Czy dystrybucje GNU/Linux i systemy z rodziny BSD można określić, jako bezpieczne?
Dość znaczna część użytkowników systemów GNU/Linux, BSD, nie zdaje sobie sprawy z tego, że ich graficzny interfejs użytkownika nie posiada separacji…
Mój Linux, to moja twierdza?
Załóżmy drogi czytelniku, że posiadasz najnowszą Fedorę, system jest w pełni zaktualizowany, a dodatkowo zbudowałeś sobie również zaporę korzystając z iptables. Masz włączony SELinux, ponieważ nie posłuchałeś „dobrych rad”, z licznych tutoriali, które na starcie zachęcają do jego wyłączenia. Zakładam też, że pewnie szyfrujesz swoje dane korzystając z truecrypta. Co więcej na Twoim szyfrowany kontenerze truecrypta, znajduje się szyfrowany plik keepass, którego z kolei używasz do przechowywania haseł. Przeczytałeś również, że implementacja SELinux do Red Hat Ent. Linux była efektem współpracy NASA i Red Hata, czy możesz się czuć bezpieczniej? : )
Brak separacji GUI
Cały problem polega jednak na tym, że jeśli uruchomisz keepass w celu zapisania swojego tajnego bezpiecznego hasła i masz np. odpalonego gimpa, to pomiędzy tymi dwoma aplikacjami nie ma żadnej izolacji na poziomie GUI.
Czyli jedna aplikacja może przechwycić od drugiej naciskane klawisze klawiatury lub nawet je wstrzyknąć!
Architektura serwera X, została zaprojektowana w latach 80, co usprawiedliwia ówczesne idealistyczne podejście twórców, zakładali Oni, bowiem, że każda aplikacja jest „dobra” a świat jest pięknym miejscem, w którym każdy dzieli się ze sobą wiedzą i zna hasło Richarda Stallmana. : )Gdy hasła po raz pierwszy pojawiły się w AI Lab, nie zmieniłem zdania i nadal nie widziałem potrzeby ich stosowania - twierdził Stallman. - Ponieważ nie wierzę w konieczność chronienia zasobów komputera, nie mogłem wspierać wprowadzenia reżimu bezpieczeństwa
Czasy jednak się zmieniły, Internet również…
8 listopada 2006 Microsoft wydał system Windows Vista w którym wprowadził izolację na poziomie GUI, obecnie mamy kwiecień 2013r Linux / BSD - ciągle wykorzystuje X11, a założenia projektowe z lat 80, dotyczące „dobrych” aplikacji jest ciągle aktualne…
Dowód?
Otwórz okno terminala i jako zwykły użytkownik, bez praw administratora wpisz polecenie:
xinput –list
Polecenie to wyświetla wszystkie urządzenia wejścia, każde urządzenie ma przypisane id, odnajdź id swojej klawiatury, u mnie jest to „AT Translated Set 2 keybord id=7” kolejno wykonaj następujące polecenie w terminalu:
xinput test TwojeID
Teraz otwórz następne okno terminala i wpisz np. swoje hasło na roota, otwórz przeglądarkę i zaloguj się do swojego konta pocztowego, czy też banku, to samo możesz zrobić z truecryptem i keepasem lub obejrzyj zrzuty ekranu, które przygotowałem.
Kody klawiszy możecie znaleźć na wiki.archlinux.org
Podsumowanie
Przecierasz oczy ze zdziwienia? : ) Błąd w architekturze X11 powoduje, że np. Twoje Sudoku może mieć dostęp do Twojego hasła: a) na roota, b) do truecrypta / keepassa c) czy też do poczty / konta bankowego : )
Co więcej, aby tego dokonać nie potrzebujesz uprawnień roota. : )
Natomiast napisanie własnego keyloggera na Linuxa / BSD jest zadaniem naprawdę prostym.
Bibliografia:
[1] Joanna Rutkowska, The Linux Security Circus: On GUI isolation [2] https://wiki.archlinux.org/index.php/Xmodmap [3] http://stallman.helion.pl/ch07.html [4] http://pl.wikipedia.org/wiki/Windows_Vista [5] http://www.redhat.com/about/news/archive/2012/5/red-Hats-decade-of-col...