LINUX.ORG.RU

Возможная компрометация Linux-системы при подключении USB-drive

 , , ,


0

0

Не так давно один из разработчиков IBM X-Force, Джон Ларример (Jon Larimer), продемонстрировал возможность распространения вредоносного кода через организацию автоматического выполнения кода после установки USB-носителя в системах с операционной системой на базе ядра Linux.

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Другой вариант — использование уязвимости в библиотеках подготовки эскизов. Так как в некоторых современных дистрибутивах Linux при добавлении нового USB-носителя автоматически запускается файловый менеджер и процесс построения эскизов. Таким образом, USB-носитель, содержащий специальным образом сформированные файлы (PDF, TIFF и прочие), может вызвать компрометацию системы на этапе построения эскизов.

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем. О том, насколько внимательно пользователи читают сообщения и какую кнопку обычно нажимают, все мы прекрасно знаем.

В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.

Подробнее о том, какие уязвимости могут быть использованы для компрометации системы, можно почитать по ссылке на opennet.ru.

>>> Подробности

★★★★★

Проверено: JB ()

Ответ на: комментарий от Eddy_Em

> В мастдае нет рута? А «администратор» по-твоему кто? Те же исключительные права.

Администратор в венде ни разу ни аналог рута. Нет у него исключительных прав и при желании его права можно зарезать по самое небалуйся и один из примеров такого обрезания (частичного) я приводил выше. В отличае от рута, права которого ограничить невозможно. :-)

anonymous ()
Ответ на: комментарий от anonymous

>основная уязвимость любой системы это юзер сидящей за ней

Опять 95! Т.е. венда безопасна, это вы ей пользоваться не умеете? Так же можно сказать, что продукция АвтоТАЗа безопасна, а это пользователь виноват, что ему нужен закрытый гроб.

На 22й порт да.

Откройте для себя fail2ban.

adepto ()
Ответ на: комментарий от Eddy_Em

> Да что вы к этой строчке приклеились, как банный лист к одному месту?

Ибо очень показательно.

Если у кого-то нет мозгов, и он запускает любую дрянь, то за компьютер такого человека явно пускать нельзя, какая бы там ОСь не стояла!

Спорить не буду - это так. Но тогда и вы признайте две вещи.

Первое - мозги у массового юзверя никогда не появятся.

Второе - у человека с мозгами любая ОС безопасна и вирусов не цепляет. А по архитектуре подсистемы безопасности увы но винда продвинутей линакса. И не спорьте - вы просто ее не знаете, иначебы не говорили что администратор это аналог рута.

anonymous ()
Ответ на: комментарий от adepto

> Т.е. венда безопасна, это вы ей пользоваться не умеете?

+1, нет +1000 - это абсолютно истинное утверждение.

Откройте для себя fail2ban.

Банить динамические IP? Напоркуя?! IPS на роутере прекрасно справляется, дропая подобные пакеты и сообщая мне об этом в лог (ща уже не сообщает - слишком большие логи получаются). Небольшое исследование показало что ощутимая часть (но точный % не считал) подобного вирусного трафика генерится... китайскими роутерами-мыльницами работающих под линаксом. Угу, про ботнет уже известно не один год, но он живет.

anonymous ()

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства...

Другой вариант — использование уязвимости в библиотеках...

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов...

Надо написать статью, что макофилы в опасности, они легко попадают в анальное рабство (и при том, получают от этого удовольствие). Первая и основная такая воможность - использование ошибок в днк самих пользователей при посещении ими магазинов с маками.

temporary ★★ ()
Ответ на: комментарий от sdh

>>>Ты в Линаксе получи этого рута...

