Linux alatt egyszerűbb a rootkit telepítés az Intel CPU cache poisoning probléma kihasználásával

 ( trey | 2009. április 23., csütörtök - 10:36 )

Az Invisible Things Lab-os Joanna Rutkowska és csapata által korábban leírt Intel CPU gyorsítótár-mérgezés problémára kiadott proof-of-concept exploit kódot - amely lehetővé teheti sikeres támadás esetén a kivitelezőnek rootkit telepítését - elemezte egy független biztonsági szakértő és arra jutott, hogy azon kívül, hogy támadás rendkívül egyszerű és rejtőző, Linux operációs rendszer, Intel DQ35-ös alaplap és 2GB memória megléte esetén működik jelenleg a legjobban.

A vizsgálat során kiderült, hogy Linux alatt a "root" felhasználó rendkívül könnyen hozzáférhet a MTR regiszterekhez. Windows esetén is használható ez a technika, de ott sokkal több munka árán és sokkal több hozzáértéssel lehet eredményt elérni. Továbbá Linux alá már könnyen elérhető az exploit kód, míg Windows alá még nem.

Szóval a lényeg az, hogy ha érintett Intel alaplappal rendelkezel és a gépeden már root / adminisztrátori jogot szereztek, akkor rootkit elrejtés szempontjából a támadónak könnyebb dolga van ha Linux-ot talál a gépen, mint Windows-t.

Mivel a támadás hardver specifikus, csak akkor működik ha problémás alaplapod van. Az exploit az Intel DQ35-ös laphoz készült (az Intel szerint újabb alaplapok, pl. a DQ45-ös alaplapok nem érintettek). Az érintett alaplapok listája nem ismert és az sem, hogy AMD-s lapok érintettek-e.

A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

mondom én is mindig: a linux sokkal jobb!:)

egyébként meg az jutott eszembe, hogy talált egy hardware hibát 1 azaz egy alaplapban. ezt fogja ezentúl hajtani egész életében?

> Szóval a lényeg az, hogy ha érintett Intel alaplappal rendelkezel és a gépeden már root / adminisztrátori jogot szereztek, akkor rootkit elrejtés szempontjából a támadónak könnyebb dolga van ha Linux-ot talál a gépen, mint Windows-t.

Az én olvasatomban ez azt jelenti, hogy előtte el kell "varázsolni" a gépet és root-tá kell lenni. Ebben a folyamatban azért a Linux több problémát görget az ember elé. Szóval a felvetés kicsit sántít.

A következő cikk az lesz tőlük hogy: Kikapcsolt Linux-os gépre is tudják telepíteni az exploit-ot (ha valaki bekapcsolja előtte és megmondja a root jelszót...)

No igen, bizonyos körülmények fennállása esetén kikapcsolt gépre is képesek vagyunk felpakolni a rootkitet.
Semmi mást nem kérünk, csak az adathordozót egy rövid időre.

Köszönjük együttműködését.
:D

Kikapcsolt Linux-os gépre is tudják telepíteni az exploit-ot (ha valaki bekapcsolja előtte és megmondja a root jelszót...)
Ezt Intel vPro technológiának hívják, ami a ... wait for it... Q-szériás chipsetekben található meg, mint pl a Q965, Q35, Q45.
---
Linux is bad juju.

Root joggal :) már csak meg kell szerezni

"you must be root to install this rootkit"

heh, vágjuk magunk alatt a fát, vagy ez ilyen 0.1-es verzió?

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

Már azt hittem h valami érdekeset találok, de akkor úgy látszik nem. Vagy diklessziás vagyok, és kimaradt valami lényegi

>> kimaradt valami lényegi

az agyatokból a r/k lényegének megértése

Hubaz, akkor jó, má aszittem a cikkben volt félrefogalmazva valami

Feltetelezem, az olyan fogalmak, mint securelevel, apparmor, selinux, grsec, semmit sem mondanak neked.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Nem mintha linux alatt nem lenne lehetőség userspace-ből jogkör emelésre ( akár rootig ) valamilyen exploittal..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Hát ez tényleg a Linux hibája, hogy az alatta futó hardver sz*r.. ;)

Bírom itt ezt a sok biztonsági "szagembert". :)

"uj lehetsz errefele" :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ja. :)

Persze kérdés, hogy melyik rendszerre egyszerűbb root/rendszergazdai jogokat szerezni...

