Aanval met usb-disk kan ook onder Linux
Ook Linux is vatbaar voor aanvallen met een usb-opslagmedium. Volgens een onderzoeker kunnen kwetsbaarheden worden gebruikt om gebruikersdata te stelen of een rootkit te installeren door een usb-schijf in een Linux-pc te steken.
Beveiligingsonderzoeker Jon Larimer, die werkt voor IBM, vertelde dat op Shmoocon. De onderzoeker waarschuwde voor aanvallen op Linux-pc's door middel van usb-opslagmedia die in de pc's worden gestoken. Het is alom bekend dat oudere Windows-versies vatbaar waren voor 'autorun'-aanvallen, waarbij malafide programma's automatisch werden gestart door een usb-schijf in een computer te steken. Ook bij Linux is dit echter mogelijk, waarschuwde Larimer.
Hoewel de relevante Linux-distributies het automatisch starten van programma's zonder bevestiging van de gebruiker officieel niet ondersteunen, maken beveiligingsproblemen het toch mogelijk om 'autorun'-aanvallen uit te voeren. Daardoor wordt het bijvoorbeeld mogelijk om bestanden te kopiëren, backdoors te installeren en de gebruikersrechten op te hogen.
Larimer schreef zelf een exploit dat het mogelijk maakt om een met wachtwoord beveiligde screensaver te omzeilen en zo toegang tot de pc van een gebruiker te krijgen. De onderzoeker schreef de exploit voor Ubuntu 10.10 in combinatie met de grafische desktop Gnome. De exploit maakt gebruik van de met Ubuntu meegeleverde bestandsbeheerder Nautilus. Dankzij Nautilus worden opslagmedia die worden aangesloten automatisch aangekoppeld.
Bovendien genereert Nautilus thumbnails voor alle bestanden in de root-directory van een opslagmedium, ook als een gebruiker zijn systeem gelockt heeft. De onderzoeker gebruikte een kwetsbaarheid bij het maken van thumbnails van dvi-bestanden. Bij het laden van fonts injecteert Larimer zijn eigen code. De onderzoeker is er nog niet in geslaagd om de beveiligingsmodule AppArmor te omzeilen, maar dat lijkt een kwestie van tijd. Gebruikers kunnen zich tegen de beveiligingskwestie beschermen door het automatisch mounten van opslagmedia uit te schakelen, aldus Larimer.
Reacties (147)
Allemaal wel leuk en aardig, Linux is niet echt interessant mensen die uit zijn op dergelijke gegevens. Linux heeft namelijk nog altijd maar een paar procent van de markt in handen. Het gros gebruikt nog steeds windows.
Wat geen systeembeheer gegevens?
Dat is zo, maar gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt, omdat ze denken dat ze nergens vatbaar voor zijn. Bovendien draaien belangrijke servers vaak Linux, dus daar is wel wat te halen.
O, is dat zo.... Kom eens met een paar feiten dan?
Wat je hier stelt is helemaal nergens op gebaseerd.
Wat je hier stelt is helemaal nergens op gebaseerd.
Ook zonder harde feiten is zoiets een beetje te beredeneren. Waar Linux gebruikers altijd prat op gaan, is dat Linux veiliger is dan Windows. Toch? 
Als al niet eens alle Windows gebruikers antivirussoftware gebruiken, dan kun je er vanuit gaan dat dankzij datzelfde idee het aantal Linux gebruikers met antivirussoftware lager zal zijn dan dat bij Windows.
Op zich geen rare gedachtegang toch, of het nu op harde feiten berust is of niet. Maar ik ben inderdaad zelf ook wel benieuwd naar het gebruik van dergelijke software onder Linux gebruikers.
edit: Ik bedoel hiermee niet dat ik de uitspraak 'gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt' onderschrijf. Maar ik denk ook niet dat Jeroen dat zo letterlijk bedoelde.
Als al niet eens alle Windows gebruikers antivirussoftware gebruiken, dan kun je er vanuit gaan dat dankzij datzelfde idee het aantal Linux gebruikers met antivirussoftware lager zal zijn dan dat bij Windows.
Op zich geen rare gedachtegang toch, of het nu op harde feiten berust is of niet. Maar ik ben inderdaad zelf ook wel benieuwd naar het gebruik van dergelijke software onder Linux gebruikers.
edit: Ik bedoel hiermee niet dat ik de uitspraak 'gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt' onderschrijf. Maar ik denk ook niet dat Jeroen dat zo letterlijk bedoelde.
[Reactie gewijzigd door Cloud op 8 februari 2011 15:22]
Waarbij je compleet voorbij gaat aan dat linux-gebruikers vaak meer computer-onderlegd zijn dan windows-gebruikers.
In welke groep zullen de meeste digibeten zitten denk je?
Stel: morgen komt een update uit voor windows en linux. Waar blijft het probleem het langste bestaan? (denk er ook even aan dat iedereen met een illegale windows -ooit geinstalleerd door een neefje- geen updates zal installeren)
Een virusscanner is niet heilig. Het is hooguit een hulpmiddel, het loopt altijd achter de feiten aan. Met weten waar je mee bezig bent, bereik je meer.
In welke groep zullen de meeste digibeten zitten denk je?
Stel: morgen komt een update uit voor windows en linux. Waar blijft het probleem het langste bestaan? (denk er ook even aan dat iedereen met een illegale windows -ooit geinstalleerd door een neefje- geen updates zal installeren)
Een virusscanner is niet heilig. Het is hooguit een hulpmiddel, het loopt altijd achter de feiten aan. Met weten waar je mee bezig bent, bereik je meer.
Over het algemeen genomen, absoluut waar.Waarbij je compleet voorbij gaat aan dat linux-gebruikers vaak meer computer-onderlegd zijn dan windows-gebruikers.
Windows gebruikers, by far.In welke groep zullen de meeste digibeten zitten denk je?
Ook dat is helemaal waar.Een virusscanner is niet heilig. Het is hooguit een hulpmiddel, het loopt altijd achter de feiten aan. Met weten waar je mee bezig bent, bereik je meer.
Waar ik meer op doel, is de gewone consument die tegenwoordig ook Ubuntu kan kiezen. Ja het aantal is laag, maar er zijn o.a. een flink aantal tweakers die bij familie/vrienden tegenwoordig Ubuntu erop mikken. Gelijk hebben ze, maar het aantal Ubuntu gebruikers zónder kennis, is groeiende. Waar ik benieuwd naar ben is, hoe zit het met de voorzorgsmaatregelen in die groep die mogelijk onterecht denkt dat ze sowieso veilig zitten.
Awareness is natuurlijk het allerbelangrijkste, dat ben ik met je eens. Maar helaas valt dat niet met een update of patch naar de juiste plaats (de gebruiker) te sturen
Ook al ben ik nog steeds benieuwd naar hoe het zit met het gebruik van antivirussoftware onder Linux gebruikers; óók bij de technisch onderlegde gebruiker. Ik ben er zelf ook een, maar draai ondanks dat ook altijd up-to-date antivirus. Waarom? Niet omdat ik nu zoveel virussen tegenkom met mijn common sense. Ik kan me de laatste zelfs niet herinneren. Maar 'zelfs ík' zal eens een inschattingsfout kunnen maken en daarnaast ben je nog altijd afhankelijk van exploits in de software die je gebruikt. Je volledig veilig wanen door je eigen common sense, is m.i. net zo fout als je volledig veilig wanen op Linux.
Het zou maar zo kunnen dat dit al in kernel 2.6.38 gepatched is, iedereen kan meewerken aan de kernel, dus er zal vast wel iemand iets voor maken.
Dat is ook wel een zwaktebod. "Iemand fixt het wel". Net zoals "Iemand" dit de eerste instantie de wereld heeft ingeholpen.
Ik kan ook als "Iemand" verkondigen dat dit probleem opgelost is in een changelog. En vervolgens deze autorun exploit breed in gaan zetten.
Ik kan ook als "Iemand" verkondigen dat dit probleem opgelost is in een changelog. En vervolgens deze autorun exploit breed in gaan zetten.
maar op die manier is er intussen wel een stabieler en veiliger systeem ontwikkeld dan door bijv. MS.......dus wat is je punt?
stabieler.. hoezo
stabieler? hoezo?
dat is toch sinds windows 2000 al lang geen issue meer.
vei;liger?
Dat moet nog blijken in de grote praktijk en dit soort exploits helpt daar niet bij
?
stabieler? hoezo?
dat is toch sinds windows 2000 al lang geen issue meer.
vei;liger?
Dat moet nog blijken in de grote praktijk en dit soort exploits helpt daar niet bij
?
Argument van stabiel staat al tijden op losse schroeven. Ik heb 2k servers in eigen netwerk gehad met een uptime van zo'n 2 jaar.
Wil het er niet al te dik bovenop leggen maar dat is mijn ogen meer dan stabiel genoeg.
