Aanval met usb-disk kan ook onder Linux

Ook Linux is vatbaar voor aanvallen met een usb-opslagmedium. Volgens een onderzoeker kunnen kwetsbaarheden worden gebruikt om gebruikersdata te stelen of een rootkit te installeren door een usb-schijf in een Linux-pc te steken.

Beveiligingsonderzoeker Jon Larimer, die werkt voor IBM, vertelde dat op Shmoocon. De onderzoeker waarschuwde voor aanvallen op Linux-pc's door middel van usb-opslagmedia die in de pc's worden gestoken. Het is alom bekend dat oudere Windows-versies vatbaar waren voor 'autorun'-aanvallen, waarbij malafide programma's automatisch werden gestart door een usb-schijf in een computer te steken. Ook bij Linux is dit echter mogelijk, waarschuwde Larimer.

Hoewel de relevante Linux-distributies het automatisch starten van programma's zonder bevestiging van de gebruiker officieel niet ondersteunen, maken beveiligingsproblemen het toch mogelijk om 'autorun'-aanvallen uit te voeren. Daardoor wordt het bijvoorbeeld mogelijk om bestanden te kopiëren, backdoors te installeren en de gebruikersrechten op te hogen.

Larimer schreef zelf een exploit dat het mogelijk maakt om een met wachtwoord beveiligde screensaver te omzeilen en zo toegang tot de pc van een gebruiker te krijgen. De onderzoeker schreef de exploit voor Ubuntu 10.10 in combinatie met de grafische desktop Gnome. De exploit maakt gebruik van de met Ubuntu meegeleverde bestandsbeheerder Nautilus. Dankzij Nautilus worden opslagmedia die worden aangesloten automatisch aangekoppeld.

Bovendien genereert Nautilus thumbnails voor alle bestanden in de root-directory van een opslagmedium, ook als een gebruiker zijn systeem gelockt heeft. De onderzoeker gebruikte een kwetsbaarheid bij het maken van thumbnails van dvi-bestanden. Bij het laden van fonts injecteert Larimer zijn eigen code. De onderzoeker is er nog niet in geslaagd om de beveiligingsmodule AppArmor te omzeilen, maar dat lijkt een kwestie van tijd. Gebruikers kunnen zich tegen de beveiligingskwestie beschermen door het automatisch mounten van opslagmedia uit te schakelen, aldus Larimer.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

IT-banen

Reacties (147)

Verwijderd 8 februari 2011 14:56

Nu vraag ik mij hardop af of deze hack dan ook op andere platformen werkt zoals met name Solaris. Die werkt ook met een autorun en laad ook van alles. Het zal mij dus benieuwen hoe hij de hack heeft gedaan.

_JGC_ @Verwijderd • 8 februari 2011 16:10

Dit werkt ook gewoon op Solaris en FreeBSD, maakt niet uit op welk OS het is, als het nautilus kan draaien, dingen kan automounten en lekke thumbnailers aanwezig zijn, dan kan het gebruikt worden.
Wat ik wel kwalijk vind overigens is dat alle rechten tegenwoordig met ConsoleKit worden ingesteld en dat gnome-screensaver de ConsoleKit sessie niet als inactief instelt als je je scherm lockt. Met een inactieve ConsoleKit sessie kan je nog zoveel USB sticks insteken als je wilt, maar zolang dan de screensaver actief is heb je geen rechten om die dingen te mounten.

Verwijderd 8 februari 2011 14:51

Zeg dan niet 'onder Linux', maar 'onder Gnome'.

Lang niet alle Linux systemen gebruiken Gnome. Of uberhaupt een GUI.

mashell @Verwijderd • 8 februari 2011 15:16

Dat niet alle linux systemen hiermee aan te vallen zijn maakt het bericht niet onjuist. Een Ubuntu 10.10 linux systeem met Gnome en Nautilus is er gevoelig voor. Dat betekent dat linux dus niet langer per definitie hiervoor ongevoelig moet worden geacht. Het bericht klopt dan ook gewoon en zou als een waarschuwing aan alle linux gebruikers moeten worden opgevat.

Verwijderd @mashell • 8 februari 2011 16:46

Dit is een Ubuntu issue in combinatie met nautilus.

Zie deze link.

Configuring Automounting

To enable or disable automount open a terminal and type gconf-editor followed by the [Enter] key.

Browse to /apps/nautilus/preferences/media_automount.

The media_automount key controls whether to automatically mount media. If set to true, then Nautilus will automatically mount media such as user-visible hard disks and removable media on start-up and media insertion.

There is another key /apps/nautilus/preferences/media_automount_open. This controls whether to automatically open a folder for automounted media. This key can also be set in the Nautilus (file manager) window. From the Edit menu in Nautilus select Preferences and then select the Media tab.

If set to true, then Nautilus will automatically open a folder when media is automounted. This only applies to media where no known x-content/* type was detected; for media where a known x-content type is detected, the user configurable action will be taken instead. This can be configured as shown below.

Dit heeft niets met Linux maar met Ubuntu te maken. Ze hebben concessies gedaan t.a.v. veiligheid in het belang van gebruiksvriendelijkheid.

Ik kan ook een distro bouwen waar standaard sshd opgestart wordt de firewall open en root zonder password waarbij je zonder password kan inloggen. Is Linux dan insecure of heb ik dan een onveilige distro gebouwd?

IMO probeer je Linux in deze onterecht zwart te maken.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 02:27]

hackerhater @mashell • 9 februari 2011 12:34

Deels gevoelig. Deze hack werkt wel, maar appArmor blokkeerd alsnog de aanval en deze staat default op ubuntu geinstalleerd

Wolfos @Verwijderd • 8 februari 2011 14:54

Het was niet eens onder Gnome, het was specifiek de bestandsbrowser van Ubuntu, Nautilus.

Dit is inderdaad een heel verkeerd verwoord bericht.

Sorcix @Wolfos • 8 februari 2011 15:07

Het is in gnome. Nautilus is de bestandsbrowser van Gnome, en is deel van het gnome project. Ubuntu gebruikt inderdaad nautilus, simpelweg omdat ubuntu gnome gebruikt.

KirovAir 8 februari 2011 14:39

Hoewel er minder virussen zijn voor Linux, met name door de lage hoeveelheid gebruikers, zouden er in theorie toch makkelijker kwetsbaarheden gevonden kunnen worden in Linux. Met name natuurlijk omdat deze open source is.
Ik denk dat je met de groei van Linux toch al snel echt kritieke virussen krijgt, omdat de kwetsbaarheden praktisch voor het oprapen liggen.

Ben benieuwd naar de ontwikkelingen de komende jaren.

[Reactie gewijzigd door KirovAir op 25 juli 2024 02:27]

borft @KirovAir • 8 februari 2011 14:42

waar is dit nou weer op gebaseerd? Het automatisch mounten van een fs betekent niet dat je ook automatisch thumbnails moet genereren (doet kde bij mij iig niet).

Dit lijkt me overigens meer een bug in de thumbnail generator dan in de linux-kernel. Het automatisch mounten van een usb device is als het goed is een userspace proces.

KirovAir @borft • 8 februari 2011 14:46

waar is dit nou weer op gebaseerd?

Op mijn mening die me naar binnen schiet.

