forum.opennet.ru

Составление сообщения

Исходное сообщение

"Kernel.org подвергся взлому"
Отправлено Аноним, 07-Сен-11 01:59

> Лет ещё десять назад это было хакерство (в исконном смысле этого слова).
> А сейчас — just business.
... и в силу этого изменился качественно-количественный состав малвари. В ботнете потеря 1 машины вообще ничего не значит а большой ботнет сколько бы он ни ныкался будет обнаружен и тогда будет создан метод по надежному детекту его руткита и анинсталлу.
> Конечно, красивые концепты могут и сейчас появляться, но скорее в виде исключения.
Ну вот видимо поэтому мы и не видим красивых руткитов в биосе пачками. Зато всякого крапа писаного на дельфи и даже VB/.net от каких-то ламеров - полно.
> Если не верите — почитайте подробные отчёты антивирусных контор
Верю, верю. А теперь покажите мне засилье этих, которые биос стирают/патчат с бизнес-целями. Что-то вместо них в основном какая-то примитивная малварь да ботнеты сплошняком.
> Те же порнобаннеры — типичный бизнес. Технически — да, разве что некоторые
[...]
> да хватит, а то совсем уже старым пердуном себя ощущаю. :)
Да ну, ничего там особо интересного нет. Мошенники которые поумнее разводят лошков которые поглупее. Бизнес - есть. Техническая составляющая - примитивна как копье неандертальца. В бизнесе важно не это :).
> Дык CIH — он из другой эпохи, см. выше.
Вот в ту эпоху и писали крутые штуки, чтобы показать умения остальным, затестить концепции или просто поиздеваться над глупыми юзерями. Ряд вирусов был вообще PoC не ориентированными на "боевое" применение и случайно, по технической ошибке начинали свое шествие в диком виде. Это не мешало вставлять даже в такие версии довольно деструктивные функции, чтоб "все понастоящему".
> Собирают ботнеты и сдают в аренду, да. Троянов на заказ, AFAIK, пишут
> сейчас редко, как правило хватает «массового продукта»; максимум, что делается
> — какой-нибудь тот же ZeuS чуть адаптируется под конкретную среду.
Вот-вот. При этом оно в техническом плане не такое уж и крутое. Это вам не хитровыгнутый полиморфик где ни 1 байта в новой копии не совпадает, и не хитрый перехватыватель сисколов. Это всего лишь заурядная пакостилка нацеленная на ведение бизнеса :). Зевс может и не так уж плохо сделан. Но в целом разница - как между серийной скрипкой из магазина и скрипкой Страдивари.
> Если есть прототип и есть заинтересованные лица — результат будет. Повторюсь, они
> уже могут даже успешно работать. Даже на вашем компе. Паранойя, да? ;)
На моем? С удовольствием посмотрел бы на это. Только оно рискует попаться, т.к. я иногда не прочь слить образ BIOS и сунуться в него хексэдитором, анализируя что и как там устроено. И даже иногда проверяю отличия образов, чисто из научного интереса "а что там меняется и насколько часто" :). И если честно - я не вижу для руткитов простого и удобного метода перехватить все методы дампа биоса и выпилить себя из оных дампов. Хотя если у меня будут такие подозрения - я в состоянии прочесть/записать SPI-флеху своего биоса брутальными аппаратными методами.

> для того, чтобы маскировать присутствие постороннего кода.
Ну, замаскировали, допустим. И ... выполнить то его потом как? Парсер ACPI вовсе не собирается запускать это. Bios управление туда тоже передать забывает :)
> Ну так контрольную сумму и обновить можно. И никто ругаться не будет,
> ибо что нелегального в изменении каких-то там данных в ACPI?
В принципе - да. Правда все-равно не понятно как потом туда управление попадет. Кстати сами таблицы крайне кривые и потуги их распарсить, запатчить и собрать заново могут привести к веселым фэйлам.
> подтверждения (или опровержения) этих догадок надо зарываться глубже в спеки,
На эти спеки производители с удовольствием кладут, при том изучать как именно тот или иной производитель накосячил в той или иной мамке или ноуте - достаточно трудоемко. Впрочем мне не понятно главное: пусть вы даже записали осмысленный код в ACPI таблицу, область DMI или куда там еще. Но вот каким манером код там выполняться начнет?
> Я ж специально HDCP упомянул. :) В таком случае предлагается увести хеш у Самсуня.
Хеш не надо "уводить" - он известен. Ты можешь посчитать его схешировав пубкей. И пубкей известен (в флеше лежит). А вот умыкнуть парный к нему привкей у самсуня, чтобы убедить  данный проц запустить данный код - удачи. Тем более что у производителей эти кеи могут быть их собственными и как бы к "вон той" железке может требоваться другой кей (вшитый производителем). Собственно бывает и так что кей не вшит и можно самому эти тапки одеть, если не жмут. Вот тогда многие бут/руткиты лососнут тунца, если вы цепочку трастов при загрузке сами не прервете. Тем не менее, это не панацея. Ядро может быть запатчено в оперативке после старта, например атакой по сети. От этого подписи уже не спасут.
> Ибо это самое уязвимое место. Поскольку запись одноразовая, то
> ничего подобного отзыву сертификата в X509 не возможно в принципе.
