Afgelopen jaar kwamen talloze bedrijven in de problemen vanwege ransomware. De besmette servers draaiden voornamelijk Windows; Linux-servers kwamen er zonder al te veel kleerscheuren van af. Naar aanleiding van dit incident vragen veel beheerders zich af hoe veilig Linux eigenlijk is.

Door de manier waarop Linux ontworpen is, is het systeem van nature behoorlijk veilig. Dit is voor een groot deel te herleiden tot het gebruik van de execute-permissie. Zonder de execute-permissie kan geen enkel programma automatisch worden uitgevoerd. De beheerder van de betreffende computer zal eerst als bewuste actie de execute-permissie op een script of programmabestand moeten toepassen voordat een programma wordt uitgevoerd.

Bij het aanmaken van een bestand op een systeem zal dat bestand nooit automatisch uitvoerbaar worden gemaakt. Vanwege de manier waarop Linux omgaat met de execute-permissie, krijgen ook virussen op Linux weinig kans. Er zijn dan ook eigenlijk geen bekende virussen, noch zijn er virusscanners die veel meer scannen dan in- en uitgaande mail wanneer Linux gebruikt wordt als mailserver.

Een tweede kernelement is het gebruik van het root-gebruikersaccount. De gebruiker root is de almachtige systeembeheerder voor wie geen enkele beperking geldt. Alle andere gebruikers kunnen alleen bestanden aanmaken in hun eigen home directory of in /tmp. Dat betekent dat de schade, die een gebruiker bewust of onbewust kan uitvoeren, meestal slechts impact heeft op een beperkte omgeving.

Mandatory Access Control

Een ander belangrijk onderdeel van Linux’ beveiliging is Mandatory Access Control (MAC). Er zijn twee belangrijke systemen voor MAC: SELinux en AppArmor. Beide systemen hebben als doel om ervoor te zorgen dat alleen acties die specifiek zijn toegestaan mogen worden uitgevoerd. Hiervoor wordt gewerkt met profielen, die aan toepassingen worden gekoppeld. In deze profielen wordt op system call-niveau bepaald wat is toegestaan. Alles wat niet in zo’n profiel is gedefinieerd, wordt geblokkeerd.

Tot zover lijkt het alsof Linux zijn zaakjes goed voor elkaar heeft en het nagenoeg onmogelijk is om in te breken. Maar schijn bedriegt! Er zijn namelijk enkele precaire zaken die ervoor kunnen zorgen dat een verkeerd beheerde Linux-machine de deur wagenwijd openzet voor ongeoorloofde activiteit. In het vervolg van dit artikel gaan we verder in op aanvallen op het root-wachtwoord, de installatie van onbetrouwbare software, het uitvoeren van instabiele of onbetrouwbare scripts, brute-force attacks op ssh en zero-day-exploits.

Gevaar van root-gebruiker

De grootste zwakke plek in Linux is de root-gebruiker. Bij het ontwerp van het besturingssysteem werd onderscheid gemaakt tussen geprivilegieerde gebruikers en niet-geprivilegieerde gebruikers. Een niet-geprivilegieerde gebruiker is een gebruiker die slechts toegang heeft tot beperkte onderdelen van het besturingssysteem. De root-gebruiker is de geprivilegieerde gebruiker voor wie geen enkele beperking geldt. Je zou kunnen stellen dat de root-gebruiker onbeperkt toegang heeft tot de Linux-kernel. Zodra een aanvaller een root-shell kan openen, is hij dus binnen.

Het spreekt voor zich dat je de root-gebruiker voorziet van een zeer sterk en ingewikkeld wachtwoord. Daarnaast zorg je er als Linux-gebruiker voor om nooit in te loggen als root, want dan wordt elk proces dat je start met root-privileges opgestart. Het zwakke punt blijft echter dat de root-gebruiker überhaupt bestaat en dat het onder bepaalde omstandigheden mogelijk is om in te loggen als root. De enige beperkende factor is dat je hiervoor bij het opstarten wel consoletoegang moet hebben tot het Linux-systeem

Op een modern Linux-systeem geeft de volgende procedure vrijwel altijd toegang tot een root-shell zonder dat een wachtwoord hoeft te worden ingevoerd.

