LINUX.ORG.RU

Возможная компрометация Linux-системы при подключении USB-drive

 , , ,


0

0

Не так давно один из разработчиков IBM X-Force, Джон Ларример (Jon Larimer), продемонстрировал возможность распространения вредоносного кода через организацию автоматического выполнения кода после установки USB-носителя в системах с операционной системой на базе ядра Linux.

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Другой вариант — использование уязвимости в библиотеках подготовки эскизов. Так как в некоторых современных дистрибутивах Linux при добавлении нового USB-носителя автоматически запускается файловый менеджер и процесс построения эскизов. Таким образом, USB-носитель, содержащий специальным образом сформированные файлы (PDF, TIFF и прочие), может вызвать компрометацию системы на этапе построения эскизов.

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем. О том, насколько внимательно пользователи читают сообщения и какую кнопку обычно нажимают, все мы прекрасно знаем.

В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.

Подробнее о том, какие уязвимости могут быть использованы для компрометации системы, можно почитать по ссылке на opennet.ru.

>>> Подробности

★★★★★

Проверено: JB ()

Ответ на: комментарий от Napilnik

> Да, да, да, счас. Никакой легальный репозиторий не согласится принять в себя ПО нарушающее лицензии.

А я и не предлагал тащить вирусы в репозитории, просто я не считаю их проблемой. Напишут - флаг им в руки. Сообщество разработчиков всё равно вскоре пофиксит баги в софте, и вирус будет обречён на вымирание даже без всяких антивирусов.

Хотя вообще я за создание команды, занимающейся открытой легальной разработкой эксплойтов, дабы вскрыть проблемы безопасности системы и софта.

Sadler ★★★ ()

А никто не сомневался чо РЕШЕТО!

ei-grad ★★★★★ ()
Ответ на: комментарий от Ubuntu1104

Исправление уже установилось с обновлениями в Ubuntu 8.04, Ubuntu 9.10, Ubuntu 10.04 и Ubuntu 10.10.

RussianNeuroMancer ★★★★★ ()
Ответ на: комментарий от madgnu

Телевизоры, игровые приставки, роутеры с принтсерверами не являются встраиваемыми системами?.. Правда там обычно и прошивку обновлять можно.

ei-grad ★★★★★ ()
Ответ на: комментарий от RussianNeuroMancer

Таких дыр тысячи. Их можно даже тупо анализаторами кода найти, не все opensource проекты ими пользуются. Нельзя просто обновиться и спать спокойно. YOU MUST HAVE PARANOYA.

ei-grad ★★★★★ ()

>Не так давно один из разработчиков IBM X-Force, Джон Ларример (Jon Larimer), продемонстрировал

Лучше бы он показал сисьге женские пару штук, всё было бы полезней.

Linux-системы

Причём тут linux, с тем же успехом можно было запостить новость о появлении win32 вирусов под linux/*nix.

Ygor ★★★★★ ()
Ответ на: комментарий от trex6

>Но вот во встраиваемых системах можно получить неплохую такую дыру в безопасности.

Там уже есть наутилус?

Ygor ★★★★★ ()

Пример такой специально сформированной ФС в студию! Ибо слабо верится...

anonymous ()
Ответ на: комментарий от Ichiro

> Линукс готов для десктопа!!!

Я зашёл в эту тему для того, чтобы сказать такую же фразу. Только предварив её «Ну, наконец-то!»

Lumi ★★★★★ ()

Сначала они тырят код из linux для своей Playstation3, затем её ломают в эту щелку из-за того, что там запретили тот самый linux запускать, ну а потом они с этим разбираются и переводят стрелки на ubuntu. Однозначно в историю успеха! ;)

anonymous ()
Ответ на: комментарий от Sadler

> Напишут - флаг им в руки. Сообщество разработчиков всё равно вскоре пофиксит баги в софте, и вирус будет обречён на вымирание даже без всяких антивирусов.

Запретить программам запускаться из хомяка и присвоить всем хомяковым скриптам права рута? Дык это можно сделать и сейчас, но пользоваться такой системой станет неудобно.

Хотя вообще я за создание команды, занимающейся открытой легальной разработкой эксплойтов, дабы вскрыть проблемы безопасности системы и софта.

Лучше бы пилили лёгкий свободный линуксовый антивирь, но пока гром не грянет, ничего такого делать не станут.

Napilnik ★★★★★ ()
Ответ на: комментарий от Napilnik

>Лучше бы пилили лёгкий свободный линуксовый антивирь
Лечить уязвимости антивирусом — всё равно что залеплять дырки в газовой трубе жвачкой.

dogbert ★★★★★ ()
Ответ на: комментарий от dogbert

>Лечить уязвимости антивирусом — всё равно что залеплять дырки в газовой трубе жвачкой.

