Linux alatt egyszerűbb a rootkit telepítés az Intel CPU cache poisoning probléma kihasználásával

Bug

Az Invisible Things Lab-os Joanna Rutkowska és csapata által korábban leírt Intel CPU gyorsítótár-mérgezés problémára kiadott proof-of-concept exploit kódot - amely lehetővé teheti sikeres támadás esetén a kivitelezőnek rootkit telepítését - elemezte egy független biztonsági szakértő és arra jutott, hogy azon kívül, hogy támadás rendkívül egyszerű és rejtőző, Linux operációs rendszer, Intel DQ35-ös alaplap és 2GB memória megléte esetén működik jelenleg a legjobban.

A vizsgálat során kiderült, hogy Linux alatt a "root" felhasználó rendkívül könnyen hozzáférhet a MTR regiszterekhez. Windows esetén is használható ez a technika, de ott sokkal több munka árán és sokkal több hozzáértéssel lehet eredményt elérni. Továbbá Linux alá már könnyen elérhető az exploit kód, míg Windows alá még nem.

Szóval a lényeg az, hogy ha érintett Intel alaplappal rendelkezel és a gépeden már root / adminisztrátori jogot szereztek, akkor rootkit elrejtés szempontjából a támadónak könnyebb dolga van ha Linux-ot talál a gépen, mint Windows-t.

Mivel a támadás hardver specifikus, csak akkor működik ha problémás alaplapod van. Az exploit az Intel DQ35-ös laphoz készült (az Intel szerint újabb alaplapok, pl. a DQ45-ös alaplapok nem érintettek). Az érintett alaplapok listája nem ismert és az sem, hogy AMD-s lapok érintettek-e.

A részletek itt.

( apostroph3 | 2009. 04. 23., cs – 11:18 )

mondom én is mindig: a linux sokkal jobb!:)

( apostroph3 | 2009. 04. 23., cs – 11:21 )

egyébként meg az jutott eszembe, hogy talált egy hardware hibát 1 azaz egy alaplapban. ezt fogja ezentúl hajtani egész életében?

> Szóval a lényeg az, hogy ha érintett Intel alaplappal rendelkezel és a gépeden már root / adminisztrátori jogot szereztek, akkor rootkit elrejtés szempontjából a támadónak könnyebb dolga van ha Linux-ot talál a gépen, mint Windows-t.

Az én olvasatomban ez azt jelenti, hogy előtte el kell "varázsolni" a gépet és root-tá kell lenni. Ebben a folyamatban azért a Linux több problémát görget az ember elé. Szóval a felvetés kicsit sántít.

A következő cikk az lesz tőlük hogy: Kikapcsolt Linux-os gépre is tudják telepíteni az exploit-ot (ha valaki bekapcsolja előtte és megmondja a root jelszót...)

( lovas | 2009. 04. 23., cs – 11:26 )

Root joggal :) már csak meg kell szerezni

"you must be root to install this rootkit"

Nem mintha linux alatt nem lenne lehetőség userspace-ből jogkör emelésre ( akár rootig ) valamilyen exploittal..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( log69 | 2009. 04. 23., cs – 11:36 )

Hát ez tényleg a Linux hibája, hogy az alatta futó hardver sz*r.. ;)

( mash | 2009. 04. 23., cs – 11:46 )

Bírom itt ezt a sok biztonsági "szagembert". :)

nah melyikre?

arra amelyik lenyegeben tobol vagja ki az osszes szekjuriti kezdemenyezest mert a fomajszter C taknyer onerzetes developzor szerint ez nem temaja a kernelfejlesztesnek

vagy arra amelyiken evek ota odafigyelnek az osszes randomsapkas hekkerre es alkalmazzak azokat a technologiakat amiket az utobbi idoben fejlesztettek akar egyeb oprencerhez akar kifejezetettem arra a platformra?

nehez kerdes :(
--
.

A kérdés az volt, hogy melyikre egyszerűbb root / adminisztrátori jogot szerezni.

Lehet nézni úgy is, hogy vajon arra az OS-re, amelyiket inkább tech savvy emberek használnak többségében és ezek nagyjából tisztában vannak a veszélyekkel, ennek megfelelően óvatosabbak (nem root-ként használják, rendszeresen frissítik), vagy arra az OS-re, amelyiket a felhasználóik túlnyomó része rendszergazda / administrator jogkörű felhasználóval hajt alapértelmezetten (kényelemből vagy tudatlanságból) és jelentős számban b.szik frissíteni (lásd eggyel feljebb az új botnetről szóló cikket).

--
trey @ gépház

"amelyiket inkább tech savvy emberek használnak"

Sajnos, azt kell, hogy mondjam, hogy ezek az inkább "tech savvy" emberek is össze tudnak hozdani néha istentelen nagy baromságokat és, "de ez lenugz" felkiáltással vakbuzgó hittel ismételten meggyőzik magukat, hogy márpedig csakazértis törhetetlen a linux.

(Tisztelet a kivételnek és nem állítom, hogy nincs.)

----------------
Lvl86 Troll

Ok, de akkor hol van az a maradék 90.000 botnetes Linuxos gép?! Ugye nem gondolod komolyan, hogy ha a Conflickerre fény derült, akkor egy hasonló Linuxos botnet hálózat nem lenne hír értékű, mégha az méretre csak 1%-a is a Windowsosnak? Az MS lenne az első, aki mutogatná, hogy ugye-ugye, a Linux sem kivétel. :)

Ugyanabból a cikkből:

"We see a lot of Linux machines used in phishing," said Alfred Huger, vice president for Symantec Security Response. "We see them as part of the command and control networks for botnets, but we rarely see them be the actual bots. Botnets are almost uniformly Windows-based."

Azaz ritkán látnak Linux-ot botnetben zombiként. Sokkal inkább a bűnözők használják őket a zombi gépek irányítására. Ezeket a command & control centereket a bűnözők telepítik, ők teszik rá a backend szoftvereket. Ezen a szinten ők már nem foglalkoznak gépek feltörésével. Komplett ISP-ket bérelnek a gépeik elhelyezésére. Megtehetik, mert milliókat keresnek naponta. Ott volt a példa, amikor felszámolták Amerikában a control centert amit egy ISP hostolt (McColo), majd miután bezárták, felbukkant az egész Észtországban egy másik ISP-nél.

Talán nem is véletlen, hogy a zombi gépek többnyire Windows-ok. Mert azok a platformból adódóan egyformák és milliós nagyságrendben lehet rájuk malware-t önteni. Nem kell a malware-t testreszabni, nem kell azzal foglalkozni, hogy vajon az futni fog-e, mert majdnem biztos, hogy futni fog.

Ha már példát akartál volna hozni, akkor ez sokkal jobb lett volna. Itt is annak volt köszönhető a sikeresség, hogy a router elég jól egységesítette a támadandó platformot.

--
trey @ gépház

igen, ezt is irja, meg rootkitelt feltort linuxokrol is ir (igaz, te is tettel ki hasonlo cikket a linuxos routerekrol). a linux elonye, hogy sokkal kevesbe elterjedt mint a windows (itt is ilyesmirol van szo ha meg nem lattatok volna), es altalaban ertobb kezekben van - de ha elkezdenek sokan hasznalni linuxot, es nem frissitik a csomagokat vagy csak benan allitanak be valamit akkor szerintem ott is lesznek hasonlo problemak mint windowson. Ez a nepszeruseg atka.

- Use the Source Luke ! -

"Ezeket a command & control centereket a bűnözők telepítik, ők teszik rá a backend szoftvereket."

Ne hidd, a "kis" botnetek jellemzoen feltort gepeken mennek, a "nagyok"-nak meg legtobbszor egyaltalan nincs is C&C szerveruk.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

"Valami forrás azért jó volna erre."

Sajat tapasztalat.

"A Srizbi nem nevezhető kicsinek, volt/van command centere"

Jo, akkor s/nagy/technologiailag megfeleloen advankalt/, de ez a ketto azert jellemzoen korrelal.

"Tehát melyik nagy az, amelyiknek nincs?"

Pl. a Storm.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Én úgy tudom, hogy a Storm-nál (állítólag) kétszer nagyobb Kraken szintén command & control center felépítésű.

Kraken infected systems attempt to "phone home" to a master command and control server by systematically generating sub-domains from various dynamic DNS resolver services such as dyndns.com.

Végülis mindegy.

Arról volt szó, hogy a zombi gépek túlnyomó része Windows. Erről mi a véleményed?

--
trey @ gépház

Én már fentebb is arra próbálta utalni, ha a Win penetrációja 90% körüli, a Linuxé meg úgy 1% és a botnetek aránya Win esetén 99%, míg Linux esetén 0.01%, akkor ki lehet jelenteni, hogy az operációs rendszer elterjedségén kívül, nagy valószínüséggel a megbizhatóságuk nem ugyanolyan.

Dehogynem. Akkor már csak egy kérdésem lenne? Miért is találnak, akkor az 5-10%-os MacOSX alatt botneteket, amikor ott a 90%-os Windows?

Tudom, hogy csak elírtad, de kíváncsiságból utánna néztem...

Penetáció: szabványos méretű kúpnak, meghatározott körülmények mellett a vizsgálandó anyagba való besüllyedését mutatja 0,1 mm-ben. (Kenéstechnika)

:D

hanyszor de hanyszor volt mar szo errol te jo eg

lassan ellathatjuk ezeket ilyen knowledgebase szammal es csak igy hivatkozunk ra

"Alan: Sure, the risk = threat x vulnerability x consequence concept. Macs have low threats but high vulnerability while Vista is the other way around. I recently switched to a Mac myself and wrote about it for Tom's Hardware (and had a lot of angry readers). Like you mentioned earlier, we want to support vendors with the most secure software, but it’s not easy to always figure out which software is the most secure and sometimes the real-world risk is lower with a vulnerable platform with fewer threats.

So for our readers, what are some tips for running a "secure" PC/Mac/Linux machine?

Charlie: For all OS's, make sure you keep your system up to date. That’s the best thing you can do. On a PC, I'd recommend running some AV software to help clean up when things go bad. Otherwise, just be smart, pay attention, and hope for the best. It is possible to really lock down your computer (running noscript for example) and make it safer, but in my opinion it’s not worth the trouble and the loss of functionality you experience."

nem tom meg hanyszor kell elmondani mire felfogja minden security expert wanabe linux warrior

--
.

"Arról volt szó, hogy a zombi gépek túlnyomó része Windows. Erről mi a véleményed?"

Orvendetes teny, ugyanis pl. a desktop windows-ok raw socket kezelese szandekosan vissza van butitva, hogy kevesbe hatekonyan lehessen roluk dosolni. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( zeerocool v | 2009. 04. 23., cs – 12:11 )

Hmm, az otthoni kis szerverkémet épp feltörték:D Gyenge jelszavat állítottam be a root-nak, és aztán arra figyeltem fel, hogy nemtudok root-ként belépni. Most néztem a root home-ját, van benne egy wheley könyvtár, benne mindenféle érdekes dolgokkal:

125.163.pscan.22 125.170.pscan.22 202.121.pscan.22 87.4.pscan.22 89.149.pscan.22 a gen-pass.sh pscan2 ss vuln.txt
125.164.pscan.22 129.239.pscan.22 202.189.pscan.22 89.140.pscan.22 89.188.pscan.22 common go.sh root:root:89.185.251.100 ssh-scan
125.169.pscan.22 129.240.pscan.22 211.157.pscan.22 89.145.pscan.22 89.1.pscan.22 core pass_file screen start

A pass_file-ban volt az én root - passwd párosom is:S

( turul16 v | 2009. 04. 23., cs – 13:01 )

ROTFL , Bulvarosodunk :)

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( emberk | 2009. 04. 23., cs – 13:31 )

:D Komoly. Inkább foglalkozna normális dologgal.

Sehol nem volt kizárva, hogy mással nem működne. Annyi volt, hogy linuxszal és ilyen konfigon működik _legjobban_.

Eredeti cikkből:

"With Windows it can still be done but requires much more work and skill. No Windows exploit code was released."

(2Gb ram meg minden normális mai desktop gépben van lassan.)

----------------
Lvl86 Troll

ad.1.: honnan tudod, h valoban csak az az egy elem erintett a kerdesben es nem tart vissza informaciot az uriember?
ad.2.: marhara nem az a lenyeges, h hany elem erintett a kerdesben, hanem a modszer maga. Ugyanis alkalmazhato a tovabbiakban mas esetekben is, nem kizarhatoan esellyel.
ad.3.: ha jol megnezed, maga a modszer eleve tobb eddig is ismert eljaras otletes kombinacioja, amely egyenkent mar joval tobb hardware elemet erint, igy eleg valoszinu, h mas elemekkel kombinalva mar mas esetekben is eredmenyt hozhat a tamadonak.

Tehat azt kijelenteni, h ez a tanulmany marhasag, eleg erdekes kijelentes.

---
pontscho / fresh!mindworkz

marhara nem az a lenyeges, h hany elem erintett a kerdesben

ezzel vitatkoznek, mert pl. ez a slashdot cikk arrol szol, hogy a mobil telefonokon azert nem tort meg ki nagy virus jarvany, mert egyik mobil OS sem erte el az ehhez szukseges elterjedtseget. szoval szamit az elterjedtseg.

- Use the Source Luke ! -

Ezek nagyon specifikus dolgok. Pláne hogy desktop alaplap. Igazából nem hülyeség, csak ha azt tételezzük fel, hogy a világ desktop os-einek kb 1%-a linux annak max néhány %-a ilyen alaplap. nem lesz semmi hatása. Van egy hibás eszköz amit spec Linuxon keresztül ki lehet használni. Számomra ez a hír ennyi. Olyan autók is voltak amelyek tankolás közben simán kigyulladhattak mert az eszes emberkék műanyag csövet használtak, benzinlevezetőnek, erre rájöttek, hogy baj van és szervizkor feltettek egy fémkallantyút földelésnek. Nem is mondták az embereknek hogy miért csinálják.

"Ezek nagyon specifikus dolgok."

Egyaltalan nem annyira, mint gondolod. Az egy dolog, hogy az exploitot egy bizonyos hw-kornyezethez irtak meg, de a modszer ettol meg nagy valoszinuseggel mukodik mashol is.

Egyebkent vszg azert pont ezt a chipsetet hasznaltak, mert nem olyan regen ez tudta egyedul a TXT-t (azota jott melle a Q45).

"ha azt tételezzük fel, hogy a világ desktop os-einek kb 1%-a linux"

Nem kell, hogy linux legyen, annyi kell, hogy at lehessen irni az MTRR-eket (ami nem MTR). Ezt akarmin meg lehet csinalni, de a linux meg direkt fogja is az ember kezet (/proc/mtrr).

"Számomra ez a hír ennyi."

Sajnalattal hallom.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!