Zorg ervoor dat de doelwitmachine opnieuw wordt opgestart. Zodra je de Grub2 boot-prompt ziet, druk je op e om de editor te openen:

©PXimport

Eenmaal in de editor zoek je de regel op die begint met linux16. Voeg aan het eind van deze regel de tekst

in. Gebruik nu de toetscombinatie Ctrl+X. Het Linux-systeem zal nu opstarten, waarbij alleen een kernel en het initramfs geladen worden. Initramfs is een minimaal besturingssysteem van waaruit je toegang hebt tot je volledige harde schijf, zonder dat je een root-wachtwoord hoeft in te voeren.

Na het opstarten wordt nu een root-shell weergegeven, maar dan ben je er nog niet. Als je het wachtwoord wilt resetten, dien je eerst de volledige toegang tot het root-filesystem op de schijf te herstellen. Hiervoor zijn nog een paar commando’s nodig. Tik eerst

om uit te vinden op welke directory je root-filesystem is gemount. In het onderstaande voorbeeld gaan we uit van CentOS, waar het root-bestandssysteem op /sysroot wordt gemount. Typ nu:

Dit zorgt ervoor dat alle device files beschikbaar zijn. Gebruik nu deze opdracht, zodat ook de belangrijke kernel interface /proc beschikbaar is op het tijdelijke root-mountpunt:

Als deze essentiële bestandssystemen zijn gemount, typ je

sysroot om het tijdelijke mountpunt van het root-filesystem om te zetten naar de / directory. Wanneer je tools gebruikt die toegang vereisen tot de / directory op de schijf, zullen die het nu allemaal doen. Je kunt nu

gebruiken om het root-wachtwoord in te stellen. Tot slot: als je op een distributie werkt waar SELinux is ingeschakeld, moet je ervoor zorgen dat het hele bestandssysteem opnieuw wordt voorzien van SELinux contextlabels. Dat doe je met de opdracht

Typ nu reboot om opnieuw op te starten en in te loggen met je eigen rootwachtwoord. Veel plezier met de onbeperkte toegang tot het betreffende systeem!

Bescherming

Wellicht vraag je je af of het nu echt zo simpel is. Als je geen tegenmaatregelen getroffen hebt: ja, helaas wel. Gelukkig zijn er maatregelen die je als eigenaar van een Linux-systeem kunt treffen om deze zwakke plek te beschermen. Daarover meer in een later artikel.

Tekst: Sander van Vugt

Niets zo fijn als een complete webshop waar je alles vindt met betrekking tot het inrichten van een slim huis. Dat is wat tink te bieden heeft: alles wat je nodig hebt voor smart living vind je in de ruime catalogus van deze webshop. Alle merken hebben ze in huis, en onlangs zijn ook de nieuwste Amazon Echo-producten aan het assortiment toegevoegd.

Partnerbijdrage - in samenwerking met tink

Compleet aanbod

Op de webshop van tink kun je terecht voor een veelzijdigheid aan smarthomeproducten. Onlangs lanceerde Amazon een hele reeks nieuwe Echo-producten; de apparaten die je thuis installeert en waarmee je je slimme huis kunt aansturen. De nieuwe Echo-producten helpen je veel in huis te automatiseren met smarthome-apparatuur.

En ook nieuw en handig: De spraakassistent van Amazon - Alexa - is nu volledig Nederlandstalig. Of je nu wilt weten wat voor weer het wordt of de verlichting in de keuken wilt aanzetten: je vraagt het gewoon in het Nederlands. Geef commando’s als "Alexa, draai meezingers" om direct te genieten van muziek via Spotify, Apple Music of Amazon Music. Ook voor je favoriete radiozenders, het laatste nieuws of de uitslagen van je voetbalclub kun je bij haar terecht. Ter vermaak kan ze zelfs een liedje zingen of een verhaaltje voorlezen. Bovendien leert Alexa continu bij, waardoor deze steeds meer nieuwe vaardigheden en functies krijgt.

Compatibel met tal van apparaten

De Amazon Echo-producten en de Alexa spraakassistent zijn compatibel met een groot aantal smarthomeproducten. Zo kun je met een enkele Nederlandstalige opdracht als ‘lichten aan in de woonkamer’ je Philips Hue- of IKEA Trådfri-lampen inschakelen of laat je je huishoudelijke apparaten van Samsung bedienen met de SmartThings-koppeling. Veel Amazon Echo-apparaten zijn bovendien voorzien van een Zigbee-hub, waardoor je vrijwel alle Zigbee-apparaten, zoals de bekende Hue-lampen, direct kunt aansturen. Alle nieuwe Echo-producten vind je in de shop van link. We nemen de producten kort met je door.

Amazon Echo Show 8 - €199,99

Deze Amazon Echo Show 8 is voorzien van een een 8,68‑inch aanraakscherm met een resolutie van 800 × 1340 pixels en een in‑cell capacitieve touch‑technologie. Dit is dezelfde aanraaktechnologie die op smartphones wordt gebruikt. Het apparaat draait op Amazons eigen AZ3 Pro‑chip, een 64‑bit SoC met twee A78‑kernen en vier A55‑kernen en Wi‑Fi 6e‑ondersteuning.

De 13‑MP‑camera met auto‑framing en 3,3× zoom staat boven het scherm, samen met vier microfoons en een schuifje om de camera fysiek af te schermen. Het ingebouwde Zigbee/Matter/Thread‑huisautomatisatiecentrum en Bluetooth 5.3 bieden brede connectiviteit voor een scala aan apparaten . De audio komt van een 2,8‑inch woofer en twee full‑range drivers met een gezamenlijk vermogen van 40 watt en ondersteuning voor ruimtelijk geluid.

Amazon Echo Dot - € 64,99

De Echo Dot is een compacte bolvormige slimme luidspreker met een diameter van slechts 10 centimeter en een gewicht van 340 gram. Binnenin zit een MediaTek MT8519‑processor met vier ARM Cortex‑A55‑kernen op 1,8 GHz en 512 MB LPDDR4‑geheugen.

De luidspreker heeft een volledig bereik met een frequentierespons tussen 100 Hz en 40 kHz. De Dot ondersteunt Wi‑Fi tot 802.11ac en Bluetooth 5. Het werkt als smart‑home‑hub voor Matter en Thread en heeft een microfoon met fysieke dempknop.

Amazon Echo Show 11 - € 239,99

De Echo Show 11 heeft een groter 10,95‑inch full-hd-scherm met een resolutie van 1200 × 1920 pixels en een in‑cell capacitieve aanraaklaag. De 13‑megapixelcamera beschikt over auto‑framing en 3,3× digitale zoom. Onder de motorkap vinden we een AZ3 Pro‑processor met twee A78‑kernen (1,8 GHz) en vier A55‑kernen (2 GHz). Draadloze connectiviteit vinden in Wi‑Fi 6e en Bluetooth 5.3 en er is ondersteuning voor Zigbee, Matter en Thread.

Het audiosysteem bevat een 2,8‑inch woofer en twee full‑range drivers met een gezamenlijk vermogen van 40 watt en frequentiebereik van 90 Hz tot 40 kHz. Een fysieke microfoonschakelaar en multi‑room‑functie maken de Echo Show 11 compleet. Je kunt deze Echo Show ook in een 2-pack-variant aanschaffen, zodat je er bijvoorbeeld eentje beneden hebt, en een in de slaapkamer.

Amazon Echo Show 5 - € 109,99

De Amazon Echo Show 5 heeft een 5,5‑inch scherm met 960 × 480 pixels met een compacte driehoekige behuizing van 147 × 91 × 82 millimeter en weegt 456 gram. De MediaTek MT8169B‑octacoreprocessor en 1 GB RAM zorgen voor snelle bediening en afhankdelijk van je opdrachten .Er is een 2‑MP‑camera met fysieke sluiter en microfoonknop voor privacy. Connectiviteit omvat Wi‑Fi 5 (802.11ac) en Bluetooth 5.0.

De Echo Show 5 heeft geen ingebouwde smart‑home‑hub. Het geluid komt van een enkele 1,75‑inch full‑range driver en de speaker wordt gevoed door een 21‑watt netadapter. Multi‑room‑ondersteuning en een netsnoer worden meegeleverd. Je kunt de Amazon Echo Show 5 ook aanschaffen in een 2-pack variant.