Да, но чтобы ломануть эту схему - надо спереть привкей, пубкей от которого имеет указанный хеш. Ежу понятно что этот привкей берегут не хуже чем рутовый серт CA, поэтому... поэтому я еще ни разу не видел чтобы такой ключ хоть у кого-то сперли :))). Единственным известным мне исключением является разве что фирма Сони, где похожий по смыслу ключ ECDSA был наглейше _вычислен_ нехитрой математикой. Но это Сони сами ступили, не почитав ман на используемый алгоритм.
[del]
> усложняются, в них появляется всё больше проблем, в том числе связанных
> с безопасностью,
Как ни странно, это факт. Мне известны случаи поимения защит такого плана через дыры в самой защите, лол :)
[del]
> предпосылки к тому, что чем дальше, тем проще будет добыть любую
> информацию. А уж передать-распространить после добычи — уже сейчас раз плюнуть.
Тем не менее, я ни разу еще не видел чтобы у какого-нибудь производителя реально сперли такой привкей (лопухи из Сони которые сами себя обманули не почитав толком описание алгоритма до его реализации и не осознавшие что рандом именно критичен - не считаются).
> Учитывая, что dual-boot с регулярным переключением между ОСями — весьма нетипичный
> usecase, на него попросту забьют. :)
Да даже просто при переустановке оси или установке иной версии оси или другой операционки - неизбежно косяки полезут. Как максимум я знаю про чуть ли не единственный реально применяемый boot-кит, пишущий себя довольно олдскульненько в бутсектор (прямо как в DOSовых-вирусах), патчащий семерку/висту с их подписями, которые в противном случае мешали бы это делать. И то штука довольно редкая и как я уже сказал - половина антивирусов обнаглело и первым делом все по подобным штукам и ловит :)
> Вы подходите к задаче написания таких зловредов как математик, вам нужно 100% решение.
Я подхожу как реалист :). То-есть,
1) Не должно быть так что 90% - факапы. Иначе про эту штуку уже завтра будет знать даже самый зачуханный антивирус и месяцы геморроя - насмарку. Да еще какойнить козел напишет утилю с одной кнопкой "убить гада" специально для хомяков, а киберкопы встанут на уши.
2) Вариантов дико много. Поэтому избежать пункта 1) почти нереально.
3) Место ограничено. Поэтому архисложная логика на 100500 вариантов просто не упихается туда.
4) На мало-мальски отличных от тепличных условиях (т.е. почти везде) будут разные баги и глюки, даже заметные окружающим или даже нагибающие их. И вы не сможете это оттестить как это работает толком и обезглючить за разумное время. Потому что сложно добыть сотни разных машин и сложно протестировать и обезглючить на них все это в разумные временные рамки.
> не заморачивался написанием кроссплатформенных вирусов (чтобы и на винде работали, и
> на Linux — хотя бы). Достаточно было одной винды, чтобы «продукт» был «успешным».
Ну да. Хотя некоторые руткиты вполне себе встречаются и для *nix-like. Чему лишним примером эта новость. Просто встречаются редко.
> Когда-то так же думали про сам Linux. ;)
Как максимум Торвальдс поначалу считал это баловством и несерьезной системой, но постепенно решил что получается неплохо и что оно может быть полезно другим. Плохо себе представляю как такое же будет применено к руткитам или иному типу malware. Публичный анонс малвари вообще чреват посадкой автора ;).
[del]
> Как вариант, конечно. Более того, прецеденты уже были (только не помню, у
> ЙаМагазинчега, или кого-то аналогичного).
Как минимум, в андроид маркете жила была куча всякой малвари. Да и сейчас наверное не все выпилили. Вот это да, бизнес - впаривание дряни лохам оптом и не менее оптовый профит от их развода. А технически все уныло и банально.
> Подвиды чипсетов отличаются включением-отключением каких-то фич (не важных для руткитов),
Они могут отличаться подключением и типом флешки, работой с ней, тем что там по факту записано, реализацией защиты записи и прочая. Универсальный патчер+флешер вшивающий еще один унивирсальный патчер в ограниченный объем получается какой-то крайне нетривиальной конструкцией.
> вроде встроенного видео. Более того, определённая преемственность сохраняется и между
> поколениями.
Определенная - есть. Это не значит что новореализованный SPI шьется точно так же как fw hub или LPC флешка или тем более параллельная. По этому поводу у вполне легитимных флешеров и то заряд бодрости - надо понять как именно поюзан конкретный чипсет, и выбрать из кучи вариантов верный. Не говоря о том что сакральное знание о том какое IO надо дернуть чтобы write protect отключить - в самом биосе обычно живет (как я понимаю, пункт биоса разрешающий или запрещающий запись оного - за это и отвечает). Кстати если я правильно помню, фирменные флешеры обычно не таскают с собой сакральное знание как это выключить, а, считая спецификой мамки, детектят неуспех записи и просят вырубить в биосе защиту от записи. Биос на своей мамке разумеется знает как это сделать.
> Так что всё не так уж страшно... для разработчиков зловредов,
> желающих их запускать на аппаратном уровне.
Судя по отсутствию массовых зловредин такого типа - соотношение затрат усилий и результатов разработчиков видимо не прельщает.
> Сужает или нет, но вы так говорите, как будто пойти на киберпреступление
> тяжело для любого человека. :) Это не говоря о кибервойнах между
> государствами и корпорациями...
