Rootkit dla Linuksa na licencji GPLv2

@iTrasz: Pierwsza wypowiedz nie jest moja. Poza tym jest bzdurna. I oczywiscie zrobiles blad logiczny, bo twoj "wniosek" nijak nie wynika z tych dwoch punktow. Hint: statystyki licza ilosc dziur, nie ilosc wirusow.

@trasz: Rzeczywiście, nie zauważyłem niewielkiej różnicy w nicku (za dużo traszopodobnych podpisów się nam narobiło:) – mój błąd, tak więc atak jest bezzasadny.

Idąc z duchem mody zastanawiam się czy nie zmienić nicka. Co myślicie o trashX albo trash_bag.

proponuję träsz

A dlaczego podatność na rootkity liczyć tylko biurkach, czyżby na serwerach nie chciały działać? A tam jak wiadomo Linuksa jest dużo więcej niż 3%.

Oczywiście popularność jest czynnikiem, który zwiększa zainteresowanie także wśród wszelkiego rodzaju blackhatów, ale jak bardzo to wpływa na ostateczne bezpieczeństwo już można tylko radośnie zgadywać, tak jak to właśnie robisz.

(oczywiscie dziedzina nauki pod tytulem statystyki nie istenieje wg fanatykow)

A propos, brytyjski premier, Benjamin Disraeli (1804–1881), tak to ujął:

Są trzy rodzaje kłamstw: kłamstwa, okropne kłamstwa i statystyki.

Pozdrowienia, także dla nie-fanatyków

… ale rootkit ukrywał aktywność wirusa – sam zorientowałem się że coś nie tak. Ten rootkit, blokował instalację wszystkich znanych antywirusów, przegrane na flash'u z innego kompa, albo nie wykrywały nic, albo nie dały się uruchomić. Nie pamiętam jak go zwalczyłem, ale pamiętam, że uruchamiałem system krokowo i powycinałem wpisy w rejestrach pliki i stream'y.

No proszę, czasem praca na win nie jest łatwa..

Przypomniałem sobie jak to zostałem wyśmiany i jaki to Linux jest "łatwy" w obsłudze, gdy na pewnym forum odpowiedziałem na prośbę o pomoc przy jakimś prostym problemie. Szczegółowo opisałem koledze w jaki sposób ma postąpić aby dojść do celu.

Robaczki – daleka droga jeszcze..

Łata w drodze..

Noo, i to na licencji "Free"

Ale ze wsparciem, i to zdalnym =)

http://www.linux.com/feature/21129

http://blogs.csoonline.com/windows_vista_6_month_… – komentarze dotyczące bezsensowności porównywania ilości dziur

http://www.msversus.org/microsoft-versus-open-sou… – to pewnie jakaś linuksiarska propaganda…

@Maciej Mrozowski: Nie prosilem o podanie masy linkow, w wiekszosci watpliwych merytorycznie, ale o podparcie tezy, jakoby w Windows niektore dziury nie byly liczone.

Informacje o ilosci dziur mam nie z jakichs artykulow, a z wlasnorecznego policzenia na podstawie Secunii, odsiewajac bledy w MSIE, Sambie itd. Fakt, zrobilem to kilka lat temu, ale od tamtego czasu proporcje nie zostaly jakos istotnie zachwiane.

@trasz

a to sie na secuni nie upublicznione błedy pojawiają?

A chyba nie jestes tak naiwny aby twierdzic ze firmy komercyjne zglaszaja wszystko.

Dodatkowo liczenie marketingu MS blad w MSoffice to blad w MSoffice ale blad w openoffice to takze blad w linuksie.

@ak47: Nie, podobnie jak nie pojawiaja sie nieupublicznione dziury w Linuksie. Chyba nie jestes tak naiwny zeby twierdzic, ze firmy komercyjne zglaszaja wszystko.

A bledow w OOo, jak napisalem powyzej, nie liczylem.

Najlepiej uwzględnij od razu także wątki pod jego komentarzami , aby od razu odsiać większość trollowania.

