Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Atak na Linuksa za pomocą USB

Recommended Posts

Jon Larimer z IBM-owskiego zespołu X-Force udowodnił, że Linux system nie jest odporny na technikę, którą dotychczas wykorzystywano przeciwko platformie Windows.

Larimer wykorzystał fakt, że wiele dystrybucji automatycznie wykrywa i pokazuje zawartość takich plików przechowywanych na klipsach USB. Dzięki temu udało się przeglądarkę plików Nautilus zmusić do uruchomienia zawartego na klipsie szkodliwego kodu. Larimer był też w stanie wyłączyć mechanizmy ASLR oraz AppArmor.

Ataki za pomocą klipsów USB, a technikę taką wykorzystali twórcy Confickera i Stuxneta, nie są zatem ograniczone tylko do platformy Windows.

Share this post


Link to post
Share on other sites

No i to jest naprawdę zła wiadomość. Wiadomo czy to przełamanie dotyczy tylko przestrzeni użytkownika czy czegoś więcej?

Share this post


Link to post
Share on other sites

Nie sądzę, by była to szczególnie zła wiadomość.

Linux jest, moim zdaniem, tak samo bezpieczny/niebezpieczny jak Windows. Więc tak czy inaczej będzie atakowany. Dopóki nie jest tak rozpowszechniony jak Winda, nie spodziewałbym sie szeroko zakrojonych ataków na osoby indywidualne, bo się one nie opłacają. A ataki na konkretne instytucje/firmy są i będą prowadzone niezależnie od tego, jakiego systemu używa cel.

Share this post


Link to post
Share on other sites

Atak ten wykorzystuje lukę w Evince (Pokazywanie miniaturek), luka ta została załatana w styczniu, a pokaz był na nieaktualnej wersji.

Problem dotyczył środowiska Gnome (Przy domyślnym menadżerze plików Nautilus), a jest to jedno z wielu dostępnych.

 

Ponadto dobrym zwyczajem jest wyłączenie automatu montowania (Albo przynajmniej ładowania przeglądarki plików) tak na MS Windowsie jak i Linuksie. Z powodu zróżnicowania konfiguracji dystrybucji oraz pracujących systemów to atak udałby się na nieznacznej liczbie komputerów.

Oczywiście obejście ASLR oraz AppArmor jest zaskoczeniem.

Share this post


Link to post
Share on other sites

to ludzie na serio uzywaja nautilusa?;)

w KDE wiadomo, ze on nie ma sensu, a nawet na gnomie ludzie chetniej wybieraja thunara albo PCmana, bo sa po prostu szybsze...

Share this post


Link to post
Share on other sites

Atak był na Nautilusa, a ASLR już obchodzono (co najmniej raz) w Windzie.

Właśnie oglądam ten pokaz, a o ataku dowiedziałem się http://www.heise-online.pl/newsticker/news/item/Linux-podatny-na-ataki-robakow-USB-1186095.html.

Sory za link do innego portalu, ale w tym wypadku chyba trzeba.

 

@sylkis Ja używam cały czas Nautilusa. Jest dla mnie bardzo wygodny. Brakuje mi w nim tylko vsynca, więc gdy wysyłam duże pliki na serwa to korzystam z Dolphin-a.

Share this post


Link to post
Share on other sites

ja tam nie rozumiem jak mozna uzywac tej kobyly, ktora jest odpowiedzialna za 90% 'zmulastosci' ubuntu wsrod przecietnych userow.

 

nie wiem, moze na innych distrach jest inaczej, ale na ubu gnome nie nalezy do lekkich srodowisk, a nautius jest chyba jego najciezszym w odbiorze elementem. tego po prostu nie da sie uzywac, foldery ogolnie sie z niezrozumialych mi przyczyn otwieraja bardzo dlugo, zwlaszcza katalogi, w ktorych sie znajduje duzo elementow (np katalog z muzyka, gdzie sa setki podfolderow z roznymi zespolami, dalej albumami itp - kilkanascie sekund!), a nie daj bog otworzysz folder z filmem w HD bez uprzedniego wylaczania miniaturek jako ikon w opcjach (ktore sa domyslnie uruchomione) - aplikacja sie zawiesi i jedynym ratunkiem jest zabicie jej procesu.

