Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Niezabezpieczające zabezpieczenia

Rekomendowane odpowiedzi

Twórca projektu grsecurity, Brad Spengler, ostrzega, że większość z zastosowanych w Linuksie mechanizmów kontroli uprawnień może zostać wykorzystana przez napastnika do przełamania zabezpieczeń systemu. Filozofia bezpieczeństwa w Linuksie opiera się w olbrzymiej mierze na ścisłej kontroli dostępu do usług, procesów i zasobów. Z jednej strony pozwala to ograniczyć uprawnienia poszczególnych użytkowników do rzeczywiście potrzebnych im do pracy, a z drugiej - w przypadku ataku zmniejsza rozmiary szkód, gdyż np. narzędzie, które udało się wykorzystać napastnikowi do konkretnych działań, nie będzie miało uprawnień do wykonania innych komend lub uzyskania dostępu innych zasobów.

Spengler przetestował 35 linuksowych mechanizmów pod kątem wykorzystania ich podczas przeprowadzanego ataku. Odkrył, że 21 z nich może pozwolić napastnikowi na zwiększenie uprawnień w systemie lub inny sposób nim manipulować.

Jednym z takich mechanizmów jest CAP_SYS_ADMIN, który umożliwia podmontowywanie i odmontowywanie systemu plików. Potencjalnie pozwala on napastnikowi na podmontowanie własnego systemu plików nad istniejącym i zastąpienie zainstalowanych programów dowolnym kodem. Spengler mówi, że za pomocą CAP_SYS_ADMIN można też przekierowywać pakiety na firewallu, a zatem napastnik ma możliwość przekierowania połączeń sshd na dowolny serwer i kradzież haseł oraz nazw użytkownika, co pozwoli na logowanie się do systemu na prawach administratora.

Praca Spenglera nie oznacza, że Linux jest systemem szczególnie niebezpiecznym. Większość opisanych przez niego scenariuszy ataków jest możliwa do przeprowadzenia jedynie w bardzo specyficznych warunkach lub też wymaga fizycznego dostępu do atakowanego systemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

być może się mylę... ale wg mnie to nie jest jakiś dobry przykład na słabość zabezpieczeń w linuxie, bo żeby usunąć to niebezpieczeństwo wystarczy np. dać prawo do montowania/odmontowywania systemu plików tylko rootowi. ( co pewnie jest uciążliwe, ale jeśli ktoś się obawia takiego zagrożenia... )

A jeśli rozważamy już sytuacje w której ktoś ma fizyczny dostęp i np odpala własny system z pendrive'a to... przecież taka sytuacja nie wynika ze słabości systemu ;).

 

Szczerze mówiąc w mojej opinii ( bazującej na mojej pewnie nikłej wiedzy z tego zakresu) ten news jest strasznie naciągany i w dalszym ciągu sądzę, że linux jest bezpieczniejszy niż systemy używane przez większość.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

być może się mylę... ale wg mnie to nie jest jakiś dobry przykład na słabość zabezpieczeń w linuxie

 

To praca w dużej mierze teoretyczna. Dla innych systemów też takie rzeczy są robione i co jakiś czas pojawiają się informacje np. o tym, że w Windzie można przełamać zabezpieczenia DEP czy ASLR, ale w niezwykle specyficznych warunkach. Ot, taka ciekawostka, której oczywiście nie należy mylić z isteniem dziury, którą mogą wykorzystac script kiddies.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Apple złożyło wniosek patentowy na technologię, która umożliwia przechowywanie na urządzeniach peryferyjnych - od drukarek po zasilacze - danych koniecznych do odzyskania zapomnianych haseł. Rozwiązanie takie nieco utrudni życie samemu użytkownikowi, ponieważ gdy zapomni hasła, będzie mógł odzyskać je dopiero po podłączeniu oryginalnego zasilacza czy konkretnej drukarki, jednak znacznie utrudni życie ewentualnym złodziejom. Obecnie osoby kradnące laptopy interesują się tylko komputerem, pozostawiając np. w okradanym samochodzie, peryferia. Teraz odzyskanie hasła z ukradzionego sprzętu będzie trudniejsze bez posiadania tego peryferyjnego urządzenia, które zostało wybrane jako dodatkowe zabezpieczenie.
      Gdy zapomnimy hasła, system zaproponuje nam podłączenie urządzenia peryferyjnego, na którym jest ono przechowywane. Po jego podłączeniu i weryfikacji zaproponuje reset hasła i ustawienie nowego.
      Równie prosta ma być konfiguracja. Przy pierwszym ustawieniu hasła system poprosi nas o wybór urządzenia peryferyjnego, na którym mają być przechowywane dane potrzebne do jego odzyskania.
    • przez KopalniaWiedzy.pl
      Coraz więcej osób porzuca Windows XP. Leciwy system operacyjnych stracił w grudniu 2,4 punktu procentowego rynku i obecnie jest używany przez 46,52% komputerów. Strata jest niemal tak duża, jak w październiku, gdy udziały Windows XP spadły o 2,5 pp. Pomiędzy wrześniem a grudniem system stracił 11% użytkowników, a jego rynkowe udziały zmniejszyły się o 6 punktów procentowych. Tymczasem pomiędzy majem a sierpniem strata wyniosła 8,5% użytkowników czyli 3,4 punktu procentowego. Widoczne jest zatem wyraźne przyspieszenia odchodzenia od Windows XP.
      Większość użytkowników rezygnuje z tego systemu na rzecz Windows 7. W ciągu ostatnich dwóch miesięcy udziały platformy Microsoftu nie zmieniły się i pozostają na poziomie 92,23%. W tym samym czasie o 0,1% spadły udziały Macintosha i o tyle samo wzrosła popularność Linuksa. W dłuższej perspektywie widać jednak niewielki, chociaż nie jest on stały, spadek rynkowych udziałów Windows oraz wzrost Macintosha i Linuksa. W lutym 2001 roku Windows mógł pochwalić się 93,61% udziału w rynku. Do Macintosha należało wówczas 5,42% (obecnie 6,36%), a do Linuksa 0,96% (obecnie 1,41%).
      Windows XP wciąż jest najpopularniejszym systemem operacyjnym. Należy do niego 46,52% rynku. Szybko dogania go jednak Windows 7 (36,99%).
    • przez KopalniaWiedzy.pl
      W Quarterly Review of Biology ukazał się kontrowersyjny artykuł, którego autorka twierdzi, że stwardnienie rozsiane (SR) nie jest chorobą autoimmunologiczną, lecz metaboliczną. Ponieważ zaburzeniu miałby ulegać metabolizm lipidów, mechanizm SR przypominałby miażdżycę.
      Badacze medyczni zawsze twierdzili, że o ile winą za SR należy obarczyć układ odpornościowy, który niszczy neurony gospodarza, o tyle trudno wskazać wszystkie czynniki uruchamiający stan autodestrukcji. Niedobór witaminy D, dieta czy geny mogą być powiązane ze stwardnieniem rozsianym, ale dowody na to, że są czynnikami ryzyka, pozostają, delikatnie mówiąc, sprzeczne.
      Dr Angelique Corthals z John Jay College w Nowym Jorku, autorka kontrowersyjnego studium, podkreśla, że zawsze kiedy wskazywano jakiś gen, który w danej populacji sugerował wzrost ryzyka SR, w innej bycie jego nosicielem wydawało się nie mieć żadnego znaczenia.
      Wspominano o patogenach, takich jak wirus Epsteina-Barr, ale nie udawało się wyjaśnić, czemu w podobnych genetycznie populacjach z podobnym obciążeniem patogenami wskaźnik zachorowalności na SR jest tak różny. Poszukiwanie wyzwalaczy SR w kontekście autoimmunologii nie doprowadziło do zunifikowanych wniosków odnośnie do etiologii choroby. Ujmowanie stwardnienia rozsianego jako choroby raczej metabolicznej niż autoimmunologicznej wydaje się podejściem bardziej holistycznym.
      Corthals sądzi, że przyczyn SR należy upatrywać w czynnikach transkrypcyjnych jądra komórkowego, a konkretnie receptorach aktywowanych przez proliferatory peroksysomów (ang. peroxisome proliferator-activated receptors, PPARs), które kierują m.in. wychwytem i rozkładem lipidów w organizmie. Zaburzenie działania PPARs prowadzi do tworzenia w zmienionych chorobowo tkankach złogów z utlenionego cholesterolu LDL. Dopiero to zdarzenie uruchamia reakcję układu odpornościowego i tworzenie się blizn (blaszek, które zastępują otaczającą akson mielinę). Amerykanka wyjaśnia, że z podobnym zjawiskiem mamy do czynienia w przebiegu miażdżycy: PPARs nie działają prawidłowo, tworzą się blaszki, rozwija się reakcja immunologiczna, a wreszcie blizny.
      Wysoki poziom LDL zaburza równowagę lipidową, a skoro nieprawidłowości dotyczące PPARs leżą u podłoża zarówno miażdżycy, jak i SR, wiadomo już, dlaczego ostatnimi czasy rośnie nie tylko liczba zawałów, ale i zachorowalność na stwardnienie rozsiane. To również wyjaśnia, czemu statyny, które mają obniżyć poziom cholesterolu, są obiecującą metodą terapii SR.
      Co łączy niedobory witaminy D ze stwardnieniem rozsianym? Witamina ta pomaga obniżyć poziom złego cholesterolu LDL. Gdy jej brakuje, rośnie ryzyko zachorowania. Koniec końców najnowsza teoria pozwala wyjaśnić, dlaczego kobiety chorują na stwardnienie częściej od mężczyzn. Kobiety i mężczyźni inaczej metabolizują tłuszcze. U panów problemy z PPARs będą raczej dotyczyć tkanki naczyń, natomiast u kobiet zaburzenie metabolizmu lipidów z większym prawdopodobieństwem wpłynie na mielinę ośrodkowego układu nerwowego.
    • przez KopalniaWiedzy.pl
      Poza niedźwiedziami duże ssaki Europy Środkowej pozostają aktywne przez cały rok. W jaki sposób np. jelenie są w stanie przetrwać na zapasach tłuszczu? Obniżają tętno i temperaturę w kończynach. Jak widać, przechłodzone stopy nie zawsze są czymś niepożądanym...
      Christopher Turbill i zespół z Uniwersytetu Weterynaryjnego w Wiedniu umieścili w żwaczach 15 samic jelenia specjalne nadajniki. Dzięki temu mogli przez 18 miesięcy, w tym 2 zimy, monitorować nie tylko tętno, ale i temperaturę żołądka. Zwierzęta żyły w prawie naturalnych warunkach, ale ściśle kontrolowano spożywane przez nie pokarmy, m.in. ilość i zawartość białka. Poza tym Austriacy śledzili temperaturę otoczenia i wykorzystywali dobrodziejstwa modelowania statystycznego, by oddzielić wpływ różnych czynników, np. połykania śniegu, na metabolizm.
      Okazało się, że tętno jeleni spadało w zimie bez względu na to, ile pokarmu spożywały. Liczba uderzeń serca obniżała się stopniowo z 65-70 w maju do ok. 40 zimą, nawet jeśli zwierzętom dostarczano dużo wysokobiałkowej paszy. Tętno jest dobrym wskaźnikiem metabolizmu, a więc jego spadek pokrywał się idealnie z okresem, kiedy zwykle pożywienia brakuje - mimo że nasze zwierzęta zawsze mają co jeść. To pokazuje, że jelenie są w jakiś sposób zaprogramowane na zachowywanie rezerw w czasie zimy.
      Znaczny wzrost tętna na wiosnę w okresie rozrodu nie był związany ze zmianą w dostępności pokarmu, dlatego należy go uznać za kolejny element wrodzonego programu. Tak jak naukowcy przewidywali, obniżenie zimą racji żywnościowych jeleni prowadziło do jeszcze większego obniżenia tętna. Co ciekawe, podobny efekt odnotowano również latem. Sugeruje to, że wywołuje go nie tylko spadek natężenia trawienia. Jelenie muszą aktywnie ograniczać metabolizm w odpowiedzi zarówno na zimę, jak i niedobory pożywienia w innych porach roku.
      Austriacy ustalili, że spadkowi tętna towarzyszyło obniżenie temperatury żołądka. Oznacza to, że jelenie dostosowują wydatkowanie energii, regulując produkcję wewnętrznego ciepła. Ponieważ okazało się, że stosunkowo nieduże zmiany w temperaturze żołądka wpływały na metabolizm silniej niż można by się spodziewać, należało przypuszczać, że istnieje jakiś dodatkowy mechanizm oszczędzania energii.
      W ramach wcześniejszych badań zademonstrowano, że jelenie potrafią skutecznie obniżać temperaturę kończyn i innych wystających części ciała, odpowiedzi na pytanie od dodatkowy mechanizm chłodzący trzeba zatem poszukiwać właśnie tutaj. W tym kontekście nieznaczny spadek temperatury żołądka stanowi zaledwie zmianę towarzyszącą.
      Jeden z członków zespołu, Walter Arnold, sądzi, że duże zwierzęta wykorzystują do chłodzenia swoje gabaryty. Umożliwiają im drastyczne ograniczenie metabolizmu bez konieczności dużego zmniejszania temperatury wewnętrznej. Wystarczy chłodzenie peryferyjne.
    • przez KopalniaWiedzy.pl
      Linux, który niedawno obchodził 20. urodziny, ma grupę zagorzałych zwolenników wśród użytkowników domowych, sporą część rynku serwerów i praktycznie zmonopolizował rynek superkomputerów. Jednak, jak wykazały ostatnie badania, zaczynają się od niego odwracać developerzy.
      Kalifornijska firma Evans Data Corp. przeprowadziła wśród developerów ankietę, w której pytano ich, na jakiej platformie pracują. Okazało się, że Linux spadł z drugiego na trzecie miejsce. Wyprzedził go Mac OS X, którego używa 7,9% ankietowanych developerów. Do korzystania z Linuksa przyznało się 5,6% pytanych.
      Al Hilwa z IDC nie jest zaskoczony takim wynikiem. Mac zdobywa popularność wśród użytkowników i w związku z tym wielu developerów zmienia swoje preferencje.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...