Wil het er niet al te dik bovenop leggen maar dat is mijn ogen meer dan stabiel genoeg.
ik wil hier even aan toevoegen dat mijn windows bak al 10 jaar uptime heeft en mijn oude linux bak maar 6.5 jaar .. dus in mijn ogen wint windows het op alle fronten inmiddels. het is puur het idee dat men linux veiliger acht, want dit is gewoon pertinent niet zo . bovendien is windows 7 een stuk sneller dan welk linux distro met vergelijkbare grafix en mogelijkheden.
Dat laatste betwijfel ik sterk. Als ik van Windows 7 naar Kubuntu 10.10 overschakel met alle grafische toeters en bellen aan dan is er geen merkbaar verschil in snelheid. De KDE desktop lijkt soepeler te blijven reageren.
Als het systeem niets hoeft te doen zal het wel blijven draaien ......het zegt dan meer over de hardware dan het OS.
Ik heb windows, OSX en linux draaien. Raad eens op welke machine een Antivirus pakket geinstalleerd is? Natuurlijk weet ik dat OSX en Linux ook niet veilig zijn maar bruikbare desktop antivirus software is voor die twee OSen een stuk moeilijker te krijgen en de kans op besmetting (tot op heden) veel kleiner. Weten dat beveiliging handig is, wil niet zeggen dat je het ook toepast....
Nou ik update mijn Linux systemen bijna nooit omdat je altijd gezeik hebt met het opnieuw compileren van modules.
welke linux gebruik jij dan?
welke distro heb jij dan? Gentoo? slackware?
misschien (ik weet het niet) zijn er juist heel veel linux gebruikers die linux gebruiken OMDAT het veiliger is, hetgeen meteen een weerlegging zou zijn van de uitspraak "gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt"
Zo bedoelde ik het inderdaad niet. Dan zou ik die uitspraak meteen zelf weerleggen, dat klopt. Heb mijn reactie inmiddels aangevuld; die uitspraak wil ik zeker niet onderschrijven.
misschien is de aarde wel ovaal .. je weet t nie...
om je even in de realiteit te helpen.. nee linux is niet veiliger en ja de gemiddelde gebruiker van een linux is net zo slordig en niet-wetend dan een windows gebruiker. wat er dus op neer komt dat het grootste deel van een beveiliging er vooral op neerkomt of de gebruiker dit toepast in zijn systeem en deze up-to-date houd.
om je even in de realiteit te helpen.. nee linux is niet veiliger en ja de gemiddelde gebruiker van een linux is net zo slordig en niet-wetend dan een windows gebruiker. wat er dus op neer komt dat het grootste deel van een beveiliging er vooral op neerkomt of de gebruiker dit toepast in zijn systeem en deze up-to-date houd.
Volgens mij zegt niemand dat. Het is wel zo dat in Windows concessies gedaan in het belang van gebruiksvriendelijkheid die ten koste van veiligheid gaan/gingen.Ook zonder harde feiten is zoiets een beetje te beredeneren. Waar Linux gebruikers altijd prat op gaan, is dat Linux veiliger is dan Windows. Toch?
Denk aan autostart
Na inloggejn admin rechten hebben.
Zonder adminstrator te worden door OK te klikken programma's kunnen installeren die administrator rechten nodig hebben.
Mogelijk dat de zelfde gedachte deze onveiligheid in Ubuntu gebracht heeft.
Voor de duidelijkheid.
Ubuntu = Linux
Linux != Ubuntu
Het zelfde geldt voor openSuSE. Fedora, Debian, Mandriva, Centos, etc
Bugs in een bepaalde Linux distro hoeven geen standaard bug te zijn.
De noodzaak voor antivirus software voor Linux bestaat nog niet omdat er zo goed als geen virussen voor Linux bestaan.Als al niet eens alle Windows gebruikers antivirussoftware gebruiken, dan kun je er vanuit gaan dat dankzij datzelfde idee het aantal Linux gebruikers met antivirussoftware lager zal zijn dan dat bij Windows.
Ik kan nu natuurlijk geen citaat vinden, maar ik heb dat echt wel eens horen zeggen hoorVolgens mij zegt niemand dat. Het is wel zo dat in Windows concessies gedaan in het belang van gebruiksvriendelijkheid die ten koste van veiligheid gaan/gingen.
Wat betreft die concessies in Windows, dat klopt. Dat hebben ze gelukkig in Vista verbeterd (misschien wat overdreven zelfs) en in Windows 7 behoorlijk vervolmaakt. UAC is nog wel aanwezig maar lang niet zo storend meer als vroeger, terwijl je toch zonder administrator rechten werkt. Die concessies van vroeger zijn inderdaad absoluut niet handig geweest en ontbreken in de historie van Linux. Dat helpt inderdaad behoorlijk.Maar is dat nu juist niet die fatale aanname? Zolang het aantal gebruikers (met weinig kennis) blijft groeien en dát idee blijft bestaan, heb je als virusmaker een groeiend doelwit dat zich onterecht slecht beschermd.De noodzaak voor antivirus software voor Linux bestaat nog niet omdat er zo goed als geen virussen voor Linux bestaan.
Ik zeg ook niet dat het nu al een probleem is, maar ik denk wel dat met de groeiende populariteit van Ubuntu, dit een probleem kan worden.
Ik denk dat wel meevalt.Maar is dat nu juist niet die fatale aanname? Zolang het aantal gebruikers (met weinig kennis) blijft groeien en dát idee blijft bestaan, heb je als virusmaker een groeiend doelwit dat zich onterecht slecht beschermd.
Als dit een probleem wordt, zal dit direct in een distro meegenomen worden. Aangezien dat er ergens tussen de 6 en de 9 maanden een nieuwe versie uit komt kan dit direct meegenomen worden. En het kan via het update systeem gedaan worden.
Een distro bouwer voelt zich in het algemeen verantwoordelijk voor de initiële veiligheid van de gebruiker.
Ik geloof sowieso niet in een virusscanner. Je moet niet scannen dat te koste van performance gaat je moet een systeem immuniseren.
Tegen gebruikers die alles runnen en installeren zonder na te denken kun je je nooit wapenen. Dat geldt voor zowel voor Linux, Windows, OSX etc.
Zeker, als iedereen Ubuntu gaat installeren wordt Ubuntu vanzelf virus-vatbaarder. Het is net zoals een beveiligd huis; zolang jouw huis veiliger is dan je buren, wordt er bij jou niet ingebroken *, maar als de buren hun huis gaan beveiligen, is het waarschijnlijker dat er bij jou ingebroken gaat worden.
Windows is gewoon lek. Niet alleen omdat het hele gebruikersvriendelijkheids gedoe zo ver is doorgevoerd, maar ook omdat veel mensen het antieke XP gebruiken, geen updates installeren en het gewoon een grote markt is.
Linux daarentegen, heeft meer gevorderde gebruikers, weinig mensen die dezelfde versie hebben, een gigantische lading (semi-)hackers die hun eigen hacks op Linux onklaar willen maken ivm eigen "veiligheid", etc, etc...
Linux heeft hierdoor (tot nog toe) geen virusscanner nodig imho. Als je veilig wil zijn, installeer je SELinux, maar dan ben je ook gewoon goed. Verder gewoon geen gekke internet-based commando's in gaan lopen typen, zelf je firewall proberen te "verbeteren", en je loopt weinig risico.
* kans is kleiner, maar natuurlijk; het blijft kans
Windows is gewoon lek. Niet alleen omdat het hele gebruikersvriendelijkheids gedoe zo ver is doorgevoerd, maar ook omdat veel mensen het antieke XP gebruiken, geen updates installeren en het gewoon een grote markt is.
Linux daarentegen, heeft meer gevorderde gebruikers, weinig mensen die dezelfde versie hebben, een gigantische lading (semi-)hackers die hun eigen hacks op Linux onklaar willen maken ivm eigen "veiligheid", etc, etc...
Linux heeft hierdoor (tot nog toe) geen virusscanner nodig imho. Als je veilig wil zijn, installeer je SELinux, maar dan ben je ook gewoon goed. Verder gewoon geen gekke internet-based commando's in gaan lopen typen, zelf je firewall proberen te "verbeteren", en je loopt weinig risico.
* kans is kleiner, maar natuurlijk; het blijft kans
Het hele idee van anti-virus is het blacklisten van programma's. Ubuntu pakt het slim aan door gebruikers software te laten installeren van een vertrouwde bron. Dat is whitelisten.
Als je slim genoeg bent om software buiten de "store" te gaan gebruiken dan moet je niet opkijken als je je systeem besmet van iets op www.downloadhereyourrootkit.com.
Als je slim genoeg bent om software buiten de "store" te gaan gebruiken dan moet je niet opkijken als je je systeem besmet van iets op www.downloadhereyourrootkit.com.
