53

Korzystasz z Linuksa lub Androida? Z tymi nowymi zagrożeniami musisz się zapoznać

Pecety, na których zainstalowana jest jakakolwiek dystrybucja Linuksa uchodzą za maszyny bardzo bezpieczne w porównaniu do tych, gdzie gości Windows. Ten pogląd obecny jest w technologiach od bardzo, bardzo dawna i nie jest on w żaden sposób mylny. Warto jednak dodać, że bezpieczeństwo Linuksów jest wprost związane z mniejszą liczbą zagrożeń pojawiających się na tę platformę – głównie z powodu mniejszej od Windows popularności. Nie oznacza jednak, że takich […]

Pecety, na których zainstalowana jest jakakolwiek dystrybucja Linuksa uchodzą za maszyny bardzo bezpieczne w porównaniu do tych, gdzie gości Windows. Ten pogląd obecny jest w technologiach od bardzo, bardzo dawna i nie jest on w żaden sposób mylny. Warto jednak dodać, że bezpieczeństwo Linuksów jest wprost związane z mniejszą liczbą zagrożeń pojawiających się na tę platformę – głównie z powodu mniejszej od Windows popularności.

Nie oznacza jednak, że takich zagrożeń nie ma. W ujęciu czasowo-ilościowym jest ich zauważalnie mniej i z reguły rzadziej jesteśmy informowani o krytycznych lukach w linuksowych systemach. Nieco inaczej jest z Androidem, który potwierdza silną korelację między popularnością, a liczbą zagrożeń. Według bardzo naciąganej teorii Androida można (warunkowo, uwaga) zaliczyć do Linuksów i tam jak się okazuje, cyberzagrożeń czyha stosunkowo wiele. Nie zapominajmy jednak o specyfice systemu Google (otwartość, możliwość instalowania aplikacji spoza oficjalnego repozytorium, miękka polityka względem uprawnień aplikacji).

0day na Linuksa

Blog Niebezpiecznik opublikował informację na temat wykrytego zagrożenia pozwalającego na podniesienie uprawnień do roota. Błąd istnieje w linuksowym kernelu od wersji 3.8 (2012 rok), jak podają użytkownicy, poprawki już się pojawiają. Pocieszający może być fakt, że ryzyko ataku jest stosunkowo niewielkie – operacja pochłania ogromną ilość zasobów i trwa ona całkiem długo. Możliwość niezauważenia dziwnego zachowania maszyny jest wręcz nikła. Co ciekawe, na ten atak narażeni są również użytkownicy Androida.

cve_2016_0728

Opublikowany exploit, jak podaje Niebezpiecznik dotyczy większości urządzeń, a także systemów wbudowanych. Jak dobrze zauważono na tym blogu, poprawka, która zablokuje możliwość dowolnej aplikacji na dostęp do danych innych programów może nie zostać dostarczona w odpowiednim czasie z racji specyfiki procesu aktualizacji Androida. Fragmentacja tego systemu stanowi problem dla wprowadzania nowych funkcji we wszystkich wyposażonych w system Google urządzeń – nie inaczej jest z poprawkami zabezpieczeń.

Exploit znalazł się już na githubie, jest dostępny tutaj.

Linuksowy koń trojański

DrWeb opublikował informacje na temat niedawno odkrytego konia trojańskiego przeznaczonego na systemy z rodziny Linux. Złośliwe oprogramowanie ogranicza się do szpiegowania zalogowanego użytkownika – co trzydzieści sekund tworzony jest zrzut ekranu i zapisywany jest w formacie JPG/BMP. Badacze nazwali zagrożenie „Linux.Ekoms.1”.

Po zainfekowaniu maszyny, oprogramowanie sprawdza dwa pliki powiązane z DropBox’em i przeglądarką Firefox:

.mozilla/firefox/profiled
.dropbox/DropboxCache

Jeżeli choćby jeden z nich są obecne w systemie, trojan tworzy swoją kopię, po czym uruchamia się z nowego folderu. Po połączeniu się ze wskazanym mu przez twórcę serwerem, rozpoczyna się proces szpiegowania. Oprócz zrzutów ekranu, trojan posiada możliwość nagrywania dźwięku w formacie WAV i wysyła je poprzez szyfrowane połączenie. Jak podają badacze z DrWeb, trojan nie wykazuje aktywności polegającej na rejestrowaniu dźwięku z otoczenia, choć taką możliwość odkryto.