In plaats van reverse engineering, kun je bij de linux source zelf makkelijk kijken hoe methodes in elkaar steken, en waar eventueel zwakheden zitten. Zo kun je echte kritieke fouten al snel met minder assembly kennis al identificeren, aangezien C-kennis naar mijn mening gewoon veel leesbaarder en toegankelijker is.

Verder heb je natuurlijk met meer behoefte aan Linux, meer behoefte aan virussen.

[Reactie gewijzigd door KirovAir op 25 juli 2024 02:27]

borft @KirovAir • 8 februari 2011 16:36

ah, dat ben ik wel met je eens. het principe van open audits kan je natuurlijk ook negatief uitleggen. Ik ben meer geneigd om te denken dat er naar bv de linux kernel veel meer mensen gekeken hebben dan naar bv de ms windows kernel. Daarom lijkt de kans me groter dat er minder fouten inzitten. Verder is de actieve opensource gemeenschap over het algemeen een stuk sneller met reageren op grote gaten in de software.

kidde

Linux

@KirovAir • 8 februari 2011 21:59

Het idee is:

Nee, u gaat die 'makkelijk te vinden' veiligheidslekken niet vinden, want omdat ze zo makkelijk te vinden zijn hebben andere (nog slimmere mensen) dat al eerder dan u gedaan en gefixt!

Neem de OV-chip, die was gebaseerd op een 'geheim' algoritme en was met reverse engineering zo gekraakt. Terwijl de "openbare" methode die de falende MiFare nu moet gaan vervangen, nog niet zo makkelijk te kraken is! Maw, de 'geheime' methode is veel eerder en met meer gemak te kraken dan de 'openbare'!

NESFreak @borft • 8 februari 2011 15:12

Het automatisch genereren van tumbnails komt omdat nautilus automatisch de root van een device opent op het moment dat het een nieuw device detecteert. Omdat je dus die map open hebt staan rendert nautilus die previews .Dat maakt deze exploit dus een stuk gevaarlijker dan ff een usb stickje insteken. Zodra je dus een besmette file download en vervolgens je downloadmap opent ben je dus ook pwned.

J.J.J. Bokma @borft • 8 februari 2011 15:27

En als je eenmaal in userspace zit kan je alles doen wat de gebruiker ook kan, toch? Een keylogger laten draaien, email scannen op passwords, de trojan verder verspreiden op andere USB sticks, enz.

kidde

Linux

@J.J.J. Bokma • 8 februari 2011 22:02

Keylogger laten draaien niet, de keyboard-driver draait niet in userspace. Trojan verspreiden hangt af hoe gemount is, als dat als root is gedaan (zonder moderne GUI's als Nautilus) kan dat ook niet als user!

Het idee van de hack is nu juist dat processen die als root draaien aangevallen worden, want die zijn veel interessanter.

UmbraDei @KirovAir • 8 februari 2011 14:43

Vergeet niet dat een groot deel van de programmeurs die Windowsvirussen (probeert) te schrijven zeer Linux-genegen is en juist tracht die vulnerabilities in Linux te dichten ipv uit te buiten.

Ook is security through obscurity een inherent slecht design. Punt.

Fopper21 @UmbraDei • 8 februari 2011 14:55

Dat eerste punt betwijfel ik, iemand die een ander opzettelijk schade wil toedoen zal niet zomaar een bug fixen in de kernel. Ik ben bang dat je dit idee hebt door dat developers zich hackers noemen en hackers in de volksmond inderdaad bezig houden met kraken van computers en virussen schrijven, ik denk (en hoop) dat de overlap in die groep erg klein is.

TDeK

Beveiliging

@UmbraDei • 8 februari 2011 15:00

Vrijwel alle virussen worden geschreven uit financieel gewin. Als een virusbouwer markt ziet in een Linux virus, dan bouwt ie er een. Er is bij die gasten echt geen ethisch besef aanwezig hoor; alles voor het geld. En als ze een exploit vinden die ze niet kunnen moneytizen, dan gaat ie op de 0-day stapel voor de tijd dat die wel nuttig kan zijn (denk aan de Chineese 0-day exploits die destijds werden gebruikt bij de aanval op Gmail).

cibrhusk @TDeK • 12 februari 2011 01:58

je vergeet 'zoals de waard is vertrouwt hij zijn gasten'
In dit geval bedoel ik dat een virusmaker zelf wel veilig wil zitten omdat hij anderen niet vertrouwt, in sommige gevallen zal hij vermoedelijk wel een fix willen plaatsen, zolang zijn eigen os niet zijn doelwit is (en hij zichzelf er niet mee in de vingers snijd).

Fopper21 @KirovAir • 8 februari 2011 14:44

Het voordeel van het feit dat de broncode vrij inzichtelijk is zorgt er voor dat dezelfde zwakke plekken ook door goedwillenden gevonden kunnen worden en gemaakt. Daarbij ben je niet volledig afhankelijk van een derde partij om zelf dit probleem op te lossen.
De zwakste schakel van het gehele systeem is in alle gevallen (Windows, Linux, MacOS) de gebruiker en die heeft bij Linux en BSD varianten standaard minder toegang dan bij Windows (wat gebruikersgemak oplevert) en dus in principe veiliger. Ieder systeem heef zijn voor- en nadelen.

zordaz @KirovAir • 8 februari 2011 14:50

@Darkmystery
Er is geen enkele bewijs voor jouw bewering dat het makkelijker is kwetsbaarheiden te vinden in Open Source Software dan in gesloten software. Sterker nog: er zijn juist heel veel bewijzen dat "security through obscurity" juist averechts werkt.

Blokker_1999

Linux
Privacy

@KirovAir • 8 februari 2011 14:48

Als zaken als open source of populariteit meetellen, hoe komt het dan dat in regel Apache veiliger is dan IIS?

oldsql 8 februari 2011 14:36

Allemaal wel leuk en aardig, Linux is niet echt interessant mensen die uit zijn op dergelijke gegevens. Linux heeft namelijk nog altijd maar een paar procent van de markt in handen. Het gros gebruikt nog steeds windows.

Jeroen @oldsql • 8 februari 2011 14:40

Dat is zo, maar gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt, omdat ze denken dat ze nergens vatbaar voor zijn. Bovendien draaien belangrijke servers vaak Linux, dus daar is wel wat te halen.

Blokker_1999

Linux
Privacy

@Jeroen • 8 februari 2011 14:47

Maar het grootste probleem imho is dat je al fysieke toegang nodig hebt tot het systeem. Bijkomend als je over servers spreekt is er vaak geen enkele gebruiker ingelogd en draaien grafische systemen niet. Er zal dus ook geen enkele verwerking gebeuren na het insteken van een stick. Hier word al gebruik gemaakt van een zwakte in gnome en zelfs dan zit er nog een beveiliging in de weg.

Niemand mag beweren dat Linux (of elk ander niet windows systeem) veilig is. Alles heeft gebreken, maar het moet praktisch eenvoudig zijn om er echt misbruik van te maken.

mrlammers @Blokker_1999 • 8 februari 2011 14:58

Heeft nou niemand in de gaten dat dit een exploit is? Hm. Wat is een exploit ook alweer?
Owja, dat is misbruik maken van iets dat is bedacht om het de gebruiker makkelijker te maken.
De oplossing is niet meer automatisch mounten en autorun uitzetten. Wat windows overigens wél standaard doet. Wat betekent dat je alles met 't handje moet aanslingeren.

Het gebruikersgemak gaat verloren, maar 't wordt een beetje veiliger.