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

nah melyikre?

arra amelyik lenyegeben tobol vagja ki az osszes szekjuriti kezdemenyezest mert a fomajszter C taknyer onerzetes developzor szerint ez nem temaja a kernelfejlesztesnek

vagy arra amelyiken evek ota odafigyelnek az osszes randomsapkas hekkerre es alkalmazzak azokat a technologiakat amiket az utobbi idoben fejlesztettek akar egyeb oprencerhez akar kifejezetettem arra a platformra?

nehez kerdes :(
--
.

Úgy tudom, hogy a Conficker-nek néhány hónap leforgása alatt sikerült administrator szintű jogot szereznie több mint 10 millióra ebből az übersecurity-vel megáldott csodára. Távolról :D

--
trey @ gépház

:DDD

lehet azert mert a neten logo 100.000.000 gepbol 90% ilyen operacios rencerrel van felszerelve, es a Conficker sebezhetoseg mar ezer eve orvosolva volt csak minden egyseg sugaru user baszikra

:D :D :D

ki tudja?

--
.

A kérdés az volt, hogy melyikre egyszerűbb root / adminisztrátori jogot szerezni.

Lehet nézni úgy is, hogy vajon arra az OS-re, amelyiket inkább tech savvy emberek használnak többségében és ezek nagyjából tisztában vannak a veszélyekkel, ennek megfelelően óvatosabbak (nem root-ként használják, rendszeresen frissítik), vagy arra az OS-re, amelyiket a felhasználóik túlnyomó része rendszergazda / administrator jogkörű felhasználóval hajt alapértelmezetten (kényelemből vagy tudatlanságból) és jelentős számban b.szik frissíteni (lásd eggyel feljebb az új botnetről szóló cikket).

--
trey @ gépház

"amelyiket inkább tech savvy emberek használnak"

Sajnos, azt kell, hogy mondjam, hogy ezek az inkább "tech savvy" emberek is össze tudnak hozdani néha istentelen nagy baromságokat és, "de ez lenugz" felkiáltással vakbuzgó hittel ismételten meggyőzik magukat, hogy márpedig csakazértis törhetetlen a linux.

(Tisztelet a kivételnek és nem állítom, hogy nincs.)

----------------
Lvl86 Troll

Értem én, de valami konkrétum?

--
trey @ gépház

LOL!

Ok, de akkor hol van az a maradék 90.000 botnetes Linuxos gép?! Ugye nem gondolod komolyan, hogy ha a Conflickerre fény derült, akkor egy hasonló Linuxos botnet hálózat nem lenne hír értékű, mégha az méretre csak 1%-a is a Windowsosnak? Az MS lenne az első, aki mutogatná, hogy ugye-ugye, a Linux sem kivétel. :)

semmifele relevanciaval nem bir a trey altal kozolt informacio ahhoz a topikhoz h melyiken konnyebb rootot szerezni

ezt allitom

--
.

nem akarom drastik ala adni a lovat - mert szerintem vagy nincs igaza, vagy ha neha veletlenul valamiben van akkor is primitiv a stilusa - de volt ilyesmirol hir regebben.

- Use the Source Luke ! -

Ugyanabból a cikkből:

"We see a lot of Linux machines used in phishing," said Alfred Huger, vice president for Symantec Security Response. "We see them as part of the command and control networks for botnets, but we rarely see them be the actual bots. Botnets are almost uniformly Windows-based."

Azaz ritkán látnak Linux-ot botnetben zombiként. Sokkal inkább a bűnözők használják őket a zombi gépek irányítására. Ezeket a command & control centereket a bűnözők telepítik, ők teszik rá a backend szoftvereket. Ezen a szinten ők már nem foglalkoznak gépek feltörésével. Komplett ISP-ket bérelnek a gépeik elhelyezésére. Megtehetik, mert milliókat keresnek naponta. Ott volt a példa, amikor felszámolták Amerikában a control centert amit egy ISP hostolt (McColo), majd miután bezárták, felbukkant az egész Észtországban egy másik ISP-nél.