Pamiętajmy o rozwadze

security-265130_1280

Czy pracujemy na Windowsie, czy na Linuksie, czy na OS X – pamiętajmy o rozwadze. W większości przypadków wystarczy zwykły zdrowy rozsądek – podstawowe zasady „elektronicznej higieny” powinny zostać zastosowane zawsze wtedy, gdy poruszamy się po Sieci. Przede wszystkim – nie uruchamiamy aplikacji z nieznanego/niezaufanego źródła, nie poruszamy się po podejrzanych miejscach w Internecie, nie instalujemy pirackiego oprogramowania, które może (aczkolwiek wcale nie musi) zawierać w sobie cyberzagrożenia.

Grafika: 1, 2, 3

  • Magnum44pl

    Ciekawe czy ten exploit może być wykorzystany na Androidzie, żeby uzyskać uprawnienia root’a. Bardzo by to ułatwiło życie :)

    • Może. :)

    • Będzie ciężko ze względu na potrzebną moc. Na upartego pewnie się da a przydało by się bo jest sporo urządzeń których nie można złamać np. przez bootloader.

  • mirosław borubar

    Moja podatność na ten atak jest zerowa, gdyż po zmianie karty graficznej linuksy działają o tyle, że działają, jednak liczę że szybko się to zmieni:)

    PS. Zjadłeś dwie literki w lidzie:
    „głównie z powodu mniejsze od Windows popularności.”
    mniejszej i Windowsa.
    ” jeden z nich są obecne w systemie”
    jest obecny

    • Radeon? Rozumiem twój ból, mam ten sam problem.

    • mirosław borubar

      Akurat GeForce, czcionka się strasznie rozjeżdża i takie tam. Korzysta się bardzo niewygodnie

  • Kai Proctor

    “the full exploit which takes about 30 minutes to run on Intel Core i7-5500 CPU”

    Dziękuję dobranoc

    • ” Pocieszający może być fakt, że ryzyko ataku jest stosunkowo niewielkie – operacja pochłania ogromną ilość zasobów i trwa ona całkiem długo”

    • Kai Proctor

      Długo to mało powiedziane ;)

    • gość

      „Co ciekawe, na ten atak narażeni są również użytkownicy Androida” Skoro na i7 długo to za mało powiedziane, to na telefonie możemy mówić o wieczności :)

    • m7

      Wyolbrzymiacie możliwości i7. Ja mam starawego Athlona II X4 630 i też trwa 30 minut. (ale i tak nie działa)

    • Urządzenia wbudowane też odpadają. Tam są procki arm/mips po 200-300mhz.

  • aPoCoMiLogin

    Warto jednak dodać, że bezpieczeństwo Linuksów jest wprost związane z mniejszą liczbą zagrożeń pojawiających się na tę platformę – głównie z powodu mniejsze od Windows popularności

    W tym miejscu skończyłem czytać, dlatego że obecnie 90% internetu stoi na linuksie, tyle samo procent smartfonów, IoT i innych urządzeń wbudowanych. Właśnie przez to że linuks jest używany w tak wielu krytycznych miejscach, wiele dużych korporacji stara się aby był jak najbardziej bezpieczny – bo mogą.

    • MrEvilRobot

      Ale mówisz tu o Linuxach czy UNIXach? Już dawno wypadłem z obiegu wiec nie wiem.
      Bo kiedyś faktycznie to była prawda, mniej popularna platforma maiła mniej złośliwego oprogramowania. Co oczywiście automatycznie nie znaczy że miała mniej dziur.
      Teraz Android jest jedną z najpopularniejszych platform więc jest szczególnie zagrożony. Zwłaszcza, że konsumenci mają wszystkie swoje prywatne/wrażliwe/finansowe dane w telefonie.

    • Większość routerów i serwerów działa na Linuksach, Unixy to obecnie mniejszość rynku (chociaż BSD nie jest tak mało, szczególnie na switchach).

    • Android jak na swoją popularność trzyma się zadziwiająco dobrze.

    • Ja się nie dziwię, że Ci takie porównanie nie odpowiada, skoro strzelasz w rozwiązania serwerowe. Jeżeli nie wypowiadam się konkretnie, to mówię o ogóle, nie pewnej niszy. Chcesz powiedzieć, że Linux to tylko rozwiązania profesjonalne, serwerowe? Inny użytkownik, też pasjonat Linuxa mówi notorycznie co innego. Zdecydujcie się. ;)

    • K.

      Niby tak, ale kernel to kernel. Kolega @aPoCoMiLogin dobrze mówi – Linux na serwerze i desktopie to te samo jądro. Nie ma w takim przypadku znaczenia – serwer czy dom.

      Niestety, ale mówienie, że na Linuksa jest mało zagrożeń, bo jest mniej popularny – jest błędne. Kernel i GNU jest to samo, niezależnie od tego, gdzie Linuksa używamy.