Да лехко, гораздо легче чем в винде, где его нет. И опять возвращаемся к проблеме С/С++ да - пока они живы сложностей с этим не предвидеться.

http://www.linux.org.ru/jump-message.jsp?msgid=5889067&cid=5891578

http://www.linux.org.ru/news/security/5889067/page3#comment-5891596

anonymous ()

А всё из-за некоторых долбодятлов из убунты (в том числе и долбодятла Шатлврота) и freedesktop.org, которые пихают в линукс концепции defective by design, из-за которых венда погорела (и которые мелкософт всячески начинает стараться убрать, хоть и костыльными методами).

За автораны HAL'ы и прочее дерьмо убивать надо.

Quasar ★★★★★ ()
Ответ на: комментарий от kss

kss> Такие смешные комменты на опеннете. Словно никуда с ЛОРа и не уходил.

На опеннете сидят те, кого забанили на ЛОРе. Вон, тот же калафлуда там отмечается частенько.

Quasar ★★★★★ ()

Дожили, теперь будет дикое колличество флешковирусов. Причем сразу. ЗЫ: freede[b]S[/b]ktop.org, я так подозреваю?

chenger ★★ ()
Ответ на: комментарий от Quasar

Но вот парадокс - убунта сейчас самый популярный дистр. Что возвращает нас к вопросу об основной дыре... :-) Капча onaltha literary какбэ намекает... :-)

anonymous ()
Ответ на: комментарий от anonymous

Эти программы можно запутить _не_во_всех_ Линуксах даже на архитектуре x86, а на нормальных архитектурах вообще ни в каком дистре Линукса не запустятся, да винда на нормальных архитектурах процов тоже не запускается, как бы этим всё сказано...

sdh ()
Ответ на: комментарий от mashina

mashina> Какой же дебил перенёс всё это в линукс десктоп.

Ублюдки из freedesktop.org
Они делают всё, чтобы линукс не вышел на десктопы. То HAL заставили везде пихнуть. То кривой D-BUS, который можно было и логичнее реализовать (впрочем - сейчас реальных альтернатив нет). То автораны и всякие долбанутые *Kit.

Quasar ★★★★★ ()
Ответ на: комментарий от sdh

> Эти программы можно запутить _не_во_всех_ Линуксах даже на архитектуре x86, а на нормальных архитектурах вообще ни в каком дистре Линукса не запустятся

Как я уже сказал анализ данных от IPS показал что ощутимая доля вирусного трафика генерится линаксом с ARM-архитуры, а именно - с китайских роутеров-мыльниц. Но впрочем оно всеяден - может поразить и х86.

anonymous ()
Ответ на: комментарий от anonymous

>То что в винде есть изкаробке, в линаксе требует кучи костылей. Вы например в курсе что в той же семерке, ни пользователь, ни администратор, ни даже система не могут писать например в system32 и кучу других каталогов? RO only доступ, да.

Ты вобще укурился? В system32 лежит файл hosts...

а как же я бросаю туда dll всякие прямо проводничком?

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

anonymous> Но вот парадокс - убунта сейчас самый популярный дистр.

Никакого парадокса - просто грамотный пиар.
Халявные диски, красивые буклеты, промывание мозгов. Вот и армия долбанутых убунтушников набралась. «Линукс с человеческим лицом... Там всё просто и легко...» - и чем принципиально в установке и настройке того же дебиана отличается? Да ничем! Там даже центра управления системой нет. В тех же мандряках и альтах, а ещё и зюзях - есть. В редхате вроде ещё есть. А в у убунты нет. Только тему рабочего стола сменили на гламурную, кнопочки поменяли местами, и всё на этом. Ни в чём убунта не «дружественнее» к пользователю - есть гораздо более продвинувшиеся в этом направлении дистрибутивы - просто на каждом углу о них не орут.

Quasar ★★★★★ ()
Ответ на: комментарий от anonymous

>Как я уже сказал анализ данных от IPS показал что ощутимая доля вирусного трафика генерится линаксом с ARM-архитуры,

Полная чушь. во первых, это не вирусы. Люди вообще не меняют дефолтные пароли, вот их и подбирют и ставят нужный софт. Это самая обычная функциональность.

