Poslao: 26 Dec 2009 15:01
|
offline
- Stator
- Ugledni građanin
- Pridružio: 26 Avg 2005
- Poruke: 384
- Gde živiš: Beograd
|
bobby ::dekao ::Ajd da otvorimo takmičenje za prvu žrtvu virusa na linuxu! Ali uspešna, ne samo pokušaj.
Imam pun dzak virusa za Linux, ako cete uzivo da testirate.
EL moze neki od njih da se probije kroz SELinux ?
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
Poslao: 26 Dec 2009 20:19
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Pa poenta kod linuxa je u toj nekoj odvojenosti fajlova svakog korisnika ponaosob.
"Sveti gral" virusa je da zarazi neki fajl kojeg ce u nekom momentu da pokrene i neki drugi user.
Znaci, pricamo o sistemima sa vise korisnika, a ne o kucnom racunaru koji ima samo root nalog i eventualno jos jedan korisnicki nalog pride.
Ukoliko je sistem tako glupo konfigurisan da obican korisnik ima write dozvolu u /bin ili /opt/bin ili bashrc podesavanjima, onda virus moze da podmetne bombu koju ce korisnik sa drugog naloga aktivirati onda kada se on uloguje.
Nisam bas nesto strucan po pitanju dozvola na Linuxu, tako da ne mogu bas da diskutujem na ovu temu.
Znam samo da fajl infektori postoje i cilj im je bas da infekciju prosire izmedju vise korisnickih naloga.
Osim tih zvrcki oko dozvola, na Linuxu postoji jos jedna ogromna prepreka za sirenje zaraza - LibC.
Program kompajliran, tacnije linkovan za jedan libc ne moze biti tako lako pokrenut na sistemu koji ima drugi libc.
Vidjao sam malware (pisan u nekom skript jeziku) koji koristi wget da skine sa neta source payloada, pa ga onda iskompajlira na samom hostu.
Zanimljiva prica oko malwarea na Linuxu, posto je Linux bas negostoljubiv teren za malware s obzirom na raznolikost.
Situacija malo drugacije izgleda sada kada 70% kucnih linux racunara furaju Ubuntu, pa malware kompajliran za isti ima prilicne sanse da se udomi.
Osvrnimo se onda jos i na multiplatformski malware - moja kolekcija Java malwarea je prilicna. Ovo pogadja Linux isto koliko i Windows.
Razlika doduse postoji, posto veci deo Java malwarea sluzi samo kao downloader, a oni su obicno nastimovani da skinu neki Win32 exe sa neta i pokrenu ga na lokalnom racunaru.
Onog dana kada budemo imali malo vecu kolekciju malwarea pisanog u Javi, a koji ne bude bio samo downloader, onda ce biti drugacija prica.
Opet, taj malware moze generalno da bude aktivan samo dok je browser ukljucen, ili eventualno (ukoliko JVM ostane ukljucen nakon gasenja browsera) dok se korisnik ne odloguje sa sistema. Na Linuxu ce svi procesi nekog korisnika biti ugaseni onda kada se taj korisnik odloguje sa sistema.
Dobro, uvek postoje kompovi koji rade bez prekida (serveri, ili kompovi na kojima se neki torrent ili ed2k klijent ne gasi mesecima), sto je fino leglo za procese koji zavise od toga da li je korisnik ulogovan.
Ono, sistemi se uvek mogu tako fino nastelovati da malware nema skoro nikakve sanse da svije svoje gnezdo. Ovo vazi i za Windows i za Linux.
Problem kod Linuxa su ove kvazi-user-friendly distribucije koje furaju zadnjih godina, koje zaglupljuju korisnike sakrivajuci od njih cinjenicu da treba da nauce malo kako njihov OS funkcionise i kako ga treba nastelovati.
Ja sam popizdeo od besa pre dve godine kada sam saznao da na kompu imam guest account kog je instaler po defaultu kreirao.
Nigde nije bilo napomenuto da ce to da se desi, a u onom programcetu (neka vrsta Control Panela) je taj nalog bio skriven.
To je sve posledica prekonfigurisanosti sistema za funkcionisanje sa CD-a (LiveCD), a kako pri instalaciji samo kopira kompletan CD na HD, tako je sa tim naisao i taj guest account.
To je ona prica od gore kako je nako na mom kompu ubacio bota.
|
|
|
|
|
Poslao: 26 Dec 2009 22:15
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Ne, nece skinuti i sam GCC, to bi vec bilo previse
Dzabe, ne mogu sada da diskutujem o teoriji zbog:
1. Lezim zbog gripa, i mozak mi se krcka na 39 stepeni
2. Pojma nemam gde sam procitao o tome kako se sire fajl-infektori izmedju naloga, a rado bih podelio link sa vama ovde
3. Kolekcija virusa mi je na drugom racunaru, i sav malware je na jednoj gomili od nesto preko 100GB.
Trebao bih da pustim AV da proskenira celu kolekciju (zadnji put je to trajalo jedno 20 sati), pa da grep-ujem log za Linux malwareom, sto mi se trenutno ne radi zbog obima tog posla.
Nemam blage veze kako radi SELinux, ali iz tvog primera izvlacim zakljucak da on vodi neku evidenciju hasheva fajlova.
Ako je tako, to je onda isto ono sto radi i Tripwire.
|
|
|
|
|
Poslao: 26 Dec 2009 23:26
|
offline
- FarscapeFan
- Legendarni građanin
- Pridružio: 30 Dec 2007
- Poruke: 4759
- Gde živiš: Niš
|
dsktop distribucije mislim da jesu malo ranjivije nego serveri , ali na serverima obično postoje obučeni kadrovi (mislim da postoji red hat sertifikacija , nisam siguran tačno)
ali je opet bila ovde nedavno vest da su upali u nasa
fedora mislim da po defaultu i na desktop instalaciji postavi selinux
(doduše mislim on prijavljuje/blokira dosta toga pri običnom korišćenju ako mora da se doda neki paket od treće strane koji nije iz repoa)
neka analogija bi bila user acaunt control na visti , ali obično ga isključe(na desktopu) i selinux ,piše negde po fedora forumu , malo se teže isključi nego uac - postupak zahteva nešto iz konzole ili promenu neke od boot opcija.
edit
Citat:
Ono, sistemi se uvek mogu tako fino nastelovati da malware nema skoro nikakve sanse da svije svoje gnezdo. Ovo vazi i za Windows i za Linux.
u suštini mogu ali nisam siguran da se na kraju dobije dovolno upotrebljiv sistem (npr bez fleša ili silverlajta je definitivno sigurnije,bar mislim)
ali po difoltu windows instalacija je bila sa max privilegijama dok je za linux bilo obrnuto , sada desktop linux smanjuje kriterijume a od viste se povećavaju (bar u teoriji , ovaj uac )
--------------------
takođe mislim da će u budućnosti da se okreću preuzimanju rutera (*box rešenja koja se dobijaju od provajdera)
valjda postoje zvrčke kojima je moguće da se (moderan) ruter otuđi i da mu se nešto uradi , ne baš oni stariji tipovi, već fabrički noviji
loša strana je da na puno njih se pokreću pomoću embeded linuksa
ali ipak proizvođači posle end-of-life uređaja ne preuzimaju obavezu da unapređuju firmware (čak puno puta posle inicijalnog izdanja zaborave na taj uređaj)
i onda je potpuno svejedno koji os stavite jer je ranjivost van samog sistema
za cable broadband jedino mislim da i dalje dovodi net direktno na komp?
(ne znam u stvari tačno gledano u globalu)
|
|
|
|
Poslao: 27 Dec 2009 11:07
|
offline
- Stator
- Ugledni građanin
- Pridružio: 26 Avg 2005
- Poruke: 384
- Gde živiš: Beograd
|
Ja u zivotu nisam cuo / video da je neko hakovao cisco router.
Inace ako neko bas hoce da nesto uradi Linux masini ja bi mu savetvao da gadja one sa stariom verzijom flash-a, jave, FF. Jer odredjenje distribucije kasne sa updateom istih. I sa tim i nekim opakim JS se moze npr izvuci sve sifre iz FF ako korinik ne koristi Master Pass.
I da RedHat kursevi postoje i to cak i kod nas, dakle sve literatura, predavanja, ispiti... Najpopularniji je RHCE. Znam jer se upravo spremam za isti
|
|
|
|
Poslao: 27 Dec 2009 11:12
|
offline
- hazmaju
- Elitni građanin
- Pridružio: 08 Jul 2006
- Poruke: 2182
- Gde živiš: Beograd
|
@Stator
Posalji mi na PP kolika je cena i kakvi su nivoi, molim te.
|
|
|
|
|
Poslao: 29 Dec 2009 17:03
|
offline
- FarscapeFan
- Legendarni građanin
- Pridružio: 30 Dec 2007
- Poruke: 4759
- Gde živiš: Niš
|
Citat:
Ja u zivotu nisam cuo / video da je neko hakovao cisco router.
više sam u stvari mislio na kućne rutere iz ,consumer - potrošačke grane proizvodnje te tehnike
|
|
|
|