      Tutaj punk dla niego, ale rozumiam Twoje intencje :-)

    • gnujacz

      Kernel i GNU… Czemu dopisujecie to nieszczęsne GNU… GNU Linux… Wałek a nie GNU. Stallman ze swoim manifestem może sobie chcieć nazywać to GNU, ale jakie ma to tego prawa skoro nie napisał dla jądra Liuxa ani jednej linijki złamanego (znakiem nowej linii) kodu?

    • K

      To nie chodzi o Stallmana, bo nie jestem jego wyznawcą.

      Mówiąc o GNU, mam na myśli komponenty. Nie ma znaczenia jaka platforma – kernel to kernel, a np. coreutils to coreutils. Dlatego rozróżnienie Linuksa na zastosowania domowe i serwerowe, nie ma tutaj większego znaczenia.

    • K.

      A to, że komponenty GNU są używane w dystrybucjach – to nie tajemnica. Stallman chciałby, aby nazywać rzeczy po imieniu – GNU/Linux. Wiadomo jednak, że mówimy skrótem myślowym – Linux. Jednak GNU pod maską – występuje.

      Zresztą historia sięga tego, że było już GNU, ale nie było kernela. Więc łącząc obie rzeczy – powstał GNU/Linux. Tyle teorii, bo jak mówiłem – nie wyznaję Stallmana oraz idei czystego GNU :-)

    • ewangelista

      Linux w obiegu to linux w obiegu. Nie jest ważne, że bez GUI na serwerze. Co bardziej opłaca się atakować, liczne duże portale które mają gigantyczny obrót pieniążków z zaimplementowanymi np szybkimi płatnościami czy Kowalskiego który od czasu do czasu zaloguje się na marne konto na FB? Myśl autorze globalnie i wielowymiarowo a nie… no właśnie :)

    • aPoCoMiLogin

      Em nie ważne czy włączysz pralkę, mikrofalę, telefon z androidem, router, jakieś distro na desktopie, czy super komputerze – one wszystkie dzielą te same jądro – linuksa. Ilość takich urządzeń jest tak wielka, że nawet wszystkie desktopy z windowsem, to jest ledwie kilka procent w skali tego co obsługuje linuks. Więc popularność linuksa jest ogromna. I popularność nie ma nic do rzeczy. Jeżeli miałbyś coś atakować jako haker, to atakowałbyś komputer z windowsem kowalskiego, czy serwer bankowy ? Dlatego wielkie korporacje mają spory wpływ na zarówno bezpieczeństwo linuksa, jak i jego działanie, bo sami z tego korzystają oraz mogą mieć wpływ (otwarto źródłowy projekt). Popularność jest słabym argumentem, a ci którzy go używają nierozważnie, nie mają pojęcia o temacie, albo są zwyczajnie złośliwi.

    • Juras

      Kto to jest pasjonat Linuksa? Co go tak pasjonuje w Linuksie czy innym OS’ie (którego samego w sobie to nawet nie widać :)). Co pasjonat robi ze swoją pasją?

    • Linux to wszystko :)

    • gość

      Dla autora świat zaczyna się i kończy na domowym i biurowym pececie.

  • gom1

    Błąd istnieje w linuksowym kernelu od wersji 3.8

    Zatem dotyczy Androidów nowszych niż KitKat (5.0+). Dodatkowo na drodze stoi SELinux (od „piątki” domyślnie włączone). Czyli sztuka dla sztuki – androidziarze śpią spokojnie, a linuksiarze za moment odbiorą stosowne poprawki.

    • Wiesz, ile jest na świecie smartfonów z Androidem, które nie mają jeszcze L-ki?

    • gom1

      No i co w związku z tym?

    • Androidowcy mogą spać spokojnie. Mogą nie dlatego, że nie są podatni, tylko dlatego, że atak jest w praktyce trudno wykonalny (zasoby)

    • gom1

      Androidziarze do KitKata włącznie śpią spokojnie – ich kernel jest zbyt stary (swoją drogą mój LG na 5.0.2 ma kernel 3.4.0, więc też się nie łapie). Zatem jaki % użytkowników Androida wchodzi w grę?

    • BlahFFF

      W zasadzie tylko modele wyprodukowane w 2015 bo tu zaczynaja sie sztuki z 3.10. W teorii lapie sie np. Z5-ka, S6-ka, G4, nowe Nexusy, ale i prostsze modele typu G530. Wersja systemu sama w sobie nie ma znaczenia (choc moze juz zawierac poprawke do tego exploita) bo w przypadku telefonow z Androidem – te zasadniczo pozostaja na kernelu, na ktorym startowaly i wraz z nowszym softem dostaja backporty latek. Nie ma oczywiscie problemy z tym, zeby urzadzenie z kernelem 3.4 dzialalo na M-ce czy pewnie i kolejnych kilku wersjach.

    • gom1

      W sumie racja, mój i9000@5.1.1 jest na kernelu 3.0.101.

      Wychodzi na to, że moje smartfony są zbyt stare i nie są wspierane przez wirusy ;-)

    • mazdac

      i lokalny (trzeba mieć dostęp do konta użytkownika).

    • MrEvilRobot

      Tak szczerze, to po co się bawić w dziury w pingwinie, czy nie lepiej poszukać ich w aplikacjach które mają uprawnienia do wszystkiego? Wysiłek mniejszy a zysk podobny.
      Zabawy z jądrami tylko dla pasjonatów ;)

    • m7

      Androidowa numeracja kerneli to takie trochę bajorko. W kernelach używanych od kitkata włącznie jest backportowany keyutils, czyli również są podatne.
      W teorii, bo ten exploit nie zadziałał na żadnym urządzeniu jakie sprawdzałem.

  • Andrzej

    Ok, pytanie. Skoro uprawnienia w Linuksach u zwykłego użytkownika nie pozwalają na wykonanie kodu bez zmiany uprawnień do pliku i samodzielnego uruchomienia go jako pliku wykonywalnego (który i tak będzie miał wtedy uprawnienia równe zwykłemu użytkownikowi, chyba, że świadomie podniesiemy je do uprawnień roota), to jakie jest w związku z tym ryzyko infekcji?

    • Wykorzystanie luk w niezaktualizowanych systemach / niezałatany Android / śmiganie non-stop na roocie?

    • Andrzej

      Mało prawdopodobne, aby ktokolwiek śmigał cały czas na roocie. To nie Windows. W najpopularniejszym obecnie Ubuntu konto roota nawet jest ukryte aby nikogo nie korciło, a uprawnienia podnosi się na chwilę, z terminala lub w okienka, przy instalacji/usuwaniu programów, próbie dostępu do miejsc lub ustawień, do których zwykły użytkownik dostępu mieć nie powinien. Nawet zapisanie czy zmiana czegokolwiek w katalogu „/” wymaga podniesienia chwilowo uprawnień. Bez ich podnoszenia bezproblemowo można poruszać się tylko w katalogu „/home/”. Jakie jest prawdopodobieństwo zaistnienia takiej luki, która pozwoliłaby po kryjomu podnieść uprawniania, zmienić typ pliku na wykonywalny i uruchomić złośliwy kod?

    • m7

      Nie rozumiem. Standardowo zwykły użytkownik może sobie zrobić chmoda i odpalić binarkę (np. exploita, który eskaluje uprawnienia na root)

    • Andrzej

      Co nie zmienia faktu, że aby program został uruchomiony, to użytkownik świadomie musi mu zmienić typ na plik wykonywalny i zezwolić na wykonanie kodu.

    • m7

      No i…?
      Zakładasz że użytkownik nie może być zły i włamywać się na roota przez konto shellowe?

      A na androidach można wyłazić z sandboxa.

    • Niekoniecznie. Włamywacz wykorzystujący lukę w sofcie działającym na prawach użytkownika a następnie eskalujący je do roota to nie jest taki niespotykany scenariusz…

  • lolo

    Znaleziona luka na linuxie – aktualizacja w kilka godzin. Znaleziona luka w androidzie – aktualizacja najczęściej wraz z zakupem nowego telefonu. Znaleziona luka w windows – aktualizacja może kiedyś… w przyszłości.

    • kornuto

      soon :D

  • Najlepsze jest to, że większość androidów działa na 3.4, a tylko mała cząstka na 3.10 czy 3.11 ;) Czyli tam exploit na pewno nie zadziała.

    • m7

      keyutils został backportowany na 3.4, od kitkata wzwyż

    • Znaczy, jak mam np 3.4 i JB, to jest ta funkcja?

    • m7

      Sprawdź czy masz plik /proc/keys

    • Ten przykład z JB i kernelem 3.4 był z telefonu kolegi. Jednak.. u siebie mam kernel 3.4.104 i KK 4.4.4 i nie ma tego pliku. Na wypadek, jakby ten plik nie był wyświetlany w moim menadżerze plików szukałem go w Terminal emulator. Nie ma, ani key, ani keys, ani key*

    • sdgdsgs

      raczej nie. sprawdź w źródłach swojego kernela (producent MUSIAŁ je udostepnic ;) )

  • Krzysiek Kowalewski

    W momencie pisania tego artykułu we wszystkich komputerach dostałem aktualizację. Jak by nie patrzeć, to jest pojedynczy przypadek, bo taki Windows wydałby aktualizację z większym opóźnieniem…

  • Sebastian Żmijewski

    Exploit nie działa w większości przypadków a o Androidzie wgl możemy zapomnieć ponieważ tam są kernele dużo starsze, dodatkowo ” sysctl -w kernel/kptr_restrict=1″ i exploit jest bez użyteczny..