И для этого в большинстве случаев нужно сначала заразить вендовую машину внутри сетки.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

> Ты вобще укурился? В system32 лежит файл hosts...

И с каких это пор он стал исполняемым?

а как же я бросаю туда dll всякие прямо проводничком?

А ты попробуй изменить или заменить уже существующий системный файл. Созданный при инсталяции оной разумеется.

anonymous ()
Ответ на: комментарий от anonymous

>наличие root, пусть даже и в неявном виде а-ля sudo - одна огромная дыра в безопасности

Наличие блока питания у компьютера, пусть даже и в неявном виде а-ля батарея ноутбука - огромная дыра в безопасности, выключенный компьютер гораздо безопаснее.

anonymous ()
Ответ на: комментарий от AVL2

> Полная чушь. во первых, это не вирусы.

Да нет - штука весьма раноплановая как уже сказано было. Оно использует некоторые известные уязвимости, дафно фикшеные, да... Но далеко не везде эти фиксы наложенны. :-)

И для этого в большинстве случаев нужно сначала заразить вендовую машину внутри сетки.

Нафиг не надо, в теории досточно и флеша в лисице например. На любой платформе.

anonymous ()
Ответ на: комментарий от anonymous

anonymous> как обойти(хотя бы частично) эти грабли думаю знает любой нормальный линуксоид.

Разумеется. Но такими темпами скоро придётся делать лёгкое и безопасное, а также универсальное и юзабельное окружения рабочего стола, чтобы не пользоваться дерьмом, которое пропихивают freedesktop.org и Шатлврот.

Quasar ★★★★★ ()

Мне вот непонятно: нафига авторан в линуксе?

В венде он используется только для двух целей:

1. Запуск инсталлятора
2. Распространение вредоносного ПО

В линуксе первый пункт успешно решается репозиториями.
Второй же - нигде не нужен.

Вот что мешает в списке вставленных носителей информации сделать кнопочку «Добавить носитель как источник приложений», чтобы в репозиторий одним щелчком добавился? Но нет, блин - упыри хотят авторан насадить везде!

Quasar ★★★★★ ()
Ответ на: комментарий от zink

zink> Автоматическое монтирование флешек — как раз плюшка с точки зрения удобства

Автомонтирование никаких удобств не даёт. Удобно монтирование в случае, если заходишь на диск смотреть файлы. Но это уже не авто, а из разряда «по требованию».

zink> Так что не вижу чем тут поведение отличается в худшую сторону от любой из имеющихся ОСей.

Не надо на них ровняться - надо делать лучше. Опыт с Windows показал, что всё это - дерьмо. Но некоторый круг, кхм, лиц пытается это дерьмо притащить в линукс, аргументируя это словами «Да система же популярная. Давайте сделаем точно так же, и добавим пару красивых плюшек - тогда и наша система станет популярной». На деле система оказывается глубоко ВПЕРДЕ.

Quasar ★★★★★ ()
Ответ на: комментарий от anonymous

> Угу, про ботнет уже известно не один год, но он живет.

А можно по-подробнее, правда интересно.

adepto ()
Ответ на: комментарий от Shlyapa

Shlyapa> Мало ли кто что предложил, реализовали-то это разрабы Наутилуса.

Мейнтейнеры это легко могли отключить.

Quasar ★★★★★ ()
Ответ на: комментарий от anonymous

>>Вы например в курсе что в той же семерке, ни пользователь, ни администратор, ни даже система не могут писать например в system32 и кучу других каталогов? RO only доступ, да

http://shkolazhizni.ru/archive/0/n-19780/

Все эти взломанные некрософтом файлы лежали в систем32. А ты несёшь бред, что туда никто писать не может. Сотрудники некрософта удалённо спокойно туда пишут.

prishel_potrollit ()
Ответ на: комментарий от anonymous

>>Почитайте про единственный на 101% истиный вирус под винду за последние лет 10, про Stuxnet - очень интересно и познавательно.

О, как всё запущено... Какой толстый вантузятник. Зайдите таки на секуритилаб, почитайте. А стакснет - херня. Ни один знакомый им не заразился. В отличии от авторанов на флешке, порнобанеров и тд. Сколько там компов стакснет заразил?

prishel_potrollit ()
Ответ на: комментарий от anonymous

>>Администратор в венде ни разу ни аналог рута.Нет у него исключительных прав и при желании его права можно зарезать по самое небалуйся

В многих дистрах нет рута и права с помощью суда можно обрезать по самое не балуйся.

prishel_potrollit ()
Ответ на: комментарий от anonymous

>>И не спорьте - вы просто ее не знаете, иначебы не говорили что администратор это аналог рута.

И не спорьте, всё рано ничего мне не докажете, я неадекватный упоротый толстый тролль.

Фиксед во имя справедливости.

prishel_potrollit ()
Ответ на: комментарий от prishel_potrollit

Т-с-с-с. Вызовешь коллапс мозга у человека.

anonymous ()
Ответ на: комментарий от anonymous

>>Вы например в курсе что в той же семерке, ни пользователь, ни администратор, ни даже система не могут писать например в system32 и кучу других каталогов? RO only доступ, да.

Ты вобще укурился? В system32 лежит файл hosts...

И с каких это пор он стал исполняемым?

Господи, вантузятники настолько тупы что путают рид онли доступ и права на исполнение? Неудивительно, что вы считаете винду безопасной. Вы же ничего не понимаете в безопасности, вы даже в правах не разбираетесь.

А ты попробуй изменить или заменить уже существующий системный файл. Созданный при инсталяции оной разумеется.

Попробовал, системный файл hosts, напрямую отвечающий за безопасность системы и способный заблокировать доступ к интернет-ресурсам, подменить сайт paypal или webmoney на сайт мошенника, спокойно отредактировался.

prishel_potrollit ()
Ответ на: комментарий от Oleaster

>Толстый анонимус пошёл. К морозу, видать.

Ты как в воду глядел. Сегодня на 10 градусов у нас похолодало.

trex6 ★★★★★ ()
Ответ на: комментарий от sdh

media-libs/x264 media-libs/xvid media-video/ffmpeg Лечатся USE=pic

media-sound/mpg123 Где то сидит заточка под x86 asm надо бы ее найти и выпилить..

sdh ()

интересно как быстро пофиксят

gear ★★★ ()
Ответ на: комментарий от anonymous

китайскими роутерами-мыльницами

это-же каким нужно быть распи^W беспечным, чтобы оставлать дефолтные пароли.

anonymous ()
Ответ на: комментарий от abumbaher

> ...Как показало данное исследование - линух гораздо уязвимее винды. Есть два способа заразить винду с флэши - через авторан или корзину. В данный момент они закрыты при помощи UAC и антивирусов. У линуха таких дыр на порядок больше, и защиты от них не существует...

Вай лол. Стоплинукс такой стоплинукс.

pevzi ★★★★★ ()
Ответ на: комментарий от anonymous

>Да нет - штука весьма раноплановая как уже сказано было. Оно использует некоторые известные уязвимости, дафно фикшеные, да... Но далеко не везде эти фиксы наложенны. :-)

насколько я помню, в роутерах обычно удаленных уязвимостей нет в силу их простоты, а админка открыта только внутрь.

Нафиг не надо, в теории досточно и флеша в лисице например. На любой платформе.

ну тем более.

AVL2 ★★★★★ ()

Фанатики-линупсоиды такие линупсоиды. Вам, блядь, наглядно демонстрируют принципиальную возможность «распространения вредоносного кода». Один хер, как стадо баранов: «ЛИНУКС НЕУЯЗВИМ!!11» Хотя чего ещё от лоровских икспертов ожидать...

anonymous ()
Ответ на: комментарий от anonymous

> в винде нет аналого рута

пример единой строчки на перл показал что линаксоидов работающих из-под рута если не большинство то не сильно меньше чем в винде с отключенным UAC


У меня уже лицо помялось от фейспалмов, завязывай а.

pevzi ★★★★★ ()
Ответ на: комментарий от anonymous

>это-же каким нужно быть распи^W беспечным, чтобы оставлать дефолтные пароли.

собствнно говоря, пока этих вирусов не набралось - всем было пофиг.

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

>наглядно демонстрируют принципиальную возможность «распространения вредоносного кода»

В этом и вся разница между Линуксом и виндой. В Линуксе раз в пару лет найдут «страшную дыру» по обсуждают «принципиальную возможность распространения вредоносного кода» в каких то _частных_ случаях и конфигурациях, за пару часов профиксят и «распространения вредоносного кода» останется чисто в теории. У винде дыры не фиксят годами, на пользователей M$, после уплаты за лицензии, ложет и как следствие вири не теоретические, а практические не принципиальны, а реальны...

sdh ()
Ответ на: комментарий от anonymous

>Администратор в венде ни разу ни аналог рута. Нет у него исключительных прав и при желании его права можно зарезать по самое небалуйся

Что за бред? Можно пояснить как предполагается ограничить Super-SID в венде? Или очередной бла-бла?

TheMixa ★★★ ()
Ответ на: комментарий от pevzi

Ну как, не переменил мнения, что тут люди адекватнее?

kss ★★★★★ ()
Ответ на: комментарий от Quasar

Quasar> Но такими темпами скоро придётся делать лёгкое и безопасное, а также универсальное и юзабельное окружения рабочего стола

Ну, я тебе когда ещё сказал, что в KDE autorun не работает? =)

Мыши, кушать, кактус...

dhameoelin ★★★★★ ()
Ответ на: комментарий от sdh

media-sound/mpg123 Лечатся USE="-3dnow -3dnowext -mmx -sse"

media-video/ffmpeg Лечатся USE="-cpudetection -encode pic"
Возможно в ffmpeg еще чё то есть... Уменя сейчас он собран с:
[ebuild R ] media-video/ffmpeg-0.6_p25767 USE=«3dnow 3dnowext X alsa amr bzip2 custom-cflags dirac gsm hardcoded-tables ieee1394 jpeg2k mmx mmxext mp3 pic sdl speex ssse3 theora threads v4l v4l2 vdpau vorbis x264 xvid zlib (-altivec) -bindist -cpudetection -debug -doc -encode -faac -frei0r -jack -network -oss -qt-faststart -rtmp -schroedinger -static-libs -test -vaapi -vpx» VIDEO_CARDS="-nvidia" 0 kB

Остался
net-print/cndrvcups-common (/usr/lib/libcaepcm.so.1.0)
Но пока с Canon алтернатив рабочих нет

sdh ()
Ответ на: комментарий от Napilnik

> Лучше бы пилили лёгкий свободный линуксовый антивирь

Ты идиот.

unanimous ★★★★★ ()
Ответ на: комментарий от AVL2

а как же я бросаю туда dll


Попробовал, под пользователем спрашивает. Администратор и Система без вопросов.

TGZ ★★★★ ()
Ответ на: комментарий от TheMixa

> Можно пояснить как предполагается ограничить Super-SID в венде?

Ну все очень просто - никаких суперсидов в винде нет. Все сиды равны, просто права им назначаются разные.

anonymous ()
Ответ на: комментарий от sdh

Чем наглее ложь, тем больше людей в нее поверят. (с) Геббельс. Я смотрю линаксоиды активно берут его методы на вооружение, рассказывая про дыры, которые не фиксятся годами, хотя практика показывает что все строго наоборот - это они в линаксе не фиксятся годами, а патчи для уязвимостей которые использовали все вирусы, вызвавшие эпидемии последнего десятилетия были готовы задолго до этих самых эпидемий. Более того - вирусописатели узнавали о этих дырах из описаний к патчам. :)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.