Jij mag kiezen.

blorf @mrlammers • 8 februari 2011 16:25

Ik lees volgens mij alleen iets twijfelachtigs over een exploit in de screensaver wat los staat van de rest van het verhaal, en iets over beveiligingsproblemen zonder verdere details vrij te geven. Buiten dat is er fysieke toegang nodig om een USB-stick in te pluggen. Op die manier weet ik ook nog wel een paar 'exploits' waarmee dingen geïnstalleerd kunnen worden.
Wat ik me nou afvraag is of er in Linux echt een fout zit die het mogelijk maakt om als niet-root root-permissies te verkrijgen door een USB-stick te openen. Dat zou volgens mij een ernstig lek zijn dat breed in het nieuws zou komen en lijkt me daarom nogal ongeloofwaardig.

neeroeter @blorf • 8 februari 2011 18:19

Klopt, ik lees dit stuk en denk waar is de logica?
Fysieke toegang, autorun >> user >> root >> systemwide... hoezo??? Hoe dan???

Nou ja, onder ubuntu is er via social engineering misschien wel wat mogelijk aangezien er daar nogal wat nieuwelingen rondlopen, vooralsnog is dit een vaag verhaal.

mrlammers @blorf • 8 februari 2011 18:33

Stel je hebt auto-run aanstaan (voorwaarde#1), en je USB apparaat mount automatisch (voorwaarde#2), en je het progje dat dan automatisch start, vooropgesteld dat je desktop omgeving niet om toestemming vraagt (dat doet ie dus vaak wel!) (voorwaarde #3) kan achter je screensaver langs het wachtwoord op de screensaver hacken (want daarvoor moet je bijvoorbeeld een shellscript starten), dan heb je hooguit alleen maar de rechten van de gebruiker die is ingelogd. Dat is dan eigenlijk hack#1.
Naast dat er op Ubuntu machines allerlei veiligheidsmaatregelen ingebouwd zijn (ASLR, PIE), mag er op de machine geen of AppArmor o.i.d. geïnstalleerd zijn, want dan werk de hele truuk niet.
En ookal heeft het USB apparaat wel toegang op kernel niveau, het geeft jou dan dus (nog) geen rootrechten. Daarvoor moet je je ook weer in allerlei bochten wringen... dat zou dan hack #2 zijn.
Hier kun je omheen door een backdoor te installeren, want daar heb je geen root rechten voor nodig. Gewoon in de ~/.config/autostart directory droppen, maar ook dan krijg je geen root rechten.

Geloof mij nou maar als ik zeg dat het 'thumbnail-lek' in Nautilus geen garanties biedt. Sommige mensen gebruiken de thumbnail-views niet, hebben thumbnails uitgeschakeld of gebruiken helemaal geen Nautilus.

Hetzelfde geldt natuurlijk voor andere of andere auto-parsers en niet elk script laat zich pushen.
Er zijn dus een hoop aannames en randvoorwaarden waaraan voldaan moet worden voordat een dergelijke 'hack' werkt.
Meneer Larimer uit het filmpje heeft ASLR en AppArmor uitgezet, want anders werkt zijn exploit (nog) niet.

Het is veel makkelijker om FireWire te gebruiken als je dan toch direct toegang wilt krijgen tot een machine. FireWire heeft DMA en als je een andere computer verbindt, dan kun je vrij makkelijk de screensaver passeren. Standaard progje.

hackerhater @mrlammers • 9 februari 2011 12:21

true, al zou deze "hack" makkelijk te stoppen zijn : namelijk automounten uitschakelen als het systeem gelockt is/op de screensaver draait.

Dan kan je schijven erin duwen wat je wilt, er gebeurd simpelweg niks.

YDh @Blokker_1999 • 8 februari 2011 15:37

Alhoewel je gelijk hebt gaat het hier toch om een serieus veiligheidslek.

Nautilus (of om het even welk ander programma) mag geen toegang krijgen tot nieuw aangekoppelde hardware wanneer het toestel gelocked is. Het feit dat dit toch kan is verontrustend.

blorf @YDh • 8 februari 2011 16:35

Root heeft toegang tot alles. Welke rechten Nautilus heeft hangt af van de gebruiker die hem uitvoert.

RubenBentein @blorf • 8 februari 2011 20:16

Inderdaad, met sudo nautilus kan je aan je root map, en anders niet.

Verwijderd @YDh • 9 februari 2011 12:01

Het echte probleem is het lek in dvi dat in december al opgelost is.

Ziedeze link.

Deze POC is op een unpatched Ubuntu systeem gedaan?
Ubuntu had al gepatchte package op op 5 januari ( USN-1035-1: Evince vulnerabilities ).

Zie ook deze opmerking:

In the default installation of Ubuntu 9.10 and later, attackers would be isolated by the Evince AppArmor profile.

Ik ben zelf niet zo'n fan van automounten en mijn voorkeur gaat meer uit naar de KDE methode. Waarbij je popup krijgt vanuit de "Device Notifier".

fvdberg @Jeroen • 8 februari 2011 14:49

leuke van deze hack is dat alleen de fysieke server hackbaar is.

9 van de 10 servers zijn virtueel zeker de belangrijkere.

hoe zie jij het voor je om deze te voorzien van jou usb stickje? Als je al toegang hebt tot het datacenter...

mashell @fvdberg • 8 februari 2011 15:00

9 van de 10 servers zijn virtueel zeker de belangrijkere.

Huh? Ik dacht dat juist goedkope webhosters met 1000 linux instanties op 1 server draaiden maar juist serieuze bedrijfskritische servers niet gevirtualiseerd werden.

Verwijderd @mashell • 8 februari 2011 15:51

Huh? Ik dacht dat juist goedkope webhosters met 1000 linux instanties op 1 server draaiden maar juist serieuze bedrijfskritische servers niet gevirtualiseerd werden.

Daar is geen xorg c.q. gnome en nautulus op geïnstalleerd. Dat zal daarom geen vaart lopen. Zou IMO er dom zijn, is verspilling van resources en diskruimte.

Daarbij moet voor deze "hack" gnome draaien c.q. je moet ingelogd zijn. Wie laat een belangrijke server ingelogd en on beheerd achter.

Verwijderd @Verwijderd • 8 februari 2011 19:33

..daarnaast draait de gemiddelde linux server geen gui......

RubenBentein @Verwijderd • 8 februari 2011 20:16

En staat automount af

fvdberg @mashell • 8 februari 2011 15:34

ik vind een linux bak die softwarematig opgesplitst is maar 1 iinstallatie blijft een andere vorm van virtualiseren.. het systeem is niet virtueel namelijk

virtueel waar ik op doel is systemen als vmware ESX(i)
dit wordt vaak gedaan ivm redundancy/schaalbaarheid

YDh @fvdberg • 8 februari 2011 15:42

Ik moet hier toch mashell bijtreden.

Mijn ervaring bij verschillende ondernemingen heeft me geleerd dat bedrijfskritische servers meestal toch niet te virtualiseren zijn. Vaak werd het wel geprobeerd, maar na een maand of twee werd er toch teruggekeerd naar fysische hardware omdat de performantie om te huilen was.

fvdberg @YDh • 8 februari 2011 16:14

wie gaat er dan ook 1 op 1 over van oude naar nieuwe omgeving?
dat zijn geen mensen met expertise. sterker nog ik noem het onverantwoord

buiten dat is 2 maanden veel te kort om te finetunen. dit dient ook te gebeuren terwijl je gefaseerd over gaat naar de nieuwe omgeving. dus per afdeling of deel van een afdeling. dan kan je namelijk altijd nog terug... backup is tevens een reden van een gevirtualiseerde omgeving...