Dan mis je echt ergens wat. Veiliger en stabieler zijn altijd per definitie de sleutelwoorden die naar boven komen als er ergens weer zo'n nutteloze "welk os is het beste" discussie gevoerd wordt waar Windows, Linux en OSX het tegen elkaar mogen opnemen.Volgens mij zegt niemand dat.
Maar het grootste probleem imho is dat je al fysieke toegang nodig hebt tot het systeem. Bijkomend als je over servers spreekt is er vaak geen enkele gebruiker ingelogd en draaien grafische systemen niet. Er zal dus ook geen enkele verwerking gebeuren na het insteken van een stick. Hier word al gebruik gemaakt van een zwakte in gnome en zelfs dan zit er nog een beveiliging in de weg.
Niemand mag beweren dat Linux (of elk ander niet windows systeem) veilig is. Alles heeft gebreken, maar het moet praktisch eenvoudig zijn om er echt misbruik van te maken.
Niemand mag beweren dat Linux (of elk ander niet windows systeem) veilig is. Alles heeft gebreken, maar het moet praktisch eenvoudig zijn om er echt misbruik van te maken.
Heeft nou niemand in de gaten dat dit een exploit is? Hm. Wat is een exploit ook alweer?
Owja, dat is misbruik maken van iets dat is bedacht om het de gebruiker makkelijker te maken.
De oplossing is niet meer automatisch mounten en autorun uitzetten. Wat windows overigens wél standaard doet. Wat betekent dat je alles met 't handje moet aanslingeren.
Het gebruikersgemak gaat verloren, maar 't wordt een beetje veiliger.
Jij mag kiezen.
Owja, dat is misbruik maken van iets dat is bedacht om het de gebruiker makkelijker te maken.
De oplossing is niet meer automatisch mounten en autorun uitzetten. Wat windows overigens wél standaard doet. Wat betekent dat je alles met 't handje moet aanslingeren.
Het gebruikersgemak gaat verloren, maar 't wordt een beetje veiliger.
Jij mag kiezen.
Ik lees volgens mij alleen iets twijfelachtigs over een exploit in de screensaver wat los staat van de rest van het verhaal, en iets over beveiligingsproblemen zonder verdere details vrij te geven. Buiten dat is er fysieke toegang nodig om een USB-stick in te pluggen. Op die manier weet ik ook nog wel een paar 'exploits' waarmee dingen geïnstalleerd kunnen worden.
Wat ik me nou afvraag is of er in Linux echt een fout zit die het mogelijk maakt om als niet-root root-permissies te verkrijgen door een USB-stick te openen. Dat zou volgens mij een ernstig lek zijn dat breed in het nieuws zou komen en lijkt me daarom nogal ongeloofwaardig.
Wat ik me nou afvraag is of er in Linux echt een fout zit die het mogelijk maakt om als niet-root root-permissies te verkrijgen door een USB-stick te openen. Dat zou volgens mij een ernstig lek zijn dat breed in het nieuws zou komen en lijkt me daarom nogal ongeloofwaardig.
Klopt, ik lees dit stuk en denk waar is de logica?
Fysieke toegang, autorun >> user >> root >> systemwide... hoezo??? Hoe dan???
Nou ja, onder ubuntu is er via social engineering misschien wel wat mogelijk aangezien er daar nogal wat nieuwelingen rondlopen, vooralsnog is dit een vaag verhaal.
Fysieke toegang, autorun >> user >> root >> systemwide... hoezo??? Hoe dan???
Nou ja, onder ubuntu is er via social engineering misschien wel wat mogelijk aangezien er daar nogal wat nieuwelingen rondlopen, vooralsnog is dit een vaag verhaal.
Stel je hebt auto-run aanstaan (voorwaarde#1), en je USB apparaat mount automatisch (voorwaarde#2), en je het progje dat dan automatisch start, vooropgesteld dat je desktop omgeving niet om toestemming vraagt (dat doet ie dus vaak wel!) (voorwaarde #3) kan achter je screensaver langs het wachtwoord op de screensaver hacken (want daarvoor moet je bijvoorbeeld een shellscript starten), dan heb je hooguit alleen maar de rechten van de gebruiker die is ingelogd. Dat is dan eigenlijk hack#1.
Naast dat er op Ubuntu machines allerlei veiligheidsmaatregelen ingebouwd zijn (ASLR, PIE), mag er op de machine geen of AppArmor o.i.d. geïnstalleerd zijn, want dan werk de hele truuk niet.
En ookal heeft het USB apparaat wel toegang op kernel niveau, het geeft jou dan dus (nog) geen rootrechten. Daarvoor moet je je ook weer in allerlei bochten wringen... dat zou dan hack #2 zijn.
Hier kun je omheen door een backdoor te installeren, want daar heb je geen root rechten voor nodig. Gewoon in de ~/.config/autostart directory droppen, maar ook dan krijg je geen root rechten.
Geloof mij nou maar als ik zeg dat het 'thumbnail-lek' in Nautilus geen garanties biedt. Sommige mensen gebruiken de thumbnail-views niet, hebben thumbnails uitgeschakeld of gebruiken helemaal geen Nautilus.
Hetzelfde geldt natuurlijk voor andere of andere auto-parsers en niet elk script laat zich pushen.
Er zijn dus een hoop aannames en randvoorwaarden waaraan voldaan moet worden voordat een dergelijke 'hack' werkt.
Meneer Larimer uit het filmpje heeft ASLR en AppArmor uitgezet, want anders werkt zijn exploit (nog) niet.
Het is veel makkelijker om FireWire te gebruiken als je dan toch direct toegang wilt krijgen tot een machine. FireWire heeft DMA en als je een andere computer verbindt, dan kun je vrij makkelijk de screensaver passeren. Standaard progje.
Naast dat er op Ubuntu machines allerlei veiligheidsmaatregelen ingebouwd zijn (ASLR, PIE), mag er op de machine geen of AppArmor o.i.d. geïnstalleerd zijn, want dan werk de hele truuk niet.
En ookal heeft het USB apparaat wel toegang op kernel niveau, het geeft jou dan dus (nog) geen rootrechten. Daarvoor moet je je ook weer in allerlei bochten wringen... dat zou dan hack #2 zijn.
Hier kun je omheen door een backdoor te installeren, want daar heb je geen root rechten voor nodig. Gewoon in de ~/.config/autostart directory droppen, maar ook dan krijg je geen root rechten.
Geloof mij nou maar als ik zeg dat het 'thumbnail-lek' in Nautilus geen garanties biedt. Sommige mensen gebruiken de thumbnail-views niet, hebben thumbnails uitgeschakeld of gebruiken helemaal geen Nautilus.
Hetzelfde geldt natuurlijk voor andere of andere auto-parsers en niet elk script laat zich pushen.
Er zijn dus een hoop aannames en randvoorwaarden waaraan voldaan moet worden voordat een dergelijke 'hack' werkt.
Meneer Larimer uit het filmpje heeft ASLR en AppArmor uitgezet, want anders werkt zijn exploit (nog) niet.
Het is veel makkelijker om FireWire te gebruiken als je dan toch direct toegang wilt krijgen tot een machine. FireWire heeft DMA en als je een andere computer verbindt, dan kun je vrij makkelijk de screensaver passeren. Standaard progje.
true, al zou deze "hack" makkelijk te stoppen zijn : namelijk automounten uitschakelen als het systeem gelockt is/op de screensaver draait.
Dan kan je schijven erin duwen wat je wilt, er gebeurd simpelweg niks.
Dan kan je schijven erin duwen wat je wilt, er gebeurd simpelweg niks.
Alhoewel je gelijk hebt gaat het hier toch om een serieus veiligheidslek.
Nautilus (of om het even welk ander programma) mag geen toegang krijgen tot nieuw aangekoppelde hardware wanneer het toestel gelocked is. Het feit dat dit toch kan is verontrustend.
Nautilus (of om het even welk ander programma) mag geen toegang krijgen tot nieuw aangekoppelde hardware wanneer het toestel gelocked is. Het feit dat dit toch kan is verontrustend.
Root heeft toegang tot alles. Welke rechten Nautilus heeft hangt af van de gebruiker die hem uitvoert.
Inderdaad, met sudo nautilus kan je aan je root map, en anders niet.
Het echte probleem is het lek in dvi dat in december al opgelost is.
Ziedeze link.
Deze POC is op een unpatched Ubuntu systeem gedaan?
Ubuntu had al gepatchte package op op 5 januari ( USN-1035-1: Evince vulnerabilities ).
Zie ook deze opmerking:
Ziedeze link.
Deze POC is op een unpatched Ubuntu systeem gedaan?
Ubuntu had al gepatchte package op op 5 januari ( USN-1035-1: Evince vulnerabilities ).
Zie ook deze opmerking:
Ik ben zelf niet zo'n fan van automounten en mijn voorkeur gaat meer uit naar de KDE methode. Waarbij je popup krijgt vanuit de "Device Notifier".In the default installation of Ubuntu 9.10 and later, attackers would be isolated by the Evince AppArmor profile.
leuke van deze hack is dat alleen de fysieke server hackbaar is.
9 van de 10 servers zijn virtueel zeker de belangrijkere.
hoe zie jij het voor je om deze te voorzien van jou usb stickje? Als je al toegang hebt tot het datacenter...
9 van de 10 servers zijn virtueel zeker de belangrijkere.
hoe zie jij het voor je om deze te voorzien van jou usb stickje? Als je al toegang hebt tot het datacenter...
Huh? Ik dacht dat juist goedkope webhosters met 1000 linux instanties op 1 server draaiden maar juist serieuze bedrijfskritische servers niet gevirtualiseerd werden.9 van de 10 servers zijn virtueel zeker de belangrijkere.
ik vind een linux bak die softwarematig opgesplitst is maar 1 iinstallatie blijft een andere vorm van virtualiseren.. het systeem is niet virtueel namelijk
virtueel waar ik op doel is systemen als vmware ESX(i)
dit wordt vaak gedaan ivm redundancy/schaalbaarheid
virtueel waar ik op doel is systemen als vmware ESX(i)
dit wordt vaak gedaan ivm redundancy/schaalbaarheid
Daar is geen xorg c.q. gnome en nautulus op geïnstalleerd. Dat zal daarom geen vaart lopen. Zou IMO er dom zijn, is verspilling van resources en diskruimte.Huh? Ik dacht dat juist goedkope webhosters met 1000 linux instanties op 1 server draaiden maar juist serieuze bedrijfskritische servers niet gevirtualiseerd werden.
Daarbij moet voor deze "hack" gnome draaien c.q. je moet ingelogd zijn. Wie laat een belangrijke server ingelogd en on beheerd achter.
..daarnaast draait de gemiddelde linux server geen gui......
En staat automount af
Ik moet hier toch mashell bijtreden.
Mijn ervaring bij verschillende ondernemingen heeft me geleerd dat bedrijfskritische servers meestal toch niet te virtualiseren zijn. Vaak werd het wel geprobeerd, maar na een maand of twee werd er toch teruggekeerd naar fysische hardware omdat de performantie om te huilen was.
Mijn ervaring bij verschillende ondernemingen heeft me geleerd dat bedrijfskritische servers meestal toch niet te virtualiseren zijn. Vaak werd het wel geprobeerd, maar na een maand of twee werd er toch teruggekeerd naar fysische hardware omdat de performantie om te huilen was.
wie gaat er dan ook 1 op 1 over van oude naar nieuwe omgeving?
dat zijn geen mensen met expertise. sterker nog ik noem het onverantwoord
buiten dat is 2 maanden veel te kort om te finetunen. dit dient ook te gebeuren terwijl je gefaseerd over gaat naar de nieuwe omgeving. dus per afdeling of deel van een afdeling. dan kan je namelijk altijd nog terug... backup is tevens een reden van een gevirtualiseerde omgeving...
dat zijn geen mensen met expertise. sterker nog ik noem het onverantwoord
buiten dat is 2 maanden veel te kort om te finetunen. dit dient ook te gebeuren terwijl je gefaseerd over gaat naar de nieuwe omgeving. dus per afdeling of deel van een afdeling. dan kan je namelijk altijd nog terug... backup is tevens een reden van een gevirtualiseerde omgeving...
Onzin, elk systeem is gatenkaas als je geen aandacht aan beveiliging besteedt. Alleen kost dit bij het ene OS meer moeite dan bij het andere. Alles hangt nog steeds af van de gebruiker; je kunt hooguit het OS out-of-the-box zo veilig mogelijk instellen.
Lol omdat het veiliger is zijn linux / unix / osx gebruikers nalatig.
Een klein deel heb je gelijk b.v. mensen die alles onder root doen.
Voor de rest ...slap verhaal
Een klein deel heb je gelijk b.v. mensen die alles onder root doen.
Voor de rest ...slap verhaal
idd..
post-its met user : root password : toor
is veel gevaarlijker...
het risico dat een 'huisvrouw' een usbkey in d'r linux desktop douwt en vervolgens zonder het te weten een keylogger installeerd, is wel erg klein..
als je nog altijd fysiek toegang tot de computer moet hebben, is het voor de meesten lastig om t systeem te kraken..
en op servers waar gehost wordt zit meestal geen automount, noch dat iemand toegang heeft tot een usb poortje...
maar ik vindt t wel goed dat er nog steeds onderzoek naar beveiliging op een linux desktop is.
slecht beveiligde browsers met (bijv buffer overflow ) exploits zouden me eerder zorgen maken dan een gif executable achtige hack op een automount in nautilus (kde, fluxbox etc zouden deze bug/dit gat niet hoeven te hebben.. maar ok t merendeel draait gnome..)
post-its met user : root password : toor
is veel gevaarlijker...
het risico dat een 'huisvrouw' een usbkey in d'r linux desktop douwt en vervolgens zonder het te weten een keylogger installeerd, is wel erg klein..
als je nog altijd fysiek toegang tot de computer moet hebben, is het voor de meesten lastig om t systeem te kraken..
en op servers waar gehost wordt zit meestal geen automount, noch dat iemand toegang heeft tot een usb poortje...
maar ik vindt t wel goed dat er nog steeds onderzoek naar beveiliging op een linux desktop is.
slecht beveiligde browsers met (bijv buffer overflow ) exploits zouden me eerder zorgen maken dan een gif executable achtige hack op een automount in nautilus (kde, fluxbox etc zouden deze bug/dit gat niet hoeven te hebben.. maar ok t merendeel draait gnome..)
Misschien eens uitzoeken wat Android is? (Verhip: Linux). En die huisvrouw uit jouw voorbeeld is net terug van de Hema en heeft haar foto's uit laten printen op een computer die besmet is... Nu wellicht nog geen werkelijkheid, maar geef het een paar maanden en je zal dit of een vergelijkbaar voorbeeld zien.het risico dat een 'huisvrouw' een usbkey in d'r linux desktop douwt en vervolgens zonder het te weten een keylogger installeerd, is wel erg klein..
Misschien eens uitzoeken wat Android is? (Verhip: geen Linux).
Android maakt gebruik van (een aangepaste versie van) de Linux-kernel en draait met Java-achtige engine.
Daarnaast kan het ook een digitale camera zijn die eerst bij de Hema wordt gebruikt en daarna thuis, het is en blijft een usb-opslag. Dus het hele Android verhaal is kul..
bron: wikiGoogle Android is een opensourceplatform voor mobiele telefoons gebaseerd op de Linux-kernel en het Java-programmeerplatform.
Android maakt gebruik van (een aangepaste versie van) de Linux-kernel en draait met Java-achtige engine.
Daarnaast kan het ook een digitale camera zijn die eerst bij de Hema wordt gebruikt en daarna thuis, het is en blijft een usb-opslag. Dus het hele Android verhaal is kul..
oke dan is debian nu ook geen linux meer.. de basis van ubuntu.(nog?).
Een huisvrouw met linux. J.J.J. Bokma leeft in elke nerd zijn wildste dromen
Zijn de meeste Linux servers niet SLES (Suse) dus met AppArmor? Nu weet ik eerlijk gezegt niet op SLES automount doet, maar ik heb een keer een USB stick erin moeten steken en deze zelf handmatig moeten mounten...
Er zijn genoeg Linux beheerders die paranoïde zijn en juist wel veel beveiligingsmaatregelen nemen. Bij Windows vertrouwen ze juist op "grote merken" terwijl die vaak niets eens rootkits kunnen detecteren.
Er zijn genoeg Linux beheerders die paranoïde zijn en juist wel veel beveiligingsmaatregelen nemen. Bij Windows vertrouwen ze juist op "grote merken" terwijl die vaak niets eens rootkits kunnen detecteren.
Daar is misschien wat te halen, maar weer niet bij te komen. Je hebt om een USB-stick in zo'n ding te proppen wel fysieke toegang nodig. Nogal een flinke drempel, een usb-stick pluggen via internet i vooralsnog niet mogelijk en volgens mij ook niet in ontwikkeling. 
Belangrijke servers zullen waarschijnlijk geen Gnome en Nautilus draaien. Ben benieuwd of de KDE/Dolphin combinatie ook kan worden misbruikt.
als het goed is, draait nautilus niet op ubuntu 10.10 server, niet out of the box in iedergeval, en er draaien al helemaal geen screensavers op.
en wij zijn niet nalatig, we hebben gewoon een goed systeem! en we zijn ook nergens vatbaar voor, denk dat dit binnen 2 dagen gefixed is...
en wij zijn niet nalatig, we hebben gewoon een goed systeem! en we zijn ook nergens vatbaar voor, denk dat dit binnen 2 dagen gefixed is...
Het is al gefixt. Eigenlijk iedereen die iets publiceert over lekken in Linux loopt achter de feiten aan. Tegen de tijd dat je publicatie gelezen wordt is de fix al verspreid.
