LINUX.ORG.RU

Возможная компрометация Linux-системы при подключении USB-drive

 , , ,


0

0

Не так давно один из разработчиков IBM X-Force, Джон Ларример (Jon Larimer), продемонстрировал возможность распространения вредоносного кода через организацию автоматического выполнения кода после установки USB-носителя в системах с операционной системой на базе ядра Linux.

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Другой вариант — использование уязвимости в библиотеках подготовки эскизов. Так как в некоторых современных дистрибутивах Linux при добавлении нового USB-носителя автоматически запускается файловый менеджер и процесс построения эскизов. Таким образом, USB-носитель, содержащий специальным образом сформированные файлы (PDF, TIFF и прочие), может вызвать компрометацию системы на этапе построения эскизов.

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем. О том, насколько внимательно пользователи читают сообщения и какую кнопку обычно нажимают, все мы прекрасно знаем.

В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.

Подробнее о том, какие уязвимости могут быть использованы для компрометации системы, можно почитать по ссылке на opennet.ru.

>>> Подробности

★★★★★

Проверено: JB ()

Такие смешные комменты на опеннете. Словно никуда с ЛОРа и не уходил.

kss ★★★★★ ()

Мне больше по нраву уязвимость при определении VID-PID USB устройства, это гораздо круче чем эскизы и ФС.

anonymous ()
Ответ на: комментарий от kss

> Такие смешные комменты на опеннете. Словно никуда с ЛОРа и не уходил.

Нет уж, на лоре люди адекватнее.

pevzi ★★★★★ ()

А ничего, что апдейты прийдут быстрее, чем опомнятся написать вирусы и подарить затрояненую флешку, про распространение вообще молчу

xorik ★★★★★ ()
Ответ на: комментарий от xorik

Апдейты - апдейтами. Но вот во встраиваемых системах можно получить неплохую такую дыру в безопасности.

trex6 ★★★★★ ()
Ответ на: комментарий от pevzi

Я сначала тоже так подумал, а потом глянул на ники и понял, что это одни и те же люди.

kss ★★★★★ ()
Ответ на: комментарий от trex6

Во встраиваемых системах нет генерации превьюшек и авторана (потому что нет файлового менеджера), и довольно часто нет и USB-разъема вообще :)

madgnu ★★★★★ ()

USB не нужен же, ну.

anonymous ()

MS отказывается от Autorun'а, ибо Windows поимели уже как только возможно, а теперь вот пришел черёд красноглазиков, мол «фигли нам отличааться? так же хотим!» )

Andru ★★★★ ()

Возможная компрометация Windows-системы при подключении USB-drive

Первая из подобных возможностей - использование ошибок в реализации драйвера файловой системы при монтировании устройства. Другой вариант - использование уязвимости в библиотеках подготовки эскизов.

А теперь вопрос: «кто быстрее выпустит патчи»?

YYY ()

> Другой вариант - использование уязвимости в библиотеках подготовки эскизов

Вообще, строго говоря, USB тут и не при чем вовсе. Такой файл можно и по почте отправить, и в сети скачать.

pevzi ★★★★★ ()
Ответ на: комментарий от madgnu

>нет генерации превьюшек и авторана (потому что нет файлового менеджера)
Тут 100% да.

довольно часто нет и USB-разъема

А вот этот пункт не столь тривиален. Зависит от назначения системы.

trex6 ★★★★★ ()

> В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.

в *опу все ваши убунты с вашими авторанами.
все больше убеждаюсь, что ubuntu - все меньше linux.

Komintern ★★★★★ ()

Решето. Используйте прогрессивные системы, такие как W7.

anonymous ()

Еще один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем.

Какой же дебил перенёс всё это в линукс десктоп.

mashina ★★★★★ ()
Ответ на: комментарий от pevzi

Звание «Ваганыч месяца» заслужил с огромным отрывом.

anonymous ()

Интенсивность производства брикетиков ненависти и возмущения зашкаливает, объемы производства бьют все рекорды!

frame ★★★ ()

А в чём, собсно, новость?

raorn ()
Ответ на: комментарий от mashina

>Цитата

однако при этом требуют подтверждения запуска подобных скриптов пользователем.

требуют подтверждения

запуска подобных скриптов

Какой же дебил перенёс всё это в линукс

Жопой читаете что-ли.

Nirdosh ()
Ответ на: комментарий от raorn

А какая разница? Думаешь, тут кто-то читал новость? Разве что жб, но я в это не верю

registrant ★★★★★ ()

Вообще, ребята из фридесктопа и Шуттлевортх очень смешные.