Ну и чем ты предлагаешь лечить уязвимости хомякового софта? Вот только не надо разглагольствовать на тему «запретить усё». И как показывает практика, обновить базы антивиря куда проще и практичнее обновления системы. Потом антивирь вдруг понадобится но как бы не оказалось, что все годные алгоритмы шмона файлов уже запатентованы касперычем, нортоном и авастом.

Napilnik ★★★★★ ()
Ответ на: комментарий от Napilnik

Да, забыл, если «пропатчить» реестры гнома, наверно классная хохма выйдет.

Napilnik ★★★★★ ()
Ответ на: комментарий от Napilnik

>Ну и чем ты предлагаешь лечить уязвимости хомякового софта?

Вот только не надо разглагольствовать на тему _«запретить усё»_

И как показывает практика, обновить базы антивиря куда проще и практичнее _обновления_ системы.


Вы сами дали ответ. К слову, «отсутствие разрешения» не есть «запрет».

Да, забыл, если «пропатчить» реестры гнома, наверно классная хохма выйдет.

Особенно если патчить под FreeBSD, как же. Только я не совсем понял, чего там патчить-то?

dogbert ★★★★★ ()

>специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.
Microsoft уже внесла данную «специальным образом сформированную ФС» в стандарт винды?

fractaler ★★★★★ ()

Я правильно пропарсил новость?

В линуксе вирусов нет, но если вдруг будут уязвимости незакрытые, и юзер вдруг запустит скрипт и на все согласится, то может быть получит вирус.

Ну хоть скомпилировать и отладить вирусы не просят.

LightDiver ★★★★★ ()

чет толи я устал к вечеру толи хез, но новость - какой-то бред

rsync ★★ ()
Ответ на: комментарий от dogbert

>Вы сами дали ответ. К слову, «отсутствие разрешения» не есть «запрет».

Вам показалось. «отсутствие разрешения» = неприемлимое для _пользователя_ решение. Мы ведь за использование линукса на десктопах, если кто забыл.

Особенно если патчить под FreeBSD, как же.

Если нужный файл не найдётся, троян не сработает, радуйтесь. До следующего раза.

Только я не совсем понял, чего там патчить-то?

Засыпать в реестр некоторое количество мусора и смотреть как мучается система. Правда познавательно?

Napilnik ★★★★★ ()

Уравнение из школьной задачки по математике: Linux+X=Windows

Bang ()
Ответ на: Re: Возможная компрометация Linux-системы... от darkshvein

Re: Возможная компрометация Linux-системы...

>>уязвимость аппаратная

ви имеете ввиду таки пользователя?

Через USB-гнездо можно не просто компрометировать что-то в ОС. Можно ведь сжечь этот комп нахрен дотла, или вывести из строя материнку, или сжечь блок питания по линии +5 вольт (или сколько там). Хотя тут всё зависит от изобретателей материнки.

Вообще USB-щёлка - это довольно интимная деталь компьютера. Ответственней нужно быть пользователю, не совать туда всякую гадость. А подключение USB-носителя, это же как секас. А если на предприятии - то это уже групповуха.

anonymous ()

Шокирующие подробности!

Этой проблеме также подвержен встраиваемый линукс. Холодильник под управлением GNU/Linux может быть захвачен таким же образом — поместив в холодильник специальным образом сформированные продукты, использующие уязвимость в ядре, злоумышленник может скомпрометировать учётную запись администратора и, отключив систему охлаждения, испортить продукты.

Gary ★★★★★ ()

Надеюсь, эта зараза заражает своей заразой исключительно компьютеры на базе IBM PC AT и 100% совместимыми с ней машинами с процессорами x86 (i386sx, i386dx, i386dx with i387 fpu, i486sx, i486dx, i486sx with i487 fpu, i486dx with i487 fpu и совместимыми)?

powerpc ()

у меня (как и когда-то давно в винде) отключены:
1)авторан
2)превью
включены AppArrmor, ASLR - мне пофигу на эти хомячьи проблемы

По теме: чувствуется возрастающее внимание к линуксу (в частности к убунте) и рост его популярности, что автоматически вызывает интерес всяческих вирусописателей. Теперь линукс и его инфраструктура будут проверены на прочность.

OzOx ()
Ответ на: комментарий от OzOx

>включены AppArrmor, ASLR - мне пофигу на эти хомячьи проблемы

А с комбайном wine что делать? Вроде бы надо ему права подрезать, но тогда утилиты перестанут фурычить. Придётся систематизировать пути по которым разбросан обрабатываемый контент:( А если wine не ограничивать, то однажды кто-то догадается распространять маздайный софт с троянами linux onli. Разрабам виндовых антивирей виндоюзеры не пожалуются - над ними не капает:) Следовательно, распространению заражённых файлов помешать некому.