Дело не в киберпреступлении а в способности понять как это работает. Пойти на киберпреступление не сложно. Понять как записать пакость в флешку - сложнее. Поэтому то и есть легион скрипткидиссов vs аж целый 1 автор CIH и еще несколько совсем уж концептов :)
> Вы оптимист, как я погляжу. :)
Всего лишь реалист, способный прочитать даташиты на флешки и чипсеты.
> См. выше про dual boot. Та же ОСь, через которую руткит обосновался
> в системе, будет загружена и далее в 99,9...% случаев. Оставшиеся доли
> процента... кого он волнуют? Так что до обнаружения дойдёт не скоро.
Это годится только для персональной адресной атаки на конкретную машину. Такая атака в принципе возможна, но крайне дорогостоящая из-за необходимости большого объема кастом кодинга под конкретно вон ту машину и ее специфику.
> Повторюсь, вы идёте академическим путём. Он тоже хороший и иногда нужный. Но
> в данном случае он приводит вас к излишне оптимистичным прогнозам. :)
Напротив, я всего лишь представляю: а что если бы я это захотел реализовать? Какие проблемы меня бы ожидали на этом пути? Наиболее очевидные я перечислил.
> Уже появлялась вирусня, прогрызающая виртуализаторы через те или иные уязвимости.
А нельзя пример именно вируса (т.е. самоходного ПО, способного к размножению, работающее в автоматическом режиме) который на автомате пробивает виртуализаторы? Я пока как максимум видел во первых анонсы уязвимостей, тупенькие детекторы виртуализаторов да парочку PoC "можно сломать вон тот гипервизор через дырку". Реально боевых экспонатов - не попадалось.
> Зловреды, массово внедряющиеся в BIOS'ы и иже с ними, — просто следующий шаг.
Так где они?
>> Да блин, грузим линя и дампаем флеху flashrom. Просто, брутально, доступно даже хомяку
[...]
> Если будет знать, как BIOS перепрошивается, может и защититься, как правило.
Защититься от чего? От последовательности действий с железом приводящей к чтению содержимого флешки? Так работа с железом может быть реализована кучей разных способов, отследить и пропатчить именно нужное крайне сложно. Как  максимум можно наверное попробовать стать гипервизором и пытаться показывать ОС виртуальный чипсет и флешку, но это вы не о чипсете с спекой на 1000 страниц же?! Такое в пустое место в биосе не влезет :)
> Более того, никто не помешает ему вести себя, как описывалось (кажется, вами
> же) для Flash-анализатора: делать вид, что всё запатчилось.
В упомянутом случае задача была бы сильно облегчена тем фактом что это отдельная программно-аппаратная приблуда. Она не зависит от того какая именно ос там загрузится, какой режим CPU и вообще кто и как дорвался до SPI шины. Важен сугубо результат этих действий. А вот со стороны х86 как это надежно перехватить? Разве что виртуализатор впихнуть? Ну там вылезет гора других нестыковок, вплоть до того что точно сэмулировать именно мою мамку, именно ее чипсет и именно ее флешку - задача нетривиальная.
> Места, повторюсь, ему хватит: несколько килобайт для защиты
У х86 нет каких-то удобных и штатных средств для "защиты доступа к одному конкретному девайсу". Как абсолютный максимум, я могу представить себе загрузку системы под гипервизором. Но при этом вылезет 100500 особенностей и глюков, и я готов поспорить что виртуализатор, особенно способный мне показать именно мою флеху, на моем чипсете, на правильном интерфейсе, нигде не приврать, но при этом перехватить доступ - очень врядли втиснется в свободное место в биосе. Кстати сидя за компом, успех записи в BIOS несложно проверить и без программатора.
> и передачи управления по команде более чем достаточно.
Передачи управления кем, куда и в какой момент?
[del]
> И я про другое говорил: что один прошивальщик разбирается на детали,
> отыскивается магическая последовательность
А она вроде и не отыскивается - если я правильно помню прошивальщик просто обламывается и просит отключить в BIOS защиту от записи.

> действий, а место, где она находится, запоминается. Остальные прошивальщики (для других
> материнок) разбирать уже не надо, просто идём в нужное место и
> добываем инфу. И, повторюсь, это наихудший из реальных вариантов.
Ну, со времен CIH кое-какие средства добавления сложностей вирусам - появились. В частности - какая-никакая защита от записи встречается не то чтобы редко.
> Полностью спрятать массовый продукт всё равно не удастся. :)
Дла начала его сделать надо. PoC отличается от боевой версии как ракета для фейерверка - от лунного модуля.
[del]
> или конфиденциальная информация, например. И ещё неизвестно, за что голову будут
> хотеть открутить больше. ;)
Конфиденциальную информацию можно упереть и без таких извращений и логично потратить ресурсы на эффективность именно этого, раз уж все-равно обнаружат при более-менее массовых диверсиях ;).Все-равно при обнаружении сделают средства автоматизированного обнаружения, обезвреживания и удаления. Если уж на bluepill сделали детектор... ;)
> Если же говорить о чём-то нишевом, то там и спецификации будут более
> конкретные, а, значит, и возможностей качественно замаскироваться будет больше.
