LINUX.ORG.RU

Возможная компрометация Linux-системы при подключении USB-drive

 , , ,


0

0

Не так давно один из разработчиков IBM X-Force, Джон Ларример (Jon Larimer), продемонстрировал возможность распространения вредоносного кода через организацию автоматического выполнения кода после установки USB-носителя в системах с операционной системой на базе ядра Linux.

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Другой вариант — использование уязвимости в библиотеках подготовки эскизов. Так как в некоторых современных дистрибутивах Linux при добавлении нового USB-носителя автоматически запускается файловый менеджер и процесс построения эскизов. Таким образом, USB-носитель, содержащий специальным образом сформированные файлы (PDF, TIFF и прочие), может вызвать компрометацию системы на этапе построения эскизов.

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем. О том, насколько внимательно пользователи читают сообщения и какую кнопку обычно нажимают, все мы прекрасно знаем.

В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.

Подробнее о том, какие уязвимости могут быть использованы для компрометации системы, можно почитать по ссылке на opennet.ru.

>>> Подробности

★★★★★

Проверено: JB ()

Ответ на: комментарий от Quasar

>есть гораздо более продвинувшиеся в этом направлении дистрибутивы

например?

Binary ★★★★★ ()

какой root? какой адмен? какой афторан? максимум делов та флажки научится выставить спрямлёнными руками а не по энтер кнопке лупить выпучив глупые глаза.. тож мне Ъ-h4k3r\Ы

anonymous ()
Ответ на: комментарий от sdh

А что же, Xen + SELinux на хостовой машинке, все виртуальные машинки пишут только в COW-образы, которые после выключения откатываются к предыдущей версии.

И КАК сюда пролезет вирус?

Согласен, ещё бывают уязвимости в некоторых моделях процессоров. Но это, ИМХО, нерелевантно, от такого ни один кусок софта не спасает.

anonymous ()
Ответ на: комментарий от anonymous

>>хотя практика показывает что все строго наоборот - это они в линаксе не фиксятся годами, а патчи для уязвимостей которые использовали все вирусы, вызвавшие эпидемии последнего десятилетия были готовы задолго до этих самых эпидемий. Более того - вирусописатели узнавали о этих дырах из описаний к патчам. :)

Чем наглее ложь, тем больше людей в нее поверят. (с) Геббельс.

Всего 2 фразы местами поменял, и даже ответ придумывать не надо.

prishel_potrollit ()
Ответ на: комментарий от prishel_potrollit

Выше я приводил данные по печально известному CodeRed - заплатка на уязвимость которую он использовал была доступна за месяц до начала эпидемии. На счет остального - погуглите, ключевые слова zero day virus, найдете один их использующий - тот самый израильский stuxnet. На все остальные заплатки были задолго до начала эпидемии.

anonymous ()
Ответ на: комментарий от prishel_potrollit

Скажите, где, кроме ЛОРа, можно ознакомиться с Вашим творчеством? Я восхищён и люто, бешено завидую. :)

Oleaster ★★★ ()
Ответ на: комментарий от unanimous

>Ты идиот.

Идиота или провокатора поищи в зеркале.

Napilnik ★★★★★ ()
Ответ на: комментарий от anonymous

>То что в винде есть изкаробке, в линаксе требует кучи костылей. Вы например в курсе что в той же семерке, ни пользователь, ни администратор, ни даже система не могут писать например в system32 и кучу других каталогов? RO only доступ, да. И база этой технологии (нормальные ACL) были заложенны в винде изначально, с момента создания ядра NT. Базовая unix-like система прав этого не позволяетю Posix ACL да, которые никто не использует.

Разве при использовании фат32 под систему, куда-то (в реестр иногда попИсать надо, ага) нельзя писать? Да и линуксовый лайфсиди для администрирования и «спасения фоток» никто не запрещал.

Napilnik ★★★★★ ()
Ответ на: комментарий от anonymous

> не фиксятся годами

Пруфы предоставляем, или тихо сливаемся.

unanimous ★★★★★ ()
Ответ на: комментарий от anonymous

zero day virus - Это вирус не известный антивирусным компаниям, а не некрософту. То что о вирусе знает касперский не означает, что некрософт выпустила от него заплатку. Так что глупо гуглить по этим словам. Лучше гуглить по «вирусные эпидемии». Так можно найти и знаменитый Sasser, использующий уязвимость в службе LSASS Microsoft Windows и принёсший убытки в 500 млн зелёных и Mydoom. induc, который не могли обнаружить 9 месяцев. Но мне дальше искать лень, учитесь пользоваться гуглом.

prishel_potrollit ()
Ответ на: комментарий от prishel_potrollit

Да я и не говорил, что меня интересует троллинг. Другие образцы творчества ещё более интересны. :)

Oleaster ★★★ ()

Вот вам и «нету под Линупс вирусов». Да есть они и ни что не машает их понаписать, лишь бы было такое желание.

