Przez długi czas wydawało się to niemożliwe – mnogość różnych dystrybucji oraz konfiguracji poważnie utrudniała masowe infekcje komputerów pracujących pod kontrolą Linuksa. System ten, jak każdy inny, posiada podatności i napisanie eksploita wcale nie jest szczególnie trudne. Do tej pory jednak było to nieopłacalne, gdyż liczba stacji roboczych z Linuksem była nieco powyżej błędu statystycznego.
Oczywiście pod kontrolą Linuksa pracuje większość serwerów, a także urządzeń osadzonych. O ile serwery są w większości przypadków sprawnie aktualizowane, z Linuksem w urządzeniach osadzonych bywa zupełnie inaczej. Aktualizacji nikt nie wprowadza, czasami nawet nie powstają w ogóle nowe wersje firmware’u. poza tym kto myśli o ustawieniu dobrych haseł do takich urządzeń?

Włamywacze zatem znaleźli model biznesowy, w którym masowo włamują się do urządzeń takich jak kamerki, a następnie automatycznie instalują złośliwe oprogramowanie, które potem posłuży do ataków DDoS za pieniądze. Aby obejść problem różnorodności oprogramowania, zbudowali cały system kross-kompilacji i konsolidacji pod kątem docelowej platformy, oskryptowali wszystko, co potrzeba do infekcji. Wykorzystali także dość szczególną własność zdalnego połączenia przez SSH.
Miałem okazję analizować system w jednej z kamerek internetowych i przyznaję, że oprogramowanie zostało bardzo sprytnie napisane. Bezpośrednią przyczyną infekcji była jednak nie luka w jakims oprogramowaniu ale domyślne hasło („admin”). Kto nie zmienił hasła – niech się wstydzi. A potem niech niezwłocznie zmieni!
Zapraszam do lektury na łamach Computerworlda.