Наиболее реалистично - поставить партию компов с предустановленной операционкой и/или bios где то или другое немного пробэкдорены, при этом можно все более-менее подогнать. Но это совершенно заурядное вредительство. И в серьезных местах должны такую возможность рассматривать. Ну и какие-то сильно адресные атаки может быть. И то - проще просто упереть инфо да самовытереться после того как интересная инфа уперта.
> дальше понятно. :)
Дальше, судя по сабжу - разломают эпплу аппстор и сразу оптом отгрузят всем счастья килограммами. Проще и результативнее.
[del]
> Как откуда — из сплоита, вестимо.
Опять же - софт апдейтится довольно оперативно. Массовых поимений пользователей оперативно обновляемого софта не видно даже под виндой. Почему-то через хром и фокс пользователей почти не ломают, откровенно предпочитая IE, ридер и прочих - у которых обновление тормозное, кривое или отсутствует.
>> как правило штопают быстро и массовых поимений как правило не происходит.
> Это вы про *nix?
Да про всех. См. выше. Виндоусапдейт с его циклом выпуска = 1 месяц не считается. За месяц можно все разнести. Почему MS не в курсе - не мои проблемы.
> Ну так и доля десктопов пока что мала.
А вон ту кучу серверов мы не будем замечать? Судя по тому что на вывешенном SSH лог отрастает на десятки метров в сутки - желающих халявы в природе навалом. А случаи взлома все-таки единичные почему-то. Ну во всяком случае zeus-ы всякие - под виндой :). Заявления о том что миллионы всегда включенных мощных машин на >=100М канале никому не нужны - неубедительны.
> Вот, Android пошёл в массы — и проблемы безопасности на нём
> уже стоят довольно остро.
В нем довольно остро стоит в общем то одна единственная проблема: гугл тянет в свой каталог всякий сомнительный хлам являющийся по большому счету малварью.
> Займёт какая-нибудь Убунта хотя бы 10% рынка десктопов-ноутбуков, и дырки
> в *nix-софте также начнут массово использовать
Нерентабельно получается покупать сплойт. Заплатить денег чтобы обнаружить что все уже законопачено - не прикольно, знаешь ли. Это ж не MS который раз в месяц фиксы выкатывает. Там да, если ты заплатил - у тебя гарантированно месяц есть, кроме ну совсем уж вопиющих случаев способных сподвигнуть этих бегемотов на внеплановый апдейт :)
> (не забывая, разумеется, и про социальную инженерию).
С которой опять же все не так удобно.
> Один только XDG со всеми предлагаемыми им прибабахами и друзьями по имени Кеды
> и Гном уже подготовил платформу для злоупотреблений.
Теоретически, найти тот или иной баг можно везде кроме разве что hello world. Практически, есть еще вопрос соотношения затрат сил к результативности мероприятия. Оттуда и вытекает то что наблюдяется по факту на рынке заразы.
>> Единственным исключением является винда, где апдейты по расписанию,
> Справедливости ради следует сказать, что в особых случаях обновления в винде приплывают
> моментально.
Справедливости ради, я видел такое лишь несколько раз в жизни. А ддосы и спамы с виндовых ботнетов почему-то валятся ежедневно, поэтому налицо некоторая нестыковка. Секрет в том что хакерам глубоко наплевать на удобные таймлайны лощеных манагеров и их корпоративные проблемы.  Внеплановый апдейт обычно делается под давлением недовольных кастомеров, в том числе и корпоративных, когда они устают массово вытряхивать малварь.
> Плюс для корпоративных пользователей они тоже приходят немного пораньше.
> Ну да не суть.
Да хрен там. Скорее, чаще админы напротив не пускают те или иные апдейты по причине обнаруженных проблем совместимости и деферрят их до момента когда станет понятно как с этим бороться. Через корпоративный апдейт может быть роздано МЕНЬШЕ (админы могут выбрать что раздать а что нет). Но больше - не может. И приезжает всем примерно одинаково, по вторникам, раз в месяц. Вообще странно было бы корпоративщикам раньше остальных присылать - они не оценят бетатесты на себе ;)
[del]
> Нет, я имел в виду, например, такое:
> # chflags schg /bsd* /bin/* /sbin/* /etc/boot.conf /etc/rc{,.securelevel} ...
Это что-то bsd-специфичное? Если верить гуглю, оно не позволяет изменять файлы. Повторяю еще раз: в случае руткита мы НЕ ДОВЕРЯЕМ ядру. И не доверяем флагам. И не доверяем тому что и как ядро будет энфорсить. Рут - повелитель ОС. Он в принципе может все. Да, можно что-то где-то вроде бы откусить, но у рута всегда в запасе over 9000 интересных фокусов. Исходная логика кто такой рут не предусматривает эффективной защиты от него. По сути он "представитель системы". Ее управляющий. Запрещать ему административные действия в общем случае отдает ФГМ. Но руткит чуть покруче. В хучшем случае он - кусок ядра. Тот кто и определяет кому и что можно, а кому - нельзя. Ядро и применяет те или иные флаги. Если его поломали в памяти (а руткиты наполовину именно об этом) - мы уже не можем доверять флагам. Вообще, в такой ситуации верить можно только носителю который полностью readonly на аппаратном уровне (CD-R еще никто перезаписать не смог :D). А всякие там атрибуты, флаги и свойства энфорсимые ядром - это так, от обычных пользователей. А от качественного руткита, патчащего сисколы в ядре - не спасет совсем. Ядро само себе не разрешит чего-то? Ха-ха.