Amazon Echo Dot Max - € 109,99

Deze Echo Dot Max is een krachtigere versie van de Dot en heeft een wat groter formaat. Binnenin draait de AZ3‑chip met 1 GB DDR4‑geheugen en 1 GB pNAND‑opslag. Hij fungeert als bridge voor Zigbee, Matter en Thread en ondersteunt Wi‑Fi 6e en Bluetooth 5.3.

De audioconfiguratie bestaat uit een 2,5‑inch woofer en 0,8‑inch tweeter met een frequentierespons van 53 Hz tot 16 kHz. Vier microfoons met fysieke mute‑knop zorgen voor stemopdrachten. Door de fysieke microfoonknop waarborg je je privacy.

Amazon Echo Studio - € 239,99

De Echo Studio is een cilindrische stevige luidspreker met een gewicht van 1,63 kilogram. Hij gebruikt vier A55‑cores tot 2,0 GHz en 2 GB LPDDR5‑geheugen en ondersteunt Wi‑Fi 6e en Bluetooth 5.3.

Qua audio zit je helemaal goed, want het bestaat uit meerdere luidsprekerdrivers (woofers en full‑range) met frequentiebereik van 40 Hz tot 20 kHz en Dolby Atmos‑ondersteuning. De Vega OS‑software biedt ondersteuning voor Alexa, Matter, Thread en Zigbee. Met de bijbehorende Echo-app kun je de bass‑ en treble‑instellingen aanpassen.

Lekker lezen!

Heb je niets met een slim huis en ben je meer van het lezen? Ook daarvoor kun je terecht bij tink, want verschillende Amazon Kindle e-readers zitten eveneens in het assortiment. We nemen de drie belangrijkste modellen even kort met je door.

Amazon Kindle Colorsoft Signature Edition - € 299,99

De Kindle Colorsoft Signature Edition beschikt over een 7‑inch kleurenscherm met 150 ppi voor kleurweergave en 300 ppi voor zwart‑wit, ondergebracht in een dunne behuizing. De Signature Edition is wat luxer uitgerust, onder meer door het automatisch aanpassen van de helderheid van de verlichting aan de omgeving, waardoor je ogen minder snel vermoeid raken. Lezen is nu nog natuurlijker, of het nu dag of nacht is.

De e-reader weegt slechts 218 gram en licht daardoor lekker in de hand. De e-reader ondersteunt Wi‑Fi 5 en Bluetooth 5.0 en laadt via usb-c of Qi‑draadloos. Een adapter wordt niet meegeleverd. De interne opslag van 32 GB wordt ondersteund door een 2310 mAh‑accu die wekenlang lezen mogelijk maakt; de reader is daarnaast IPX8‑waterdicht.

Amazon Kindle Paperwhite Signature Edition - € 199,99

De Kindle Paperwhite Signature Edition heeft een 6,8‑inch E‑Ink‑scherm met 300 ppi en instelbare frontverlichting in een compacte behuizing van 176,72 × 127,56 × 7,83 millimeter en weegt maar 214 gram. De reader beschikt over 32 GB interne opslag. De helderheid van het scherm wordt ook bij deze Kindle automatisch aangepast aan de omgeving. Qua connectiviteit ondersteunt deze Kindle Wi‑Fi a/b/g/n/ac en Bluetooth 2.1/3.0/4.1.

Een 1900 mAh‑Li‑ion‑polymeeraccu biedt een batterijduur tot maar liefst 12 weken. De reader is IPX8‑waterdicht, ondersteunt Audible‑luisterboeken via Bluetooth en wordt geleverd met een usb-c-kabel en natuurlijk een handleiding. De adapter wordt niet meegeleverd, maar iedere usb-c-adapter is in principe geschikt om deze Kindle op te laden.

Amazon Kindle Colorsoft - € 269,99

De Kindle Colorsoft is een lichtere variant van de Signature Edition. Het 7,05‑inch scherm heeft een resolutie van 150 ppi voor kleurweergave en 300 ppi voor zwart‑wit. De reader meet 176,73 × 127,56 × 7,83 millimeter en weegt 215 gram. Binnenin zit een MTK MT8113S‑dual‑coreprocessor op 2 GHz met 1 GB RAM en 2310 mAh‑accu; er is 16 GB interne opslag.

Connectiviteit voor deze e-reader bestaat uit Wi‑Fi 5 en Bluetooth 5.0, opladen doe je via een usb-c-kabel. De reader is IPX8‑waterdicht en compatibel met een optionele EMR‑stylus. In de verpakking vind je naast de e-reader een usb-c-oplaadkabel (zonder adapter) en een snelstartgids

Belangrijk om te weten voor iedereen die Dispatch op een Switch of Switch 2 wil aanschaffen: de game is op die platforms gecensureerd, en dit kan niet uitgezet worden.

Dispatch kwam afgelopen jaar al uit op platforms als pc en PlayStation 5, en is sinds eerder deze week ook te koop voor Nintendo Switch en Nintendo Switch 2. Veel Switch-gamers keken al lange tijd uit naar de release van deze geprezen indiegame.

Censuur in Dispatch

Nu blijkt echter dat Dispatch op Switch-consoles gecensureerd is. De game bevat zo nu en dan scènes waarin (getekende) naaktheid voorkomt. Ook zitten er andere volwassen beelden in, zoals het opsteken van een middelvinger. In de andere platformversies zit er als optie de mogelijkheid deze beelden te censureren, maar spelers kunnen dit zelf bepalen door het aan of uit te zetten.

Op Switch en Switch 2 blijkt dit dus niet het geval: daar is het censuur vooralsnog verplicht. Volgens Dispatch-ontwikkelaar AdHoc (via Eurogamer) is dit gedaan omdat de game aan bepaalde regels moet doen om op de Nintendo eShop uit te komen.

Het lijkt er dan ook niet op dat er een patch uitkomt waarmee spelers het alsnog zelf kunnen bepalen, al is de kritiek online niet mals. Mocht die kritiek groeien, dan wordt er wellicht alsnog wat aan gedaan, maar dit is vooralsnog niet bevestigd.

Mogelijk heeft het te maken met strengere regels in bepaalde regio's - zoals Japan. Het zou kunnen dat AdHoc er voor heeft gekozen één versie van het spel voor alle regio's uit te brengen, waardoor het censuur voor alle regio's geldt. In Japan is de PS5-versie van de game bijvoorbeeld ook gecensureerd.

Nintendo heeft in een statement aan NintendoLife niet veel meer duidelijkheid gegeven over de situatie. Het bedrijf benadrukt dat leeftijdsclassificaties door onafhankelijke organisaties worden gegeven, maar dat het ook zelf richtlijnen voor zijn platforms heeft. "We informeren partners wanneer hun games niet aan deze richtlijnen voldoen, maar Nintendo past zelf niet de content van partners aan."

Nintendo en volwassen games

Nintendo zelf heeft in het verleden enkele controversiële keuzes gemaakt rondom censuur. Nintendo's spelcomputers staan er om bekend dat ze voor de hele familie bedoeld zijn, en in het verleden zorgde dit er bijvoorbeeld voor dat rood bloed met een andere kleur werd vervangen.

De laatste jaren leek Nintendo echter steeds coulanter te worden op het gebied van het vertonen van geweld en andere volwassen beelden in games. Diverse andere Switch 2- en Switch-games tonen wel volwassen materiaal, dus het is niet duidelijk waarom Dispatch dan toch gecensureerd is. Wellicht ligt het aan de combinatie met de tekenfilmachtige beelden in de game.

Over Dispatch

Dispatch draait om de aan lager wal geraakte superheld Robert Robertson. Tegenwoordig vult hij zijn tijd met een kantoorbaan, waarbij hij de administratie van andere superhelden verzorgt. Toch hoopt hij zelf uiteindelijk ook weer de held uit te kunnen hangen.

De game heeft daarmee een focus op het narratief, en doet daardoor meer dan eens denken aan de adventuregames van Telltale Games. Ontwikkelaar AdHoc bestaat dan ook gedeeltelijk uit voormalige werknemers van de studio achter de The Walking Dead-spellen.

Dispatch heeft daarbij een sterrencast die de rollen van de personages vervullen. Denk aan Aaron Paul (in de rol van de hierboven genoemde Robert), Jeffrey Wright (The Last of Us, Westworld, Matthew Mercer en Laura Bailey.

Dispatch is gestructureerd als een seizoen van een serie - de game kwam uit verspreid over meerdere episodes. AdHoc heeft eerder al laten weten dat een 'tweede seizoen' wordt overwogen.