Talán nem is véletlen, hogy a zombi gépek többnyire Windows-ok. Mert azok a platformból adódóan egyformák és milliós nagyságrendben lehet rájuk malware-t önteni. Nem kell a malware-t testreszabni, nem kell azzal foglalkozni, hogy vajon az futni fog-e, mert majdnem biztos, hogy futni fog.

Ha már példát akartál volna hozni, akkor ez sokkal jobb lett volna. Itt is annak volt köszönhető a sikeresség, hogy a router elég jól egységesítette a támadandó platformot.

--
trey @ gépház

igen, ezt is irja, meg rootkitelt feltort linuxokrol is ir (igaz, te is tettel ki hasonlo cikket a linuxos routerekrol). a linux elonye, hogy sokkal kevesbe elterjedt mint a windows (itt is ilyesmirol van szo ha meg nem lattatok volna), es altalaban ertobb kezekben van - de ha elkezdenek sokan hasznalni linuxot, es nem frissitik a csomagokat vagy csak benan allitanak be valamit akkor szerintem ott is lesznek hasonlo problemak mint windowson. Ez a nepszeruseg atka.

- Use the Source Luke ! -

"Ezeket a command & control centereket a bűnözők telepítik, ők teszik rá a backend szoftvereket."

Ne hidd, a "kis" botnetek jellemzoen feltort gepeken mennek, a "nagyok"-nak meg legtobbszor egyaltalan nincs is C&C szerveruk.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Valami forrás azért jó volna erre. A Srizbi nem nevezhető kicsinek, volt/van command centere. A nemrég bejelentette 1,9 milliós botnetnek is. Tehát melyik nagy az, amelyiknek nincs?

--
trey @ gépház

"Valami forrás azért jó volna erre."

Sajat tapasztalat.

"A Srizbi nem nevezhető kicsinek, volt/van command centere"

Jo, akkor s/nagy/technologiailag megfeleloen advankalt/, de ez a ketto azert jellemzoen korrelal.

"Tehát melyik nagy az, amelyiknek nincs?"

Pl. a Storm.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Én úgy tudom, hogy a Storm-nál (állítólag) kétszer nagyobb Kraken szintén command & control center felépítésű.

Kraken infected systems attempt to "phone home" to a master command and control server by systematically generating sub-domains from various dynamic DNS resolver services such as dyndns.com.

Végülis mindegy.

Arról volt szó, hogy a zombi gépek túlnyomó része Windows. Erről mi a véleményed?

--
trey @ gépház

>> a zombi gépek túlnyomó része Windows. Erről mi a véleményed?

valami olyasmi lehet a megfejtés, hogy a netre kötött boxok tólnyomó része win, de még dolgozunk a lugban az ideológiailag helyes válaszon, hogy árnyaltabban kerülhessen a kiskátéba

Teljesen jó válasz ez. A zombik 99%-ban Windows-ok. Nem kell cifrázni.

--
trey @ gépház

Én már fentebb is arra próbálta utalni, ha a Win penetrációja 90% körüli, a Linuxé meg úgy 1% és a botnetek aránya Win esetén 99%, míg Linux esetén 0.01%, akkor ki lehet jelenteni, hogy az operációs rendszer elterjedségén kívül, nagy valószínüséggel a megbizhatóságuk nem ugyanolyan.

Esetleg nem gondolod, hogy köze lehet annak, hogy elsősorban azért a Windowsot támadják, mert a penetációja 90%?

----------------
Lvl86 Troll

Dehogynem. Akkor már csak egy kérdésem lenne? Miért is találnak, akkor az 5-10%-os MacOSX alatt botneteket, amikor ott a 90%-os Windows?

Tudom, hogy csak elírtad, de kíváncsiságból utánna néztem...

Penetáció: szabványos méretű kúpnak, meghatározott körülmények mellett a vizsgálandó anyagba való besüllyedését mutatja 0,1 mm-ben. (Kenéstechnika)

:D

A penetracio konkretan behatolast/athatolast jelent.

---
pontscho / fresh!mindworkz

Az idegen szavak szótárában és a szexben valóban. De mire használjuk a gazdasági életben és az informatikában? :)

Pontosan ugyanerre.

