MS 0-day kernel hibát használ ki a Duqu droppere

Titkosítás, biztonság, privát szféra

A CrySyS Adat- és Rendszerbiztonság Laboratórium egy nemzetközi összefogás keretében részt vett a Duqu trójai program felfedezésében. Működésének részletesebb megismerése során megbizonyosodtak arról, hogy a Duqu közel azonos a korábbról ismert Stuxnettel. A minták elemzését követően részletes riportot készítettek az általuk elnevezett Duqu trójai programról. Az előzetes riportot eljuttatták az illetékes szervezetekhez annak érdekében, hogy együttes erővel, megalapozottan tudjanak fellépni.

A CrySyS tovább folytatta a Duqu trójai elemzését, és a kutatás eredményeként azonosítottak egy dropper fájlt, mely a labor szerint egy MS 0-day kernel hibát használ ki. A szükséges információkat továbbították az illetékes szakmai szervezeteknek, hogy azok gondoskodni tudjanak a felhasználók megfelelő védelméről.

Részletek a CrySyS Lab honlapján.

A linux elterjedtsége a Windowshoz képest ? :-)

Windows-al szvsz nagyobb publicitást lehet elérni .

Ha a linux elterjedtsége eléri a windowsokét nézzük meg akkor a 0-day statisztikákat :-)...

----------

Persze az elterjedtség hiányának is vannak előnyei, ha nincs annyira szem előtt, nem érdekli annyira a trojan gyártókat sem... ;-)

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

De arra a képzelt jelenségre gondoltam, mikor a windows és a linux használata nagyjából egyforma lesz :-DDD, és akkor megnézni, hogy mondjuk adott évben melyik rendszerre hány kiemelt/magas kockázatú 0-day biztonsági hibát publikáltak. / amikor megéljük a linux ilyen elterjedését lesznek ilyen 0-day statisztikák is / :-DD

Ennek várható idejét vinnui egész pontosan belőtte.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

Ezt értem, de szükségképpen torz eredmény születik, ha 2 olyan rendszert hasonlítasz össze, aminek az elterjedtsége ég és föld.

Nyílvánvalóan sokkal többen keresnek, kutatnak hibákat a windowsban - pl. mert a nagy számok törvénye alapján jobban megéri ezzel foglalkozni - mint linuxban. Mivel többen keresnek, többet is találnak.

Ez nemcsak a darabszámot, az arányokat is torzítja.

-----------

Hogy egy gyakorlati példával éljek, mikor az IE és a firefox közötti szakadék hasonló volt a mostanihoz, sokan jöttek azzal, hogy a firefox azért jobb, mert kevesebb a biztonsági hiba, biztonságosabb mint az IE, ahogy nőtt a firefox elterjedtsége, ez nagyjából azért meg is dőlt, hacsak az elmúlt 2 évben valami egetrengető nagy változás nem történt. :-)

Többen használták, többen kerestek benne hibákat, többet is találtak :-)). Aztán kiderült, hogy nagy különbség végül is nincs az IE és a firefox között.

Ha az IE-t nem drótozták volna be ilyen mélyen a windowsba könnyen lehet, hogy simán feleennyi hibát sem találtak volna benne az évek során... (!)

------

A linux esetleges utópisztikus elterjedése folytán egyébként könnyen lehet, hogy tévednél és a linuxban lenne több publikált 0-day sérülékenység.

Az egyik legkönnyebben támadható rész valószínűleg a driverek körül lehet(ne), a másik meg a glibc() - környékén ;-).

Egyrészt mert a driverek száma radikálsan megsokszorozódott a kernelben, másrészt meg a kernel is igen sűrűn, és jelentős mértékben változik. Rohammunka meg nyílván hibákat szül.

A driverek rész a legkevésbé ellenőrizhető, fejlesztők számára nehezebben reprodukálható , és val'szeg az egyik legbugosabb része a linuxnak...

Ezen nem segít a 70.000 féle kernel-driver/kernel verzió sem.

Mivel alacsony a felhasználói bázis, alacsonyabb a hibákat keresők száma, uram'bocsá motiváltsága is...

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

Juj, még egy top500-on nevelkedett emberke, aki képtelen megérteni, hogy mi a különbség egy adott feladatra összeállított szerverfarm között (ahol mondjuk kell egy ütemező, memóriamenedzsment, hálózat meg opcionálisan disk meg esetleg valami shell, többi szvsz tipikusan úgy is az adott feladathoz lesz reszelve) meg mondjuk egy desktop gép között, ahol mondjuk kicsit több és nagyon mások az igényeik a felhasználóknak.

Tény, hogy kombájnnal is lehet menni nyaralni, viszont a többség mégis inkább személyautót választ. (hup certificated autós hasonlat™)

----------------
Lvl86 Troll

Nem nevelkedtem top500on (akkor meg nem volt). Ertem mi a kulonbseg a ketto kozt, a kerdes nem ez.

kell egy ütemező, memóriamenedzsment, hálózat meg opcionálisan disk meg esetleg valami shell

Desktopon ez nem kell?
Linux nem desktop (is)?

Tény, hogy kombájnnal is lehet menni nyaralni, viszont a többség mégis inkább személyautót választ. (hup certificated autós hasonlat™)

Aha. Csak itt senki nem kerdezte, hogy ki mire mit hasznal. Ezt tudjuk.

Ettol fuggetlenul pl voroskalap, gekko, szeresdafrikat es a tobbi is igencsak nyomja a desktop vonalat _is_. A robotoso'est meg se emlitem.

"Desktopon ez nem kell?"

Szövegértés egyes. Azt mondtam azon kívül még kellene ez-az. Mondjuk normális desktop környezet, rá normális szoftverekkel, amik mondjuk nem úgy néznek ki, mint amelyet egy kezdő egyetemista hány össze önbizalomtöbbetes designeri képességekkel egy délután alatt, hanem mondjuk össze is vannak csiszolva.

"Csak itt senki nem kerdezte, hogy ki mire mit hasznal."

Persze, végül is teljesen logikus 500, speciális feladatokat ellátó gépből levonni azt, hogy mit csinál a világ maradék néhánymilliárd gépe.

"igencsak nyomja a desktop vonalat _is_."

Attól, hogy ráírják a marketingesek, hogy desktop, amely inkább workstation kategóriában játszhat, attól még nem lesz az.

Szóval hagyjuk már a Top500-at a desktop kategóriában, jó?

----------------
Lvl86 Troll

Mellékesen megjegyzem, hogy az egyemista designer-feeling platformfüggetlen. De talán nem is ettől szeretjük ennyire a windózot, hogy mentes vagy sem az ilyenektől. Hanem mer jó guija van (apple-per), van hozzá faja office (novell-per), aaa zinternet is kéznél van (netscape-per), nomeg csak és kizárólag ők tudnak LAN-t kezelni (samba-per) -- kihagytam valamit? :) Ja és van fotosopp, meg ótókedd

"A linux elterjedtsége a Windowshoz képest ? :-)"

Szerinted atlagosan hany haztartasban van urandusitashoz hasznalt ipari ultracentrifuga? Valami miatt a Stuxnet megis tamadta (a Duqu elodje)..

--
Az emberek azt állítják, hogy múlik az idő, az idő viszont csak mosolyog, mert látja, hogy az emberek múlnak. - tibeti közmondás

( Elbandi v | 2011. 11. 02., sze – 18:33 )

hehe :D

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( pinyo_villany | 2011. 11. 02., sze – 20:07 )

grat a CrySyS csapatanak, szep fogas :)
___
info

( Dwokfur v | 2011. 11. 02., sze – 23:37 )

Gratula az Ebizlabnak! \o/

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( STP | 2011. 11. 03., cs – 08:51 )

Nincs ezzel baj, csak az el nem készített rendszerben nincs bug.
Az viszont kicsit kellemetlen, hogy épp pár hete nyilatkozta valamilyen MSmókus, miszerint nem is kell annyira parázni a 0d bugokkal kapcsolatban. Lehetséges, hogy tévedett. :)