 

to jest jedyna przegladarka plikow na linuxie, na ktorej zetknalem sie z czyms takim. wszystkie inne dzialaja szybciej lub wolniej, ale na zadnej sie nei spotkalem, aby otworzenie nawet 'ciezkiego' folderu u mnie zajmowalo ponad sekunde, no moze na dolphinie wspomniana muzyka zajmuje kolo 3-4sek, a w przypadku np PCmana mam wrazenie, ze zanim dobrze klikne, to wszysto jest juz otwarte ;), natomiast na nautilusie nawet ta sekunde to sie co najwyzej puste foldery otwieraja, a jakies 'ciezsze' potrafia sie ladowac nawet kilkanascie sekund, o ile w nich nie ma zdjec lub filmow - bo wtedy to mozna spokojnie isc herbate zrobic, zalatwic je, jeszcze chwilke kimnac, zanim sie toto zaladuje.

 

ani tym bardziej nie rozumiem, do czego ona jest potrzebna, czego by inne przegladarki nie potrafily. ja jakos w dolphinie nie mam problemu z przegladaniem mojej nokii... malo tego, wszystko dziala BLYSKAWICZNIE.

 

no ale linux ma to do siebie, ze co komputer (zeby nie mowic - co uzytkownik i randomowe konfiguracje najrozniejszych sprzetow) - to czesto skrajnie odmienne wrazenia :P

Share this post


Link to post
Share on other sites

Obejrzałem prezentację. Jest ciekawa, efekty był bardzo fajny.

Ja z tej prezentacji wnioskuje że szukał czegoś co ładowało by miniatury (Można to wyłączyć jednym kliknięciem - ale chodzi o ustawienia domyślne) plików z pena. Znalazł: evince, totem i gnome-font. Znalazł sposób na ASLR w systemie 32-bit (Chyba większość dzisiejszych Linuksów to x64?) dzięki umieszczeniu wielu plików - swoja drogą ciekawy sposób, spodobał mi się.

Uczepił się evince i znalazł słabość w ładowaniu pierwszej strony pliku *.dvi. Znalazł też sposób jak zabić proces pomimo AppArmor oraz jak wywołać swój skrypt.

 

Dzięki temu był w stanie odblokować ekran i mieć dostęp do terminala. Trwało to kilkanaście sekund ale się udało.

 

Tak jak pisałem wcześniej, evince nie jest podatne na ten kod od stycznia. Choć pokazał furtkę którą można dostać się do systemu jeśli tylko znajdzie się błąd w aplikacjach (Bibliotekach) ładujących miniaturki.

 

Nie zostało powiedziane czy jest to wykonalne na systemach x64 (Albo ja przeoczyłem).

Share this post


Link to post
Share on other sites

Ok, ale w tym konkretnym przypadku Nautilus nie został złamany, a inny program - który tez występuje w wersji dla Windows.

 

Oczywiście każdy taki pokaz i publiczny atak pokazuje słabości systemu (Jako całość) i przyczynia się do zwiększenia bezpieczeństwa. Zatem oby więcej specjalistów zajęło się tym teraz zanim przybędzie więcej niedoświadczonych użytkowników.

 

PS. Podobno MS wyłączy autoruna na każdym systemie poprzez aktualizacje.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      W grudniu ubiegłego roku Stany Zjednoczone oficjalnie ujawniły, że wpadły na trop dużej operacji hakerskiej prowadzonej przez rząd Chin. Celem operacji była kradzież własności intelektualnej zachodnich przedsiębiorstw. Amerykańskie władze nie zdradziły nazw zaatakowanych firm, ale dziennikarze dowiedzieli się, że chodziło m.in. o IBM- i Hewlett Packarda.
      Teraz reporterzy Reutersa odkryli, że co najmniej sześć innych firm również padło ofiarą hakerów pracujących dla chińskiego rządu. Są to Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation i DXC Technology. Okazało się również, że wśród ofiar hakerów są też klienci wcześniej wymienionych firm, a wśród nich szwedzki Ericsson, system rezerwacji podróży Sabre czy amerykańska stocznia Huntington Ingalls Industries, która buduje okręty na zlecenie US Navy.
      Większość z wymienionych powyżej przedsiębiorstw albo odmawia komentarza, albo zapewnia, że jej infrastruktura jest dobrze zabezpieczona. Przedstawiciele Sabre poinformowali, że w 2015 roku doszło do incydentu z zakresu cyberbezpieczeństwa, ale żadne dane podróżnych nie zostały ukradzione. Z kolei rzecznik prasowa Huntington Ingalls stwierdziła, że jej firma jest pewna, iż nie utraciła żadnych danych za pośrednictwem HPE czy DXC.
      Rząd w Pekinie oczywiście również wszystkiemu zaprzecza. Rząd Chin nigdy w żaden sposób nie brał udziału, ani nie wspierał żadnej osoby parającej się kradzieżą tajemnic handlowych, oświadczyło chińskie MSZ.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Popularny dowcip mówi, że gdy twórca USB umrze, zostanie wsadzony do trumny, pochowany, a następnie wykopany, wsadzony odwrotnie i ponownie pochowany. Nietrudno się domyślić, że autorem dowcipu jest użytkownik zmęczony największą niedogodność standardu USB – niesymetrycznością wtyczki i gniazda.
      Teraz współtwórca USB, Ajay Bhatt ujawnia, dlaczego port USB nie jest symetryczny i nie można się do niego podłączyć niezależnie od ułożenia wtyczki. Przyczyna takiego stanu rzeczy jest banalna – koszty.
      "Brak symetrii to największy problem. Jednak zrobiliśmy to z konkretnego powodu. Intel i jego partnerzy musieli przekonać producentów pecetów, a ci są niezwykle wrażliwi na koszty, by zastosowali nowy standard. Stworzenie symetrycznego lub okrągłęgo gniazda podwoiłoby koszty wtyczki. USB, które można podłączyć na dwa sposoby wymagałoby podwójnego okablowania i dodatkowych układów scalonych. To zaś zwiększyłoby koszty dwukrotnie", zdradza Bhatt.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gang cyberprzestępców, który stworzył listę 50 000 menedżerów, za pomocą której usiłuje wyłudzać pieniądze, zmienił taktykę na bardziej niebezpieczną dla potencjalnych ofiar.
      Istnienie grupy nazwanej London Blue jako pierwsi zauważyli specjaliści z firmy Agari. Grupa stworzyła listę 50 000 menedżerów i początkowo rozsyłała fałszywe informacje, podpisane nazwiskami z tej listy, próbując przekonać pracowników firm do przelania firmowych pieniędzy na wskazane konto. Przestępcy działają w Nigerii, Wielkiej Brytanii i innych krajach. Teraz specjaliści donoszą o zmianie taktyki.
      Dotychczas oszuści używali tymczasowych adresów e-mail z bezpłatnych serwisów pocztowych i do potencjalnych ofiar wysyłali listy podpisane nazwiskiem znanego im meneżera. Teraz ich e-maile już nie tylko są podpisane nazwiskiem menedżera, ale w ich nagłówkach znajdują się podrobione adresy e-mail wyglądające jak adresy używane przez firmę będącą celem ataku.
      Przestępcy początkowo prowadzili korespondencję z ofiarą, by zdobyć jej zaufanie, a następnie domagali się pieniędzy. Teraz informują potencjalne ofiary, że ich firma przejmuje inne przedsiębiorstwo lub z innym przedsiębiorstwem się łączy i w związku tym musi z góry przelać na wskazane konto 30% zaplanowanej transakcji. Zwykle chcą, by przelano 80 000 dolarów.
      Celem przestępców stał się też szef Agari. Ściśle ich monitorujemy. Wiedzieliśmy, że przygotowują kolejne ataki, że ich celem jest m.in. nasz dyrektor oraz inni menedżerowie z Kalifornii. Byliśmy więc w stanie śledzić cały przebieg ataku. Od etapu jego przygotowywania do wykonania. Obserwowaliśmy, jak testują skrzynkę, którą chcieli wykorzystać podczas ataku i dwie i pół godziny po testach e-mail od nich dotarł do naszego szefa, mówią eksperci z Agari.
      Pierwsza runda ataków London Blue była skierowana przeciwko firmom w Europie Zachodniej i USA. Teraz przestępcy atakują przede wszystkim przedsiębiorstwa w Azji Południowo-Wschodniej i Australii.
      London Blue to grupa nigeryjska, ale jej członkowie mieszkają m.in. w Wielkiej Brytanii, Turcji, Egipcie i Kanadzie. Dla niektórych z nich to zawód. Możemy obserwować, jak dzielą się zadaniami. Wielu z nich trafia do grupy w bardzo młodym wieku i początkowo są praktykantami. Zaczynają od bardzo prostych zadań, później działają samodzielnie, w końcu mogą nadzorować innych. To fascynująca struktura, stwierdzają eksperci.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Wiele najnowocześniejszych laptopów oraz coraz więcej komputerów stacjonarnych jest znacznie bardziej narażonych na atak za pośrednictwem urządzeń peryferyjnych niż dotychczas sądzono. Jak wynika z badań przeprowadzonych na University of Cambridge, napastnik może w ciągu kilku sekund przełamać zabezpieczenia maszyny, jeśli tylko zyska dostęp do takich urządzeń jak ładowarka czy stacja dokująca.
      Dziury znaleziono w komputerach z portem Thunderbolt, pracujących pod kontrolą Windows, Linuksa, macOS-a i FreeBSD. Narażonych jest coraz więcej modeli komputerów.
      Naukowcy z Cambridge i Rice University stworzyli otwartoźródłową platformę Thunderclap, która służy im do testowania bezpieczeństwa urządzeń peryferyjnych i ich interakcji z systemem operacyjnym. Pozwala ona podłączać się do komputerów za pomocą portu USB-C obsługującego interfejs Thunderbolt i sprawdzać, w jaki sposób napastnik może dokonać ataku na system. Okazuje się, że w ten sposób bez większego problemu można przejąć całkowitą kontrolę nad maszyną.
      Ataku można dokonać nie tylko za pomocą zewnętrznych kart graficznych czy sieciowych, ale również za pomocą tak pozornie niewinnych urządzeń jak ładowarka czy projektor wideo.
      Urządzenia zewnętrzne mają bezpośredni dostęp do pamięci (DMA), co pozwala im ominąć zabezpieczenia systemu operacyjnego. To bardzo kuszący sposób na przeprowadzenie ataku. Jednak współczesne systemy komputerowe korzystają z mechanizmu IOMMU (input-output memory managemen units), który ma chronić przed atakami DMA poprzez udzielanie dostępu do pamięci tylko zaufanym urządzenim, a dostęp ten jest ograniczony do tych obszarów pamięci, które nie zawierają wrażliwych danych. Jednak, jak dowiedli naukowcy, IOMMU jest wyłączony w wielu systemach, a tam, gdzie jest włączony, jego zabezpieczenia mogą zostać przełamane.
      Wykazaliśmy, że obecnie IOMMU nie gwarantuje pełnej ochrony i doświadczony napastnik może poczynić poważne szkody, mówi Brett Gutstein, jeden z autorów badań.
      Po raz pierwszy tego typu błędy odkryto w 2016 roku. Naukowcy poinformowali o problemie takie firmy jak Intel, Apple i Microsoft, a te przygotowały odpowiednie poprawki. Wielu twórców oprogramowania i sprzętu komputerowego wydało w ostatnich latach łaty.
      Jednak najnowsze badania pokazują, że sytuacja nie uległa zmianie. A pogarsza ją rosnąca popularność takich interfejsów jak Thunderbolt 2, który pozwala podłączać do tego samego portu zasilacze, urządzenia wideo i inne urządzenia zwenętrzne. To znakomicie zwiększyło ryzyko ataku DMA.
      Podstawowym sposobem ochrony jest instalowanie poprawek dostarczonych przez Apple'a, Microsoft i innych. Trzeba też pamiętać, że sprzęt komputerowy jest wciąż słabo chroniony przed złośliwymi urządzeniami podłączanymi do portu Thunderbolt, więc użytkownicy nie powinni podłączać doń urządzeń, których pochodzenia nie znają lub którym nie ufają, mówi Theodore Markettos.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Cyberprzestępcy wprowadzili zmiany w serwerze DNS w ponad 100 000 ruterów na całym świecie. Dzięki temu są w stanie przekierować cały ruch przechodzący przez takie rutery. Pozwala im to np. na przeprowadzanie ataków phishingowych, podczas których zdobędą dane użytkowników czy uzyskają dostęp do ich kont bankowych.
      Atak na serwery DNS ruterów nie jest niczym nowym. Jednak ten, do którego doszło 20 września wyróżniał się olbrzymią skalą.
      Do ataku dochodziło, gdy ofiara odwiedziła witrynę, na której znajdował się odpowiedni skrypt. Był on wykonywany na komputerze ofiary i sprawdzał, czy w sieci wewnętrznej otwarte są konkretne porty. Następnie dochodziło do próby logowania się na ruter na prawach administratora. Używano przy tym metody brute force. Jako, że wielu użytkowników nie zmienia fabrycznych haseł i loginów, metoda ta w wielu przypadkach zadziałała. Po zalogowaniu na ruter przestępcy mogli zmieniać dane zapisane w serwerze DNS.
      Wiadomo, że atak działa przeciwko ponad 70 modelom ruterów. Są wśród nich produkty takich firm jak 3COM, D-LINK, Huawei, TP-LINK, Intelbras, MikroTiK czy TRIZ. Ofiarą cyberprzestępców padło ponad 100 000 ruterów, w większości znajdujących się w Brazylii. Wiadomo, że ich użytkownicy są przekierowywani na fałszywe witryny banków, firm hostingowych czy Netfliksa.

      « powrót do artykułu
×
×
  • Create New...