Napilnik ★★★★★ ()

Нифига это не новость. Вероятность компрометации системы всегда есть, а конкретные инструменты это уже другой вопрос. Данная метода была разработана как раз для конкретного дистра. Основная тут дырка - это автомонтирование и autorun. Покажите мне того идиота, который протащил это в спеки freedesktop.org. Бесконтрольное выполнение кода - это просто преступление, а именно такое было показано на конференции. Кстати, подобный способ не фурычит на соседнем Debian с KDE 4.4.5. Скрипт autorun вообще не подает признаков жизни. Поэтому нужно выпотрошить спеки freedesktop, удалить autorun из текущих реализаций, а виновных торжественно расстрелять. Внуки нам потом спасибо скажут.

spoilt ★★★ ()

Честно говоря новость действительно напоминает случай из разряда когда человек сам нацеливается, сам отстреливает себе ногу и потом обвиняет производителей оружия в том, что там нет систем распознавания ног - своя- чужая. Житейская мудрость гласит: Прежде чем что-то делать, подумай кто тебя просит и о чём. Поэтому убунту такая убунту :))

И потом, всё же мысль насчёт вирусов под линукс, ну как-то не знаю, слишком уж в этом вот линуксе всё зависит от фаз луны, настроения неизвестных и того через какой пень в этот раз всё собралось при установке, что входе отвалилось и какие костыли были расставлены :)))

Mr_Jke ()

И потом - когда пофиксят багу с тем, что пользователь линукса, равно как и любой другой ОСи, не защищён от терморектального криптоанализа? :) Ведь так тоже можно скомпрометировать систему :)

Mr_Jke ()
Ответ на: комментарий от Napilnik

>Криво записанный мносессионный DVD ещё пару лет назад умел вешать линукс намертво.

Криво записанный односессионный DVD ещё и сейчас умеет вешать WinXP sp2 намертво хоть и несовсем, но на минуты 3 (работать невозможно), с последующим автоперезапуском рабочего стола.

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем.

Глупая претензия: у пользователя спрашивают осознает ли он что запускает или нет? По вашему мнению ему надо вообще запретить запуск со съемных носителей? Так он все равно может открыть диск и запустить это же вручную.

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Ошибки есть в любой системе, т.е. подправить драйвер ФС.

Другой вариант — использование уязвимости в библиотеках подготовки эскизов...

А это мне не очень понятно... Если подсистема пространства пользователя при сбое вызывает повышение полномочий/запуск кода, то это _должно_ лечиться архитектурой отработки ошибок _централизованно_, а не как-то так... Ошибки есть в любой системе...

Подскажите/дайте ссылку на модель безопасности в линуксе, в связанном с темой контексте (полномочия/запуск при сбое)... Или «гениальная» архитетура Intel/x86 не позволяет лучше?

anonymous ()

Нафиг эту убунту, вообще не понимаю зачем автозапуск нужен?

splinter ★★★★★ ()
Ответ на: комментарий от Napilnik

>Потом антивирь вдруг понадобится но как бы не оказалось, что все годные алгоритмы шмона файлов уже запатентованы касперычем, нортоном и авастом.

1. Патенты - это дурной компромис (иногда нужен, но только не _так_ как сейчас), в реальной же реализации (напр.USA и теперь возможно EC) - это средство монополизации/тоталитаризма, сколько можно игнорировать факты, а также говорить о воровстве? А т.н. бизнес не ворует на всяких «законных» ухищрениях? Рынок (здоровый/не звериный) вообще-то _никогда_ не даст той цены за этот товар, поэтому придумываются разные поводы. Вообще-то если, кто хочет чтобы его мысли (алгоритмы) никто не использовал (не реализовывал _своим_трудом_) для себя, то пусть держит их при себе. Другое дело _коммерческое_ тиражирование чужого продукта против воли автора (даже если автор сверх жадный) - это должно пресекаться. У нас в стране, например, при продаже Windows, зарабатывали и не так мало конторки, а виноват конечный пользователь (в лиц. договоре у МС нет признаков поддельности/незаконности копии товара).

2. Окажется: все годные алгоритмы шмона файлов уже запатентованы касперычем, нортоном и авастом, после того как вы их напишете, а они перенесут к себе и _первыми_ запатентуют.

Патенты - это дурной компромис. Всех денег не заработаешь, если не обирать других - факт.

anonymous ()
Ответ на: комментарий от anonymous

>Криво записанный односессионный DVD ещё и сейчас умеет вешать WinXP sp2 намертво хоть и несовсем, но на минуты 3 (работать невозможно), с последующим автоперезапуском рабочего стола.

и что? при чем тут вся эта фигня в венде?

Глупая претензия: у пользователя спрашивают осознает ли он что запускает или нет? По вашему мнению ему надо вообще запретить запуск со съемных носителей? Так он все равно может открыть диск и запустить это же вручную.

Идеология запуска кода со съемных носителей изначально ущербна. Весь код должен быть из проверенных источников.

Ошибки есть в любой системе, т.е. подправить драйвер ФС.

В этом все дело. Раз ошибки есть в любой системе, должны быть механизмы их локализации и защиты от ущерба.

Если подсистема пространства пользователя при сбое вызывает повышение полномочий/запуск кода, то это _должно_ лечиться архитектурой отработки ошибок _централизованно_, а не как-то так...

Во первых речь идет не о повышении полномочий, а о выполнении произвольного кода с текущими правами дырявого процесса. И лечится это разными защитами от срыва стека.

Подскажите/дайте ссылку на модель безопасности в линуксе, в связанном с темой контексте (полномочия/запуск при сбое)... Или «гениальная» архитетура Intel/x86 не позволяет лучше?

selinux. из простых apparmor.

AVL2 ★★★★★ ()
Ответ на: комментарий от spoilt

> удалить autorun из текущих реализаций

Да какая разница, будет там autorun или runme? Кому надо тот все равно сам запустит )

Guest_now ()
Ответ на: комментарий от Guest_now

Вы кажется не поняли всей остроты ситуации. В Ubuntu autorun сам запускается. Даже без подтверждения. Даже с заблокированным экраном.

spoilt ★★★ ()
Ответ на: комментарий от spoilt

Ну это уже проблема убунты. Думаю перенастроить эту функцию в ней не составит большего труда.

Guest_now ()
Ответ на: комментарий от anonymous

>в лиц. договоре у МС нет признаков поддельности/незаконности копии товара

кстати как определить, что виндузятник Петя пиратскую копию использует? С ЕУЛА он согласился, виндовс его работает. Чек потерял, имет на это право и закон хранить все чеки не обязывает, как и не обязывает хранить чеки магазина на покупку сарделек и сосисок, которые он несёт из магазина и может он их там украл, а не купил. Надо доказать, что пользуется виндой незаконно. Как? Получается никак не докажешь, что он пират.

anonymous ()
Ответ на: комментарий от AVL2

>Во первых речь идет не о повышении полномочий, а о выполнении произвольного кода с текущими правами дырявого процесса. И лечится это разными защитами от срыва стека.

Т.к. не спец. в защите, то у меня вопрос: срыв стека это когда адрес возврата в стеке подменяется (указ. на произв. код)? Тогда по моему представлению при возниковении сбоя/исключения CPU должно его отработать предопределенным образом и все, т.е. в какой момент и как происходит подмена в стеке? Это все-таки наверно не очень совершенная архитектура CPU/модели программирования (низкоуровневой)?.

anonymous ()
Ответ на: комментарий от Guest_now

Да, это пока проблема только Ubuntu ну и может еще нескольких дистров. Вот пусть и перенастраивают.

spoilt ★★★ ()

Ох мамочки... однотипные атаки не один год применяются на вендах, вроде бы можно было бы изучить их и принять превентивные меры? Но ведь все уверенны что линакс это самая безопасная ось, в ней такого быть не может... И результат - решето, такое решето... Еслиб не исчезающе малый % линакса на десктопе, то вирусня резвилась бы в нем похлеще чем в винде, с таким-то подходом разрабов к вопросам безопасности... На радость Касперским. :-)

anonymous ()
Ответ на: комментарий от anonymous

> Это все-таки наверно не очень совершенная архитектура CPU/модели программирования

Это - прямое следствие использования говноязыков типа С/С++ и пока за использования этих выкидышей от программирования не будут расстреливать на месте, решить ее увы невозможно.

anonymous ()
Ответ на: комментарий от anonymous

>Ох мамочки... однотипные атаки не один год применяются на вендах, вроде бы можно было бы изучить их и принять превентивные меры?

SELinux & AppArmor, какбэ. Но анонимусу о них знать не обязательно. У него виндовсзверьультимейтикспи есть.

Oleaster ★★★ ()
Ответ на: комментарий от anonymous

>При передаче аномально большого конфигурационного блока, он не умещается в выделенный буфер памяти и хвост блока накладывается на стек, что дает возможность выполнения стороннего кода с привилегиями ядра приставки.

http://grsecurity.net/ всех спасёт!

sdh ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.