Titkosítás, biztonság, privát szféra

A GlobeandMail cikkében arra keresi a választ, hogy ahogy nő a Linux operációs rendszer széles körű elfogadottsága és felhasználói bázisa, vajon úgy fognak tömegesen megjelenni a vírusok is rá? Egyre több ártó program fog érkezni a sötét oldalról?Több ``szakértő'' is megszólal a cikkben. Elmondják, hogy szerintük azért van jelenleg kevesebb vírus Linuxra, és több Windowsra, mert a Windows-nak nagyobb a telepített bázisa, több felhasználója van, és így a vírusok nagyobb kárt tudnak okozni, mintha azokat Linuxra írnák meg.

Ross Chevalier, a Novell Canada embere szerint a valószínűleg Microsoft Outlook a legnagyobb vírusgazda, a legelső számú célpontja a vírusoknak és férgeknek.

A Guardian Digital Inc. embere azt állítja, hogy Linuxra már most is vannak linuxos vírusok, és szerinte ezek száma meg fog nőni. Gondolom örülne is neki, hiszen cége ebből él. Biztnsági szoftvereket fejlesztenek Linuxra.

A Symantec vírusírtót gyártó cég embere szerint a windowsos vírusok száma nem véletlenül nagyobb. A Windows operációs rendszer sokkal jobban standardizáltabb, mint a Linux disztribútorok rendszerei (gondoljunk arra, hogy ahány terjesztés, annyi féle megvalósítás, mindegyik hasonló, de mégis más. máshogy oldja meg a Red Hat, a SuSE vagy a Debian ugyanazon feladatokat), így egy egységes felületre könnyebb vírusokat írni, és azon sikereket elérni, mintha ugyanazon vírust, meg kellene írni úgy, hogy az maximális ártó hatást fejtsen ki mondjuk a N+1 Linux disztribúción.

A Novell és a Guardian Digital embere egyetértett abban, hogy a Linux biztonságosabb, mint a Windows, feltehetően azért mert több közös vonást is tartalmaz a UNIX-szal és a korábbi Multics-szal, amelyek multi-user környezetek voltak a kezdetekől, ellentétben a Windows-szal, amely a DOS egyfelhasználós operációs rendszerből indult (itt nyilván még a rési Win3.x, Win9x, WinME rendszerekre gondolhattak).

A Windows embere persze ezzel nem értett egyet azzal, hogy a Linux sokkal biztonságosabb lenne.

A cikkben még szerepel az, hogy a Linux nyílt kódja kétélű fegyver, hiszen hozzáférhetnek a jó szándékú programozók éppúgy, mint a rossz szándékúak is.

A cikket megtalálod itt.

Szerintem egy dolgot kifelejtettek a vírusírók motivációi közül. Elfeledkeztek a fanatikus techno gerillákról, akik csak azért írnak vírusokat az ``ellenség'' operációs rendszereire, hogy annak erkölcsi és (közvetve) anyagi károkat okozzanak, mert szeretnék, hogy megdőljön a több évtizede tartó monopólium, amely meggátolja a technikai fejlődést. Az ember alapvetően szabadságban szeret élni, és alapvetően ódzkodik azoktól a dolgoktól, amelyeket erőszakkal le akarnak nyomni a torkán.

Megjelent a Rootkit Hunter névre hallgató rootkit-ekre vadászó program 1.0.4-es verziója.

December elején írtam a chkrootkit névre hallgató programról, amely egy olyan program, ami átnyálazza a rendszerünket, módosított rootkit binárisokat, és azok létére utaló jeleket keres. A Rootkit Hunter hasznos kiegészítője lehet a chkrootkit-nek.

Mit tud a Rootkit Hunter?A program készítője szerint egy olyan stuff, amely végigscanneli a rendszerünket és 99.99%-os biztonsággal jelzi, ha valaki veszélyes dolgokat (rootkit, backdoor, helyi exploitok) telepített gépünkre a tudtunk nélkül.

Az alábbi tesztekkel dolgozik a program:

- MD5 hash összehasonlítás

- rootkit-ek által használt alapértelmezett fileokat keres

- binársiokon beállított helytelen jogokat (permissions) vizsgál

- stringeket keres a LKM és KLD modulokban

- átnézi a rejtett fileokat

- opcionálisan scanneli a plaintext és bináris fileokat

A program fut a legtöbb Linux és *BSD rendszereken. Jelenleg nem használható Solaris-on és NetBSD-n.

``Támogatott" rootkit-ek/backdoor-ok/LKM-ek/férgek:

- 55808 Trojan - Variant A

- AjaKit

- aPa Kit

- Apache Worm

- Ambient (ark) Rootkit

- BeastKit

- BOBKit

- CiNIK Worm (Slapper.B variant)

- Danny-Boy's Abuse Kit

- Devil RootKit

- Dica

- Dreams Rootkit

- Flea Linux Rootkit

- FreeBSD Rootkit

- Fuck`it Rootkit

- GasKit

- Heroin LKM

- HjC Rootkit

- ImperalsS-FBRK

- Kitko

- Knark

- Li0n Worm

- MRK

- RootKit for SunOS / NSDAP

- Optic Kit (Tux)

- Oz Rootkit

- R3dstorm Toolkit

- Portacelo

- Scalper Worm

- Shutdown

- SHV4

- Sin Rootkit

- Slapper

- Sneakin Rootkit

- Suckit

- SunOS Rootkit

- Superkit

- TBD (Telnet BackDoor)

- TeLeKiT

- T0rn Rootkit

- Trojanit Kit

- VcKit

- Volc Rootkit

- X-Org SunOS Rootkit

- zaRwT.KiT Rootkit

és... néhány ismert /ismeretlen sniffert, backdoor-t, mint például:

- Anti Anti-sniffer

- LuCe LKM

- THC Backdoor

Sajnos a Rootkit Hunter nem detektálja a múlt héten tárgyalt adore-ng rootkit-et.

A Rootkit Hunter legfrissebb verziója letölthető a projekt honlapjáról innen.

Sajnos megjelent a legújabb adore rootkit, amely már használható a 2.6-os kernelekhez is, így fokozott figyelemmel kell lennünk!

Az adore-ng nem más, mint egy kernel modul, amelynek célja, hogy a cracker kezébe teljes irányítást adjon afelett a rendszer felett, amelyet már egyszer feltört. Mindezt úgy, hogy saját maga ne legyen detektálható.

Az rootkit számos ponton ``telepíti'' magát a kompromittált rendszer kernelében, így biztosítva, hogy felfedezhetetlen legyen. Egészen addig észrevétlen próbál maradni, amíg nem jön valaki, aki tudja a helyes ``KEY''-t (ADORE_KEY), amely nem más, mint egy process ID. Ha valaki nem tudja ezt a ``kulcsot'', akkor bizony nem egyszerű felfedezni az adore-ng-t.

Lássuk miért:Az adore-ng több álcázó mechanizmussal is fel van szerelve. Felejtsük el, hogy egy egyszerű chkrootkit programmal detektálni tudjuk.

A kernel modul azzal kezdi ténykedését, hogy hozzáhurkolja magát több filerendszerhez is.

1.) File és könyvtár rejtés: Az első dolog amit megtesz, hogy a root filerendszer inode-jainak readdir() függvény mutatóját lecserélni a sajátjára. Az adore-féle verzió is pontosan ugyanazt teszi, mint az eredeti, annyi különbséggel, hogy elrejt minden olyan filet amely egy megadott felhasználó vagy csoport tulajdonában van (ELITE_UID, ELITE_GID). Ezzel a script kiddie által telepített fileok láthatatlanok maradnak a rendszergazda számára.

2.) Processz rejtés: Hasonlóan hurkolja magát a /proc filerendszer lookup funkciójához. Ezzel lehetővé teszi, hogy a top, ps, stb. parancsok nem listázzák ki a betörő processzeit.