> Плюс, разумеется, отсылку syslog'а на удалённый хост. Добавляет немного гимора при обновлении,
> но в качестве рубежа обороны вполне себе:
От серьезно настроенного ядерного руткита не обязано спасать, т.к. как минимум теоретически, руткит вполне способен переиначить логику работы ядра. Как пример: хваленый SELinux ядерные сплойты выпинывают в два счета. Что помешает втулить патч для забития на флаги? Лично я бы не стал уповать на этот рубеж применительно к руткитам. На самом деле, задача хорошего, годного руткита в правильном понимании этой технологии - вломиться в память ядра и захватить контроль над сисколами. Утилитки режима пользователя - невинные детские шалости. Их должен детектить и выносить любой вменяемый админ, голыми руками (из инструментов достаточен сишный компилер как максимум). Палится тупо: дерганием сискола и сравнением результата дерга с выводом соотв. утили. Куча программ-охотников на руткиты проверяют это первым делом. Нормальные охотники идут намного дальше и дотошно сравнивают дерги разных сисколов между собой. Вот на этом уже и ядерный руткит может спалиться. Сисколов - много, все захватить и с 100% точностью запатчить так чтобы поведение было везде идентично - довольно сложно. К тому же ядерщики их перетрясают, добавляют новые и прочая. Руткит вполне может и облажаться где-то.
> при отсутствии эксплоита для выхода в ядро, позволит защитить систему
> от прописывания дряни на автозапуск, что уже немало, согласитесь.
Осталось только найти метод который позволит достоверно определить - а вот в данный момент у нас в оперативной памяти нормальная версия кернела или уже похаканая? Если некто получил именно настоящего рута - по исходной задумке этой системы прав, руту можно все. Вплоть до работы с оборудованием и прочая. Поэтому в такой ситуации довольно криво и ненадежно уповать на то что рут был глуп и не смог пропатчить ядро в памяти. Подстановка костылей - это замечательно, но т.к. методов пролезания в ядро настоящему руту доступно целая уйма - я не думаю что их можно все более-менее эффективно законопатить.
> Хм. Что-то в этом есть...
Сэмулировать одну железку другой железкой - всегда забавно.
[skip]
>> выложить несколько k$ или даже десятков k$ чтобы их спереть. Где
>> бы вы их хранили, зная что на них будут всерьез охотиться
>> не слишком глупые хаксоры?
> Этот вопрос сильно зависит от организации работы в фирме, стоимости информации, особенностей
> работы с оной (подписывания в данном случае)...
Мне не слишком интересно как организован процесс в некоей конкретной шараге. Интересно как лично вы бы действовали допустим для лично себя, если бы у вас был допустим сертификат за которым гоняются хакеры, готовые угробить некоторое количество усилий чтобы его умыкнуть. В такой постановке задачи - можете считать что бюрократия равно нулю, а цель - получить максимальную сохранность сертификата при минимизации геморроя.
[del]
> Надеюсь, вы  правильно поймёте, что детально о том, как это было на том
> или ином месте моей работы сделано, я рассказывать не буду? ;)
Меня не интересует как оно было. Меня интересует как действовали бы вы лично от себя.
[..]
>> прогой на си написанной за 5 минут или любым охотником на
>> руткиты из репов даже.
> Или вообще штатными средствами ОС. ;)
А вот их могли и подменить, если это не автоматическая атака тупого бота. Собственно потому то и своей прогой. Хотя в принципе могут и компилер/либы подменить, поэтому лучше все-таки грузиться с заведомо чистой копии ОС, во избежание сюрпризов.
> Но не суть. Я с руткитом на никсах вживую сталкивался всего раз. Он засел
> внутри фряшного jail'а,  и дальше не ушёл. Поимка была элементарной. Но это было ещё
> до массового помешательства на почве виртуализации, сейчас бы пришлось тщательно проверять
> всё подряд.
Малварь под *никс вообще довольно редкая штука.
>> Это весьма лайт версия руткита. И что значит - нет другого способа?
> Это значит, нет возможности вылезти на уровень ядра.
Чисто теоретически такой способ есть всегда. Потому что оперативка сама по себе read-write, а сумеет ли этим воспользоваться злодей или нет - как-то очень уж негарантированный фактор. Например, всего 1 баг в ядре - и вот уже в нем крутится хацкерский код. Учитывая размеры современных кернелов баги там ожидать вполне можно.
> То есть это именно классический руткит: прячем себя и указанные процессы
> от любопытных глаз, и даём доступ по хитрому запросу.
ИМХО что-то такое в юзермоде сколь-нибудь всерьез может насолить разве хукая вызовы ВСЕХ программ путем перехвата вызовов в либы с помощью всяких там LD_PRELOAD (и то, это паливно). В остальных случаях это всего лишь довольно смешной лохоразвод.
> Гм. Не все ОСи — тридцатидвухбитная винда. :) Напрямую к железке обращаться
> как бы никто не даст.
В общем случае руту можно весьма дофига, и надежно откусить реально разве что "фэйковым рутом", типа того который в openvz/lxc недавних. Который для остальной системы - конь в пальто. Защита системы от настоящего рута попахивает маразмом в стиле цифровых подписей у дров на висте и семерке, которые больше для защиты DRM-ограничений от юзера + диктатуры производителям железа чем для защиты собственно OS от хакеров.
