Linux.Ekoms.1 - képernyőképet lop az új linuxos trójai

Titkosítás, biztonság, privát szféra

Az orosz Dr.Web antivírus cég egy új linuxos trójairól írt a minap. A Linux.Ekoms.1 viselkedését vizsgálva arra jutottak, hogy a kártevő bizonyos körülmények közt 30 másodpercenként képernyőképet készít, amelyeket feltölt egy szerverre, illetve különböző fájlokat tölthet le a kompromittált gépekre.

Technikai részletek a Linux.Ekoms.1-ről itt.

( M0Rph3U5 | 2016. 01. 20., sze – 20:45 )

"Linux.Ekoms.1 downloads the /tmp/ccXXXXXX.exe executable file from the server, saves it to the temporary folder and runs it."

WTF? .exe?

( Som-Som | 2016. 01. 21., cs – 09:31 )

Trójai? De hogyan indítod el? Hogyan lesz futtatási joga?

Vagy van neki flash plugin feltelepítve https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-6… vagy egyszerűen megnyit egy fájlt open/libreoffice-ban: https://www.cvedetails.com/vulnerability-list/vendor_id-11439/product_i…

--------
Vultr VPS: SSD + 768MB RAM, 5USD/hó (benchmark), 20USD kupon: SSDVPS

Mi lenne, ha konténerben futna minden, és csak a saját beállításait és a netes cuccok a Letöltéseket tudná írni, az LO még a Dokumentumokat is? Persze elég meglepő, ha a Chromiumból (Chromium konténeréből) indult LO a saját beállításait sem tudja permanensen írni, nem hogy a Dokumentumokat... Netről jött rpm-ek futtatásáról ne is beszéljünk. Hogy lehet ezt kulturáltan megoldani? Vagy tök rossz ez az irány?

Nem akartam nevesíteni, de nekem is a Firejail jutott az eszembe. Ez megakadályozza, hogy böngészőből könnyedén elszabaduljon valami. TFH a /usr/local/bin megelőzi a /usr/bin-t path-ban, és az előbbibe Firejail-es wrapper scripteket teszek a böngészőmre és a LibreOffice-ra. Aztán a böngészőmben letöltök egy doksit és onnan megnyitom. Beleszerkesztek és a Dokumentumok könyvtárba elmenteném...

A Firejail nem nyitott újabb jail-t a Firefoxból megnyitott LO-ra: "will run without any additional sandboxing features". Ez nem is baj. A Dokumentumok könyvtárat alapból nem látom még olvasásra sem Firefoxból az alap beállításokkal. A Saját könyvtárba tudtam menteni LO-ban. A fájl csak addig marad meg, amíg a Firefox él, és a jailen kívülről nem látszódik. Ez nem baj, csak nem árt tudni róla. Egy Mari néni esetleg mérges lehet, ha "minden munkája" emiatt elveszik.

Szerk: Az előbbiek RHEL, legújabb Firejail. Kipróbáltam Ubi 15.10-en is a default Firejail-lel (kb. fél éves), még csak nem is hasonlított a fent leírtakra. Nem is tudom ugyanúgy belőni.

Befrissítettem Ubin a Firejailt egy talán megbízható PPA-ból. Készítettem egy fájlt:

#!/bin/sh
me=`dirname $0`
PATH=`echo $PATH | sed -r "s%^(.*:|)$me:%\1%"`
firejail `basename $0` $@

A /usr/local/bin/{firefox, chromium, libreoffice, vlc, totem, ...} erre van symlinkelve. Unity menüjéből és indítójából firejail-en keresztül indulnak a progik.

Az irány jó, a megvalósíthatóság a kérdőjeles.

Mobilon már működik valamennyire. Nincs olyan, hogy egy alkalmazás mindent lát, és mindenhez hozzáfér. IOS-en jobban működik ez, ott egy alkalmazás lát egy privát mappát, minden máshoz user interakció révén ad hozzáférést a rendszer (pl fényképek).

Nagyon jó lenne, ha desktopon is minden alkamlazás saját konténerben futna, nem lenne joga semmi máshoz hozzáférni, csak amire alap jogosultságok, vagy user által adottak feljogosítják.

Csak egy iylen rendszert nehéz lenne lenyomni az userek torkán, ahogy lázadtak annó az iphone zárt rendszere miatt mondjuk.

Alapvetően minden ebbe az irányba megy, a Linux már régóta de a sima windóz is. A windózzal az a gond, hogy legtöbben adminként használják és csak egy antivírus áll a gonosz kód útjába, már ha egyáltalán van antivir installálva.
Egyébiránt meg ha egy kód fut lokálba onnan már veszett fejsze nyele. Kódmorf, eszkaláció, hibás appok kihasználása és kész zombinet kliens.

--
GPLv3-as hozzászólás.

Linuxnál van? Izé, én nem igazán véltem felfedezni, legalábbis abban a formában amiről beszéltem feljebb. Még mindig az a modell, hogy minden program ugyanazon felhasználó jogosultságaival fut, és minden program hozzáfér mindenhez, amihez az a felhasználó hozzáfér. Oké, root jogokat nem szerezhet, de adatlopáshoz, komoly károk okozásához nem is kell, minden fontos ott van a home mappádban.

Az Unikernel elvileg ezt megoldja. A hipervigyor felett semmi sem közös és a VM-ek aprócskák, mivel az OS rajtuk 1 felhasználós lecsupaszított valamik. 1 hálózati meghajtó, 1-féle nem naplózó fs (ASLR hívők erről nem mondhatnak le), nincs swap, nincs ezerféle eszköz támogatás, egyszerű ütemező, nincs root és privilégiumok. Az OS pár lib.

Remélem semennyire! Értem én hogy a VM-ek méretét hivatott csökkenteni, de ennyi erővel minek VM? Pláne ha mindennek külön VM-et gyártunk...
Akármilyen megoldás is születik, valamennyi átjárást engedni kell appok közt, mert másképp lehetetlen lenne egy netről letöltött képet betenni háttérnek, vagy megnyitni szerkesztésre. Lehet piszkosul biztonságos a rendszerünk, csak közben figyelni kell arra is, hogy a sok bába közt ne vesszen el a gyerek: a használhatóság.

Ha a user szándékosan kapcsol ki biztonsági funkciókat azért, mert a mindennapi használatot aránytalanul nehezíti, akkor megette a fene. Márpedig a user ezt fogja tenni, és ha a böngészőjében bejövő ransomeware letitkosítja az összes motyóját, akkor ugyanúgy cseszheti.

Egy Ausztrál bérszámfejtő cégnél ma csapott le a cryptolocker. A user hibája volt. Ő volt túl kíváncsi.

--
Where do you want to go today?
[nobody@salcay:~]$_

"valamennyi átjárást engedni kell appok közt"

Igen, és ezt okosan megoldották már telefonon. Lásd ahogy IOS alatt a fényképek kiválasztása működik, lásd ahogy androidon az intentek működnek, lásd ahogy a chrome kiegészítőknél a fájlrendszer vagy fájlok kezelése működik. Kis finomítással tökéletes példák arra hogy működhetne egy rendes, biztonságos desktop OS.

Így van, de azon a lukon, ahol a user át tud menni, ott a kártevő is át tud menni.
Ezzel kilyukadtunk egy régen ismert dologhoz: a legnagyobb biztonsági kockázat az ember maga. Lásd a fenti cryptolocker-es témát (utolsó sorom az előző hszban)! Hiába szűrte ki a spam szűrő, hiába vonyított a vírusölő, hiába védték meg a usert, ő figyelmen kívül hagyott mindent, és megnyitotta. A user minden biztonsági intézkedést felül fog bírálni, ami közé, és a vélt pornója közé áll. Ezzel nem tudsz mit csinálni.

Már most ott tartunk, hogy sokkal könnyebb egy embert rávenni erre, mint magát a technikai megvalósítást kivitelezni.

--
Where do you want to go today?
[nobody@salcay:~]$_

"Így van, de azon a lukon, ahol a user át tud menni, ott a kártevő is át tud menni. "

Huh? Nem.
Ha a kártevő nem tud képernyőt lopni, billentyűzetet figyelni, hívást indítani, kontaktokat nézni, akkor hiába kártevő, nem tud kárt tenni.

Én is osztom, hogy, kis túlzással de, egy biztonságos OS kb csak úgy képzelhető el mint az Android (mint egy ideális Android), és nem úgy hogy vannak a binárisok és futtatjuk őket user joggal, vagy bármi.

Ha egy alaklmazás akar valami adatot mókolni, akkor kérje el az OS-től, az meg kérdezze meg tőlem. Egyszerű.

Ennek ellenére ismert exploitok vannak kint Androidra, amiket hiába javított ki a Google, nem minden készülékre jutottak el. Szóval, a biztonság mintaképét ne róla fessük már!
A biztonság nem ott kezdődik, hogy minden terv szerint működik, ahogyan te leírod. Az a vége.

--
Where do you want to go today?
[nobody@salcay:~]$_

" ismert exploitok vannak kint Androidra, amiket hiába javított ki a Google, nem minden készülékre jutottak el"

Ez se nem a google, se nem az android hibája. Hibás a gyártó akinek fontosabb eladni az újabb készülékeket mint legalább a biztonsági hibajavításokat belerakni a régebbi készülékekbe. Hibás az user, mert nem várja el. Hibás a google is, tényleg, mert nem enforce-olja.