вопрос насчет безопасности раб.станции
qpharm 16 января, 2008 - 17:42
Где я услышал, что возможен следующий пробой системы.
Через Инет обычному пользователю вклинивается троян (например путем фишинга), который ждет вызова команды su. А после получив пароль, делает с системой что хочет.
Насколько реальна такая ситуация? Хочется знать мнение профи.
»
- Для комментирования войдите или зарегистрируйтесь
который ждет
который ждет вызова команды - а хто его запустил ?
А после получив пароль - как ? в кореутилс нашли дыры ?
Вопрос программерам - strace ?(в OpenSolaris пароли ssh таки дампили)
Ещё такой
Ещё такой вопрос: как это он вклинивается, троян-то? И куда?
И разве кто-нибудь ему даст пароль увидеть?
что то мне
что то мне говрит что для того что бы это работало надо что бы троян мог читать что вводится на терминале в raw моде... я как то про такие дыры в линуксе не слышал.. вот во freebsd ее вроде как недавно пификсили
___________________________________________
Gentoo GNU/Linux 2.6.23 GCC 4.2.2 Dual Xeon
Working on Gentoo for iPAQ hx4700 :-)
Ну если из-под
Ну если из-под root ,ну если извратится и поставит враппер на su,ну если PATH поменят ,ну если ....,
то где-то,когда-то на каком-нибуд дистре вроде Слаки 3.0 оно может и сработает.
НО сеичас SeLinux,RBAC,grsecurity,etc.. в бинарных дистрах по умолчанию ,и такие штуки просто так не проходят (см. пост выше)
Если паранойа,
Если паранойа, лечить:
* Установкой - hardened системы;
* Не включать пользователя в группу wheel;
И разумеется:
* Браузить интернет только через lynx, не забывая, что делать это обязательно нужно в VirtualBox-е;
Sony Vaio SZ460 Premium, Core2Duo 2.0, hdd=200G:7200, mem=2G, hybrid video: nvidia 7400 + GMA 950
Это реально.
Это реально. Троян прописывается в $HOME/.bashrc, подменяет переменную LD_PRELOAD, после чего становится невидимым (подменяет readdir), перехватывает su (подменяет execve) и ждёт, пока введут рутовый пароль. Как только это происходит, загружается LKM, патчится бутсектор, включается SVM (если есть), во flash bios прошивается модифицированная версия ACPI (с OperationRegion ASL инструкцией, которая пишет в память ядра), меняется служебка у жёсткого диска (с перемещением каких-то данных в HPA, например вредоносного кода), патчится микропрограмма ADSL-модема/свитча/роутера, заражается обработчик int10 BIOS'а видеокарты, в bootrom сетевой карты ещё что-нибудь можно записать. Если есть сомнения по поводу реализуемости чего-нибудь, могу объяснить, почему я думаю, что это будет работать.
Возможно это
Возможно от этого можно защититься выставив рутовые права на файл, а юзеру тока на чтение?!
вообще $HOME/.bashrc
вообще $HOME/.bashrc был тока для примера приведен =)
___________________________________________
Gentoo GNU/Linux 2.6.23 GCC 4.2.2 Dual Xeon
Working on Gentoo for iPAQ hx4700 :-)
Можно. Но
Можно. Но найдётся ещё куча способов изменить environment, дописать alias, подправить PATH. Конечно, опытный пользователь, знающий структуру своего $HOME, имеющий нестандартные настройки, использующий альтернативную оболочку (shell) быстро заметит, что происходит что-то не то. Но универсального способа защиты нет. Опять же, злоумышленник может написать программу, создающую в полноэкранном режиме окно, которое полностью копирует внешний вид и поведение эмулятора терминала, примерно как это делают с камерами слежения в фильмах про шпионов. Ничего не подозревающий пользователь будет использовать фальшивый терминал, который будет отсылать все нажатия клавиш злоумышленнику, не показывать реальное содержимое запущенной программы, заменяя один строки на другие (и так скрывая, например, процессы).
>>Это реально.
>>Это реально.
Тут надо решить 2 проблемы. Первое доставить троян до места назначения. Можно засунуть почтой, либо по http. Либо еще как. Собсно факт доставки тела никоим образом не свидетельствует о наличии дыры. Вторая проблема - надо как-то удаленно запустить троян на целевой системе. В юниксовых системах это считается дырой и заливается бетоном. В продукции биллигейтса это считается фичей и закрывается дополнительной программой под названием "антивирус". В связи с этим вопрос: кто будет запускать тело и достаточно ли у него прав на реализацию действий трояна?
Варианты с селинукс и хардендед в этом случае несколько черезмерны и не помогут. Ибо в основном реализуют защиту юзерей многопользовательских систем друг от друга.
Прикрыть веббраузер от возможности подобной атаки достаточно легко. Нужно грамотно расставить права и выставить suid на исполняемый файл.
Заводим юзера ibrowser. Разрешаем ему смотреть и писать файлы профиля браузера. Браузеру ставим uid=iprowser. Запрещаем ему менять файлы в хоме. Собсно троян прорвавшись через браузер будет пытаться править каталог юзера под ibrowser и банально свалится за отсутсвием прав. Кстати за верусяку под линь обещаны бабки, и они до сих пор не получены.
А файлы как
А файлы как сохранять? Тоже не фонтан, такое решение... (-:Е
>>Тут надо
>>Тут надо решить 2 проблемы. Первое доставить троян до места назначения. Можно засунуть почтой, либо по http. Либо еще как.
В браузерах часто находятся ошибки. Это не удивительно, т.к. современный браузер, поддерживающий современные стандарты - очень сложная и большая программа.
>>Варианты с селинукс и хардендед в этом случае несколько черезмерны и не помогут. Ибо в основном реализуют защиту юзерей многопользовательских систем друг от друга.
В hardened часто включают PaX. Это позволяет избежать воздействия большей части готовых эксплойтов (рандомизацией, защитой стека).
>>Заводим юзера ibrowser. Разрешаем ему смотреть и писать файлы профиля браузера. Браузеру ставим uid=iprowser. Запрещаем ему менять файлы в хоме.
Браузер имеет доступ к X-серверу (если он, конечно, не текстовый, а текстовый вряд ли легко сломается). Это значит, что он может устанавливать свои собственные обработчики горячих клавиш, делать снимки рабочего стола, рисовать окна, записывать нажатые клавиши (быть кейлоггером), генерировать X-события (XTEST). Т.к. он, при этом, ещё и браузер, он может взаимодействовать с сетью (иначе он бесполезен для пользователя).
Значит:
На скока я
На скока я понимаю ошибки не в самих браузерах (исключение IE, когда вредоносный код можно вставить даже в курсор), а в обработчике скриптов, т.е. java-скрипт. Ну так а что мешает его отключить или оставить активным только для проверенных сайтов (и ни в коем случаи для почтовых)? И как в таких условиях вирус будет прописываться во всякие профиле и файлы?
_________________________________________________________________________
/ Enchant /
Никакую проблему нельзя решить на том же уровне, на котором она возникла...
Попробуйте
Попробуйте отключить ECMAScript для всех сайтов :) Думаю, Вам не понравится такой браузер. Я недавно поигрался с prototypejs и был удивлён тому, с какой лёгкостью можно создавать приложения. Например, игрушка http://kmeaw.com/lambda была написана примерно за 25 минут. Так что, скорее всего, сайтов, требующих ECMAScript для нормального функционирования скоро будет всё больше и больше.
Ошибки бывают везде. А языки программирования, разрешающие побочные эффекты, не имеющие мощных средств проверки типов (а такими свойствами обладают многие, на данный момент, промышленные языки программирования) увеличивают вероятность таких ошибок.
Например, я часто использую madplay для того, чтобы послушать музыку. Периодически мне бывает лень набирать правильные маски для файлов, и я просто пишу music/*/*. На некоторых не-mp3 файлах, madplay начинает жутко шипеть, а потом падает (SIGSEGV). Библиотека libmad много где используется, т.к. она работает лишь на целых числах и делает это очень быстро.
Ещё есть ряд приложений (cups, epmd), использующих сетевые сокеты просто для взаимодействия в пределах одной машины (bind на localhost). Их тоже можно использовать. Например, подсунуть пользователю страницу с XMLHttpRequest или iframe/img/form на localhost.
Можно создать страницу, перехватывающую стандартные комбинации клавиш браузера (Ctrl-T, Ctrl-N, Ctrl-W, ещё что-нибудь). При попытке открыть вкладку, открывается ещё одна копия такой страницы, которая выглядит, как пустая. Далее, можно контролировать действия пользователя. Для контроля адресной строки, достаточно открыть окно, не содержащее его (window.open) и нарисовать её самому.
Пользователя графических версий sudo можно попытаться обмануть, сделав страницу, которая выводит аналогичное окно по центру экрана, прося ввести пароль под предлогом обновления браузера.
Часть консольных приложений не фильтруют управляющие коды. Это позволяет скрыть от пользователя информацию, вывести другую или ещё что-нибудь сделать нехорошее.
Ошибки могут быть и в IM-клиентах, MUA.
Можно обмануть самого человека и заставить его ввести какую-нибудь команду. Вспомните печально известную "строчку на perl".
Если специально исследовать этот вопрос, думаю, что уязвимостей можно найти гораздо больше.
>>Кстати за
>>Кстати за верусяку под линь обещаны бабки, и они до сих пор не получены.
А что мы всё-таки пытаемся придумать: вирус или троян? Если вирус, то такой уже есть. Про трояны пока не слышал, но не вижу ничего, что делало бы их появление невозможным. Проблема только в том, что системы сконфигурированы совершенно непохожим образом. Чтобы такая программа работала, нужно, чтобы злоумышленнику было известно очень многое.
>>А что мы
>>А что мы всё-таки пытаемся придумать: вирус или троян?
С точки зрения безопасности все равно. Троян и вирус по сути есть уязвимость несанкционированного исполнения кода на удаленном хосте. Проблема что под вендой что под никсами одна и та же. Отношение к ней разное. С точки зрения маркетинга проще подменить понятие уязвимость понятием "вредоносная программа" и впарить за бабки средство борьбы с оными. С точки зрения безопасности надо отлавливать уязвимость и вносить соответсвующие исправления в используемое ПО. Именно поэтому вирусы под никсами не распространяются.
>>Проблема только в том, что системы сконфигурированы совершенно непохожим образом.
Для генты верно. А что с хведорой, или макосью? Болшинство нубов юзают ось изкарроппки. Тоесть с конфигами по дефолту. Однако об вирусных эпидемиях на никсах никто не слышал.
Можно еще сказать что никсы мало распространены. И вот поэтому..... Но это бред. На заре мс доса, когда оно еще и в сеть лазить не умело (да и сетей то особо не было) оно уже "болело верусяккой". В то же время на никсовых хостах (а их в штатах было было поболе нежели персоналок) про "вирусы" никто и не слышал.
Quote: Можно еще
А как же приснопамятный "червь Морриса"?
--
Live free or die
Мне кажется,
Мне кажется, тут ещё слабое место — подмена su. Правда, что такое execve, я не знаю, поэтому прошу поподробнее (-:Е
man execve Sony Vaio SZ460
man execve
Sony Vaio SZ460 Premium, Core2Duo 2.0, hdd=200G:7200, mem=2G, hybrid video: nvidia 7400 + GMA 950
А давайте
А давайте попробуем эту виртуальную реальность воплотить на практике? :)))
И посмотрим что получится.
--
Live free or die
Можно
Можно попробовать. Jabber в профиле, могу поделиться реализациями модуля, подменяющего всё, что нужно, без использования привилегий root.
Поделиться
Поделиться результатами не забудьте (-:Е
как очиститься?
У меня именно такой или похожий прорыв произошел. (система Gentoo - 2.6.11, в группу wheel вхожу)
Получил я письмо с заголовком, типа "вам пишут из вашего банка". Любопытно стало, открыл это письмо (думал, что я очень умный, не куплюсь на удочку). Но текста там не было. Сразу после открытия этого письма система начала резко тормозить.
Я перезагрузил систему. Все казалось нормальным. А так как меня вопросы безопасности не волновали (нет ничего важного), продолжил работать.
Результаты -
1) с моего компа начал уходить спам. При удалении юзера, с чьего адреса шел спам, через неделю спам начинал идти с другого юзера.
2) начали тормозить окна kdeveloper, kwriter (какие-то фоновые процессы), потом начались зависания,
3) Потом дело дошло до домашнего ПК (где нет Инета), прошло через флешку, подозреваю через *.pyc файлы.
4) антивирус clamav не реагирует
Получив такой опыт, я излечился от детской наивности в непробиваемость линукса и отсутствии в нем вирусов и дыр, о чем так много кричат в Инете. Чего и всем желаю.
Я полностью переустановил с нуля Gentoo. Надеюсь, это вылечил систему? Или опять же возможно создание вируса, который может защититься от переустановки, например спрятавшись на виндовских разделах??????
Ндя, не курите
Ндя, не курите больше на ночь. Удачи в борьбе с вирусами в Linux. Ибо сложно бороться с тем, чего невозможно найти.
_______________________
From Siberia with Love!
Сначала нужно
Сначала нужно найти траву!
Вот я и предлагаю для начала найти (создать/разработать) вирус (ну или троян) для Linux.
:)))
--
Live free or die
Как Вы узнали,
Как Вы узнали, что от Вас уходит спам?
Удалось ли узнать как именно произошло заражение через письмо? Если там даже текста не было.. значит сплойт это какой-то был? Видимо весьма неслабый по функционалу.
>> Как Вы узнали,
>> Как Вы узнали, что от Вас уходит спам?
На меня пожаловались коллеги. А как произошло заражение - уже быльем поросло, ничего дополнительного не помню.
Единственное, что меня настораживает в этой ситуации, что то письмо было именно на мой адрес, а не пришло как спам.
И что то письмо пришло после того, как мои бывшие работодатели узнали, что я продолжаю разрабатывать ту же тему и что существенно продвинулся. Опять же все это скорее домыслы.. Все равно, на всякий случай, я защитил коды 3 авторскими свидетельствами.
Защищайтесь, господа.