3.) Socket rejtés: Az adore-ng lecseréli a /proc/net/tcp show() függvényét is. Az új verzió editálja a hálózati kapcsolatok listáját, így eltüntet minden olyan kapcsolatra utaló jelet, amely a betörőre utalna.

Egyéb funkciók:

4.) Teljes értékű backdoor.

5.) syslog szűrés, wtmp/utmp/lastlog szűrés, stb.

A kernel modul egyetlen dologra nem képes, mégpedig elrejteni saját magát. Ezt azt jelenti, hogy a betöltött kernel modulok listázásakor (lsmod) látszik. Ezt kiküszöbölendő, a készítő szerkesztett egy másik kernel modult, amely a cleanup névre hallgat, így az elrejti a adore-ng-t.

Használata:

insmod ./adore-ng.o

insmod ./cleaner.o

rmmod cleaner

Érdemes tanulmányozni a forráskódot, hogy jobban megismerjük a működését.

A rootkit letölthető innen.

Március elején a FreeS/WAN (linuxos IPSec implementáció) fejlesztői egy sajtóhírt (korábbi cikk) adtak ki, amelyben bejelentették, hogy a FreeS/WAN fejlesztése befejeződik.

Most úgy tűnik, hogy mégsem tűnik el teljesen a FreeS/WAN kódbázisa. A volt fejlesztők egy csoportja és önkéntesek egy új céget alapítottak Xelerance néven, és céljuk, hogy folytassák az IPSec implementáció fejlesztését. A fork neve Openswan.

A csapat annyira nem tétlenkedik, hogy pár nappal ezelőtt már ki is adták az Openswan első kiadását (2.1.1) (bejelentés).

Hajrá!



(Egyesek szerint nem sok értelme van a projektnek, miután a Linux 2.6 natív IPsec implementációt tartalmaz)

Szerintem sokak örömére néhány napja megjelent a grsecurity első tesztelésre ajánlott verziója a Linux kernel 2.6-os szériájához...Reménykedjünk benne, hogy ezek után már nem sokat kell várnunk a stabil változat megjelenéséhez, ezt elősegítendő irány mindenki a projekt honlapjára, és tessék tesztelni!



A 2.6.4-es kernelhez a patch letölthető:

grsecurity-2.0-test2-2.6.4.patch (.sign)

Claudia Schmeing bejelentése szerint befejeződik a korábban népszerű VPN (Virtual Private Network) szoftver, a FreeS/WAN fejlesztése.

A fejlesztők a tervek szerint kiadnak még egy utolsó (2.06-os) fejlesztői kiadást, majd azután az aktív fejlesztés végleg befejeződik. A weboldal és a fórum nem szűnik meg (egyelőre).

A bejelentés: Dear FreeS/WAN Community,

After more than five years of active development, the FreeS/WAN project will be coming to an end.

The initial goal of the project was ambitious -- to secure the Internet using opportunisitically negotiated encryption, invisible and convenient to the user. For more, see our history page. A secondary goal was to challenge then-current US export regulations, which prohibited the export of strong cryptography (such as triple DES encryption) of US origin or authorship.

Since the project's inception, there has been limited success on the political front. After the watershed Bernstein case, US export regulations were relaxed. Since then, many US companies have exported strong cryptography, without seeming restriction other than having to notify the Bureau of Export Administration for tracking purposes.

This comfortable situation has perhaps created a false sense of security. The catch? Export regulations are not laws. The US government still reserves the right to change its export regulations on short notice, and there is no facility to challenge them directly in a court of law. This leaves the US crypto community and US Linux distributions in a position which seems safe, but is not legally protected -- where the US government might at any time *retroactively* regulate previously released code, by prohibiting its future export. This is why FreeS/WAN has always been developed outside the US (in Canada and in Greece), and why it has never (to the best of our knowledge) accepted US patches.

If FreeS/WAN has neither secured the Internet, nor secured the right of US citizens to export software that could do so, it has still had positive benefit.

With version 1.x, the FreeS/WAN team created a mature, well-tested IPsec VPN (Virtual Private Network) product for Linux. The Linux community has relied on it for some time, and it (or a patched variant) has shipped with several Linux distributions.

With version 2.x, FreeS/WAN development efforts focussed on increasing the usability of Opportunistic Encryption (OE), IPSec encryption without prearrangement. Configuration was simplified, FreeS/WAN's cryptographic offerings were streamlined, and the team promoted OE through talks and outreach.

However, nine months after the release of FreeS/WAN 2.00, OE has not caught on as we'd hoped. The Linux user community demands feature-rich VPNs for corporate clients, and while folks genuinely enjoy FreeS/WAN and its derivatives, the ways they use FreeS/WAN don't seem to be getting us any closer to the project's goal: widespread deployment of OE. For its part, OE requires more testing and community feedback before it is ready to be used without second thought. The project's funders have therefore chosen to withdraw their funding.

Anywhere you stop, a little of the road ahead is visible. FreeS/WAN 2.x might have developed further, for example to include ipv6 support.

Before the project stops, the team plans to do at least one more release. Release 2.06 will see FreeS/WAN making a late step toward its goal of being a simple, secure OE product with the removal of Transport Mode. This in keeping with one of Neils Fergusson's and Bruce Schneier's security recommendations, in A Cryptographic Evaluation of IPsec. 2.06 will also feature KLIPS (FreeS/WAN's Kernel Layer IPsec machinery) changes to faciliate use with the 2.6 kernel series.

After Release 2.06, FreeS/WAN code will continue to be available for public use and tinkering. Our website will stay up, and our mailing lists at lists.freeswan.org will continue to provide a forum for users to support one another. We expect that FreeS/WAN and its derivatives will be widely deployed for some time to come.

It is our hope that the public will one day be ready for, and demand, transparent, opportunistic encryption. Perhaps then some adventurous folks pick up FreeS/WAN 2.x and continue its development, making the project's original goal a reality.

Many thanks to the wonderful folks who've been part of the lists.freeswan.org community over the last few years. Thanks to the developers who've created patches and written HOWTOs. Thanks to the volunteers who've donated Web space and time as system administrators. Thanks to the distributors who've puzzled out the fine points of integrating our software with others'. Finally, thanks to the users who've tested our software, shared interoperation success stories, and given others a helping hand. We couldn't have done it without you.

Best Regards,

Claudia Schmeing

for the Linux FreeS/WAN Project

A népszerű biztonsági szkenner programot, az nmap-ot nem csak ``békés'' célokra lehet felhasználni. A szakember arra használja, hogy rendszerének gyenge pontjait feltérképezze abból a célból, hogy benne a megbúvó hibákat kijavíthassa.

A script kiddie viszont arra használja, hogy kiderítse mely pontokon lehet az adott rendszert hatékonyan támadni betörés céljából.

Több mint egy év fejlesztés után megjelent a PuTTY windowsos SSH kliens új verziója.

Két fő újdonság:

- Unix port

- Dinamikus (SOCKS alapú) SSH port forwarding (aka ssh -D OpenSSH-val)

Megjelent a népszerű, nyílt forrású, biztonságos shell (Secure SHell), az OpenSSH 3.8-as verziója.Letölthető innen. Változások listája itt. Telepítési instrukciók itt.

Változások az OpenSSH 3.7.1-hez képest:

A 2.4.25-ös kernel megjelenését követően megérkeztek a hozzá való grsecurity patchek is.Megjelent a grsecurity 1.9.14 és a 2.0-rc5 a 2.4.25-ös stabil Linux kernelhez. A változások közt vannak a PaX frissítések is.

FIGYELEM: A kernel konfigurálánál nem elegendő egyszerűen betölteni a régi .config filet, mert az új PaX funkciók közt van olyanok, amelyet engedélyezni kell a működéshez.



Bővebb infó a projekt honlapján.



Letöltés:



stabil:

grsecurity-1.9.14-2.4.25.patch GPG .sign



fejlesztői:

grsecurity-2.0-rc5-2.4.25.patch GPG .sign