Dlaczego? Bo kłamie jak najęty z zapałem godnym inkwizytora. Celuje w takich niekompetentnych naiwniaków jak ty, bo nikt inny nie chce słuchać (czytać) jego bredni

Nie wylać kubeł zimnej wody, tylko lać na wszystkich innych.

@Precz: Potrafisz podac przyklad jakiegos mojego klamstwa? Nie? Dziekuje, tak myslalem.

Ja potrafię. Pamiętasz jak wciskałeś, że Stallman twierdzi, że GPL jest licencją wirusową? Tak? Dziękuję.

Traszu kłamczuchu!

Nestety czytuję maniakalnie (prawie jak Ty)

pcoa i ani razu nie potrafiłeś napisać nic poza FUDem i to szytym grubymi nićmi. Tutaj próbujesz zarazić swoimi obsesjami nastoletnich jeleni bo nigdzie indziej nikt nie chce słuchać wariata a tu n=brak killfile ;P

Dziękuję

@Tor: Bo owszem, Stallman wyraznie twierdzi, ze GPL jest licencja wirusowa, oczywiscie nie nazywajac tego po imieniu, ale opisujac efekt:

http://www.gnu.org/licenses/gpl-faq.html#IfLibrar…

Q: If a library is released under the GPL (not the LGPL), does that mean that any program which uses it has to be under the GPL or a GPL-compatible license?

A: Yes, because the program as it is actually run includes the library.

I co, zaczniesz teraz wymyslac, ze ten fragment zostal tam umieszczony wbrew woli RMS-a?

@Precz: Aha, czyli jednak nie potrafisz podac zadnego przypadku mojego rzekomego klamstwa. Dziekuje.

A co do pcoa – problem w tym, ze z aktywnych tam osob sens dyskusji jest moze z czterema; reszta albo guzik wie o technikaliach (TCH), albo nie potrafi przyjac do wiadomosci faktow nie przystajacych do ich teoryjek (GS). Moglbym oczywiscie filtrowac, ale wtedy zrobiloby sie podejrzanie cicho.

@trasz: właśnie wyraźnie twierdzisz, że na pcoa nikt poza może czterema osobami nie jest na tyle głupi, by bez zająknięcia przyjmować to co wypisujesz. Oczywiście nie nazywasz tego po imieniu, ale opisujesz efekt.

Dziękować naprawdę nie musisz ;>

Jakoś nie potrafię podać przykładu twojej wypowiedzi, gdzie nie jest siany ordynarny FUD. Nie mówię, że nigdy nie napisałeś czegoś prawdziwego ale nie chce mi się grepować googla.

Co do newsów to "błyszczysz" że hej – widać nie masz kontaktu z rzeczywistością (poza materiałami propagandowymi rodem z Redmond ;P)

PS Podobał mi się przedostatni wątek na pcoa – najlepiej szła kompilacja jakiegoś (niby działającego) exploita linuskowego pracownikom(?) firmy microsoft. Już myślałem, że nie będę musiał dreptać do serwerowni pewnej (całkiem dużej firmy), by odzyskać kontrolę nad działającym samopas od ca. roku lajnuksem. NIc z tego – najlepsi haterzy linuksa nie potrafili podać działającego exploita: FUD, FUD, FUD

@Precz: Aha, czyli jednak nie potrafisz podac zadnego przypadku mojego rzekomego klamstwa. Dziekuje.

A co do watku z pcoa – az znalazlem. Owszem, smieszna troche byla demonstracja "Jak maly Grzes wyobraza sobie komputery – odcinek 0×42: exploity" w wykonaniu GS, ktoremu wydawalo sie, ze jesli nie ma ogolnie znanej dziury w kernelu tu i teraz, to mozna uznac system za bezpieczny.

@trasz: Nie trzeba daleko szukać, wystarczy twój "rzeczowy" komentarz o snifowaniu haseł.

@moloh: Musialbys jeszcze jakos uzasadnic, dlaczego wedlug ciebie ten komentarz rozmija sie z prawda.

