LINUX.ORG.RU

Возможная компрометация Linux-системы при подключении USB-drive

 , , ,


0

0

Не так давно один из разработчиков IBM X-Force, Джон Ларример (Jon Larimer), продемонстрировал возможность распространения вредоносного кода через организацию автоматического выполнения кода после установки USB-носителя в системах с операционной системой на базе ядра Linux.

Первая из подобных возможностей — использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра.

Другой вариант — использование уязвимости в библиотеках подготовки эскизов. Так как в некоторых современных дистрибутивах Linux при добавлении нового USB-носителя автоматически запускается файловый менеджер и процесс построения эскизов. Таким образом, USB-носитель, содержащий специальным образом сформированные файлы (PDF, TIFF и прочие), может вызвать компрометацию системы на этапе построения эскизов.

Ещё один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем. О том, насколько внимательно пользователи читают сообщения и какую кнопку обычно нажимают, все мы прекрасно знаем.

В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.

Подробнее о том, какие уязвимости могут быть использованы для компрометации системы, можно почитать по ссылке на opennet.ru.

>>> Подробности

★★★★★

Проверено: JB ()
Последнее исправление: Klymedy (всего исправлений: 6)
Ответ на: комментарий от shimon

Линукс изначально ориентирован на пользователей, которые представляют что делают и не переспрашивает, если ему отдать команду rm -rf /bin или /home, а просто делает. Автоматическое монтирование флешек — как раз плюшка с точки зрения удобства и вопрос перед запуском чего бы там не было с флешки — то же самое. Так что не вижу чем тут поведение отличается в худшую сторону от любой из имеющихся ОСей. К тому же хотел бы отметить, что линукс никогда не позиционировался как «безопасная система для хомячков», ибо последние, мечась по клетке могут и кормушку опрокинуть и лапку в колесе сломать. На них нацелена система MacOsX, авторства фирмы Вам, судя по Вашему аватару, знакомой.

zink ★★
()
Ответ на: комментарий от shimon

Так же хотел бы отметить, что гадости сами как раз не запускаются. Их запуск требуется подтвердить, то есть по сути не сильно отличается от любого .sh файла на флешке, который пользователю самому и придётся запустить. К сожалению ни одна ОСь не может исправить проблему, которая сидит перед монитором.

zink ★★
()

Не позволяй софту быть умнее тебя, и всё будет прекрасно.

arknir
()
Ответ на: комментарий от Nirdosh

Ага, взаимно. Способы компрометации: 1. Использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра. 2. Использование уязвимости в библиотеках подготовки эскизов. Т.к. некоторые современные linux-дистрибутивы при добавлении нового USB-носителя автоматически запускается файловый менеджер и запускается процесс построения эскизов. Таким образом USB-носитель, содержащий специальным образом сформированные файлы (PDF, tiff, etс), может вызвать компрометацию системы на этапе построения эскизов. 3. Еще один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем.

Способов возможной компрометации 3. Не обязательно использовать третий способ. И кто тут читает жопой?

[opennet]В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10. Для организации выполнения кода использовалась уязвимость в коде приложения Evince, используемого в Nautilus для формирования эскизов для DVI-документов. При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки. В то же время докладчик резонно указал на слабую энтропию ASLR и недостатки AppArrmor. В момент вставки накопителя был активен хранитель-экрана, который не повлиял на автоматический запуск Nautilus и эксплуатацию в процессе создания эскизов.[/opennet]

anonymous
()
Ответ на: комментарий от zink

> На них нацелена система MacOsX, авторства фирмы Вам, судя по Вашему аватару, знакомой.

Ты в курсе, что там авторан как класс не работает? А инсталлятор, если нужно какой-то скрипт пре-инсталляции запустить, переспросит?

При этом в логе можно наблюдать, чего он на самом деле делает.

shimon ★★★★★
()
Ответ на: комментарий от Shlyapa

> Все-таки хочется послушать, в чем вина конкретно «Шуттлевортха» в том, что в Наутилусе есть авторан.

Он такое предложил еще до того, как фридесктоп принял.

shimon ★★★★★
()
Ответ на: комментарий от zink

>К сожалению ни одна ОСь не может исправить проблему, которая сидит перед монитором.