Zoals in het bericht staat zijn ze nog niet door de beveiligings module app armor heen, die standaart in de kernel wordt gecompiled
Een beetje stigmatiserend maar oké. Beweren te weten wat mensen denken zegt meestal meer over de persoon die de bewering maakt dan hetgeen dat beweerd wordt. Je zal het wel niet zo bedoelt hebben.
Overigens was dit al gefixed. Er was op 3 januari al een patch beschikbaar. Volgens mij draaien ze nu ook thumbernails in enforced mode.
Overigens was dit al gefixed. Er was op 3 januari al een patch beschikbaar. Volgens mij draaien ze nu ook thumbernails in enforced mode.
De gemiddelde server draait geen Gnome, of wat voor desktop dan ook. Eigenlijk iedere server die ik ooit heb beheerd staat X11 niet eens op. Ook doen servers over het algemeen niet aan automounten van usb disks of cdroms.
Verder praat je sowieso onzin. We denken niet dat we nergens vatbaar voor zijn (ieder OS heeft lekken), we denken alleen dat ons systeem by design beter in elkaar zit dan wat er uit Redmond komt. Persoonlijk vind ik virusscanners echter wel overbodig. Je komt namelijk een Linux systeem alleen in door gebruik te maken van lekken (zoals blijkbaar in de DVI software), en lekken horen altijd te worden gedicht. Ipv een virusdefinitie schrijven kun je ook het lek zelf dichten
Dit allemaal in tegenstelling tot windows, dat als standaard functionaliteit gewoon het automatisch uitvoeren van exe's op disks, optische media en usbsticks mee levert.
Verder praat je sowieso onzin. We denken niet dat we nergens vatbaar voor zijn (ieder OS heeft lekken), we denken alleen dat ons systeem by design beter in elkaar zit dan wat er uit Redmond komt. Persoonlijk vind ik virusscanners echter wel overbodig. Je komt namelijk een Linux systeem alleen in door gebruik te maken van lekken (zoals blijkbaar in de DVI software), en lekken horen altijd te worden gedicht. Ipv een virusdefinitie schrijven kun je ook het lek zelf dichten
Dit allemaal in tegenstelling tot windows, dat als standaard functionaliteit gewoon het automatisch uitvoeren van exe's op disks, optische media en usbsticks mee levert.
dat is wel erg kort door de bocht, omdat iemand linux gebruikt zou die dan dus per definitie denken dat niks hem kan raken?
en waarom heb ik dan zelf een package filter en firewall in linux? niet omdat ik denk dat zoiezo niks me kan raken.
een echt geheel veilig systeem bestaat niet, en de meeste linux gebruikers weten dat ook wel.
en waarom heb ik dan zelf een package filter en firewall in linux? niet omdat ik denk dat zoiezo niks me kan raken.
een echt geheel veilig systeem bestaat niet, en de meeste linux gebruikers weten dat ook wel.
Je bedoelt al die duizenden servers die een desktop omgeving met automount draaien? 
Dit is wel handig om de workstation van de beheerder te unlocken als die even weg is, niet om grootschalig te verspreiden als voortplantend virus.
Dit is wel handig om de workstation van de beheerder te unlocken als die even weg is, niet om grootschalig te verspreiden als voortplantend virus.
Daar heb je natuurlijk gelijk in, maar het is wel iets om behoorlijk rekening mee te houden. Ubuntu wordt populairder onder de consument en is zelfs al via bepaalde winkels pre-installed verkrijgbaar. Het zet geen zoden aan de dijk, maar de doelgroep groeit wel.
Dan is het natuurlijk belangrijk om te weten dat Linux toch ook last heeft van bepaalde vormen van aanvallen die allang bekend zijn onder Windows. Dan is het natuurlijk hopen op een goede virusscanner op Linux, maar ik heb eerlijk gezegd geen idee hoe het eigenlijk staat met het gebruik van antivirussoftware onder Linux. Hebben de meeste mensen er wel een, of juist géén omdat ze in de illusie verkeren dat Linux absoluut veilig is?
Bovenstaande is overigens niet bedoeld als flame naar Linux gebruikers, maar een oprechte vraag.
Dan is het natuurlijk belangrijk om te weten dat Linux toch ook last heeft van bepaalde vormen van aanvallen die allang bekend zijn onder Windows. Dan is het natuurlijk hopen op een goede virusscanner op Linux, maar ik heb eerlijk gezegd geen idee hoe het eigenlijk staat met het gebruik van antivirussoftware onder Linux. Hebben de meeste mensen er wel een, of juist géén omdat ze in de illusie verkeren dat Linux absoluut veilig is?
Bovenstaande is overigens niet bedoeld als flame naar Linux gebruikers, maar een oprechte vraag.
[Reactie gewijzigd door Cloud op 8 februari 2011 14:54]
Een virus scanner helpt niet.
Het auto-run verhaal waar dit overgaat is het automatisch draaien een uitvoerbaar bestand als een media op de computer wordt aangesloten.
Windows gebruikers kennen het het beste van spel CD's die automatisch de setup lanceren als je de cd in je computer doet.
Dit is een volstrekt legale handeling. Als ik vervolgens in het opgestarte programma een applicatie opstart die al jouw bestanden overzet naar mijn server dan helpt geen virus scanner hier tegen. Er valt niets te detecteren. ALTIJD als jij als gebruiker een applicatie opstart dan geef je daarmee toestemming voor die applicatie om alles uit te halen wat jij als gebruiker mag. Dat is behoorlijk wat, ook als non-privileged user op Linux.
Hier valt weinig tegen te doen anders dan nooit een applicatie opstarten die je niet vertrouwt en dit ZEKER niet automatisch te laten gebeuren. Meeste linuxes die ik heb gebruikt doen dit ook niet, ze openen de USB/CD in een file browser en verder niets.
Maar een virus scanner zal hier niets aan veranderen. Alleen als de opgestarte applicatie een virus bevat kan dit worden gedetecteerd, maar virussen zijn zo ouderwests.
Het auto-run verhaal waar dit overgaat is het automatisch draaien een uitvoerbaar bestand als een media op de computer wordt aangesloten.
Windows gebruikers kennen het het beste van spel CD's die automatisch de setup lanceren als je de cd in je computer doet.
Dit is een volstrekt legale handeling. Als ik vervolgens in het opgestarte programma een applicatie opstart die al jouw bestanden overzet naar mijn server dan helpt geen virus scanner hier tegen. Er valt niets te detecteren. ALTIJD als jij als gebruiker een applicatie opstart dan geef je daarmee toestemming voor die applicatie om alles uit te halen wat jij als gebruiker mag. Dat is behoorlijk wat, ook als non-privileged user op Linux.
Hier valt weinig tegen te doen anders dan nooit een applicatie opstarten die je niet vertrouwt en dit ZEKER niet automatisch te laten gebeuren. Meeste linuxes die ik heb gebruikt doen dit ook niet, ze openen de USB/CD in een file browser en verder niets.
Maar een virus scanner zal hier niets aan veranderen. Alleen als de opgestarte applicatie een virus bevat kan dit worden gedetecteerd, maar virussen zijn zo ouderwests.
Ik bedoelde mijn vraag ook niet zozeer specifiek op deze situatie. Maar misschien dat rootkit detectie of andere mechanismen de gebruiker hier tegen zouden kunnen beschermen. Mijn vraag was meer hoe het met antivirussoftware onder Linux in zijn algemeen staat, onder de gebruikers. Even los van de vraag of dat in deze situatie geholpen zou hebben.
Overigens gaat het dus hier niet om een autorun in die zin dat automatisch een programma opgestart wordt hé. Deze exploit maakt blijkbaar gebruik van het feit dat er automatisch thumbnails aangemaakt worden en is dus puur een kwetsbaarheid binnen de programmatuur die daar zorg voor draagt.
Overigens gaat het dus hier niet om een autorun in die zin dat automatisch een programma opgestart wordt hé. Deze exploit maakt blijkbaar gebruik van het feit dat er automatisch thumbnails aangemaakt worden en is dus puur een kwetsbaarheid binnen de programmatuur die daar zorg voor draagt.
aide hebben we en tripwire voor rootkit detectie, ook een paar virusscanners(open source), geloof dat er 1 ClamAV heet, en ons rechten systeem, zolang je niet onder root draait kan het niet meer dan je home directorie beschadigen...
Zonder mijn toestemming is het op mijn PC een volstrekt *illegale* handeling.Dit is een volstrekt legale handeling.
Automatisme is leuk maar alleen als je 't op de juiste plaats en onder de juiste omstandigheden toepast. Anders open je een wereld van onveiligheid en andere problemen.
Nee, in dit verhaal wordt geen programma op de USB drive uitgevoerd, maar word er gebruik gemaakt van een security bug in de DVI renderer.Het auto-run verhaal waar dit overgaat is het automatisch draaien een uitvoerbaar bestand als een media op de computer wordt aangesloten.
ah, dank, dat verklaard een hoop.
Het hele artikel is dus blijk onzin, want het heeft eigenlijk niets met het automounten van een nieuw apparaat te maken.
De exploit kon ongetwijfeld ook gebruikt worden door gewoonweg een plaatje van internet te halen.
storm in een glas water, en uiteraard zit iedereen er gelijk bovenop.
Het hele artikel is dus blijk onzin, want het heeft eigenlijk niets met het automounten van een nieuw apparaat te maken.
De exploit kon ongetwijfeld ook gebruikt worden door gewoonweg een plaatje van internet te halen.
storm in een glas water, en uiteraard zit iedereen er gelijk bovenop.
Ik denk dat juist op linux computers veel interessante info te vinden is. Immers, als jij gevoelige data hebt, zet je die dan op een systeem met een windows os of een linux os?
Naja, al die Iraanse ultracentrifuges draaien mooi op Windows.
ed: Of nu niet meer, want die ultracentrifuges zijn nu kapot doordat ze op de verkeerde frequentie liepen, dus die draaien nu helemaal niet meer.
ed: Of nu niet meer, want die ultracentrifuges zijn nu kapot doordat ze op de verkeerde frequentie liepen, dus die draaien nu helemaal niet meer.
[Reactie gewijzigd door kidde op 8 februari 2011 21:55]
Daar gaan we weer, het gros van alle webservers op internet draait op Linux (of Unix/BSD). Het marktaandeel is juist immens! Bovenstaand issue is inderdaad specifiek voor Desktop Linux varianten van toepassing, maar in het algemeen heb je echt ongelijk.
Maar op de servermarkt is het een heel ander verhaal en daar zit nou net de meeste data.
Linux Servers zijn juist precies de soort machines waar dit soort aanvallen voor bedoelt zijn, even de databases kopiereën op een USB stick.
Aangezien Linux dus vooral veel op servers gebruikt wordt ik dit zeker een zeer relevant stukje informatie.
Vooral bij kleinere bedrijven waarbij fysieke toegang tot de server meestal vrij is zal dit een risico zijn..
Aangezien Linux dus vooral veel op servers gebruikt wordt ik dit zeker een zeer relevant stukje informatie.
Vooral bij kleinere bedrijven waarbij fysieke toegang tot de server meestal vrij is zal dit een risico zijn..
ook kleinere bedrijven hebben de server meestal in een aparte ruimte (of bezemkast). Tenminste, zoals ik ze de afgelopen jaren tegengekomen ben.
Verder is een linux server zelden voorzien van gnome of kde (xorg soms nog wel), en al helemaal niet van een automount voorziening die niet vooraf door de beheerder is ingesteld.
Zo'n server doet normaal precies waar de beheerder hem voor heeft ingesteld en niets meer. Blijf je op de commandline dan zal er niet zomaar een programma dat je niet hebt aangeroepen gaan lopen neuzen in bestanden, tenzij jij dit hebt ingesteld. Blijf je op de commandline dat kun je ook veel veiliger doorwerken want je weet dat het enige user proces dat jij niet handmatig hebt gestart je standaard shell is (bijv dash of bash). Dat beperkt de kans aanzienlijk.
Verder is een linux server zelden voorzien van gnome of kde (xorg soms nog wel), en al helemaal niet van een automount voorziening die niet vooraf door de beheerder is ingesteld.
Zo'n server doet normaal precies waar de beheerder hem voor heeft ingesteld en niets meer. Blijf je op de commandline dan zal er niet zomaar een programma dat je niet hebt aangeroepen gaan lopen neuzen in bestanden, tenzij jij dit hebt ingesteld. Blijf je op de commandline dat kun je ook veel veiliger doorwerken want je weet dat het enige user proces dat jij niet handmatig hebt gestart je standaard shell is (bijv dash of bash). Dat beperkt de kans aanzienlijk.
Niet interessant!!?? ---> banken!?? Die draaien Unix/Linux
Voor de rest leuk en wel maar moet je geen root zijn en komt het niet in een tijdelijke map met beperkte rechten?
Overigens appArmor houd de boel tegen en SElinux denk ik ook!?
Voor de rest leuk en wel maar moet je geen root zijn en komt het niet in een tijdelijke map met beperkte rechten?
Overigens appArmor houd de boel tegen en SElinux denk ik ook!?
Oftewel voortaan:
CLI WERKEN
Probleem opgelost. Voor zover er een probleem was. Ik denk dat hackers etc meer hun tijd willen steker in Windows/OSx en anders wel in iOS/Android. Lijkt mij dat ze daar meer in kunnen verdienen.
CLI WERKEN
Probleem opgelost. Voor zover er een probleem was. Ik denk dat hackers etc meer hun tijd willen steker in Windows/OSx en anders wel in iOS/Android. Lijkt mij dat ze daar meer in kunnen verdienen.
[Reactie gewijzigd door BartezZz op 8 februari 2011 14:40]
Dat is natuurlijk geen oplossing, tenzij je wilt dat Linux nooit verder verspreid raakt onder de 'gewone' computergebruiker. En zelfs een CLI-only omgeving zal nooit 100% veilig zijn. De zwakste schakel is nog altijd diegene die het toetsenbord en muis bediend.
Dat kunnen we ook afnemen 
Om even elitair te doen : ik heb liever dat 'gewone' computergebruikers bij windows blijven. Ze zijn irritant, kunnen niet lezen, en weten niet hoe ze bug reports moeten submitten, ofwel zeer incapabel. Ik verlang terug naar die goede oude tijd toen ubuntu nog niet bestond
: ik heb liever dat 'gewone' computergebruikers bij windows blijven. Ze zijn irritant, kunnen niet lezen, en weten niet hoe ze bug reports moeten submitten, ofwel zeer incapabel. Ik verlang terug naar die goede oude tijd toen ubuntu nog niet bestond
Ook bij een CLI zou je autostart kunnen hebben, waarom niet?
maar niet een die plaatjes laat, aangezien je geen grafische omgeving heb, maar een text omgeving...
er is überhaupt geen autostart op linux, wel autmount, maar een automount draait geen programma, hij maakt alleen de schijf beschikbaar (vergelijkbaar met windows wanneer je daar de autorun uit zet).
Wat er hier gebeurde is dat nautilus door gnome wordt opgeroepen bij het aansluiten van een usb stick en direct deze in een list view laat zien. Vervolgens begint hij thumbnails te maken van de inhoud.
Er is dus niet zoiets als een applicatie die kijkt of de stick een uitvoerbaar bestand wil gaan draaien en dit dan vervolgens doet. Zoiets is natuurlijk wel mogelijk, maar ik ken geen distributie die het geïnstalleerd heeft.
Wat er hier gebeurde is dat nautilus door gnome wordt opgeroepen bij het aansluiten van een usb stick en direct deze in een list view laat zien. Vervolgens begint hij thumbnails te maken van de inhoud.
Er is dus niet zoiets als een applicatie die kijkt of de stick een uitvoerbaar bestand wil gaan draaien en dit dan vervolgens doet. Zoiets is natuurlijk wel mogelijk, maar ik ken geen distributie die het geïnstalleerd heeft.
Hoewel er minder virussen zijn voor Linux, met name door de lage hoeveelheid gebruikers, zouden er in theorie toch makkelijker kwetsbaarheden gevonden kunnen worden in Linux. Met name natuurlijk omdat deze open source is.
Ik denk dat je met de groei van Linux toch al snel echt kritieke virussen krijgt, omdat de kwetsbaarheden praktisch voor het oprapen liggen.
Ben benieuwd naar de ontwikkelingen de komende jaren.
Ik denk dat je met de groei van Linux toch al snel echt kritieke virussen krijgt, omdat de kwetsbaarheden praktisch voor het oprapen liggen.
Ben benieuwd naar de ontwikkelingen de komende jaren.
[Reactie gewijzigd door KirovAir op 8 februari 2011 14:39]
waar is dit nou weer op gebaseerd? Het automatisch mounten van een fs betekent niet dat je ook automatisch thumbnails moet genereren (doet kde bij mij iig niet).
Dit lijkt me overigens meer een bug in de thumbnail generator dan in de linux-kernel. Het automatisch mounten van een usb device is als het goed is een userspace proces.
Dit lijkt me overigens meer een bug in de thumbnail generator dan in de linux-kernel. Het automatisch mounten van een usb device is als het goed is een userspace proces.
Op mijn mening die me naar binnen schiet.waar is dit nou weer op gebaseerd?
In plaats van reverse engineering, kun je bij de linux source zelf makkelijk kijken hoe methodes in elkaar steken, en waar eventueel zwakheden zitten. Zo kun je echte kritieke fouten al snel met minder assembly kennis al identificeren, aangezien C-kennis naar mijn mening gewoon veel leesbaarder en toegankelijker is.