@trasz: standard, bredzisz a uzasadnienie, niezależnie czy to prawda czy kłamstwo, zwalasz na innych. Podaj konkretne źródło swoich informacji, a nie ogólniki.

@moloh: Podalem – Stevens, ksiazka o programowaniu w systemie Unix.

@Trasz

Jakoś nie potrafię podać przykładu prawdy powiedzianej przez ciebię.

Trochę się zastanawiam po co włączasz komputer? by pytać się i samemu udzielać odpowiedzi? Nie leprzy miślub słomiany chochoł w ogrodzie ;P

Dokładnie . Dodam jeszcze, że twórcy dystrybucji Linuksa dawno to przewidzieli i źródła jądra, a także kompilatory i narzędzia developerskie nie są domyślnie instalowane. W dodatku na pewno nie znajdą się na maszynach serwerowych, jedynie może na sprzętach developerów i niekiedy na komputerach ludzi, którzy lubią własnoręcznie kompilować sobie soft(gdyż chcą korzystać z wersji niestabilnych/niedokończonych). Jeszcze po kompilacji konieczność uzyskania praw root-a do uruchomienia. Kiepsko widzę tego rootkita. Na Linuksa chyba pojawiały się lepsze szkodniki w przeszłości(IMHO).

Jeżeli jesteś rootem, to system zakłada, że wiesz co robisz i masz dobre intencje. Ogranicza się możliwości użytkowników, żeby nie byli zagrożeniem, ale z oczywistych względów komuś system musi zaufać – więc dlaczego nie miałby to być root? A więc ten, kto się zna, najprawdopodobniej postawił ten system na konkretnej maszynie, i od jakiegoś już czasu dba, żeby działała?

"Dodam jeszcze, że twórcy dystrybucji Linuksa dawno to przewidzieli i źródła jądra, a także kompilatory i narzędzia developerskie nie są domyślnie instalowane."

Zwłaszcza na Gentoo i innych dystrybucji opartych na źródlach… Na Ubuntu świat się nie kończy.

Serwer pośredniczący (reverse proxy) Varnish wymaga kompilatora C i jest często stosowany na serwerach z Plone. Poza tym, jak ktoś może uruchomić kompilator, to zwykle może go też pobrać w wersji binarnej.

Masz rację. W poprzednim komentarzu chodziło mi właśnie o takie dystrybucje, jak openSuSE, Fedore, Ubuntu i oczywiście wiekszość komercyjnych.

Install.exe .

"Rozwiązuje tylko ostatni punkt z czterech podanych"

Dawniej, żeby zaatakować komputer musiałeś 1) znaleźć błąd, 2) napisać exploita, 3) uruchomić go, 4) i się schować. Obecnie przepaść pomiędzy script kiddie a hackerami zmniejszyła się.

I to rozwiazuje

Oczywiście strategia kompletnie bez sensu, bo mając już uprawnienia roota można było zwyczajnie odczytać plik.

Slawek: to wcale nie jest smieszne, zrozumiesz jek juz bedziesz wiedzial co to jest rootkit.

nie jest to bez sensu, jeżeli 'root' nie miał uid=0

Różnie to bywa, widziałem już system gdzie user 'root' nie miał pełnych uprawnień

@Stilgar: Przecież nikt nie mówił, że jest to rootkit.

przecież napisał, że stworzył rootkita w bashu.

A, to przepraszam, nie doczytałem.

zdecydowanie bardziej, bo ilośc procesów rośnie w postępie geometrycznym

A jak uda się im przestraszyć odpowiednią ilość osób (przykładowo tych co wdrożyli Linuksa w firmie i mają o nim pojęcie takie jak kura o księżycu) to prawdopodobnie dadzą na owego rootkita "cudowne lekarstwo", ale ono już raczej nie będzie na GPL.

Dokładnie. A jakby FreeBSD też był taki popularny, to miałby dokładnie takie same problemy.

Ano.

Problemy z malware by miał, ale nie dokładnie takie same.