Verwijderd @Jeroen • 8 februari 2011 15:00

Lol omdat het veiliger is zijn linux / unix / osx gebruikers nalatig.
Een klein deel heb je gelijk b.v. mensen die alles onder root doen.
Voor de rest ...slap verhaal

zeduude @Verwijderd • 8 februari 2011 15:16

idd..
post-its met user : root password : toor
is veel gevaarlijker...
het risico dat een 'huisvrouw' een usbkey in d'r linux desktop douwt en vervolgens zonder het te weten een keylogger installeerd, is wel erg klein..
als je nog altijd fysiek toegang tot de computer moet hebben, is het voor de meesten lastig om t systeem te kraken..
en op servers waar gehost wordt zit meestal geen automount, noch dat iemand toegang heeft tot een usb poortje...
maar ik vindt t wel goed dat er nog steeds onderzoek naar beveiliging op een linux desktop is.
slecht beveiligde browsers met (bijv buffer overflow ) exploits zouden me eerder zorgen maken dan een gif executable achtige hack op een automount in nautilus (kde, fluxbox etc zouden deze bug/dit gat niet hoeven te hebben.. maar ok t merendeel draait gnome..)

J.J.J. Bokma @zeduude • 8 februari 2011 15:25

het risico dat een 'huisvrouw' een usbkey in d'r linux desktop douwt en vervolgens zonder het te weten een keylogger installeerd, is wel erg klein..

Misschien eens uitzoeken wat Android is? (Verhip: Linux). En die huisvrouw uit jouw voorbeeld is net terug van de Hema en heeft haar foto's uit laten printen op een computer die besmet is... Nu wellicht nog geen werkelijkheid, maar geef het een paar maanden en je zal dit of een vergelijkbaar voorbeeld zien.

Verwijderd @J.J.J. Bokma • 8 februari 2011 16:02

Misschien eens uitzoeken wat Android is? (Verhip: geen Linux).

Google Android is een opensourceplatform voor mobiele telefoons gebaseerd op de Linux-kernel en het Java-programmeerplatform.

bron: wiki

Android maakt gebruik van (een aangepaste versie van) de Linux-kernel en draait met Java-achtige engine.

Daarnaast kan het ook een digitale camera zijn die eerst bij de Hema wordt gebruikt en daarna thuis, het is en blijft een usb-opslag. Dus het hele Android verhaal is kul..

SED @Verwijderd • 9 februari 2011 02:48

oke dan is debian nu ook geen linux meer.. de basis van ubuntu.(nog?).

RubenBentein @J.J.J. Bokma • 8 februari 2011 20:19

Een huisvrouw met linux. J.J.J. Bokma leeft in elke nerd zijn wildste dromen

TDeK

Beveiliging

@Jeroen • 8 februari 2011 14:55

Onzin, elk systeem is gatenkaas als je geen aandacht aan beveiliging besteedt. Alleen kost dit bij het ene OS meer moeite dan bij het andere. Alles hangt nog steeds af van de gebruiker; je kunt hooguit het OS out-of-the-box zo veilig mogelijk instellen.

SSH @Jeroen • 8 februari 2011 15:01

Zijn de meeste Linux servers niet SLES (Suse) dus met AppArmor? Nu weet ik eerlijk gezegt niet op SLES automount doet, maar ik heb een keer een USB stick erin moeten steken en deze zelf handmatig moeten mounten...
Er zijn genoeg Linux beheerders die paranoïde zijn en juist wel veel beveiligingsmaatregelen nemen. Bij Windows vertrouwen ze juist op "grote merken" terwijl die vaak niets eens rootkits kunnen detecteren.

Hensz @Jeroen • 8 februari 2011 15:11

Daar is misschien wat te halen, maar weer niet bij te komen. Je hebt om een USB-stick in zo'n ding te proppen wel fysieke toegang nodig. Nogal een flinke drempel, een usb-stick pluggen via internet i vooralsnog niet mogelijk en volgens mij ook niet in ontwikkeling.

Xthemes.us @Jeroen • 8 februari 2011 15:19

Belangrijke servers zullen waarschijnlijk geen Gnome en Nautilus draaien. Ben benieuwd of de KDE/Dolphin combinatie ook kan worden misbruikt.

ameesters @Jeroen • 8 februari 2011 15:51

als het goed is, draait nautilus niet op ubuntu 10.10 server, niet out of the box in iedergeval, en er draaien al helemaal geen screensavers op.

en wij zijn niet nalatig, we hebben gewoon een goed systeem! en we zijn ook nergens vatbaar voor, denk dat dit binnen 2 dagen gefixed is...

kozue

Linux

@ameesters • 8 februari 2011 19:50

Het is al gefixt. Eigenlijk iedereen die iets publiceert over lekken in Linux loopt achter de feiten aan. Tegen de tijd dat je publicatie gelezen wordt is de fix al verspreid.

cornedor @Jeroen • 8 februari 2011 16:22

Zoals in het bericht staat zijn ze nog niet door de beveiligings module app armor heen, die standaart in de kernel wordt gecompiled

kozue

Linux

@Jeroen • 8 februari 2011 19:48

De gemiddelde server draait geen Gnome, of wat voor desktop dan ook. Eigenlijk iedere server die ik ooit heb beheerd staat X11 niet eens op. Ook doen servers over het algemeen niet aan automounten van usb disks of cdroms.
Verder praat je sowieso onzin. We denken niet dat we nergens vatbaar voor zijn (ieder OS heeft lekken), we denken alleen dat ons systeem by design beter in elkaar zit dan wat er uit Redmond komt. Persoonlijk vind ik virusscanners echter wel overbodig. Je komt namelijk een Linux systeem alleen in door gebruik te maken van lekken (zoals blijkbaar in de DVI software), en lekken horen altijd te worden gedicht. Ipv een virusdefinitie schrijven kun je ook het lek zelf dichten

Dit allemaal in tegenstelling tot windows, dat als standaard functionaliteit gewoon het automatisch uitvoeren van exe's op disks, optische media en usbsticks mee levert.

foxofinfinety @Jeroen • 8 februari 2011 20:32

dat is wel erg kort door de bocht, omdat iemand linux gebruikt zou die dan dus per definitie denken dat niks hem kan raken?

en waarom heb ik dan zelf een package filter en firewall in linux? niet omdat ik denk dat zoiezo niks me kan raken.

een echt geheel veilig systeem bestaat niet, en de meeste linux gebruikers weten dat ook wel.

zordaz @Jeroen • 8 februari 2011 14:46

O, is dat zo.... Kom eens met een paar feiten dan?
Wat je hier stelt is helemaal nergens op gebaseerd.

Cloud @zordaz • 8 februari 2011 14:51

Ook zonder harde feiten is zoiets een beetje te beredeneren. Waar Linux gebruikers altijd prat op gaan, is dat Linux veiliger is dan Windows. Toch?

Als al niet eens alle Windows gebruikers antivirussoftware gebruiken, dan kun je er vanuit gaan dat dankzij datzelfde idee het aantal Linux gebruikers met antivirussoftware lager zal zijn dan dat bij Windows.