>> Если честно - как-то не ожилал настолько несерьезного администрирования от ЭТИХ людей.
> Администрированием занимаются не они, а университет Альберты, Канада.
Тогда, "настолько несерьезного управления проектом". Так больше нравится?
> Хм. Ну, если в OpenSSH тоже начать каждый год по месяцу при
> каждом подключении писать «дайте денег»... ;)
На один сервак - хватит и пары упоминаний в год, пожалуй. У вики серверов несколько сотен, они все-таки круглосуточно и много отгружают всей планете :)
>> хоумпаг. И траффика дают - хоть залейся.
> Первый попавшийся датацентр в Канаде: http://www.datacenterscanada.com/private-racks.html
> 800$ в месяц за отдельную стойку (а ставить ftp.openbsd.org в общую стойку
> вы бы стали?),
Ну нифига себе практика двойных стандартов. Значит ставить сервак администраяемый посторонними - нормально, а в общую стойку - "ну что вы, как можно?!" :))). А если развить идею, тогда наверное и свой датацентр надо. А то как это вообще - ставить свой сервак рядом с какими-то еще козлами в одном датацентре? Да еще и всякий там чужой персонал шляться будет?! Вообще, тем что набито в 42U можно пожалуй весь опенбсд обслужит. Ну договориться тогда с еще несколькими заинтересованными и арендовать на толпу, под кучу связанных проектов, вплоть до того что персональный сервак занедорого. Наверное 800 баксов в месяц на всю ораву можно и найти. В пересчете на 1U получается всего 19 баксов в месяц. Ну, если забыть про относительно скромное питание (на то и 110 вольт) и какой-то жадновато-хилый интернет (берите ).
> плюс 35$ за каждые Мбит/с сверх 10. И ещё за разные опции сдерут.
> Не кислая сумма выходит. И это не считая собственно железа.
А если весь ДЦ скупить - ценник будет еще круче :). А то 42U за раз на 1 не очень большой проект - хорошо живете, а?

>> Это кто так?
> Да вот недавний факап с сертификатами у нидерландского центра сертификации. Несколько дней
> сертификаты крупных компаний не отзываются и не перевыпускаются — это нормально?
> Не говоря о том, сколько времени эти герои вообще молчали в тряпочку.
Нет, разумеется это EPIC FAIL. Кстати а они разве не норвежцы были? Впрочем, от господ с IIS на сайте я как-то и не привык ожидать особо здоровского администрирования и трепетного отношения к безопасности.

Исходное сообщение
"Kernel.org подвергся взлому" Отправлено Аноним, 07-Сен-11 01:59
> Лет ещё десять назад это было хакерство (в исконном смысле этого слова). > А сейчас — just business. ... и в силу этого изменился качественно-количественный состав малвари. В ботнете потеря 1 машины вообще ничего не значит а большой ботнет сколько бы он ни ныкался будет обнаружен и тогда будет создан метод по надежному детекту его руткита и анинсталлу. > Конечно, красивые концепты могут и сейчас появляться, но скорее в виде исключения. Ну вот видимо поэтому мы и не видим красивых руткитов в биосе пачками. Зато всякого крапа писаного на дельфи и даже VB/.net от каких-то ламеров - полно. > Если не верите — почитайте подробные отчёты антивирусных контор Верю, верю. А теперь покажите мне засилье этих, которые биос стирают/патчат с бизнес-целями. Что-то вместо них в основном какая-то примитивная малварь да ботнеты сплошняком. > Те же порнобаннеры — типичный бизнес. Технически — да, разве что некоторые [...] > да хватит, а то совсем уже старым пердуном себя ощущаю. :) Да ну, ничего там особо интересного нет. Мошенники которые поумнее разводят лошков которые поглупее. Бизнес - есть. Техническая составляющая - примитивна как копье неандертальца. В бизнесе важно не это :). > Дык CIH — он из другой эпохи, см. выше. Вот в ту эпоху и писали крутые штуки, чтобы показать умения остальным, затестить концепции или просто поиздеваться над глупыми юзерями. Ряд вирусов был вообще PoC не ориентированными на "боевое" применение и случайно, по технической ошибке начинали свое шествие в диком виде. Это не мешало вставлять даже в такие версии довольно деструктивные функции, чтоб "все понастоящему". > Собирают ботнеты и сдают в аренду, да. Троянов на заказ, AFAIK, пишут > сейчас редко, как правило хватает «массового продукта»; максимум, что делается > — какой-нибудь тот же ZeuS чуть адаптируется под конкретную среду. Вот-вот. При этом оно в техническом плане не такое уж и крутое. Это вам не хитровыгнутый полиморфик где ни 1 байта в новой копии не совпадает, и не хитрый перехватыватель сисколов. Это всего лишь заурядная пакостилка нацеленная на ведение бизнеса :). Зевс может и не так уж плохо сделан. Но в целом разница - как между серийной скрипкой из магазина и скрипкой Страдивари. > Если есть прототип и есть заинтересованные лица — результат будет. Повторюсь, они > уже могут даже успешно работать. Даже на вашем компе. Паранойя, да? ;) На моем? С удовольствием посмотрел бы на это. Только оно рискует попаться, т.к. я иногда не прочь слить образ BIOS и сунуться в него хексэдитором, анализируя что и как там устроено. И даже иногда проверяю отличия образов, чисто из научного интереса "а что там меняется и насколько часто" :). И если честно - я не вижу для руткитов простого и удобного метода перехватить все методы дампа биоса и выпилить себя из оных дампов. Хотя если у меня будут такие подозрения - я в состоянии прочесть/записать SPI-флеху своего биоса брутальными аппаратными методами. > для того, чтобы маскировать присутствие постороннего кода. Ну, замаскировали, допустим. И ... выполнить то его потом как? Парсер ACPI вовсе не собирается запускать это. Bios управление туда тоже передать забывает :) > Ну так контрольную сумму и обновить можно. И никто ругаться не будет, > ибо что нелегального в изменении каких-то там данных в ACPI? В принципе - да. Правда все-равно не понятно как потом туда управление попадет. Кстати сами таблицы крайне кривые и потуги их распарсить, запатчить и собрать заново могут привести к веселым фэйлам. > подтверждения (или опровержения) этих догадок надо зарываться глубже в спеки, На эти спеки производители с удовольствием кладут, при том изучать как именно тот или иной производитель накосячил в той или иной мамке или ноуте - достаточно трудоемко. Впрочем мне не понятно главное: пусть вы даже записали осмысленный код в ACPI таблицу, область DMI или куда там еще. Но вот каким манером код там выполняться начнет? > Я ж специально HDCP упомянул. :) В таком случае предлагается увести хеш у Самсуня. Хеш не надо "уводить" - он известен. Ты можешь посчитать его схешировав пубкей. И пубкей известен (в флеше лежит). А вот умыкнуть парный к нему привкей у самсуня, чтобы убедить данный проц запустить данный код - удачи. Тем более что у производителей эти кеи могут быть их собственными и как бы к "вон той" железке может требоваться другой кей (вшитый производителем). Собственно бывает и так что кей не вшит и можно самому эти тапки одеть, если не жмут. Вот тогда многие бут/руткиты лососнут тунца, если вы цепочку трастов при загрузке сами не прервете. Тем не менее, это не панацея. Ядро может быть запатчено в оперативке после старта, например атакой по сети. От этого подписи уже не спасут. > Ибо это самое уязвимое место. Поскольку запись одноразовая, то > ничего подобного отзыву сертификата в X509 не возможно в принципе. Да, но чтобы ломануть эту схему - надо спереть привкей, пубкей от которого имеет указанный хеш. Ежу понятно что этот привкей берегут не хуже чем рутовый серт CA, поэтому... поэтому я еще ни разу не видел чтобы такой ключ хоть у кого-то сперли :))). Единственным известным мне исключением является разве что фирма Сони, где похожий по смыслу ключ ECDSA был наглейше _вычислен_ нехитрой математикой. Но это Сони сами ступили, не почитав ман на используемый алгоритм. [del] > усложняются, в них появляется всё больше проблем, в том числе связанных > с безопасностью, Как ни странно, это факт. Мне известны случаи поимения защит такого плана через дыры в самой защите, лол :) [del] > предпосылки к тому, что чем дальше, тем проще будет добыть любую > информацию. А уж передать-распространить после добычи — уже сейчас раз плюнуть. Тем не менее, я ни разу еще не видел чтобы у какого-нибудь производителя реально сперли такой привкей (лопухи из Сони которые сами себя обманули не почитав толком описание алгоритма до его реализации и не осознавшие что рандом именно критичен - не считаются). > Учитывая, что dual-boot с регулярным переключением между ОСями — весьма нетипичный > usecase, на него попросту забьют. :) Да даже просто при переустановке оси или установке иной версии оси или другой операционки - неизбежно косяки полезут. Как максимум я знаю про чуть ли не единственный реально применяемый boot-кит, пишущий себя довольно олдскульненько в бутсектор (прямо как в DOSовых-вирусах), патчащий семерку/висту с их подписями, которые в противном случае мешали бы это делать. И то штука довольно редкая и как я уже сказал - половина антивирусов обнаглело и первым делом все по подобным штукам и ловит :) > Вы подходите к задаче написания таких зловредов как математик, вам нужно 100% решение. Я подхожу как реалист :). То-есть, 1) Не должно быть так что 90% - факапы. Иначе про эту штуку уже завтра будет знать даже самый зачуханный антивирус и месяцы геморроя - насмарку. Да еще какойнить козел напишет утилю с одной кнопкой "убить гада" специально для хомяков, а киберкопы встанут на уши. 2) Вариантов дико много. Поэтому избежать пункта 1) почти нереально. 3) Место ограничено. Поэтому архисложная логика на 100500 вариантов просто не упихается туда. 4) На мало-мальски отличных от тепличных условиях (т.