---
pontscho / fresh!mindworkz

hanyszor de hanyszor volt mar szo errol te jo eg

lassan ellathatjuk ezeket ilyen knowledgebase szammal es csak igy hivatkozunk ra

"Alan: Sure, the risk = threat x vulnerability x consequence concept. Macs have low threats but high vulnerability while Vista is the other way around. I recently switched to a Mac myself and wrote about it for Tom's Hardware (and had a lot of angry readers). Like you mentioned earlier, we want to support vendors with the most secure software, but it’s not easy to always figure out which software is the most secure and sometimes the real-world risk is lower with a vulnerable platform with fewer threats.

So for our readers, what are some tips for running a "secure" PC/Mac/Linux machine?

Charlie: For all OS's, make sure you keep your system up to date. That’s the best thing you can do. On a PC, I'd recommend running some AV software to help clean up when things go bad. Otherwise, just be smart, pay attention, and hope for the best. It is possible to really lock down your computer (running noscript for example) and make it safer, but in my opinion it’s not worth the trouble and the loss of functionality you experience."

nem tom meg hanyszor kell elmondani mire felfogja minden security expert wanabe linux warrior

--
.

Hehe! Vicces én, mint "wanabe linux warrior", aki éppen MacOSX alól firkál. :D
Csak ennek ellenére nem csipázom, ha valaki ferdít és el akarja hitetni, hogy a Windows a világ legbiztonságosabb OS-e, függetlenül annak elterjedségétől! :|

Charlie Miller vs. hupperek

-a 21. szazad security megoldasai-

ertem en a humorod csak nem kedvelem :)
--
.

> Miért is találnak, akkor az 5-10%-os MacOSX alatt botneteket, amikor ott a 90%-os Windows?

Teljesen mindegy hogy milyen op.rendszerű gépből jön össze 100 ezer.

"Arról volt szó, hogy a zombi gépek túlnyomó része Windows. Erről mi a véleményed?"

Orvendetes teny, ugyanis pl. a desktop windows-ok raw socket kezelese szandekosan vissza van butitva, hogy kevesbe hatekonyan lehessen roluk dosolni. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

dikk akko' aze nem megy!

atrakom leenugzra mosma
--
.

Hmm, az otthoni kis szerverkémet épp feltörték:D Gyenge jelszavat állítottam be a root-nak, és aztán arra figyeltem fel, hogy nemtudok root-ként belépni. Most néztem a root home-ját, van benne egy wheley könyvtár, benne mindenféle érdekes dolgokkal:

125.163.pscan.22 125.170.pscan.22 202.121.pscan.22 87.4.pscan.22 89.149.pscan.22 a gen-pass.sh pscan2 ss vuln.txt
125.164.pscan.22 129.239.pscan.22 202.189.pscan.22 89.140.pscan.22 89.188.pscan.22 common go.sh root:root:89.185.251.100 ssh-scan
125.169.pscan.22 129.240.pscan.22 211.157.pscan.22 89.145.pscan.22 89.1.pscan.22 core pass_file screen start

A pass_file-ban volt az én root - passwd párosom is:S

Na, szereztél egy csomó érdekes fájlt :). Még csak bajlódnod se kellett a letöltésükkel :).

Milyen disztro volt? Net fele nyitva volt az SSH es root-tal engedtel onnan is (mint mondtad gyenge) jelszoval torteno belepest?

Debian lenny volt, és net felé engedve volt...
Egy 4 gigás microdrive-on van a rendszer, otthon csinálok majd róla dd-vel image-et, késöbbi tanulmányozásra...

Mi volt a jelszó? Most már úgyis mindegy...

-----------
"Itt a tavasz lehelete,
hihi haha, hehe-hehe." :)

Giga-lol:)

Egy linux distro neve...:)

TinyMe? ;)

Nem erdemled meg ezt a nicket...

ROTFL , Bulvarosodunk :)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

:D Komoly. Inkább foglalkozna normális dologgal.

Tenyleg hulyeseg az emberek figyelmet felhivni a veszelyekre. :) Meg ha ilyen extrem helyzetrol is van szo. Bar az a cache poisoning nem hangzik tul jol.

---
pontscho / fresh!mindworkz

Ha valami egy hardverhez kötött dolog az nem igazán vészes szerintem. Nem igazán tud terjedni. Feltéve, hogy nincs belőle igen igen sok.

Ooo... Nem ugy volt, hogy az Intelnek lassan minden hardverelem piacan legalabb 50% reszesedese van? :)

Egyebkent tessek mondani, egyszer majd Szamitogepet is fognak gyartani? :P

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

De ez csak egy adott alaplappal megy 2Gb memória felett.

Sehol nem volt kizárva, hogy mással nem működne. Annyi volt, hogy linuxszal és ilyen konfigon működik _legjobban_.

Eredeti cikkből:

"With Windows it can still be done but requires much more work and skill. No Windows exploit code was released."

(2Gb ram meg minden normális mai desktop gépben van lassan.)

----------------
Lvl86 Troll

Ebbol megtudtuk hogy windowson nehezebb programozni, es ?


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

ki az a mi?

Jo, eddig is tudtuk :)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

:)

Az Itanium az már nevezhető számítógép-processzornak?

ad.1.: honnan tudod, h valoban csak az az egy elem erintett a kerdesben es nem tart vissza informaciot az uriember?
ad.2.: marhara nem az a lenyeges, h hany elem erintett a kerdesben, hanem a modszer maga. Ugyanis alkalmazhato a tovabbiakban mas esetekben is, nem kizarhatoan esellyel.
ad.3.: ha jol megnezed, maga a modszer eleve tobb eddig is ismert eljaras otletes kombinacioja, amely egyenkent mar joval tobb hardware elemet erint, igy eleg valoszinu, h mas elemekkel kombinalva mar mas esetekben is eredmenyt hozhat a tamadonak.

Tehat azt kijelenteni, h ez a tanulmany marhasag, eleg erdekes kijelentes.

---
pontscho / fresh!mindworkz

marhara nem az a lenyeges, h hany elem erintett a kerdesben

ezzel vitatkoznek, mert pl. ez a slashdot cikk arrol szol, hogy a mobil telefonokon azert nem tort meg ki nagy virus jarvany, mert egyik mobil OS sem erte el az ehhez szukseges elterjedtseget. szoval szamit az elterjedtseg.

- Use the Source Luke ! -

Celzott tamadasoknal is, amikrol egyre tobbet hallani, peldaul az eppen legutobb lenyult F35-os tervek eseteben? Nem mindenkinek celja, h millios botnetet epitsen ki.

---
pontscho / fresh!mindworkz

Ezzel meg én vitatkoznék picit. Azért mondjuk egy 37 milliós iPhone felhasználói bázisra, ahol minden második gép a neten lóg, már érdemes lenne botnetet alapozni...

Pl. irhatna hulyesegeket a hupra, nem?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ezek nagyon specifikus dolgok. Pláne hogy desktop alaplap. Igazából nem hülyeség, csak ha azt tételezzük fel, hogy a világ desktop os-einek kb 1%-a linux annak max néhány %-a ilyen alaplap. nem lesz semmi hatása. Van egy hibás eszköz amit spec Linuxon keresztül ki lehet használni. Számomra ez a hír ennyi. Olyan autók is voltak amelyek tankolás közben simán kigyulladhattak mert az eszes emberkék műanyag csövet használtak, benzinlevezetőnek, erre rájöttek, hogy baj van és szervizkor feltettek egy fémkallantyút földelésnek. Nem is mondták az embereknek hogy miért csinálják.

"Ezek nagyon specifikus dolgok."

Egyaltalan nem annyira, mint gondolod. Az egy dolog, hogy az exploitot egy bizonyos hw-kornyezethez irtak meg, de a modszer ettol meg nagy valoszinuseggel mukodik mashol is.

Egyebkent vszg azert pont ezt a chipsetet hasznaltak, mert nem olyan regen ez tudta egyedul a TXT-t (azota jott melle a Q45).

"ha azt tételezzük fel, hogy a világ desktop os-einek kb 1%-a linux"

Nem kell, hogy linux legyen, annyi kell, hogy at lehessen irni az MTRR-eket (ami nem MTR). Ezt akarmin meg lehet csinalni, de a linux meg direkt fogja is az ember kezet (/proc/mtrr).

"Számomra ez a hír ennyi."

Sajnalattal hallom.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

sudo apt-get install smm-attack ?

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey