Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Linux (wbrew pozorom) również podatny na ataki? Sprostowanie

Głośno było ostatnio w internecie na temat zainfekowania pliku instalacyjnego Unreal3.2.8.1.tar.gz  na serwerze UnrealIRCd które przez ponad pół roku zostało niezauważone!

Na vortalu (w komentarzach) jak w i na innych serwisach zawrzało... fani linuksa rzucili się do obrony systemu, przeciwnicy opiewali triumf. Ale czy na to wszystko nie jest jeszcze za wcześnie? Mam wrażenie że ~98% komentujących nawet do końca nie wie o co chodzi. Na vortalu news także nie do końca był moim zdaniem obiektywny (nie podano istotnych informacji odnośnie całego zdarzenia) także wypada by całą sprawę naprostować. Wpis ten może mieć charakter nieco subiektywny, jednak mimo wszystko chciałbym przedstawić pełniejszy obraz sytuacji na podstawie informacji znalezionych w internecie.

O co chodzi?
Jak już napisałem na pewnym serwerze podmieniony został plik instalacyjny przeznaczony dla systemów z rodziny linux. Jak do tego doszło? Wina leży w 100% po stronie administratorów owego serwera. Z tego co się dowiedziałem czytając o tym zajściu zawartość repozytorium nie była w żaden sposób monitorowana, co więcej nie opublikowano sum kontrolnych plików, do tego serwery lustrzane również w żaden sposób nie sprawdzały sum kontrolnych, pobierając i rozpowszechniając tym samym automatycznie zainfekowane zbiory. Pojawiły się już słuchy że administratorzy feralnego serwera celem wyeliminowania podobnych sytuacji w przyszłości postanowili wdrożyć cyfrowe podpisy (GPG).

Pieniacze i tak stwierdzą że era bezpiecznych dystrybucji minęła. A ja pytam na jakiej podstawie tak twierdzą? W całym zajściu rozchodzi się o to że źródła zostały zainfekowane, następnie zostały pobrane przez twórców dystrybucji, skompilowane, spaczkowane i udostępnione w repozytorium lub bezpośrednio ściągnięte przez końcowego użytkownika i zainstalowane. Nie można pominąć tutaj winy developerów że udostępnili zainfekowane oprogramowanie jednak należy pamiętać że zawinił tu tylko czynnik ludzki. Gdyby ktoś W MS dopuścił trojana do windows update z etykietką automatycznej instalacji wszyscy by nagle stwierdzili że poziom bezpieczeństwa diametralnie spadł? Bezpośrednio zawinił człowiek, najdoskonalsze systemy nie są odporne na takie niespodzianki.

Pojawia się jednak coraz więcej głosów twierdzących, że czasy bezpieczeństwa dla Linuksa dobiegają końca.

Jedyne uzasadnienie jakie mi przychodzi do głowy to fakt że linuksem interesuje się coraz więcej osób, jednak przecież przez to sam poziom zabezpieczenia systemu nie spada. Co najwyżej rośnie zagrożenie.

Zdaniem Eda Botta z ZDNet problem z UnrealIRCd ujawnia podatność systemu Linux na ataki.

Owe zajście ujawnia jedynie starą jak pierwsze komputery prawdę że to użytkownik jest najsłabszym ogniwem. Złośliwy kod został uruchomiony z jego udziałem na prawach administratora! Nieświadomość nie zwalnia z odpowiedzialności!

Twórcy dystrybucji otwartego systemu powinni poważnie zastanawiać się nad wzięciem lekcji od Microsoftu, konkluduje.

Coś więcej na ten temat? Czego tu się uczyć? Wydawać service packi? Nie neguję podejścia Microsoftu do tematu bezpieczeństwa ale równie dobrze Microsoft mógłby wziąć lekcje od developerów freebsd, oni zaś od developerów openBSD i tak w koło macieju...

Podsumowanie

Wszystko to mogło trochę chaotycznie wyjść za co przepraszam. Podsumowując:
zerowy poziom zabezpieczeń na serwerze oraz nieświadomość użytkownika w kwestii bezpieczeństwa + zaniedbanie ze strony developerów którzy spaczkowali a następnie udostępnili końcowemu użytkownikowi zainfekowany program doprowadziła do tego do czego doprowadziła. Linux na ataki w jakimś stopniu podatny oczywiście jest lecz nie można negować jego wysokiego poziomu bezpieczeństwa przez to że ktoś własnoręcznie z prawami administratora (mimo że nieświadomie) uruchomił wirusa.

