forum.opennet.ru

Составление сообщения

Исходное сообщение

"Kernel.org подвергся взлому"
Отправлено Аноним, 01-Сен-11 23:27

> Я согласен что есть руткиты которые сидят только в памяти
Он может и на диске сидеть. Что если бяка, получив управление, немного допатчит в ядре сисколы чтения файлов чтобы они его тело никода не возвращали, даже если оно на самом деле там физически и было? Техника стара как х86 проц, в досе такое называлось stealth-вирусами. Времена шли, ОС менялись, но потенциальная возможность этой техники никуда не пропала.
> но такое можно определить в считанные секунды, теоретически можно запихать руткит
Универсальный и надежный способ это сделать - в студию. Известный метод засечения руткитов сводится к поиску аномалий в поведении разных сисколов. И да, руткит в общем случае не может полностью спрятаться. Но даже после этого надежно вычистить руткит может быть проблематично, просто потому что он со своей стороны может саботировать эти потуги просто заворачивая выполнение соотв. системных вызовов. А что ему помешает понять что вызов его затирает, сообщить в результате сискола что ок, было сделано, но забыть собственно перезаписать себя при этом? :)))
> и в железо - преценденты уже такие были, тогда уже даже и переустановка
> системы не поможет
В железо - сложно. Низкоуровневая ранняя инициализация железа типа чипсетов - кастомна, и биос специфичен для своей мамки. И даже ранний бутблок проверяет как минимум чексумму биоса. Мало-мальски универсальный троянец получится нереально геморным в написании. Как самый максимум, был WinCIH но все на что его хватало - просто стереть BIOS. Это намного проще, тем более если ограничиться 1 чипсетом как он и делал :)

> Больше волнует то что неизвестно на сколько достоверно в софте линуховом -
> исходники могут быть одни а бинарники в репазитарии лежать другие и
> проверить это практически не возможно
Подменить бинарники достаточно сложно - они подписями обвешаны. Просто замена бинаря на сервере приведет к визгам пакетного манагера что подпись не совпала, отсутствует или ключ неизвестный, что очень быстро спалит хацкера при практически нулевой результативности атаки.
Кстати был случай когда в программе (inrealircd) подменили именно сырец, впихнув довольно кондовый бэкдор. Гентушники даже успели его пересобрать и раздать :))

Исходное сообщение
"Kernel.org подвергся взлому" Отправлено Аноним, 01-Сен-11 23:27
> Я согласен что есть руткиты которые сидят только в памяти Он может и на диске сидеть. Что если бяка, получив управление, немного допатчит в ядре сисколы чтения файлов чтобы они его тело никода не возвращали, даже если оно на самом деле там физически и было? Техника стара как х86 проц, в досе такое называлось stealth-вирусами. Времена шли, ОС менялись, но потенциальная возможность этой техники никуда не пропала. > но такое можно определить в считанные секунды, теоретически можно запихать руткит Универсальный и надежный способ это сделать - в студию. Известный метод засечения руткитов сводится к поиску аномалий в поведении разных сисколов. И да, руткит в общем случае не может полностью спрятаться. Но даже после этого надежно вычистить руткит может быть проблематично, просто потому что он со своей стороны может саботировать эти потуги просто заворачивая выполнение соотв. системных вызовов. А что ему помешает понять что вызов его затирает, сообщить в результате сискола что ок, было сделано, но забыть собственно перезаписать себя при этом? :))) > и в железо - преценденты уже такие были, тогда уже даже и переустановка > системы не поможет В железо - сложно. Низкоуровневая ранняя инициализация железа типа чипсетов - кастомна, и биос специфичен для своей мамки. И даже ранний бутблок проверяет как минимум чексумму биоса. Мало-мальски универсальный троянец получится нереально геморным в написании. Как самый максимум, был WinCIH но все на что его хватало - просто стереть BIOS. Это намного проще, тем более если ограничиться 1 чипсетом как он и делал :) > Больше волнует то что неизвестно на сколько достоверно в софте линуховом - > исходники могут быть одни а бинарники в репазитарии лежать другие и > проверить это практически не возможно Подменить бинарники достаточно сложно - они подписями обвешаны. Просто замена бинаря на сервере приведет к визгам пакетного манагера что подпись не совпала, отсутствует или ключ неизвестный, что очень быстро спалит хацкера при практически нулевой результативности атаки. Кстати был случай когда в программе (inrealircd) подменили именно сырец, впихнув довольно кондовый бэкдор. Гентушники даже успели его пересобрать и раздать :))

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру