di mira sono i dispositivi NAS e i file server domestici. In almeno due casi, il malware ha colpito i proprietari di dispositivi NAS di QNAP (Qlocker, Deadbolt). Sono stati attaccati anche dispositivi di Synology, LG e ZyXEL. Lo scenario è sempre lo stesso: dopo aver violato i sistemi di archiviazione di rete pubblicamente accessibili da Internet ottenendo le password tramite attacchi di forza bruta o sfruttando le vulnerabilità presenti nel software, gli autori degli attacchi eseguono un malware per Linux che cripta tutti i dati e presenta una richiesta di riscatto.

Spiare i desktop

Anche i proprietari di computer desktop o laptop che eseguono Ubuntu, Mint o altre distribuzioni Linux dovrebbero fare attenzione. Il malware “desktop” per Linux è in circolazione da molto tempo e ora si trova anche sui siti Web ufficiali. Di recente, abbiamo scoperto un attacco in cui alcuni utenti della versione Linux di Free Download Manager (FDM) venivano reindirizzati a un archivio dannoso, dove scaricavano una versione trojanizzata di FDM nei propri computer.

Per raggiungere il loro scopo, i criminali hanno violato il sito Web FDM e iniettato uno script che reindirizzava in modo casuale alcuni visitatori alla versione ufficiale “pulita” di FDM e altri alla versione infetta. La versione trojan aveva il compito di distribuire nei computer un malware progettato per rubare password e altre informazioni sensibili. Si sono verificati incidenti simili anche in passato, ad esempio con le immagini di Linux Mint.

È importante notare che in Linux e nelle più diffuse applicazioni Linux vengono regolarmente scoperte nuove vulnerabilità (ecco un elenco solo per il kernel Linux). Pertanto, anche se configurati correttamente, i ruoli di accesso e gli strumenti del sistema operativo non sono in grado di assicurare una protezione completa contro questi attacchi.

Fondamentalmente, non è più consigliabile fare affidamento sui falsi miti come “Linux è meno diffuso e quindi non viene preso di mira”, “Non visito siti Web sospetti” o “Semplicemente non lavoro come utente root”. La protezione per le workstation basate su Linux deve essere completa come per quelle basate su Windows e MacOS.

Come proteggere i sistemi Linux a casa

Imposta una password amministratore sicura per il router, il NAS, il baby monitor e i computer di casa. Le password per questi dispositivi devono essere univoche. Gli attacchi di forza bruta per trovare le password e il tentato utilizzo delle password preimpostate dai produttori continuano a essere i metodi più frequenti per attaccare i sistemi domestici basati su Linux. Uno strumento di gestione delle password ti consente di creare e salvare in un archivio sicuro password lunghe, complesse e difficili da decifrare, oltre che di evitare di doverle digitare ogni volta manualmente.

Aggiorna regolarmente il firmware del router, del NAS e degli altri dispositivi. Cerca nelle impostazioni se è disponibile l’utilissima funzionalità di aggiornamento automatico. Questi aggiornamenti ti proteggeranno dagli attacchi comuni che sfruttano le vulnerabilità dei dispositivi Linux.

Disabilita l’accesso Web al pannello di controllo. La maggior parte dei router e dei dispositivi NAS consente di limitare l’accesso al pannello di controllo. Assicurati che i tuoi dispositivi non siano accessibili da Internet e siano disponibili solo dalla rete domestica.

Riduci al minimo i servizi non necessari. I dispositivi NAS, i router e persino i campanelli smart funzionano come server in miniatura. Spesso includono funzionalità aggiuntive come l’hosting di contenuti multimediali, l’accesso ai file tramite FTP, le connessioni alla stampante per qualsiasi computer di casa e il controllo dalla riga di comando su SSH. Mantieni abilitate solo le funzioni che utilizzi davvero.

Prendi in considerazione la possibilità di limitare la funzionalità cloud. Se non utilizzate, o non indispensabili, è meglio disabilitare completamente le funzioni cloud del NAS (come WD My Cloud) e accedere al NAS solo tramite la rete domestica locale. In questo modo, non solo potrai prevenire molti attacchi informatici, ma sarai anche al sicuro da eventuali incidenti che potrebbero interessare il produttore.

Utilizza strumenti di protezione specializzati. A seconda del dispositivo, i nomi e le funzioni degli strumenti disponibili possono variare. Non mancano le soluzioni anti-virus specifiche per PC e laptop (ma anche per alcuni dispositivi NAS) basati su Linux, incluse alcune opzioni open source regolarmente aggiornate come ClamAV. Sono disponibili anche strumenti per attività più specifiche, come il rilevamento dei rootkit.

Per i computer desktop, considera la possibilità di passare al sistema operativo Qubes. È costruito interamente sui principi della containerizzazione e pertanto consente di isolare completamente le applicazioni l’una dall’altra. I container Qubes sono basati su Fedora e Debian.