Wpis zapewne w jakimś stopniu jest subiektywny oraz doprawiony szczyptą niewiedzy zatem wszelkie uwagi mile widziane.
Źródło:Plichu.pl 

Komentarze

0 nowych
R_2_r   4 #1 15.06.2010 11:58

No i ja się z tym zgadzam nie było winą systemu, że był infekowany tylko winą był obarczony człowiek: administrator, który nie wiedział co za plik i z czym udostępnia oraz nie interesował się bezpieczeństwem serwerów, na których ten plik się znajdował no i winę ponosił użytkownik ale w mniejszym stopniu gdyż zainstalował coś co miało być bezpieczne a takie nie było. Robienie z igły widły. A większość krzykaczy nie rozumie co czyta i nie do tej pory nie załapała (ciekawo kiedy to zrobi?), że nie było dziurawego systemu tylko ignorancja użytkowników z adminem na czele;]

tomimaki   6 #2 15.06.2010 12:15

Jakie dystrybucje miały zainfekowany plik w repozytoriach?

R_2_r   4 #3 15.06.2010 12:23

To nie są repozytoria żadnej dystrybucji bo te mają podpis (dlatego taki sposób rozpowszechniania oprogramowania jest bardzo bezpieczny) tutaj nie mamy do czynienia z podpisem nawet nie można sprawdzić sum kontrolnych.

Olbi   10 #4 15.06.2010 12:24

No niestety, ale niektórzy nie powinni pisać newsów, lub jak już piszą, to sprawdzić dogłębnie informację. Pan mmaj widać tak się podniecił owym newsem o zarażaniu systemu Linux, że poszukał tylko informacji "niby speców", którzy stwierdzili, że to koniec czasów bezpiecznego systemu. Gówno prawda. Linux nadal będzie bezpieczny, bo:
1. użytkownik pracuje z bardzo ograniczonymi prawami
2. aby coś zainstalować, trzeba posiadać dostęp do konta root
3. SELinux bardzo dobrze blokuje wszelakie ataki i nieautoryzowane dostępy do pamięci, nawet z poziomu roota
Szkoda tylko, że wiele osób wyłącza domyślnie SELinuksa, a system nie został wprowadzony po widzimisię, ale właśnie dla zabezpieczenia konta root

  #5 15.06.2010 12:27

@tomimaki
coś było wspomniane gento

Od siebie dodam, że to nie projekt został zainfekowany ale jeden z mirrorów na których był hostowany kod źródłowy strony. Części osób chyba o tym zapomina. Poza tym kompilacja na windowsie przyniosłaby ten sam efekty co na linux ;-)

tomimaki   6 #6 15.06.2010 12:29

Aaa. Już znalazłem.

borzole   4 #7 15.06.2010 12:33

bo to była burza w szklance wody

  #8 15.06.2010 12:52

A gdzie jest selinuks poza fedorą i super militarnymi systemami dla łodzi podwodnych? ;-)

n-pigeon   5 #9 15.06.2010 13:09

No i usunięto moją wypowiedź o pewnym redaktorze który nie potrafi napisać rzeczowego newsa ;) spodziewałem się tego :)

Extraordinarykid   6 #10 15.06.2010 13:44

Takich rzeczy redakcja nie powinna publikować.
Strzał w stopę !
Nie ma to jak dać się skrytykować !;-)

trux   11 #11 15.06.2010 13:54

Na wstępie zaznaczę, że był to dla mnie lekki szok.
Mam tu na myśli rażące zaniedbania ze strony deweloperów (brak sum kontrolnych), jak i administratora serwera.
W chwili, kiedy emocje już opadły, mimo wszystko stwierdzam, że potrzeba nam było takiej wpadki. Natomiast sposób wprowadzenia trojana był genialny w swojej prostocie. Całe szczęście że szkody nie są zbyt duże, bo mogło się to skończyć bardzo źle.

Na koniec, coś dla trolli.
GNU/Linux jest nadal bezpiecznym systemem, chronią go sumy kontrolne i inne zabezpieczenia.

PS. W jaki sposób można sprawdzić czy dany program pod MS Windows jest oryginalny, skoro brak sum kontrolnych ?

trux   11 #12 15.06.2010 13:55

Extraordinarykid@

Niby tak, ale ponad 300 komentarzy jest... Czy nie o to chodzi?

RubasznyRumcajs   6 #13 15.06.2010 13:56

@herr
no, jest jeszcze RHEL/Centos :).
a tak na powaznie- z 'domowych' dystrybucji to tylko fedora ma powazne zabezpieczenia. wspomniany juz SELinux, latki na paczki, kompilacja z -ssp i -fstack-protector etc.
Szkoda tylko ze GRSecurity/PaX nie jest 'oficjalna' czescia jadra, tylko funkcjonuje jako 'zewnetrzny' patch :/

tomimaki   6 #14 15.06.2010 14:03

@herr
Dzięki, jeszcze znalazłem, że było w repozytorium Archa.

A może ktoś sprawdzić czy skompilowany pod Windowsem plik byłby wykryty jako zainfekowany? Bo na razie to prawie wszędzie napisali, że "na pewno" by antywirusy to wykryły.

  #15 15.06.2010 14:14

@tomimaki | 15.06.2010 14:03 : Oczywistym jest, że wprowadzony kod nie zostałby wykryty.

1) Antywirusy szukają sygnatury wirusa. W przypadku własnoręcznej kompilacji kod jest generowany przez kompilator, więc "sygnatura też"(znaczy się, że nie wystąpi odpowiednia sygnatura w odpowiednim miejscu).

2) Antywirus/Firewall nie wykryje nic podejrzanego. Użytkownik w końcu sam skompilował program, a jedyne, co on robi, to nasłuchuje na irc/komunikuje się przez IRC. Tak samo przyjmuje polecenia. Był to wirus nie wykrywalny.

Soren   8 #16 15.06.2010 14:18

Jakby ktoś miał konstruktywny komentarz to proszę pisać bezpośrednio pod wpisem na blogu: http://plichu.pl/archives/132

  #17 15.06.2010 14:28

A tak na marginesie. Zna ktoś dobry antywirus na Linux. Bo nod32 kompletnie zawiesił mi kompa, zaś AVG zainstalowałem ale nie mam bezpośredniego dojścia do niego.

Extraordinarykid   6 #18 15.06.2010 16:55

trux@ "Niby tak, ale ponad 300 komentarzy jest... Czy nie o to chodzi?"

Nie rozumiem, po jaką cholerę zagrzewać głupie gadanie między użytkownikami.
Zdanie dotyczące systemów zawsze jest podzielone i ten kto wpadł na taki pomysł, nieźle się tym podjarał.
Najgorsze z tego wszystkiego jest to, że brak jakiejkolwiek wypowiedzi ze strony osób, które wprowadzają tak nieprzemyślany ( a może przemyślany ) tekst.
Skoro zajmują się tym profesjonaliści, to ja proszę ich o wypowiedź..

Na szczęście są jeszcze trzeźwi użytkownicy na dp.

duffee   11 #19 15.06.2010 17:51

Jak może być coś bezpieczne co ma otwarty kod - tzn gdzie każdy może dopisać co chce?

Ja nie widzę żadnych zalet open surce - jak dla mnie to jest coś pisane przez nerdów dla nerdów.

Co do bezpieczenstwa linuxa - jak ma byc bezpieczny skoro jego haslem domyslnym dla dla konta root jest haslo root ? Ilu użytkowników tego nie zmienia ? I po co sumy , skoro 90% procent kont ma domyślne hasło admina i można to obejść ?

Soren   8 #20 15.06.2010 18:17

eee nie spotkałem się nigdy z czymś takim jak domyślne konto root (chyba że pod livecd pclinuxos)...
Co ma poziom bezpieczeństwa linuksa do faktu że jakiś procent użytkowników ustawia zbyt proste hasło administratora?
Bezsens...

Soren   8 #21 15.06.2010 18:17

domyślne hasło ^^

  #22 15.06.2010 18:27

Może zamiast wszechobecnego pieniactwa, zwalania win na wszystkich innych wokół, oczyszczania własnych sumień etc., należy zacząć zwracać uwagę na pewne braki w bezpieczeństwie Linuksów, a konkretniej w oprogramowaniu zabezpieczającym jakie jest, a jakiego nie ma. Gdyby do popularny dystrybucji było dodawane oprogramowanie monitorujące działania w systemie i ostrzegające przed niebezpieczeństwem (nieważne z jakimi prawami użytkownik aktualnie "pracuje"). Wyeliminowałoby to wtedy takie przypadki jak opisywany temacie (blokada wykonania i alert o próbie infekcji).

"Owe zajście ujawnia jedynie starą jak pierwsze komputery prawdę że to użytkownik jest najsłabszym ogniwem." - To stwierdzenie jest właściwe dla użytkowników Windows, którzy mogą grać w swego rodzaju "rosyjską ruletkę", a przy doinstalowanych zabezpieczeniach, nawet świadomie strzelić sobie w łeb (porównanie do sytuacji, w której zabezpieczenia ostrzegają przed zagrożeniem, a użytkownik je i tak pomija, otwierając "drzwi"). Przy Linuksie musisz ufać, że to co pobierasz/instalujesz, jest "czyste", bo chyba zostało sprawdzone przez osoby trzecie.

"Złośliwy kod został uruchomiony z jego udziałem na prawach administratora!" - A niby jak się inaczej odbywa standardowa instalacja oprogramowania lub użytkowanie części programów w Lin.?
Przykłady wprost z Ubuntu:
-Synaptic wymaga hasła = prawa administratora
-konsola "sudo apt-get install" wymaga hasła = prawa administratora
-część opcji w UbuTweak, związanych z instalacją (aktualizacją chyba też) wymaga hasła = prawa administratora
-bodajże "aktualizator" systemowy też wymaga hasła (nie pamiętam, a w tej chwili nie jestem na Lin.) = prawa administratora
Także czego byś nie zrobił "większego", to musisz podnosić uprawnienia do administracyjnych (dla mnie taki sposób działania nie jest zabezpieczeniem, początek komentarza mówi o tym co może nim być).

"Nieświadomość nie zwalnia z odpowiedzialności!" - Nie wiem co konkretnie miałeś na myśli, ale ja to zrozumiałem tak, "Nieświadomość tego, że osoba za mną idąca, jest mordercą, który wpakuje mi zaraz kose w plecy, nie zwalnia mnie od wszczęcia alarmu/obrony/ucieczki." i przez to nasuwa się pytanie, lepsza od nieświadomości jest świadoma paranoja. Zaistniała sytuacja nie powstała na jakimś nieznanym nikomu serwerze/serwerach (czyli miejsca te, jak i rzeczy na nich, były darzone zaufaniem). Sęk w tym, że "ostatni bastion", jakim jest domowy Lin. nie ma zabezpieczeń przed takimi ewentualnościami i jego użytkownik nie może być poinformowany/ostrzeżony etc., że akurat tym razem paczka (którą zawsze z tego miejsca pobierał) jest zainfekowana. Także podejście "paranoika" nie jest dobrym wyjściem, człowiek zjadłby zęby i zwariował, gdyby miał wszystko sprawdzać (to w ogóle nieopłacalna strata czasu i nerwów), nie mówiąc już o tym czy potrafi.

Soren   8 #23 15.06.2010 18:47

Antywirusy nie są dołączane (póki co) do standardowego zestawu dystrybucji ponieważ ryzyko złapania wirusa jest nikłe...
Chociaż warto zaznaczyć że coś się zaczyna dziać na tym polu zarówno jeśli chodzi o wzrost zagrożenia jak i coraz to nowe oprogramowanie antywirusowe (clamav, avast, nod32, kaspersky...).

Co do ufności wobec oprogramowania sprawdzanego przez osoby trzecie. W linuksie do instalacji służą repozytoria które już jakiś poziom bezpieczeństwa reprezentują. Nie da się uniknąć sytuacji jaka zaszła jeśli użytkownik z niewiadomego pochodzenia ściąga oprogramowanie i instaluje je. I to jest niezależne od systemu.

Co do "Nieświadomość nie zwalnia z odpowiedzialności!" - chodziło o to że skoro już użytkownik decyduje się na instalacje czegokolwiek spoza repozytorium, musi się liczyć z tym że może to być wirus(w przypadku repozytorium ryzyko jest znacząco zredukowane choć ciągle występuje).

Skoro obawiasz się że osoba idąca za tobą może wbić ci nuż w plecy to nie zapuszczaj się po zmroku w ciemne alejki tylko wychodź z domu za dnia, trzymaj się publicznych miejsc ;)

G.Gn7Ex   5 #24 15.06.2010 19:06

@duffee
"Jak może być coś bezpieczne co ma otwarty kod - tzn gdzie każdy może dopisać co chce?"

1. Źródłową wersję oprogramowania prawidłowo należy ściągać albo prosto od producenta/ze strony domowej, albo prosto z oficjalnego repozytorium danej dystrybucji Linuksa bądź innego otwartego systemu.

2. Nie wiem, jaki miałby większy sens dopisywanie jakiś złośliwych kodów do oprogramowania Open Source, zresztą po co Novell, bądź Cannonical miałby się bawić w takie coś? Jakby takie coś miało by miejsce, to mogłoby oznaczać dla nich koniec istnienia.

3. To co napisałeś działa też w drugą stronę - otwarty kod bardzo ułatwia(wręcz umożliwia) nie tylko tępienie bugów ale i wykrywanie zagrożenia. Zawsze ktoś inny może usunąć jakąś złośliwą część kodu. W binarkach tak się raczej nie da, no chyba, że ktoś w stylu hardcore będzie próbował to robić w jakimś hex-edytorze... :-)

4. Kodu źródłowego się nie da ot tak samoczynnie zainfekować w przeciwieństwie do binarnych plików wykonywalnych.

Ja tym bardziej nie widzę zalet w zamkniętym oprogramowaniu, za to widzę same wady.

A z tym kontem i hasłem admina to już całkiem głupota. U mnie najczęściej wyglądało to tak, że przy instalacji instalator każe(wręcz wymusza) podać hasło roota, zaś potem każe podać nazwę i hasło użytkownika którego konto też automatycznie zakłada, po czym po instalacji i konfiguracji, automatycznie system się uruchamia, albo od razu automatycznie logując na konto użytkownika, albo podaje okienko logowania z domyślnie wpisanym loginem użytkownika.
Nie wiem, jak wszystkie, ale większość dystrybucji w taki właśnie sposób postępuje przy instalacji.

Oprócz tego nie dość, że żaden program(bądź gra) w celu normalnego użytkowania nie wymagał uruchomienia na koncie roota, to jeszcze spotkałem się z przypadkami, gdzie np. gra się nie chciała uruchomić na koncie roota, podczas gdy na koncie użytkownika działała normalnie.

  #25 15.06.2010 19:20

@duffee | 15.06.2010 17:51 : Nie każdy może dopisać, co chce, lecz każdy może zrobić forka. To jest zasadnicza różnica.

  #26 15.06.2010 19:23

@mkp (niezalogowany) | 15.06.2010 18:27 :

1. Jest SeLinux
2. Niczego by to nie wyeliminowało - już o tym pisałem. Windows jest tak samo podatny, a tego szkodnika nie można inaczej wykryć niż po sygnaturach. Sygnatur jednak nie ma, bo ma otwarty kod, a w dodatku ofiara musi go skompilować na swoim systemie.

  #27 15.06.2010 19:24

@mkp (niezalogowany) | 15.06.2010 18:27 : Większość programów 99,(9)% na Linuksa nie wymaga praw administratora do działania. To samo dotyczy się instalatorów.

  #28 15.06.2010 20:02

@Plichu.

Dobrze prawisz. Dać mu wódki za głos rozsądku... reszcie wystarczyły słowa klucze.



roobal   15 #29 15.06.2010 23:18

W całej sprawie jest tylko jedno ale... Większość serwisów tak się podnieciła faktem infekcji, że prawie żaden z nich nie napisał pewnej bardzo istotnej rzeczy, mianowicie:

Modyfikacja kodu nastąpiła tylko na niektórych serwerach lustrzanych a nie w głównym repozytorium, więc zainfekowali się jedynie Ci, którzy nie pobierali paczki z oficjalnego źródła a z serwerów lustrzanych.

Pozdrawiam!

BenderBendingRodriguez   6 #30 16.06.2010 01:08

Bo Oni specjalnie pomijali pewne fakty (zresztą tak jak tutaj) aby wywołać wielce sensację ale jak zwykle w takich sytuacjach "normalni" ludzie lepiej "dziennikarzyli" niż autorzy newsów (zresztą tak jak tutaj). Michał majchrzycki się nawet nie dołączał do dyskusji bo bardzo dobrze wiedział że zostanie zjechany jak pies za ten zakalec jaki upiekł. Również pomijano że Windows również miał tego backdoora w przypadku użycia zainfekowanej paczki (jeden z niewielu multiplatformowych trojanów brawo :), dodatkowo pomijano że paczki binarne dla Windowsa nie były zainfekowane tylko dlatego że ich po prostu nie podmienili (co to za problem skompilować zainfekowaną paczkę i zamienić tak samo jak paczkę ze źródłami).

Niestety problem w tym że jak chciałeś ściągać z głównego serwera to Cię przekierowywało na mirrory i a nóż trafiałeś na zainfekowane.

  #31 16.06.2010 07:24

Zresztą osobiście nie rozumiem o co tyle szumu, przecież tego cholernego wirusa trzeba było samemu skompilować o.O To podatność na wirusy? No jeśli coś się samemu kompiluje z backdoorem to na pewno wszystko będzie podatne za wyjątkiem kalkulatorów. Gdzie tu podatność linuxa? Wszystko działa tak jak miało działać.