Может, если монтировать всю втыкаемую медию с noexec. Если пользователю надо набирать sh /media/thumbdrive/autorun.sh или /lib/ld-linux.so.X /media/thumbdrive/binary, то это уже не авторан будет, а уверенное ССЗБ.

shimon ★★★★★
()
Ответ на: комментарий от xorik

> подарить затрояненую флешку

не флешку, а «специальную программируемую USB-плату» тогда уж. :D

trueshell ★★★★★
()

«При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки. »

очередной сферический вирус в вакууме?

anonymous
()
Ответ на: комментарий от zink

>Так же хотел бы отметить, что гадости сами как раз не запускаются. Их запуск требуется подтвердить, то есть по сути не сильно отличается от любого .sh файла на флешке, который пользователю самому и придётся запустить.

Если долго грузить пользователя окошками с предложениями выполнить лажовую операцию, то велика вероятность что однажды они продолбят ему мозг, он протупит и ответит на вопрос неправильно. И вдобавок, если скрипты запускаются сами, то вероятнось что их код прочтут перед выполнением, со временем стремится к нулю.

Napilnik ★★★★★
()

Про эскизы рак какой-то. Файлы, для которых эскизы делаются, что, только на флешке приносятся? И что, ошибки бывают только в библиотеках, связанных с обработкой эскизов? Он бы уже сказал, что на линуксе и музыку слушать опасно, потому что можно сделать специальный mp3-файл, при открытии которого плеером будет автоматически выполняться некий код, чоужтам.

Shlyapa ★★
()
Ответ на: комментарий от Komintern

в *опу все ваши убунты с вашими авторанами.

все больше убеждаюсь, что ubuntu - все меньше linux.

Плюсую. Монтирую через UUID из меню OpenBox - легко и удобно.

partyzan ★★★
()
Ответ на: комментарий от shimon

Мало ли кто что предложил, реализовали-то это разрабы Наутилуса. А кто у нас основной пильщик гнома? Редхат? Новелл?
А сам Марк вообще с гнома съезжает.

Shlyapa ★★
()
Ответ на: комментарий от BattleCoder

> это только в какой-нить бубунте по умолчанию флешечека сама открывается

По умолчанию ничего само не открывается, но ССЗБ могут настроить, чтоб отрывалось

ubuntu!=linux


fox@darkstar:~$ lsb_release -d
Description:   Ubuntu 10.04.2 LTS
fox@darkstar:~$ uname -sr
Linux 2.6.32-29-generic

:-D

Cancellor ★★★★☆
()
Ответ на: комментарий от anonymous

>Способов возможной компрометации 3. Не обязательно использовать третий способ. И кто тут читает жопой? Вас уже как минимум двое. первый и второй к freedesktop не имеет отношения.

Nirdosh
()
Ответ на: комментарий от Nirdosh

Да и вообще тема к тем масштабам, что творятся на винде, не имеет никакого отношения. Могу только посочувствовать строителям ботнетов, которым придется колупаться в исходниках либ и фс, дабы отыскать баги, и потом пытаться получить рута дабы внедрить троянчика(который тоже придется компилять под разные дистры(разные версии дистров) или статически прифигачивать к своему троянчику все либы). Особено будет смешно, когда первый вменяемый обнаруживший вирус отправит баг, и n-месячное задротство ботопейсателя накроется медным тазом.

Nirdosh
()

мда, прав был izen когда говорил что фря круче линукса - там при втыкании флешки сразу кернел паник был

Deleted
()
Ответ на: комментарий от shimon

Докатились

Гы! Так и хочется продолжить «заметило обкусанное яблоко».)))

Но все же скажу другое: в ж*пу автораны, чем их меньше, тем жить проще (и лучше!).

anonymous
()
Ответ на: комментарий от Cancellor

> fox@darkstar:~$ lsb_release -d

Description: Ubuntu 10.04.2 LTS


darkstar

Ubuntu



Не позорил бы славный darkstar.. (дефолтный хостнейм слаки)

some-body ★★
()
Ответ на: комментарий от MyFreedom

Или ссылку кидать на картинку где тётка с сиськами и мужик бумажку SARCASM держит?

Опа-опа, давай!

ostin ★★★★★
()

Возможная компрометация Linux-системы...

А ещё можно воткнуть железную ложку в USB-порт. Linux тоже упадёт. И винда упадёт. Да что угодно упадёт.

Бида-бида. И когда же выпустят ложкопатч этой уязвимости? Или против лома нет приёма, потому-что уязвимость аппаратная?

anonymous
()

Погуглите что такое «компрометация»

bigfrogg
()
Ответ на: комментарий от shimon

> Модель «папа, можно, я порулю? — Да... то есть нет, лять, мы стремительно теряем высоту, какого хрена!!!» изначально небезопасна. Модель «сиди и не рыпайся, пока я четко не скажу дважды» намного прочнее.

вообще-то в том случае было «папа, можно, я порулю?.. отдай управление, автопилот, отдай управление живо, давай-давай не выпендривайся! — ...лять, мы стремительно теряем высоту, какого хрена!!!»

unC0Rr ★★★★★
()
Ответ на: комментарий от anonymous

>При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки.

а еще он 100% сидел под рутом и на все предложения запустить хоть какой-то вирус отвечал согласием.

devl547 ★★★★★
()

Эм... ну что сказать, наутилус - квинтэссенция заботы гнома о пользователях, программы работающей более по дурацки я пока не видел...

F457 ★★★★
()

Будут вирусы - будет и борьба с ними. А то панику подняли, вирусы, ужас, так жить больше нельзя, мы все умрём, надо обратно на оффтопик переходить и т. д.

Джон Ларример указал на потенциальную возможность и больше ничего.

П.С. Не совсем понятно, в каком контексте мы здесь обсуждаем мак.

adepto
()
Ответ на: комментарий от monsta_kill

>Давай пример, для включения которого не нужно будет вводить пароль админа :)

Даже в Windows под анально ограниченным пользователем сложно подхватить вирус

MyFreedom ★★★
()
Ответ на: комментарий от anonymous

> отключение превью в ФМ _не_спасет_ от прохождение вируса. СЮРПРИЗ.

А мой mc и не знает. Всё, теперь будем бояться.

Sadler ★★★
()

«компрометация»? это не по-русски.

anonymous
()
Ответ на: комментарий от Nirdosh

>Могу только посочувствовать строителям ботнетов, которым придется колупаться в исходниках либ и фс, дабы отыскать баги, и потом пытаться получить рута дабы внедрить троянчика

Чтобы прописаться в автозапуске или хомяковых *.desctop файлах нужен рут?

(который тоже придется компилять под разные дистры(разные версии дистров) или статически прифигачивать к своему троянчику все либы)

Не надо проецировать типичные сишные корявости на другие языки. Кроссдистрибутивность и статика самого важного, нормально работают искаробки, а версии glibc и прочее проблемное разделяемое ПО такие программы не интересуют. Ну не нужны они им для запуска и нормального функционирования, они нужны лишь для окружения. Несколько больший размер бинаря лечится strip + upx. Просто, пока винда в моде, кодить такое под линукс реальным пацанам в лом.

Особено будет смешно, когда первый вменяемый обнаруживший вирус отправит баг, и n-месячное задротство ботопейсателя накроется медным тазом.

Дык антивирусы под линь не ставят, значит основную часть кода можно будет юзать много много раз с минимальными изменениями, только придумать новое название файла, пути и способ попадания в систему.

Napilnik ★★★★★
()
Ответ на: комментарий от Shlyapa

> А сам Марк вообще с гнома съезжает.

Натуральный кочевник. Приехал, нагадил, съехал, а вы разбирайтесь.

shimon ★★★★★
()
Ответ на: комментарий от Napilnik

> Дык антивирусы под линь не ставят, значит основную часть кода можно будет юзать много много раз с минимальными изменениями

Появление вирусов сподвигнет софтописателей устранять уязвимости в своих детищах, так что глобально, я считаю, для OpenSource вирусы это не столько проблема, сколько фактор, повышающий качество кода. Вот в мире проприетарщины это проблема, да.

Sadler ★★★
()
Ответ на: комментарий от Sadler

>Появление вирусов сподвигнет софтописателей устранять уязвимости в своих детищах, так что глобально, я считаю, для OpenSource вирусы это не столько проблема, сколько фактор, повышающий качество кода. Вот в мире проприетарщины это проблема, да.

Да, да, да, счас. Никакой легальный репозиторий не согласится принять в себя ПО нарушающее лицензии. А если его будет много и возникнет устойчивый спрос?

Napilnik ★★★★★
()

Ждем ебилдов^Wпатчей.

Loki29 ★★
()

Какие то они больно параноидальные усi. А ну як же систiме не похей, коли користувач в окремій туалетній кабінці сидить?

darkshvein ☆☆
()

тухлый вброс с толстенным намёком на офтопик. как будто специально для оживления ЛОРов.

про тумбнэйлы вообще не в кассу - типа «при событии А в системе выполняется действие Бэ! и это может нанести вред компутеру!!11адын». ну чо, пусть выключит свой этот чувак. самое безопасное, как известно.

а про разграничение прав процессов (текущая схема явно устарела и не подходит для десктопных use-case'ов) и возможности ограничения потребления ресурсов системы - вопрос гораздо более широкий.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.