Op zich geen rare gedachtegang toch, of het nu op harde feiten berust is of niet. Maar ik ben inderdaad zelf ook wel benieuwd naar het gebruik van dergelijke software onder Linux gebruikers.

edit: Ik bedoel hiermee niet dat ik de uitspraak 'gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt' onderschrijf. Maar ik denk ook niet dat Jeroen dat zo letterlijk bedoelde.

[Reactie gewijzigd door Cloud op 25 juli 2024 02:27]

Roland684 @Cloud • 8 februari 2011 15:04

Waarbij je compleet voorbij gaat aan dat linux-gebruikers vaak meer computer-onderlegd zijn dan windows-gebruikers.

In welke groep zullen de meeste digibeten zitten denk je?
Stel: morgen komt een update uit voor windows en linux. Waar blijft het probleem het langste bestaan? (denk er ook even aan dat iedereen met een illegale windows -ooit geinstalleerd door een neefje- geen updates zal installeren)

Een virusscanner is niet heilig. Het is hooguit een hulpmiddel, het loopt altijd achter de feiten aan. Met weten waar je mee bezig bent, bereik je meer.

cornedor @Roland684 • 8 februari 2011 16:25

Het zou maar zo kunnen dat dit al in kernel 2.6.38 gepatched is, iedereen kan meewerken aan de kernel, dus er zal vast wel iemand iets voor maken.

djunicron @cornedor • 8 februari 2011 17:44

Dat is ook wel een zwaktebod. "Iemand fixt het wel". Net zoals "Iemand" dit de eerste instantie de wereld heeft ingeholpen.

Ik kan ook als "Iemand" verkondigen dat dit probleem opgelost is in een changelog. En vervolgens deze autorun exploit breed in gaan zetten.

Verwijderd @djunicron • 8 februari 2011 19:29

maar op die manier is er intussen wel een stabieler en veiliger systeem ontwikkeld dan door bijv. MS.......dus wat is je punt?

SED @Verwijderd • 9 februari 2011 02:41

stabieler.. hoezo

stabieler? hoezo?

dat is toch sinds windows 2000 al lang geen issue meer.
vei;liger?
Dat moet nog blijken in de grote praktijk en dit soort exploits helpt daar niet bij

?

Verwijderd @Verwijderd • 9 februari 2011 08:20

Argument van stabiel staat al tijden op losse schroeven. Ik heb 2k servers in eigen netwerk gehad met een uptime van zo'n 2 jaar.
Wil het er niet al te dik bovenop leggen maar dat is mijn ogen meer dan stabiel genoeg.

JoJo_nl @Verwijderd • 9 februari 2011 11:04

ik wil hier even aan toevoegen dat mijn windows bak al 10 jaar uptime heeft en mijn oude linux bak maar 6.5 jaar .. dus in mijn ogen wint windows het op alle fronten inmiddels. het is puur het idee dat men linux veiliger acht, want dit is gewoon pertinent niet zo . bovendien is windows 7 een stuk sneller dan welk linux distro met vergelijkbare grafix en mogelijkheden.

golfdiesel @JoJo_nl • 9 februari 2011 12:47

Dat laatste betwijfel ik sterk. Als ik van Windows 7 naar Kubuntu 10.10 overschakel met alle grafische toeters en bellen aan dan is er geen merkbaar verschil in snelheid. De KDE desktop lijkt soepeler te blijven reageren.

potterkop @JoJo_nl • 9 februari 2011 12:50

Als het systeem niets hoeft te doen zal het wel blijven draaien ......het zegt dan meer over de hardware dan het OS.

Cloud @Roland684 • 8 februari 2011 15:12

Waarbij je compleet voorbij gaat aan dat linux-gebruikers vaak meer computer-onderlegd zijn dan windows-gebruikers.

Over het algemeen genomen, absoluut waar.

In welke groep zullen de meeste digibeten zitten denk je?

Windows gebruikers, by far.

Een virusscanner is niet heilig. Het is hooguit een hulpmiddel, het loopt altijd achter de feiten aan. Met weten waar je mee bezig bent, bereik je meer.

Ook dat is helemaal waar.

Waar ik meer op doel, is de gewone consument die tegenwoordig ook Ubuntu kan kiezen. Ja het aantal is laag, maar er zijn o.a. een flink aantal tweakers die bij familie/vrienden tegenwoordig Ubuntu erop mikken. Gelijk hebben ze, maar het aantal Ubuntu gebruikers zónder kennis, is groeiende. Waar ik benieuwd naar ben is, hoe zit het met de voorzorgsmaatregelen in die groep die mogelijk onterecht denkt dat ze sowieso veilig zitten.

Awareness is natuurlijk het allerbelangrijkste, dat ben ik met je eens. Maar helaas valt dat niet met een update of patch naar de juiste plaats (de gebruiker) te sturen

Ook al ben ik nog steeds benieuwd naar hoe het zit met het gebruik van antivirussoftware onder Linux gebruikers; óók bij de technisch onderlegde gebruiker.

Ik ben er zelf ook een, maar draai ondanks dat ook altijd up-to-date antivirus. Waarom? Niet omdat ik nu zoveel virussen tegenkom met mijn common sense. Ik kan me de laatste zelfs niet herinneren. Maar 'zelfs ík' zal eens een inschattingsfout kunnen maken en daarnaast ben je nog altijd afhankelijk van exploits in de software die je gebruikt. Je volledig veilig wanen door je eigen common sense, is m.i. net zo fout als je volledig veilig wanen op Linux.

alienfruit @Roland684 • 9 februari 2011 08:27

Nou ik update mijn Linux systemen bijna nooit omdat je altijd gezeik hebt met het opnieuw compileren van modules.

Rio6000 @alienfruit • 9 februari 2011 11:33

welke linux gebruik jij dan?

hackerhater @alienfruit • 9 februari 2011 12:17

welke distro heb jij dan? Gentoo? slackware?

humbug @Roland684 • 9 februari 2011 04:00

Ik heb windows, OSX en linux draaien. Raad eens op welke machine een Antivirus pakket geinstalleerd is? Natuurlijk weet ik dat OSX en Linux ook niet veilig zijn maar bruikbare desktop antivirus software is voor die twee OSen een stuk moeilijker te krijgen en de kans op besmetting (tot op heden) veel kleiner. Weten dat beveiliging handig is, wil niet zeggen dat je het ook toepast....

Verwijderd @Cloud • 8 februari 2011 15:47

Ook zonder harde feiten is zoiets een beetje te beredeneren. Waar Linux gebruikers altijd prat op gaan, is dat Linux veiliger is dan Windows. Toch?

Volgens mij zegt niemand dat. Het is wel zo dat in Windows concessies gedaan in het belang van gebruiksvriendelijkheid die ten koste van veiligheid gaan/gingen.

Denk aan autostart
Na inloggejn admin rechten hebben.
Zonder adminstrator te worden door OK te klikken programma's kunnen installeren die administrator rechten nodig hebben.

Mogelijk dat de zelfde gedachte deze onveiligheid in Ubuntu gebracht heeft.

Voor de duidelijkheid.

Ubuntu = Linux
Linux != Ubuntu

Het zelfde geldt voor openSuSE. Fedora, Debian, Mandriva, Centos, etc

Bugs in een bepaalde Linux distro hoeven geen standaard bug te zijn.