Zapominamy o sytuacji, że w typowej rodzinie, jak jest Windows to zazwyczaj wszyscy członkowie rodziny mają uprawnienia do instalowania (mało kto się tym zajmuje żeby ograniczyć). Na Linuksie domyślnie tylko root ma uprawnienia do instalowania więc zdarzą się sytuacje, że tylko jeden członek rodziny będzie znał hasło co może to zjawisko trochę ograniczyć.

Problem byłby mniejszy, ale tylko odrobinę.

Trasz – czy Ty rozmawiasz sam ze sobą?

Jeżeli tak to polecam "Elizę" w Emacs.

Przynajmniej "ktoś" z Tobą pogada..

To nie prowokacja, martwię się o Ciebie..

Jężeli to nie Ty to przepraszam.. i nie miej mi tego za złe.

@trasz:

> @kwant: Oczywiscie. Gdyby Linux zaczal byc popularny na biurkach,

> mialby dokladnie takie same problemy z malwarem jak Windows teraz.

Z tą różnicą, że w windowsie XP w domyślnej instalacji pracujesz jako administrator, w Linuksie zaś nie. Zapomniałeś wygodnie o tym drobiazgu, żeby sobie potrollować?

@antoszka: Nie zapomnialem, po prostu ten drobiazg nie ma znaczenia. Poczytaj moj komentarz o sniffowaniu hasel pare watkow ponizej.

Przeczytaj sobie lepiej mój komentarz do niego.

rotfl.

Tiaaa… a pierwszy rootkit został napisany na SunOS, który trudno nazwać "z założenia nieodpornym na ataki".

Rzeczywiście jesteście aż tak niedouczeni, czy tylko udajecie?

@abc: Bez znaczenia. Wystarczy, ze program pochodzi sobie chwile na prawach normalnego uzytkownika i odczyta – przez blad w architekturze, tym razem rzeczywisty – wpisywane przez rzeczonego uzytkownika haslo roota.

Za chwile jakis fanboy pewnie zarzuci mi klamstwo, wiec preemptywnie wyjasnie. Otoz, w przeciwienstwie do Windows, w Linuksie (szeroko pojetym – chodzi o system, a nie sam kernel) nie istnieje mechanizm uniemozliwiajacy "podsluchanie" hasla wpisywanego z klawiatury. Trudno byloby to naprawic, bo podsluchiwanie moze nastepowac na kilka sposobow – mozna na przyklad podpiac sie (ptrace(2)) do terminala (xterm, gnome-terminal), w ktorym wpisujemy haslo. Wiec malware uruchomiony na koncie uzytkownika, ktory ma dostep do roota i co jakis czas haslo tego roota wpisuje, predzej czy pozniej to haslo uzyska.

A teraz wyobraź sobie popularnego (z 10% desktopów) przyszłościowego linuksa, czy tam bsd, który ma uruchomiony pod tym użytkownikiem dowolny skaner. Ubija ten proces zanim użytkownik zechce zalogować się na roota (a tak poza tym, to po co się ma logować na roota?). TO tylko prosty przykład i ciężko powiedzieć, że unixy będą bezpieczniejsze na desktopach (mimo iż tak uważam) ale chciałem nawiązać do czegoś innego. Windows. Ciągle porównujesz Windowsa z Linuxem. Dlaczego nie Windows kontra *bsd? Dlaczego bronisz Windowsy na desktopach i np. w naszych urzędach (zaprzecz jeśli się mylę) KUPIONE za pieniądze podatników? Dla mnie to jest fanatyzm, nie kłamstwa, tylko emocjonalna walka z fanboyami, robiąc przy tym z siebie idiotę.

@iTrasz: Skad "skaner" mialby wiedziec, ze ma ubic proces? Heurystyka jakas? Fajnie, tylko dokladnie to samo jest teraz pod Windows. I dziala tak sobie. A na roota moze chciec sie zalogowac chociazby po to, zeby cos doinstalowac.

Co do porownywania z Linuksem – dlatego, ze Linux jest od BSD popularniejszy. Po co mam porownywac z czyms, co malo kogo interesuje?

A Windowsy na desktopach bronie dlatego, ze sa zwykle lepszym rozwiazaniem. Linuksy tez musialyby byc _KUPIONE_ za nasze, podatnikow, pieniadze, i jestem pewien, ze kosztowaloby to wielokrotnie wiecej.

"

A Windowsy na desktopach bronie dlatego, ze sa zwykle lepszym rozwiazaniem. Linuksy tez musialyby byc _KUPIONE_ za nasze, podatnikow, pieniadze, i jestem pewien, ze kosztowaloby to wielokrotnie wiecej."

ROTFL

@iTrash: To nie jest takie głupie. Nie wiem czy administracja może w Polsce nie płacić za soft(nawet, jeśli producent nie nakłada tego obowiązku).

@trash: Czysta ciekawość. Pod X-ami to też jest możliwe(oczywiście, jeżeli nie masz w systemie specjalnego modułu do X-ów). Nie znam się zbyt dobrze na architekturze systemów komputerowych, ale z ptrace może korzystać tylko rodzic lub proces o podwyższonych uprawnieniach. Sprostujcie, jeśli się mylę. Jeżeli nie, to taki proces nie mógłby przez ptrace uzyskać hasła.

Poczytałem o tym ptrace i chyba miałem rację, chyba że coś przeoczyłem.

@Sławek: Przeciez caly czas pisze o x11 i ogolnie o Linuksie. W Windows jest mechanizm "wiarygodnego uwierzytelnienia", w Linuksie nie ma mozliwosci zaimplementowania go.

Z ptrace moze korzystac dowolny proces tego samego uzytkownika. No i oczywiscie root. Wiec do terminala przez ptrace moze podczepic sie dowolny inny proces danego uzytkownika.

Zawsze można utworzyć fałszywy plik ~/bin/xterm, czy do ~/.bashrc dopisać alias dla xterm, i podpiąć pod to program, który uruchamiałby przwdziwego xterma i go śledził.

@trasz:

> Otoz, w przeciwienstwie do Windows, w Linuksie (szeroko pojetym –

> chodzi o system, a nie sam kernel) nie istnieje mechanizm

> uniemozliwiajacy “podsluchanie” hasla wpisywanego z klawiatury.

Owszem, istnieje, korzystają z niego np. programy typu pinentry z projektu gnupg, zajrzyj sobie w kod.

@antoszka: Owszem, nie istnieje. To, ze ktos napisal jakis kod, nie oznacza jeszcze, ze ten kod dziala skutecznie. W tym przypadku skutecznie zrobic sie tego po prostu nie da, z powodu ograniczen architektonicznych kernela i x11.

@trasz: źródło

@trasz: Czy istnieją jakieś przeszkody żeby zrealizować to nie w kernelu a jako proces root'a dla X11? Czy w konsoli może to być realizowane poprzez kernel linuksa? Czy free bsd ma odpowiednie mechanizmy zarówno dla X11 jak i konsoli?

To tak tylko z ciekawości – wyobrażanie sobie mechanizmów bezpieczeństwa to fajna intelektualna zabawa

@moloh: Dowolna ksiazka opisujaca dzialanie systemow typu unix. Moze byc Stevens.

@clondike: Chodzi ci o zrealizowanie mechanizmu umozliwiajacego bezpieczne wprowadzenie hasla? IMHO czesc musialaby byc w kernelu, a czesc w xserwerze.

Nie, FreeBSD tez nie ma takich mechanizmow. Nie wiem, czy jakikolwiek unix je ma.

@trasz: "IMHO czesc musialaby byc w kernelu, a czesc w xserwerze."

A nie wystarczyłby daemon o prawach roota i możliwości wyświetlenia okienka z monitem o hasło? Po poprawnym wpisaniu hasła mógłby zmienić uid procesu który poprosił o prawa roota (tylko sobie teoretyzuje w tym momencie ). Wiele zmian chyba nie trzeba by robić przy czymś takim.

Ciekawi mnie też jak to jest w MacOS X.

@clondike: Skad uzytkownik mialby miec pewnosc, ze okienko z pytaniem o haslo wyswietla wlasnie ten "systemowy" program, a nie jakies malware podszywajace sie pod niego?

@trasz

Nie wiem – możesz opisać jak to jest zrobione w przytoczonym wyżej systemie Windows?

Oczywiscie, ze nie moze, bo wtedy zaimplementuja to w linuksie i straci jeden ze swoich argumentow

A teraz na powaznie: nie znam sie na tym za bardzo, ale wydaje mi sie, ze zawsze mozna probowac temu zaradzic w podobne sposoby jak teraz robia to banki przy dostepie do konta przez internet (hasla jednorazowe, pytanie tylko o czesc hasla, itp.) albo zaimplementowac "hasla dynamiczne" czyli jako haslo masz podac np. swoj obecny wiek w sekundach + liczbe dni w obecnym miesiacu – zamkniecie WIG20 na poprzedniej sesji. System jest w stanie sprawdzic te informacje i autoryzowac Cie na tej podstawie a haslo bedzie za kazdym razem inne przez co jego podsluchanie niewiele da. …tylko komu by sie chcialo tyle liczyc przy kazdym logowaniu

@trasz: czyli standard, brak konkretów i puste hasła

Ah, trasz nie odpowiedział.

Ło$ – zróbmy to prościej, niech takie okienko wyświetli plik (tekst, grafikę) którą może odczytać tylko root – proces roota będzie miał do tego prawo. Trzeba tylko zapewnić to, że nie da się tego przechwycić magiczną kombinacją guzika PrintScreen .

@clondike: Windows robi to w ten sposob, ze pod kombinacje klawiszy Ctrl-Alt-Del nie moze podczepic sie zaden proces, tylko systemowa GINA (bodajze w Viscie nazywa sie to jakos inaczej; nie wiem). Wiec jesli dusisz Ctrl-Alt-Del, to masz gwarancje, ze okienko, ktore ci sie pokaze, jest systemowe.

Co do hasel jednorazowych – ok, zapobiegloby to sniffowaniu hasla z klawiatury, ale nie rozwiazaloby problemu "podstawionego okna". I owszem, komu by sie chcialo? Rozwiazanie ma byc nie tylko bezpieczne, ale tez malo wkurzajace dla uzytkownikow.

Pomysl z wyswietleniem tekstu czy grafiki jest, przyznam, ciekawa. Ale sam podales pomysl obejscia tego.

@trasz: Ale po naciśnięciu Ctrl-Alt-Delete nie pojawia się okienko proszące o podanie hasła przy uruchamianiu proceów, a manager procesów z opcją zablokowania ekranu, przynajmniej w XP. Mi bardziej chodziło o graficzne sudo; nie używałem Visty ale z relacji wiem, że często system prosi o podanie hasła do celów administracyjnych. Wydaje mi się, że takie zachowanie może "podrobić" byle aplikacja, ta samo jak na innych systemach.

@clondike: Tez nie uzywalem Visty, wiec nie mam pojecia, jak ten mechanizm (UAC?) dziala. Moja wiedza na temat architektury Windows zatrzymala sie gdzies w okolicach Windows 2000

Ale moznaby uzyc tej samej metody, na przyklad tak: kiedy jakis uprawniony proces potrzebuje cie "zweryfikowac", informuje cie, zebys nacisnal Ctrl-Alt-Del. Naciskasz, pojawia sie okienko, wpisujesz haslo, i jakims mechanizmem informacja o uwierzytelnieniu leci do procesu, ktory o nie prosil.

Pozostaje zaimplementowac W sumie nie trzebaby modyfikowac kernela, wystarczyloby zmienic X11.

Może jakieś przykłady, to mogłoby być ciekawe?

To mogłoby być dla niego zbyt trudne, myśląc jeszcze mu się śrubka przegrzeje, przez co trybik pęknie – i co wtedy? Stracilibyśmy 'najcenniejszego' komentatora tutaj – a to byłaby 'ogromna' strata xD

Statystyczny użytkownik Windows to w praktyce statystyczny mało-średnio zaawansowany użytkownik komputera + trochę osób, które mają o Windows jakieś pojęcie (np. administratorzy dużych sieci firmowych)