SebastianPoeiro ()
Ответ на: комментарий от anonymous

> пример единой строчки на перл показал ...

твоя жизнь - реклама безопасного секса, а мозг - короче этой самой строчки на перл.

wgetrc ()
Ответ на: комментарий от SebastianPoeiro

У кого будет желание писать то, что не будет работать? Пусть линукс установлен на 1% компьютеров, пусть 95% из этого одного процента - бубунта с экс-вантузятниками. Но все равно маловата целевая аудитория...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от anonymous

>Вы например в курсе что в той же семерке, ни пользователь, ни администратор, ни даже система не могут писать например в system32 и кучу других каталогов? RO only доступ, да. И база этой технологии (нормальные ACL) были заложенны в винде изначально, с момента создания ядра NT.
Любые ACL, как и ущербный по определению DAC — C1 по orange book. Когда узнаешь, что в линуксе уже 10 лет как есть B* — прийдёшь на пересдачу.

x3al ★★★★★ ()
Ответ на: комментарий от Eddy_Em

> У кого будет желание писать то, что не будет работать? Пусть линукс установлен на 1% компьютеров, пусть 95% из этого одного процента - бубунта с экс-вантузятниками. Но все равно маловата целевая аудитория...

Да ладна, чего-там, быть аффтаром очередного вируса под оффтопик это одно, а вот авторство первого эффективного виря под линь, пусть даже исключительно для бубунты, это знаете ли совсем другой коленкор. Это, считай сразу - человек - легенда.

abumbaher ()
Ответ на: комментарий от anonymous

кстати как определить, что виндузятник Петя пиратскую копию использует?
Очень просто! По тому, как он взломал защиту!

RussianNeuroMancer ★★★★★ ()

Интересно для прочтения

Интересно для прочтения

dmbadboy ()
Ответ на: комментарий от prishel_potrollit

Вы явно искажаете истину, сударь. Ваши комментарии всегда полны знания предмета, тонкой иронии, лаконичны, да ещё и грамотно написаны (что вообще почти уникально в наше время, и особенно в здешнем месте). Не может быть, чтоб Вы не писали где-нибудь ещё.

Oleaster ★★★ ()
Ответ на: комментарий от SebastianPoeiro

Firefox используется под вендою много лет миллионами пользователей. Точнее, сотнями миллионов. В нём регулярно находят уязвимости. Но не было ни одной эпидемии, связанной с уязвимостью в FF, в отличие от IE. Шо какбэ намекает: модель разработки очень много значит для безопасности. Некоторые небольшие и начинающие фирмы (например, IBM) это поняли и внедрили FF в качестве корпоративного стандарта. А Вы, верно, так и сидите на любимом ослике? Ещё и шестой версии, поди?

хехехе

Oleaster ★★★ ()
Ответ на: комментарий от anonymous

Одна строка на перле?

Вот небольшая подборочка с очень лояльного к «Микрософт» СМИ, за разные года вперемешку.

Эксперты предупреждают, что уже известно как минимум о пяти других уязвимостях в ПО Microsoft, «заплаток» для которых пока не существует. Проблемы, в частности, выявлены в браузере Internet Explorer с шестой по восьмую версию...
http://soft.compulenta.ru/586713/

Корпорация Microsoft, как выясняется, в ходе июньского обновления своих программных продуктов выпустила недоделанный патч для операционной системы Windows ХР.
http://soft.compulenta.ru/360330/

Не исключено, что корпорация Microsoft выпустит внеплановый патч для критически опасной уязвимости в текстовом редакторе Word, информация о которой появилась в интернете в конце прошлой недели. <...> Ситуация ухудшается еще и тем, что антивирусные компании уже зафиксировали появление вредоносных программ, эксплуатирующих уязвимость. Так, троян Ginwui.A после проникновения на ПК открывает «черный ход» в систему.
http://security.compulenta.ru/270173/

дыра была обнаружена сотрудниками компании eEye Digital Security еще полгода назад, однако заплатка от Microsoft появилась только сейчас.
http://soft.compulenta.ru/45195/

В серверных версиях операционных систем Microsoft Windows выявлена критическая уязвимость, эксплуатирую которую, злоумышленники могут получить полный доступ к удаленному компьютеру. <...> Патча для выявленной уязвимости в настоящее время не существует.
http://security.compulenta.ru/315208/

Датская компания Secunia присвоила дыре рейтинг максимальной опасности. Брешь присутствует на полностью пропатченных компьютерах с операционной системой Windows ХР (в том числе со вторым сервис-паком) и браузером Internet Explorer 6. Ситуация ухудшается тем, что заплатки для уязвимости в настоящее время не существует. <...> Между тем, сообщает PC World, уязвимость уже активно используется киберпреступниками. Нужно отметить, что в Internet Explorer недавно была обнаружена другая критическая уязвимость, связанная с функцией CPathCtl::KeyFrame(). Эта брешь также позволяет через сформированную особым образом веб-страницу получить полный доступ к ПК жертвы. Патча для дыры пока не существует.
http://security.compulenta.ru/287008/

Microsoft подтвердила информацию о наличии в Internet Explorer очередной критической уязвимости. Проблема затрагивает все версии браузера — с шестой по восьмую. Воспользовавшись брешью, злоумышленники теоретически могут получить несанкционированный доступ к удалённому компьютеру и выполнить на нём произвольный вредоносный код. Для захвата контроля над ПК необходимо разместить составленную специальным образом веб-страницу в Интернете и заманить на неё жертву. Известно, что проблема связана с HTML-движком Internet Explorer. Положение усугубляется тем, что «заплатки» для уязвимости в настоящее время не существует и уже создан код, позволяющий задействовать «дыру».
http://soft.compulenta.ru/584767/

Специалисты группы ZERT (Zeroday Emergency Response Team) выпустили неофициальную заплатку для критически опасной дыры в библиотеке Microsoft Vector Graphics Rendering (vgx.dll), обнаруженной на прошлой неделе. Брешь уже эксплуатируется некоторыми порнографическими ресурсами с целью загрузки на компьютеры посетителей руткитов и троянов. Microsoft в настоящее время занимается тестированием заплатки для дыры, однако выпущена она будет, по всей видимости, не ранее 10 октября.
http://security.compulenta.ru/287452/

Киберпреступники активно эксплуатируют недавно обнаруженную критическую уязвимость в серверных версиях операционных систем Windows. Дыра, о которой идет речь, позволяет получить несанкционированный доступ к удаленному компьютеру и выполнить на нем вредоносный программный код. На днях в интернете была обнаружена новая версия червя Rinbot, эксплуатирующая дыру в Windows DNS Server. Причем параллельно Rinbot может использовать и ряд других уязвимостей, что делает его весьма опасным. В понедельник было зафиксировано появление, как минимум, двух эксплойтов для дыры в серверных модификациях Windows. Вредоносные файлы носят названия mdnex.exe и mozila.exe. Появление вредоносного кода, эксплуатирующего уязвимость, подтвердила в своем бюллетене безопасности и корпорация Microsoft. Причем в Microsoft отмечают, что на текущий момент интенсивность атак выглядит не слишком высокой. Вместе с тем, заплатки для дыры в настоящее время не существует, тогда как эксплойты для уязвимости уже выложены на многих хакерских сайтах в интернете.
http://security.compulenta.ru/315543/

В браузере Microsoft Internet Explorer обнаружена очередная критическая уязвимость. <...>Способов устранения ошибки в настоящее время не существует.
http://soft.compulenta.ru/49356/

В браузере Microsoft Internet Explorer выявлена очередная опасная уязвимость. Брешь теоретически может использоваться злоумышленниками для незаконного проникновения на удалённый компьютер и выполнения на нём произвольных деструктивных операций. <...> Ситуация ухудшается тем, что в интернете уже можно найти эксплойты для уязвимости. Брешь присутствует в браузере Internet Explorer 6 при работе на полностью пропатченных компьютерах с операционными системами Microsoft Windows 2000 и Windows ХР. Заплатки для дыры в настоящее время не существует.
http://soft.compulenta.ru/286368/

В редакторе электронных таблиц Microsoft Excel обнаружена очередная критическая уязвимость, которая может использоваться с целью получения несанкционированного доступа к удалённым компьютерам. Это уже третья брешь, выявленная в приложении, за последнюю неделю. В Microsoft подтвердили существование проблемы, однако о сроках выпуска соответствующего патча пока ничего не известно. Не уточняется и дата выхода заплаток для двух других уязвимостей в Excel.
http://security.compulenta.ru/274550/

пока остается открытой критическая брешь в браузере Internet Explorer. Эта уязвимость была выявлена еще в мае, не получив высокого рейтинга опасности. Однако недавно выяснилось, что через дыру на компьютере-жертве можно выполнить произвольный деструктивный код.
http://soft.compulenta.ru/243206/

Устал копипастить.

Мальчик! Вы врунишка! Скажите своей маме, чтоб не пускала гулять вечером и лишила карманных денег на три дня.

Oleaster ★★★ ()
Ответ на: комментарий от anonymous

Реальных вирей и эпидемий в Линуксе нет, а в винде полным полно.... Это реальность!!!

sdh ()
Ответ на: комментарий от Oleaster

Честно, нигде не пишу, крест на пузе. Максимум по молодости в универе была у нас рок-группа, тексты туда писал. Ничего особенного наша группа не представляла. Зато у нас были реально очень талантливые «конкуренты». Вот выходец из наших мест. Сейчас в Питере.

http://www.youtube.com/watch?v=g5kbfJidIHw

http://www.youtube.com/watch?v=0ag6Ap2bQ0s

http://www.youtube.com/watch?v=2D78Kibvwvg&feature=related

Никакого отношения к ним не имею, просто они когда-то играли в том же селе, что и мы. Золотое было время.

prishel_potrollit ()
Ответ на: комментарий от MyFreedom

>где тётка с сиськами и мужик бумажку SARCASM держит?

Та... Там такие сиськи можно подумать...

anonymous ()
Ответ на: комментарий от zink

>линукс никогда не позиционировался как «безопасная система для хомячков»,

Вот чья б корова мычала, а твоя б засунула язык в (.) и не гундела. На каждом углу звучит луноходная пропа: юзайте Линукс - в нем нет троянов и блокеров, он понятен любой домохозяйке! Особенно расхваливают негро-ОС, как самую хомячково-дружелюбную с огромном хомячковым комунити и т.д.

Нет?

anonymous ()
Ответ на: комментарий от Oleaster

>SELinux & AppArmor, какбэ. Но анонимусу о них знать не обязательно. У него виндовсзверьультимейтикспи есть.

дада, в этой вашей бубунте по-умолчанию стоят эти самые SELinux & AppArmor, да? Кому ты паришь?

anonymous ()
Ответ на: комментарий от anonymous

Да, AppArmor — имеется по умолчанию. Об этом, кстати, говорится и в новости по ссылке. Попросите кого-нибудь, чтобы обучил Вас пользоваться браузером. Или показал работающую убунту. Или научил читать, ибо цитата уже была в данном треде. Или всыпал кнутом раз пять, для уменьшения злобности и прояснения мозгов.

Oleaster ★★★ ()
Ответ на: комментарий от prishel_potrollit

Значит, Вам надо срочно завести жежешечку и стать тысячником. Потом обидеться на ЖЖ и перенести всё в stand-alone. Потом... хотя не, потом как раз полярный лис придёт, не до бложиков будет.

Oleaster ★★★ ()
Ответ на: комментарий от Oleaster

>А Вы, верно, так и сидите на любимом ослике? Ещё и шестой версии, поди?

Не я, а мои клиенты. Я вынужден на нем сидеть.

SebastianPoeiro ()

Ну наконец-то, а то я уже думал, что не дождусь настоящих уязвимостей под этот ваш линакс.

aiqu6Ait ★★ ()
Ответ на: комментарий от sdh

> Реальных вирей и эпидемий в Линуксе нет, а в винде полным полно.... Это реальность!!!

Ага, про неуловимого Джо слышали? Неуловимый - не потому что никто поймать не может, а потому что нахрен никому не нужен. Так и с вирусами под линакс. Написание вирусов уже давно (более 10ти лет) чисто коммерческое предприятие. Во-первых вирусы пишут антивирусные компании (в рамках «лабораторных исследований» разумеется) чтоб наращивать свою базу детектируемых вирусов и продавать свой антивирус. Но линаксоиды - очень малочисленны и в основной своей массе неплатежеспособные, посему их окучивать нет смысла. Во-вторых вирусы пишут ОПГ для организации ботнетов, которые используются например для рассылки спама и прочих способов заработать. Но линаксоидов слишком мало, на них приличный ботнет не построишь. Вот и нет вирусов под линакс. Но если вдрук приять что-то тяжелое и предположить что вендекапец настал и везде линакс, то поверьте - сразу появится такое кол-во вирей под линакс, что времена до вендекапца будут восприниматься с ностальгией.

anonymous ()
Ответ на: комментарий от anonymous

> В отличае от рута, права которого ограничить невозможно.

capabilities же

geekless ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.