Als al niet eens alle Windows gebruikers antivirussoftware gebruiken, dan kun je er vanuit gaan dat dankzij datzelfde idee het aantal Linux gebruikers met antivirussoftware lager zal zijn dan dat bij Windows.

De noodzaak voor antivirus software voor Linux bestaat nog niet omdat er zo goed als geen virussen voor Linux bestaan.

Cloud @Verwijderd • 8 februari 2011 15:56

Volgens mij zegt niemand dat. Het is wel zo dat in Windows concessies gedaan in het belang van gebruiksvriendelijkheid die ten koste van veiligheid gaan/gingen.

Ik kan nu natuurlijk geen citaat vinden, maar ik heb dat echt wel eens horen zeggen hoor

Wat betreft die concessies in Windows, dat klopt. Dat hebben ze gelukkig in Vista verbeterd (misschien wat overdreven zelfs) en in Windows 7 behoorlijk vervolmaakt. UAC is nog wel aanwezig maar lang niet zo storend meer als vroeger, terwijl je toch zonder administrator rechten werkt. Die concessies van vroeger zijn inderdaad absoluut niet handig geweest en ontbreken in de historie van Linux. Dat helpt inderdaad behoorlijk.

De noodzaak voor antivirus software voor Linux bestaat nog niet omdat er zo goed als geen virussen voor Linux bestaan.

Maar is dat nu juist niet die fatale aanname? Zolang het aantal gebruikers (met weinig kennis) blijft groeien en dát idee blijft bestaan, heb je als virusmaker een groeiend doelwit dat zich onterecht slecht beschermd.

Ik zeg ook niet dat het nu al een probleem is, maar ik denk wel dat met de groeiende populariteit van Ubuntu, dit een probleem kan worden.

Verwijderd @Cloud • 8 februari 2011 16:22

Maar is dat nu juist niet die fatale aanname? Zolang het aantal gebruikers (met weinig kennis) blijft groeien en dát idee blijft bestaan, heb je als virusmaker een groeiend doelwit dat zich onterecht slecht beschermd.

Ik denk dat wel meevalt.
Als dit een probleem wordt, zal dit direct in een distro meegenomen worden. Aangezien dat er ergens tussen de 6 en de 9 maanden een nieuwe versie uit komt kan dit direct meegenomen worden. En het kan via het update systeem gedaan worden.

Een distro bouwer voelt zich in het algemeen verantwoordelijk voor de initiële veiligheid van de gebruiker.

Ik geloof sowieso niet in een virusscanner. Je moet niet scannen dat te koste van performance gaat je moet een systeem immuniseren.

Tegen gebruikers die alles runnen en installeren zonder na te denken kun je je nooit wapenen. Dat geldt voor zowel voor Linux, Windows, OSX etc.

Verwijderd @Cloud • 8 februari 2011 17:05

Zeker, als iedereen Ubuntu gaat installeren wordt Ubuntu vanzelf virus-vatbaarder. Het is net zoals een beveiligd huis; zolang jouw huis veiliger is dan je buren, wordt er bij jou niet ingebroken *, maar als de buren hun huis gaan beveiligen, is het waarschijnlijker dat er bij jou ingebroken gaat worden.

Windows is gewoon lek. Niet alleen omdat het hele gebruikersvriendelijkheids gedoe zo ver is doorgevoerd, maar ook omdat veel mensen het antieke XP gebruiken, geen updates installeren en het gewoon een grote markt is.

Linux daarentegen, heeft meer gevorderde gebruikers, weinig mensen die dezelfde versie hebben, een gigantische lading (semi-)hackers die hun eigen hacks op Linux onklaar willen maken ivm eigen "veiligheid", etc, etc...

Linux heeft hierdoor (tot nog toe) geen virusscanner nodig imho. Als je veilig wil zijn, installeer je SELinux, maar dan ben je ook gewoon goed. Verder gewoon geen gekke internet-based commando's in gaan lopen typen, zelf je firewall proberen te "verbeteren", en je loopt weinig risico.

* kans is kleiner, maar natuurlijk; het blijft kans

tuXzero @Cloud • 8 februari 2011 19:43

Het hele idee van anti-virus is het blacklisten van programma's. Ubuntu pakt het slim aan door gebruikers software te laten installeren van een vertrouwde bron. Dat is whitelisten.

Als je slim genoeg bent om software buiten de "store" te gaan gebruiken dan moet je niet opkijken als je je systeem besmet van iets op www.downloadhereyourrootkit.com.

Verwijderd @Verwijderd • 9 februari 2011 08:23

Volgens mij zegt niemand dat.

Dan mis je echt ergens wat. Veiliger en stabieler zijn altijd per definitie de sleutelwoorden die naar boven komen als er ergens weer zo'n nutteloze "welk os is het beste" discussie gevoerd wordt waar Windows, Linux en OSX het tegen elkaar mogen opnemen.

Verwijderd @Cloud • 8 februari 2011 15:08

misschien (ik weet het niet) zijn er juist heel veel linux gebruikers die linux gebruiken OMDAT het veiliger is, hetgeen meteen een weerlegging zou zijn van de uitspraak "gebruikers van Linux zijn nalatiger dan gebruikers van Windows als het op beveiliging aankomt"

Cloud @Verwijderd • 8 februari 2011 15:24

Zo bedoelde ik het inderdaad niet. Dan zou ik die uitspraak meteen zelf weerleggen, dat klopt. Heb mijn reactie inmiddels aangevuld; die uitspraak wil ik zeker niet onderschrijven.

JoJo_nl @Verwijderd • 9 februari 2011 11:09

misschien is de aarde wel ovaal .. je weet t nie...
om je even in de realiteit te helpen.. nee linux is niet veiliger en ja de gemiddelde gebruiker van een linux is net zo slordig en niet-wetend dan een windows gebruiker. wat er dus op neer komt dat het grootste deel van een beveiliging er vooral op neerkomt of de gebruiker dit toepast in zijn systeem en deze up-to-date houd.

tuXzero @Jeroen • 8 februari 2011 19:21

Een beetje stigmatiserend maar oké. Beweren te weten wat mensen denken zegt meestal meer over de persoon die de bewering maakt dan hetgeen dat beweerd wordt. Je zal het wel niet zo bedoelt hebben.

Overigens was dit al gefixed. Er was op 3 januari al een patch beschikbaar. Volgens mij draaien ze nu ook thumbernails in enforced mode.

paulus83 @Jeroen • 8 februari 2011 21:18

Je bedoelt al die duizenden servers die een desktop omgeving met automount draaien?

Dit is wel handig om de workstation van de beheerder te unlocken als die even weg is, niet om grootschalig te verspreiden als voortplantend virus.

Cloud @oldsql • 8 februari 2011 14:42

Daar heb je natuurlijk gelijk in, maar het is wel iets om behoorlijk rekening mee te houden. Ubuntu wordt populairder onder de consument en is zelfs al via bepaalde winkels pre-installed verkrijgbaar. Het zet geen zoden aan de dijk, maar de doelgroep groeit wel.

Dan is het natuurlijk belangrijk om te weten dat Linux toch ook last heeft van bepaalde vormen van aanvallen die allang bekend zijn onder Windows. Dan is het natuurlijk hopen op een goede virusscanner op Linux, maar ik heb eerlijk gezegd geen idee hoe het eigenlijk staat met het gebruik van antivirussoftware onder Linux. Hebben de meeste mensen er wel een, of juist géén omdat ze in de illusie verkeren dat Linux absoluut veilig is?

Bovenstaande is overigens niet bedoeld als flame naar Linux gebruikers, maar een oprechte vraag.

[Reactie gewijzigd door Cloud op 24 juli 2024 04:13]

sfc1971 @Cloud • 8 februari 2011 15:23

Een virus scanner helpt niet.

Het auto-run verhaal waar dit overgaat is het automatisch draaien een uitvoerbaar bestand als een media op de computer wordt aangesloten.

Windows gebruikers kennen het het beste van spel CD's die automatisch de setup lanceren als je de cd in je computer doet.

Dit is een volstrekt legale handeling. Als ik vervolgens in het opgestarte programma een applicatie opstart die al jouw bestanden overzet naar mijn server dan helpt geen virus scanner hier tegen. Er valt niets te detecteren. ALTIJD als jij als gebruiker een applicatie opstart dan geef je daarmee toestemming voor die applicatie om alles uit te halen wat jij als gebruiker mag. Dat is behoorlijk wat, ook als non-privileged user op Linux.

Hier valt weinig tegen te doen anders dan nooit een applicatie opstarten die je niet vertrouwt en dit ZEKER niet automatisch te laten gebeuren. Meeste linuxes die ik heb gebruikt doen dit ook niet, ze openen de USB/CD in een file browser en verder niets.

Maar een virus scanner zal hier niets aan veranderen. Alleen als de opgestarte applicatie een virus bevat kan dit worden gedetecteerd, maar virussen zijn zo ouderwests.

Cloud @sfc1971 • 8 februari 2011 15:27

Ik bedoelde mijn vraag ook niet zozeer specifiek op deze situatie. Maar misschien dat rootkit detectie of andere mechanismen de gebruiker hier tegen zouden kunnen beschermen. Mijn vraag was meer hoe het met antivirussoftware onder Linux in zijn algemeen staat, onder de gebruikers. Even los van de vraag of dat in deze situatie geholpen zou hebben.

Overigens gaat het dus hier niet om een autorun in die zin dat automatisch een programma opgestart wordt hé. Deze exploit maakt blijkbaar gebruik van het feit dat er automatisch thumbnails aangemaakt worden en is dus puur een kwetsbaarheid binnen de programmatuur die daar zorg voor draagt.

ameesters @Cloud • 8 februari 2011 15:56

aide hebben we en tripwire voor rootkit detectie, ook een paar virusscanners(open source), geloof dat er 1 ClamAV heet, en ons rechten systeem, zolang je niet onder root draait kan het niet meer dan je home directorie beschadigen...

kimborntobewild @sfc1971 • 8 februari 2011 15:30

Dit is een volstrekt legale handeling.

Zonder mijn toestemming is het op mijn PC een volstrekt *illegale* handeling.

Automatisme is leuk maar alleen als je 't op de juiste plaats en onder de juiste omstandigheden toepast. Anders open je een wereld van onveiligheid en andere problemen.

elmuerte @sfc1971 • 8 februari 2011 15:33

Het auto-run verhaal waar dit overgaat is het automatisch draaien een uitvoerbaar bestand als een media op de computer wordt aangesloten.

Nee, in dit verhaal wordt geen programma op de USB drive uitgevoerd, maar word er gebruik gemaakt van een security bug in de DVI renderer.

cibrhusk @elmuerte • 12 februari 2011 01:38

ah, dank, dat verklaard een hoop.

Het hele artikel is dus blijk onzin, want het heeft eigenlijk niets met het automounten van een nieuw apparaat te maken.
De exploit kon ongetwijfeld ook gebruikt worden door gewoonweg een plaatje van internet te halen.

storm in een glas water, en uiteraard zit iedereen er gelijk bovenop.

PoweRoy @oldsql • 8 februari 2011 14:38

Wat geen systeembeheer gegevens?

zordaz @oldsql • 8 februari 2011 14:48

Daar gaan we weer, het gros van alle webservers op internet draait op Linux (of Unix/BSD). Het marktaandeel is juist immens! Bovenstaand issue is inderdaad specifiek voor Desktop Linux varianten van toepassing, maar in het algemeen heb je echt ongelijk.

Verwijderd @oldsql • 8 februari 2011 14:45

Ik denk dat juist op linux computers veel interessante info te vinden is. Immers, als jij gevoelige data hebt, zet je die dan op een systeem met een windows os of een linux os?

kidde

Linux

@Verwijderd • 8 februari 2011 21:55

Naja, al die Iraanse ultracentrifuges draaien mooi op Windows.

ed: Of nu niet meer, want die ultracentrifuges zijn nu kapot doordat ze op de verkeerde frequentie liepen, dus die draaien nu helemaal niet meer.

[Reactie gewijzigd door kidde op 25 juli 2024 02:27]

Verwijderd @oldsql • 8 februari 2011 15:42

Maar op de servermarkt is het een heel ander verhaal en daar zit nou net de meeste data.

fevenhuis @oldsql • 8 februari 2011 15:44

Linux Servers zijn juist precies de soort machines waar dit soort aanvallen voor bedoelt zijn, even de databases kopiereën op een USB stick.

Aangezien Linux dus vooral veel op servers gebruikt wordt ik dit zeker een zeer relevant stukje informatie.

Vooral bij kleinere bedrijven waarbij fysieke toegang tot de server meestal vrij is zal dit een risico zijn..

cibrhusk @fevenhuis • 12 februari 2011 01:46

ook kleinere bedrijven hebben de server meestal in een aparte ruimte (of bezemkast). Tenminste, zoals ik ze de afgelopen jaren tegengekomen ben.

Verder is een linux server zelden voorzien van gnome of kde (xorg soms nog wel), en al helemaal niet van een automount voorziening die niet vooraf door de beheerder is ingesteld.
Zo'n server doet normaal precies waar de beheerder hem voor heeft ingesteld en niets meer. Blijf je op de commandline dan zal er niet zomaar een programma dat je niet hebt aangeroepen gaan lopen neuzen in bestanden, tenzij jij dit hebt ingesteld. Blijf je op de commandline dat kun je ook veel veiliger doorwerken want je weet dat het enige user proces dat jij niet handmatig hebt gestart je standaard shell is (bijv dash of bash). Dat beperkt de kans aanzienlijk.

rob12424 @oldsql • 8 februari 2011 20:06

Niet interessant!!?? ---> banken!?? Die draaien Unix/Linux

Voor de rest leuk en wel maar moet je geen root zijn en komt het niet in een tijdelijke map met beperkte rechten?

Overigens appArmor houd de boel tegen en SElinux denk ik ook!?

Verwijderd 8 februari 2011 14:40

Een Quote
"exploit dat het mogelijk maakt om een met wachtwoord beveiligde screensaver te omzeilen en zo toegang tot de pc van een gebruiker te krijgen"

Maar ik neem aan dat dat over het "user" account gaat, neem aan dat het "root" account hiermee wel buiten schot blijft...Kijk alles valt te kraken /hacken
Maar ik had sterk het gevoel dat Linux toch een stukkie dichter zit dan een Windows PC?