В то время как в венде уже все поняли и пытаются как-то от этого авторана избавиться, они только добавляют его. Вот раньше авторана в линаксах не было, и это было их бесспорным достоинством.

Докатились.

shimon ★★★★★ ()
Ответ на: комментарий от shimon

Закрадываются подозрения, не из Роисси ли они? У нас же традиция брать у конкурентов все самое дерьмовое.

PayableOnDeath ()
Ответ на: комментарий от PayableOnDeath

> А какие лучше: сухие или мокрые?

Влажные и теплые.

shimon ★★★★★ ()
Ответ на: комментарий от shimon

И с ароматизатором идентичным натуральной квашеной селёдки Е666.

anonymous ()

Похоже на пердеж в лужу.

но для этого необходимо как минимум использование специальных программируемых USB-плат

Что?

При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки.

Без комментариев.

уязвимость в коде приложения Evince, используемого в Nautilus для формирования эскизов для DVI-документов

Ну а при чем тут флешки, спрашивается. Можно из сети скачать зараженный DVI-документ с таким же успехом. Вывод из этого только один: не использовать дырявый гном.

Marisa ()
Ответ на: комментарий от Nirdosh

Из спека к автостарту - «When an Autostart file has been detected and the user has confirmed its execution the autostart file MUST be executed with the current working directory (CWD) set to the root directory of the medium.»

Я правильно понял что тут подразумевается что-то типа chroot для исполняемого файла?

Nirdosh ()
Ответ на: комментарий от Nirdosh

Нет, подразумевается что авторан будет запущен из директории диска.

PolarFox ★★★★★ ()

комментаторы такие же смешные как и на опеннете. новость не читают. совсем.

1. авторан не запускается сам(нужно спросить подтверждения пользователя)

2. систему может поиметь вирус через создание превью эскизов для картинок/видео и т.д. отключение превью в ФМ _не_спасет_ от прохождение вируса. СЮРПРИЗ. потому что если вы откроете зараженный файл через просмотрщик, то зловредный код тоже будет выполнен. и не важно гном, кде и че еще это будет т.к. используются к примеру одна либпнг в которой и может быть уязвимость.

как обойти(хотя бы частично) эти грабли думаю знает любой нормальный линуксоид.

anonymous ()

>специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра

Kingston готовит диверсию против линуксоидов

возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем

Breaking News! В Лаборатории Касперского обнаружена критичная уязвимость sudo rm -rf / для всех дистрибутивов Linux! В срочном порядке отменен переход школ на СПО

MyFreedom ★★★ ()
Ответ на: комментарий от shimon

Уважаемый фрукт, если бы Вы прочитали статью, то узнали бы, что особенность эта — присуща файловому менеджеру Nautilus, так что подвержены такому поведению все дистрибутивы, которые его используют, так что оботрите пожалуйста жир со своих комментариев и проходите дальше.

zink ★★ ()
Ответ на: комментарий от MyFreedom

> критичная уязвимость sudo rm -rf / для всех дистрибутивов Linux

sudo rm -rf / для всех дистрибутивов Linux

sudo

для всех дистрибутивов

Йоу! Што, правда?

IRI ()

>При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Криво записанный мносессионный DVD ещё пару лет назад умел вешать линукс намертво. Прогресс идёт, теперь и усб с фокусами:) Раз подняли шум, скорее всего пофиксят.

Napilnik ★★★★★ ()
Ответ на: комментарий от zink

Уважаемый шестерня-с-подшипничком, интересно то, как, помимо убедительных многолетних заявлений о том, что вселенское счастье и безопасие линуксодомохозяек — в отсутствии любых автозапускаемых гадостей, эти особенности в наутилусе появились.

Модель «папа, можно, я порулю? — Да... то есть нет, лять, мы стремительно теряем высоту, какого хрена!!!» изначально небезопасна. Модель «сиди и не рыпайся, пока я четко не скажу дважды» намного прочнее.

shimon ★★★★★ ()

первый вариант интереснее всего... если правда работает. а вторые два, извините, по-моему неактуально. это только в какой-нить бубунте по умолчанию флешечека сама открывается. ubuntu!=linux.

BattleCoder ★★★★★ ()

Почему нет тега «История успеха»?

Polugnom ★★★★★ ()
Ответ на: комментарий от IRI

ЛОР скатился до Хабра у теперь нужно писать [sarcasm] <Тут текст> [/sarcasm]? Или ссылку кидать на картинку где тётка с сиськами и мужик бумажку SARCASM держит?

MyFreedom ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.