Verder heb je natuurlijk met meer behoefte aan Linux, meer behoefte aan virussen.
[Reactie gewijzigd door KirovAir op 8 februari 2011 14:47]
ah, dat ben ik wel met je eens. het principe van open audits kan je natuurlijk ook negatief uitleggen. Ik ben meer geneigd om te denken dat er naar bv de linux kernel veel meer mensen gekeken hebben dan naar bv de ms windows kernel. Daarom lijkt de kans me groter dat er minder fouten inzitten. Verder is de actieve opensource gemeenschap over het algemeen een stuk sneller met reageren op grote gaten in de software.
Het idee is:
Nee, u gaat die 'makkelijk te vinden' veiligheidslekken niet vinden, want omdat ze zo makkelijk te vinden zijn hebben andere (nog slimmere mensen) dat al eerder dan u gedaan en gefixt!
Neem de OV-chip, die was gebaseerd op een 'geheim' algoritme en was met reverse engineering zo gekraakt. Terwijl de "openbare" methode die de falende MiFare nu moet gaan vervangen, nog niet zo makkelijk te kraken is! Maw, de 'geheime' methode is veel eerder en met meer gemak te kraken dan de 'openbare'!
Nee, u gaat die 'makkelijk te vinden' veiligheidslekken niet vinden, want omdat ze zo makkelijk te vinden zijn hebben andere (nog slimmere mensen) dat al eerder dan u gedaan en gefixt!
Neem de OV-chip, die was gebaseerd op een 'geheim' algoritme en was met reverse engineering zo gekraakt. Terwijl de "openbare" methode die de falende MiFare nu moet gaan vervangen, nog niet zo makkelijk te kraken is! Maw, de 'geheime' methode is veel eerder en met meer gemak te kraken dan de 'openbare'!
Het automatisch genereren van tumbnails komt omdat nautilus automatisch de root van een device opent op het moment dat het een nieuw device detecteert. Omdat je dus die map open hebt staan rendert nautilus die previews .Dat maakt deze exploit dus een stuk gevaarlijker dan ff een usb stickje insteken. Zodra je dus een besmette file download en vervolgens je downloadmap opent ben je dus ook pwned.
En als je eenmaal in userspace zit kan je alles doen wat de gebruiker ook kan, toch? Een keylogger laten draaien, email scannen op passwords, de trojan verder verspreiden op andere USB sticks, enz.
Keylogger laten draaien niet, de keyboard-driver draait niet in userspace. Trojan verspreiden hangt af hoe gemount is, als dat als root is gedaan (zonder moderne GUI's als Nautilus) kan dat ook niet als user!
Het idee van de hack is nu juist dat processen die als root draaien aangevallen worden, want die zijn veel interessanter.
Het idee van de hack is nu juist dat processen die als root draaien aangevallen worden, want die zijn veel interessanter.
Vergeet niet dat een groot deel van de programmeurs die Windowsvirussen (probeert) te schrijven zeer Linux-genegen is en juist tracht die vulnerabilities in Linux te dichten ipv uit te buiten.
Ook is security through obscurity een inherent slecht design. Punt.
Ook is security through obscurity een inherent slecht design. Punt.
Dat eerste punt betwijfel ik, iemand die een ander opzettelijk schade wil toedoen zal niet zomaar een bug fixen in de kernel. Ik ben bang dat je dit idee hebt door dat developers zich hackers noemen en hackers in de volksmond inderdaad bezig houden met kraken van computers en virussen schrijven, ik denk (en hoop) dat de overlap in die groep erg klein is.
Vrijwel alle virussen worden geschreven uit financieel gewin. Als een virusbouwer markt ziet in een Linux virus, dan bouwt ie er een. Er is bij die gasten echt geen ethisch besef aanwezig hoor; alles voor het geld. En als ze een exploit vinden die ze niet kunnen moneytizen, dan gaat ie op de 0-day stapel voor de tijd dat die wel nuttig kan zijn (denk aan de Chineese 0-day exploits die destijds werden gebruikt bij de aanval op Gmail).
je vergeet 'zoals de waard is vertrouwt hij zijn gasten'
In dit geval bedoel ik dat een virusmaker zelf wel veilig wil zitten omdat hij anderen niet vertrouwt, in sommige gevallen zal hij vermoedelijk wel een fix willen plaatsen, zolang zijn eigen os niet zijn doelwit is (en hij zichzelf er niet mee in de vingers snijd).
In dit geval bedoel ik dat een virusmaker zelf wel veilig wil zitten omdat hij anderen niet vertrouwt, in sommige gevallen zal hij vermoedelijk wel een fix willen plaatsen, zolang zijn eigen os niet zijn doelwit is (en hij zichzelf er niet mee in de vingers snijd).
Het voordeel van het feit dat de broncode vrij inzichtelijk is zorgt er voor dat dezelfde zwakke plekken ook door goedwillenden gevonden kunnen worden en gemaakt. Daarbij ben je niet volledig afhankelijk van een derde partij om zelf dit probleem op te lossen.
De zwakste schakel van het gehele systeem is in alle gevallen (Windows, Linux, MacOS) de gebruiker en die heeft bij Linux en BSD varianten standaard minder toegang dan bij Windows (wat gebruikersgemak oplevert) en dus in principe veiliger. Ieder systeem heef zijn voor- en nadelen.
De zwakste schakel van het gehele systeem is in alle gevallen (Windows, Linux, MacOS) de gebruiker en die heeft bij Linux en BSD varianten standaard minder toegang dan bij Windows (wat gebruikersgemak oplevert) en dus in principe veiliger. Ieder systeem heef zijn voor- en nadelen.
Als zaken als open source of populariteit meetellen, hoe komt het dan dat in regel Apache veiliger is dan IIS?
@Darkmystery
Er is geen enkele bewijs voor jouw bewering dat het makkelijker is kwetsbaarheiden te vinden in Open Source Software dan in gesloten software. Sterker nog: er zijn juist heel veel bewijzen dat "security through obscurity" juist averechts werkt.
Er is geen enkele bewijs voor jouw bewering dat het makkelijker is kwetsbaarheiden te vinden in Open Source Software dan in gesloten software. Sterker nog: er zijn juist heel veel bewijzen dat "security through obscurity" juist averechts werkt.
Een Quote
"exploit dat het mogelijk maakt om een met wachtwoord beveiligde screensaver te omzeilen en zo toegang tot de pc van een gebruiker te krijgen"
Maar ik neem aan dat dat over het "user" account gaat, neem aan dat het "root" account hiermee wel buiten schot blijft...Kijk alles valt te kraken /hacken
Maar ik had sterk het gevoel dat Linux toch een stukkie dichter zit dan een Windows PC?
"exploit dat het mogelijk maakt om een met wachtwoord beveiligde screensaver te omzeilen en zo toegang tot de pc van een gebruiker te krijgen"
Maar ik neem aan dat dat over het "user" account gaat, neem aan dat het "root" account hiermee wel buiten schot blijft...Kijk alles valt te kraken /hacken
Maar ik had sterk het gevoel dat Linux toch een stukkie dichter zit dan een Windows PC?
In het verleden zijn er ook exploits geweest waarbij een gewone gebruiker zijn rechten kon verhogen tot supergebruiker. Als je dan verschillende zwakheden aan elkaar kunt koppelen kan je dus ver komen in een systeem.
Als je eenmaal als normale gebruiker toegang hebt tot het fysieke systeem, zijn er legio mogelijkheden om je gebruikersrechten te verhogen (maar er kunnen ook zat andere redenen zijn om toegang te willen krijgen, denk aan het opzoeken van interessante documenten)
Klopt alleen een user account. tenzij je Distro root toelaat als grafische gebruiker.
Dit is geen veiligheids risico waar ik warm of koud van wordt. Het weer een cascade van exploits die bij langer na niet op root uit komt. Waarbij hoogstens ~5% van alle Linux installaties vatbaar voor kunnen zijn. Vergelijk dat maar met weer een Windows issue dat geld voor alle windows versies tot 15 jaar terug. Echte veiligheid tegen virussen is Biodiversiteit!
Dit is geen veiligheids risico waar ik warm of koud van wordt. Het weer een cascade van exploits die bij langer na niet op root uit komt. Waarbij hoogstens ~5% van alle Linux installaties vatbaar voor kunnen zijn. Vergelijk dat maar met weer een Windows issue dat geld voor alle windows versies tot 15 jaar terug. Echte veiligheid tegen virussen is Biodiversiteit!
Zo, dit is allemaal te doen zonder root rechten of sudo?!
Is dit een weeffout in Linux of de Gnome desktop?!
Is dit een weeffout in Linux of de Gnome desktop?!
Zo te zien gaat het om om een "proof of concept" waarmee bewezen wordt dat het mogelijk is een script o.i.d. te verstoppen door de automount/autorun functie van Gnome/Nautilus te gebruiken.
De vraag of je met dit script "uit kunt breken" naar root wordt niet echt duidelijk beantwoord, maar aangezien "AppArmor" niet omzeilt kan worden lijkt het antwoord daarop "nee".
Daarmee vind ik het een storm in een glas water. Elk systeem waar je fysiek bij kunt is immers kwetsbaar, of het nu Linux, MS Windows of iets anders is. Autorun hoort default gewoon uit te staan en gelukkig is dat in Nautilus makkelijker te regelen dan in MS Windows XP.
De vraag of je met dit script "uit kunt breken" naar root wordt niet echt duidelijk beantwoord, maar aangezien "AppArmor" niet omzeilt kan worden lijkt het antwoord daarop "nee".
Daarmee vind ik het een storm in een glas water. Elk systeem waar je fysiek bij kunt is immers kwetsbaar, of het nu Linux, MS Windows of iets anders is. Autorun hoort default gewoon uit te staan en gelukkig is dat in Nautilus makkelijker te regelen dan in MS Windows XP.
Dit maakt gewoon gebruik van het feit dat standaard onder GNOME USB-sticks gemount worden en hierop een thumbnailer losgelaten wordt. Die thumbnailers worden meegeinstalleerd met allerlei programma's die weer allemaal libs op het systeem gebruiken. De laatste tijd zijn poppler (pdf/postscript) en freetype (fonts) nogal vaak lek geweest, dus als je dan de evince-thumbnailer kunt exploiten met een kapot pdf-bestandje ben je binnen. Verder geeft de totem-video-thumbnailer nog een heel scala aan GStreamer plugins met bijbehorende libs die mogelijk lek zouden kunnen zijn.
Al met al is het gewoon zaak om je systeem up2date te houden en security updates op tijd te installeren.
Overigens, voor het inprikken van USB sticks heb je sowieso al fysieke toegang nodig. Tenzij je je filesystem encrypted hebt gemaakt, ben je sowieso al de sjaak als iemand fysiek toegang tot je PC heeft.
Al met al is het gewoon zaak om je systeem up2date te houden en security updates op tijd te installeren.
Overigens, voor het inprikken van USB sticks heb je sowieso al fysieke toegang nodig. Tenzij je je filesystem encrypted hebt gemaakt, ben je sowieso al de sjaak als iemand fysiek toegang tot je PC heeft.
Dat betekend dat Nautilus op Ubuntu altijd automount?De onderzoeker schreef de exploit voor Ubuntu 10.10 in combinatie met de grafische desktop Gnome. De exploit maakt gebruik van de met Ubuntu meegeleverde bestandsbeheerder Nautilus. Dankzij Nautilus worden opslagmedia die worden aangesloten automatisch aangekoppeld.
Bovendien genereert Nautilus thumbnails voor alle bestanden in de root-directory van een opslagmedium, ook als een gebruiker zijn systeem gelockt heeft. De onderzoeker gebruikte een kwetsbaarheid bij het maken van thumbnails van dvi-bestanden.
openSuSE doet in ieder geval onder KDE geen automount en ik kan me niet voorstellen dat deze dit wel doet onder gnome.Gebruikers kunnen zich tegen de beveiligingskwestie beschermen door het automatisch mounten van opslagmedia uit te schakelen, aldus Larimer.
In mijn geval wel (ubuntu 10.10). Zelf vind ik dat heel fijn. Maar hij zou het niet moeten doen als de boel gelocked is.
Of in ieder geval wordt nautilus geopend die de root van de aangekoppelde schijf laat zien
Of in ieder geval wordt nautilus geopend die de root van de aangekoppelde schijf laat zien
[Reactie gewijzigd door hackerhater op 9 februari 2011 12:32]
Fout bericht dus want niet Linux is gevoelig voor de USB aanval, alleen Nautilus.De exploit maakt gebruik van de met Ubuntu meegeleverde bestandsbeheerder Nautilus.
Nautilus draait op Linux, dus het kan *onder* Linux.
Ja, en Total Commander draait op Windows, dus als Total Commander met een specifieke configuratie kan worden aangevallen kan het dús automatisch op Windows? Dat is nogal een kromme redenatie.
Ja, maar kan het dan ook op Solaris? (Die "Java desktop" is GNOME gebaseerd), en kan het ook op (.*)BSD met GNOME? Ik vind het vreemd dat er door een lek te vinden in Nautilus (ok, op Ubuntu) nu met de vinger naar Linux gewezen wordt in dit artikel.
Lek in Ubuntu? Ja.
Lek in GNOME? Ja.
Lek in Linux? Nee.
Lek in Ubuntu? Ja.
Lek in GNOME? Ja.
Lek in Linux? Nee.
Nautilus dus overboord gooien.
Is het niet gewoon makelijker om de een willekeurige distro,gezien de openheid, te voorzien van malware/lekken en dan vervolgens die als mirror ergens aan te bieden?
Dan klopt de MD5 hash niet meer en ik denk dat mirrors over het algemeen toch minstens zo gescand worden.
Zeg dan niet 'onder Linux', maar 'onder Gnome'.
Lang niet alle Linux systemen gebruiken Gnome. Of uberhaupt een GUI.
Lang niet alle Linux systemen gebruiken Gnome. Of uberhaupt een GUI.
Het was niet eens onder Gnome, het was specifiek de bestandsbrowser van Ubuntu, Nautilus.
Dit is inderdaad een heel verkeerd verwoord bericht.
Dit is inderdaad een heel verkeerd verwoord bericht.
Het is in gnome. Nautilus is de bestandsbrowser van Gnome, en is deel van het gnome project. Ubuntu gebruikt inderdaad nautilus, simpelweg omdat ubuntu gnome gebruikt.
Dat niet alle linux systemen hiermee aan te vallen zijn maakt het bericht niet onjuist. Een Ubuntu 10.10 linux systeem met Gnome en Nautilus is er gevoelig voor. Dat betekent dat linux dus niet langer per definitie hiervoor ongevoelig moet worden geacht. Het bericht klopt dan ook gewoon en zou als een waarschuwing aan alle linux gebruikers moeten worden opgevat.
Dit is een Ubuntu issue in combinatie met nautilus.
Zie deze link.
Ik kan ook een distro bouwen waar standaard sshd opgestart wordt de firewall open en root zonder password waarbij je zonder password kan inloggen. Is Linux dan insecure of heb ik dan een onveilige distro gebouwd?
IMO probeer je Linux in deze onterecht zwart te maken.
Zie deze link.
Dit heeft niets met Linux maar met Ubuntu te maken. Ze hebben concessies gedaan t.a.v. veiligheid in het belang van gebruiksvriendelijkheid.Configuring Automounting
To enable or disable automount open a terminal and type gconf-editor followed by the [Enter] key.
Browse to /apps/nautilus/preferences/media_automount.
The media_automount key controls whether to automatically mount media. If set to true, then Nautilus will automatically mount media such as user-visible hard disks and removable media on start-up and media insertion.
There is another key /apps/nautilus/preferences/media_automount_open. This controls whether to automatically open a folder for automounted media. This key can also be set in the Nautilus (file manager) window. From the Edit menu in Nautilus select Preferences and then select the Media tab.
If set to true, then Nautilus will automatically open a folder when media is automounted. This only applies to media where no known x-content/* type was detected; for media where a known x-content type is detected, the user configurable action will be taken instead. This can be configured as shown below.
Ik kan ook een distro bouwen waar standaard sshd opgestart wordt de firewall open en root zonder password waarbij je zonder password kan inloggen. Is Linux dan insecure of heb ik dan een onveilige distro gebouwd?
IMO probeer je Linux in deze onterecht zwart te maken.
[Reactie gewijzigd door worldcitizen op 8 februari 2011 17:13]
Deels gevoelig. Deze hack werkt wel, maar appArmor blokkeerd alsnog de aanval en deze staat default op ubuntu geinstalleerd
Ik denk de markt voor een desktop Linux aanval redelijk klein is maar de techniek zou anders gebruikt kunnen . Linux heeft natuurlijk een vrij grote penetratie graad in embedded devices en servers. Wat gaat gebeuren als je zo'n USB aanval op een NAS of andere "infrastructuur" apparaat uitvoert? Als je dat soort systemen lam kunt leggen wordt het interresanter voor hackers.
Niks. Want een NAS draait geen Nautilus. Dit is gewoon een hopeloos opgeblazen bericht. Linux is helemaal niet gevoelig voor "aanvallen met usb-disk", Nautilus is gevoelig.Wat gaat gebeuren als je zo'n USB aanval op een NAS of andere "infrastructuur" apparaat uitvoert?
Ik mag idd hopen dat een NAS of server geen Nautilus draait. Overigens, als ik zo naar de servers kijk die ik voor mijn werkgever beheer: USB ondersteuning zit niet eens in de kernel die we draaien, laat staan dat het geautomount wordt.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Microsoft Apple Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