Blokker_1999

Linux
Privacy

@Verwijderd • 8 februari 2011 14:49

In het verleden zijn er ook exploits geweest waarbij een gewone gebruiker zijn rechten kon verhogen tot supergebruiker. Als je dan verschillende zwakheden aan elkaar kunt koppelen kan je dus ver komen in een systeem.

anboni @Verwijderd • 8 februari 2011 14:50

Als je eenmaal als normale gebruiker toegang hebt tot het fysieke systeem, zijn er legio mogelijkheden om je gebruikersrechten te verhogen (maar er kunnen ook zat andere redenen zijn om toegang te willen krijgen, denk aan het opzoeken van interessante documenten)

daft_dutch @Verwijderd • 8 februari 2011 14:56

Klopt alleen een user account. tenzij je Distro root toelaat als grafische gebruiker.
Dit is geen veiligheids risico waar ik warm of koud van wordt. Het weer een cascade van exploits die bij langer na niet op root uit komt. Waarbij hoogstens ~5% van alle Linux installaties vatbaar voor kunnen zijn. Vergelijk dat maar met weer een Windows issue dat geld voor alle windows versies tot 15 jaar terug. Echte veiligheid tegen virussen is Biodiversiteit!

Verwijderd 8 februari 2011 14:55

Ik denk de markt voor een desktop Linux aanval redelijk klein is maar de techniek zou anders gebruikt kunnen . Linux heeft natuurlijk een vrij grote penetratie graad in embedded devices en servers. Wat gaat gebeuren als je zo'n USB aanval op een NAS of andere "infrastructuur" apparaat uitvoert? Als je dat soort systemen lam kunt leggen wordt het interresanter voor hackers.

Verwijderd @Verwijderd • 8 februari 2011 15:16

Wat gaat gebeuren als je zo'n USB aanval op een NAS of andere "infrastructuur" apparaat uitvoert?

Niks. Want een NAS draait geen Nautilus. Dit is gewoon een hopeloos opgeblazen bericht. Linux is helemaal niet gevoelig voor "aanvallen met usb-disk", Nautilus is gevoelig.

_JGC_ @Verwijderd • 8 februari 2011 15:33

Ik mag idd hopen dat een NAS of server geen Nautilus draait. Overigens, als ik zo naar de servers kijk die ik voor mijn werkgever beheer: USB ondersteuning zit niet eens in de kernel die we draaien, laat staan dat het geautomount wordt.

mg794613 8 februari 2011 15:24

Sorry dat ik even moet becommentarieren :
Als ik het zo lees is het alleen nautilus? wat heeft dat met linux te maken? ja het draait er op... dus?

Verwijderd @mg794613 • 8 februari 2011 15:58

Als ik het zo lees is het alleen nautilus

Nautilus is een voorbeeld uit de praktijk dat niet alleen de opslagmedia direct benadert maar ook lek izs en direct geexploiteerd kan worden.
Dat zegt niet dat er geen andere programma's zijn die zich op vergelijkbare wijze met aankoppelbare opslagmedia bezighouden en daardoor een systeem kwetsbaar kunnen maken voor dergelijke aanvallen.

borft @Verwijderd • 8 februari 2011 16:40

nautilus is niet lek. Als je goed leest, dan staat er dat er een bug zit in de library die gebruikt wordt voor het genereren van de thumbnail. Verder is er dus helemaal geen bug inde linux kernel, noch in gnome of nautilus.

Wat een storm in een glas water.
- alsof er op belangrijke servers een grafische shell draait
- alsof je op een belangrijke machine een inlog sessie laat draaien

Wolfos 8 februari 2011 14:50

De exploit maakt gebruik van de met Ubuntu meegeleverde bestandsbeheerder Nautilus.

Fout bericht dus want niet Linux is gevoelig voor de USB aanval, alleen Nautilus.

J.J.J. Bokma @Wolfos • 8 februari 2011 15:29

Nautilus draait op Linux, dus het kan *onder* Linux.

kidde

Linux

@J.J.J. Bokma • 8 februari 2011 22:04

Ja, en Total Commander draait op Windows, dus als Total Commander met een specifieke configuratie kan worden aangevallen kan het dús automatisch op Windows? Dat is nogal een kromme redenatie.

Squee @J.J.J. Bokma • 9 februari 2011 00:00

Ja, maar kan het dan ook op Solaris? (Die "Java desktop" is GNOME gebaseerd), en kan het ook op (.*)BSD met GNOME? Ik vind het vreemd dat er door een lek te vinden in Nautilus (ok, op Ubuntu) nu met de vinger naar Linux gewezen wordt in dit artikel.

Lek in Ubuntu? Ja.
Lek in GNOME? Ja.
Lek in Linux? Nee.

kimborntobewild @Wolfos • 8 februari 2011 15:33

Nautilus dus overboord gooien.

paneidos 8 februari 2011 15:10

Het valt me toch een beetje tegen van Tweakers dat dit bericht zo'n verkeerde kop heeft.
Er zijn imho flink wat dingen mis met dit bericht.

1) Het is iets wat misgaat met Nautilus, dit is niet hetzelfde als Gnome of Linux, maar slechts 1 programma in 1 desktop environment, overigens zou het zelfs kunnen dat deze bug bestaat op non-Linux systemen die Gnome draaien.
2) Dit is geen autorun, maar een bug in iets dat automatisch thumbnails maakt.

DCK @paneidos • 8 februari 2011 15:51

Bovendien wordt gesuggereerd dat het omzeilen van AppArmor een kwestie van tijd is, zonder dit te onderbouwen. Als het omzeilen van een beveiligingslaag die door vele (ook neurotische) Linux-distributies zo eenvoudig zou zijn, zou ik dat graag onderbouwd zien.

Dit is niet eens een probleem van Nautilus. Dit is een probleem van pdf-lezer Evince of diens library poppler, die (denk ik) het renderen van de thumbnails verzorgen en het blijkbaar toelaat arbitraire code uit te voeren bij DVI-bestanden.

kidde

Linux

@DCK • 8 februari 2011 22:09

Zie video 48:20, wordt allemaal utigelegd!

Verwijderd 8 februari 2011 14:47

De onderzoeker schreef de exploit voor Ubuntu 10.10 in combinatie met de grafische desktop Gnome. De exploit maakt gebruik van de met Ubuntu meegeleverde bestandsbeheerder Nautilus. Dankzij Nautilus worden opslagmedia die worden aangesloten automatisch aangekoppeld.

Bovendien genereert Nautilus thumbnails voor alle bestanden in de root-directory van een opslagmedium, ook als een gebruiker zijn systeem gelockt heeft. De onderzoeker gebruikte een kwetsbaarheid bij het maken van thumbnails van dvi-bestanden.

Dat betekend dat Nautilus op Ubuntu altijd automount?

Gebruikers kunnen zich tegen de beveiligingskwestie beschermen door het automatisch mounten van opslagmedia uit te schakelen, aldus Larimer.

openSuSE doet in ieder geval onder KDE geen automount en ik kan me niet voorstellen dat deze dit wel doet onder gnome.

hackerhater @Verwijderd • 9 februari 2011 12:32

In mijn geval wel (ubuntu 10.10). Zelf vind ik dat heel fijn. Maar hij zou het niet moeten doen als de boel gelocked is.

Of in ieder geval wordt nautilus geopend die de root van de aangekoppelde schijf laat zien

[Reactie gewijzigd door hackerhater op 25 juli 2024 02:27]

Op dit item kan niet meer gereageerd worden.

Aanval met usb-disk kan ook onder Linux

Lees meer

IT-banen

Reacties (147)

Sorteer op:

Weergave: