Linux Security | The Illusion of Safety
Proč Linux Studená sprcha Incidenty Jak správně Self-test Zpět na web
Linux je správná volba — ale jen při disciplíně

Linux dává smysl.
Slepá víra v Linux ne.

Je otevřený, výkonný, flexibilní, bez licenčního vendor lock-inu a běží od webserverů přes cloudy až po embedded zařízení. Právě proto je tak častým cílem. Ne proto, že by byl slabý — ale protože je všude.

Bez licenčních poplatků Výborný základ pro škálování, automatizaci a vlastní architekturu.
Transparentní a auditovatelný Open source je výhoda jen tehdy, když ho skutečně spravuješ.
Od cloudu po IoT To, co je výhoda pro nasazení, je zároveň obrovská útočná plocha.
Stabilita ≠ bezpečnost „Běží to roky“ je provozní informace. Ne bezpečnostní argument.
Ukázat tvrdá data Otestovat vlastní prostředí
Minimal perimeter Patch or perish
Studená sprcha Stejný Linux, stejný kernel, stejný software. Rozdíl mezi spolehlivou službou a drahým incidentem často není v technologii, ale v zanedbaném patchi, otevřeném portu a zapomenutém zařízení.
IoT / edge bez patchů → slabá segmentace → laterální pohyb → veřejně dostupná služba → exfiltrace dat
Správně: inventář → separace → hardening → pravidelné aktualizace → monitoring → test obnovy

Studená sprcha: data, která nikdo nechce slyšet

Linux je výborná volba. Ale právě proto je všude: na webu, v cloudu, v appliance, v routerech, v IoT a na okraji sítě. Jakmile není spravovaný, z přednosti se stane exponovaný terč.

60,7 %
webů se známým OS běží na Linuxu

Linux není okraj. Je to mainstream. Když ho provozuješ špatně, násobíš riziko tam, kde jsi nejvíc vidět.

Zdroj: W3Techs
$4,88M
průměrná cena jednoho breach

Do ceny se promítá prostoj, forenzní práce, právní dopady, komunikace, ztráta zákazníků i reputace.

Zdroj: IBM
+180 %
nárůst zneužití zranitelností

Verizon DBIR 2024: zneužití známých chyb výrazně vzrostlo jako cesta k zahájení breach. Nejde o sci-fi. Jde o nepatchované reality.

Zdroj: Verizon DBIR 2024
19k+ / £92M
WannaCry dopad na NHS

Více než 19 000 zrušených termínů. Odhadovaný finanční dopad kolem 92 milionů liber. Patch existoval.

Zdroj: DHSC
Linux není automaticky bezpečný. Bezpečný je pouze Linux, který máš inventarizovaný, segmentovaný, aktualizovaný a pod dohledem.

Příběhy, které lámou iluzi bezpečí

Ne abstraktní poučky. Reálné případy. Bizarní, drahé a často zbytečné. Přesně ty, které ukazují, že největší problém nebývá „hacker magie“, ale provozní lehkomyslnost.

2018
🐠

Kasino a akvarijní teploměr

Jeden z nejznámějších bizarních případů: internetově připojený teploměr v akváriu se stal vstupním bodem. Útočníci se přes něj dostali do sítě a ven odnesli databázi VIP zákazníků.

  • malé zařízení, nulový respekt
  • napojení do sítě bez skutečné separace
  • výsledek: exfiltrace citlivých dat
Poučení Každé zařízení s IP adresou je součást perimetru. I když měří jen teplotu vody.
The Hacker News Business Insider
2013
🏬

Target: HVAC dodavatel → síť → platební data

Jeden z učebnicových průniků přes důvěryhodnou třetí stranu. Target dal síťový přístup malému HVAC dodavateli. Útočníci tenhle vstup využili a postupně se posunuli hlouběji.

  • 40 milionů platebních karet
  • 70 milionů zákaznických záznamů
  • průnik přes okraj, ne přes „hlavní bránu“
Poučení Třetí strana bez segmentace je rozšířený perimeter. Důvěra není bezpečnostní kontrola.
US Senate report CRS brief
2016
📹

Mirai: embedded Linux, default hesla, masivní DDoS

Mirai systematicky skenoval internet na zranitelná IoT zařízení a skládal z nich botnet. Kamery, DVR, routery — tedy přesně ta zařízení, která se často „jednou zapnou a už se na ně nesahá“.

  • defaultní účty a hesla
  • veřejně dostupné služby na okraji sítě
  • obrovský provozní dopad a výpadky
Poučení Embedded Linux je pořád Linux. Když ho nepatchuješ a neomezuješ, pracuje pro útočníka.
CISA alert CIS analysis
2017
🏥

WannaCry: patch existoval, provoz stejně padl

NHS je tvrdý důkaz, že „víme o tom“ nestačí. Když se bezpečnostní dluh nechá ležet, platí se provozem, reputací a důvěrou.

  • více než 19 000 zrušených termínů
  • odhadovaný dopad cca 92 milionů GBP
  • nutnost rychlé obnovy, improvizace a ručního režimu
Poučení Patch management není administrativní rutina. Je to ochrana provozu.
NAO DHSC update
2019
🏭

Norsk Hydro: ransomware, manuální provoz, desítky milionů škod

Když to přijde do výroby, nejde jen o servery. Jde o linky, logistiku, termíny, zákazníky a důvěru. Norsk Hydro zveřejnil, že finanční dopad se nakonec blížil 71 milionům dolarů.

  • globální dopad napříč provozem
  • návrat k manuálním procesům
  • obnova trvala týdny až déle podle části prostředí
Poučení Bez segmentace, obnovy a natrénovaného incident response není „stabilní provoz“, ale latentní katastrofa.
Microsoft case INL case study

Jak se to dělá správně

Není třeba mystiky. Jen disciplína. Když je Linux základ, musí být základ i bezpečnost: menší perimeter, jasná separace, patching, vypnuté zbytečnosti, audit a důkaz, že umíš obnovit provoz.

Co firmy dělají špatně

  • „Je to jen guest Wi-Fi, to nevadí.“
  • „Ten senzor je malý, to nikdo řešit nebude.“
  • „Ten starý web už nesaháme, tak ať běží.“
  • „Necháme zapnuté vše, co vendor dodal.“
  • „Když nevíme, co služba dělá, necháme ji pro jistotu běžet.“
  • „Až bude čas, uděláme upgrade.“
  • „Backup existuje“ — ale nikdo ho neobnovoval.

Co musíš udělat správně

  • Minimalizovaný perimeter: ven jen to, co musí ven.
  • Separace: IoT, guest, servery, admin síť odděleně.
  • Hardening: co nepotřebuješ, vypni. Co neznáš, nepouštěj.
  • Patch management: pravidelný rytmus pro Linux, firmware i web.
  • Inventář: musíš vědět o každé IP a každém EOL zařízení.
  • Monitoring: logy, alerting, změny, scan zranitelností.
  • Obnova: testovaný backup a cvičený incident response.

Pravidlo, které si zapamatuj

Linux je výborný základ. Ale pokud není oddělený, aktualizovaný a zbytečnosti nejsou vypnuté, přesouváš důvěru z architektury do iluze. A iluze se v incidentu fakturuje.

Sledovat aktivně zneužívané chyby (CISA KEV) Promluvit s profesionálem

Self-test: otestuj si vlastní weby a zařízení

Žádná teorie. Zaškrtni, co máš skutečně splněno. Ne co „by asi mělo být“. Výsledek je orientační — ale už ten sám o sobě ukáže, jestli stojíš na bezpečnostních základech, nebo na naději.

Rychlý audit reality

Nechat to zkontrolovat profesionálem
0 / 10
Zatím nic nevyhodnoceno. Zaškrtni pravdivé body a klikni na Vyhodnotit.

Nástroje pro testování bezpečnosti

Lynis
Open-source auditní nástroj pro Linux/Unix. Dělá bezpečnostní a hardening kontrolu systému, hledá slabší nastavení a dává doporučení.

Lynis

HTTP Observatory Report
online bezpečnostní skener pro weby, který ti řekne, jak moc jsou webové stránky nastavené podle moderních bezpečnostních doporučení.

Observatory Report