е. почти везде) будут разные баги и глюки, даже заметные окружающим или даже нагибающие их. И вы не сможете это оттестить как это работает толком и обезглючить за разумное время. Потому что сложно добыть сотни разных машин и сложно протестировать и обезглючить на них все это в разумные временные рамки. > не заморачивался написанием кроссплатформенных вирусов (чтобы и на винде работали, и > на Linux — хотя бы). Достаточно было одной винды, чтобы «продукт» был «успешным». Ну да. Хотя некоторые руткиты вполне себе встречаются и для nix-like. Чему лишним примером эта новость. Просто встречаются редко. > Когда-то так же думали про сам Linux. ;) Как максимум Торвальдс поначалу считал это баловством и несерьезной системой, но постепенно решил что получается неплохо и что оно может быть полезно другим. Плохо себе представляю как такое же будет применено к руткитам или иному типу malware. Публичный анонс малвари вообще чреват посадкой автора ;). [del] > Как вариант, конечно. Более того, прецеденты уже были (только не помню, у > ЙаМагазинчега, или кого-то аналогичного). Как минимум, в андроид маркете жила была куча всякой малвари. Да и сейчас наверное не все выпилили. Вот это да, бизнес - впаривание дряни лохам оптом и не менее оптовый профит от их развода. А технически все уныло и банально. > Подвиды чипсетов отличаются включением-отключением каких-то фич (не важных для руткитов), Они могут отличаться подключением и типом флешки, работой с ней, тем что там по факту записано, реализацией защиты записи и прочая. Универсальный патчер+флешер вшивающий еще один унивирсальный патчер в ограниченный объем получается какой-то крайне нетривиальной конструкцией. > вроде встроенного видео. Более того, определённая преемственность сохраняется и между > поколениями. Определенная - есть. Это не значит что новореализованный SPI шьется точно так же как fw hub или LPC флешка или тем более параллельная. По этому поводу у вполне легитимных флешеров и то заряд бодрости - надо понять как именно поюзан конкретный чипсет, и выбрать из кучи вариантов верный. Не говоря о том что сакральное знание о том какое IO надо дернуть чтобы write protect отключить - в самом биосе обычно живет (как я понимаю, пункт биоса разрешающий или запрещающий запись оного - за это и отвечает). Кстати если я правильно помню, фирменные флешеры обычно не таскают с собой сакральное знание как это выключить, а, считая спецификой мамки, детектят неуспех записи и просят вырубить в биосе защиту от записи. Биос на своей мамке разумеется знает как это сделать. > Так что всё не так уж страшно... для разработчиков зловредов, > желающих их запускать на аппаратном уровне. Судя по отсутствию массовых зловредин такого типа - соотношение затрат усилий и результатов разработчиков видимо не прельщает. > Сужает или нет, но вы так говорите, как будто пойти на киберпреступление > тяжело для любого человека. :) Это не говоря о кибервойнах между > государствами и корпорациями... Дело не в киберпреступлении а в способности понять как это работает. Пойти на киберпреступление не сложно. Понять как записать пакость в флешку - сложнее. Поэтому то и есть легион скрипткидиссов vs аж целый 1 автор CIH и еще несколько совсем уж концептов :) > Вы оптимист, как я погляжу. :) Всего лишь реалист, способный прочитать даташиты на флешки и чипсеты. > См. выше про dual boot. Та же ОСь, через которую руткит обосновался > в системе, будет загружена и далее в 99,9...% случаев. Оставшиеся доли > процента... кого он волнуют? Так что до обнаружения дойдёт не скоро. Это годится только для персональной адресной атаки на конкретную машину. Такая атака в принципе возможна, но крайне дорогостоящая из-за необходимости большого объема кастом кодинга под конкретно вон ту машину и ее специфику. > Повторюсь, вы идёте академическим путём. Он тоже хороший и иногда нужный. Но > в данном случае он приводит вас к излишне оптимистичным прогнозам. :) Напротив, я всего лишь представляю: а что если бы я это захотел реализовать? Какие проблемы меня бы ожидали на этом пути? Наиболее очевидные я перечислил. > Уже появлялась вирусня, прогрызающая виртуализаторы через те или иные уязвимости. А нельзя пример именно вируса (т.е. самоходного ПО, способного к размножению, работающее в автоматическом режиме) который на автомате пробивает виртуализаторы? Я пока как максимум видел во первых анонсы уязвимостей, тупенькие детекторы виртуализаторов да парочку PoC "можно сломать вон тот гипервизор через дырку". Реально боевых экспонатов - не попадалось. > Зловреды, массово внедряющиеся в BIOS'ы и иже с ними, — просто следующий шаг. Так где они? >> Да блин, грузим линя и дампаем флеху flashrom. Просто, брутально, доступно даже хомяку [...] > Если будет знать, как BIOS перепрошивается, может и защититься, как правило. Защититься от чего? От последовательности действий с железом приводящей к чтению содержимого флешки? Так работа с железом может быть реализована кучей разных способов, отследить и пропатчить именно нужное крайне сложно. Как максимум можно наверное попробовать стать гипервизором и пытаться показывать ОС виртуальный чипсет и флешку, но это вы не о чипсете с спекой на 1000 страниц же?! Такое в пустое место в биосе не влезет :) > Более того, никто не помешает ему вести себя, как описывалось (кажется, вами > же) для Flash-анализатора: делать вид, что всё запатчилось. В упомянутом случае задача была бы сильно облегчена тем фактом что это отдельная программно-аппаратная приблуда. Она не зависит от того какая именно ос там загрузится, какой режим CPU и вообще кто и как дорвался до SPI шины. Важен сугубо результат этих действий. А вот со стороны х86 как это надежно перехватить? Разве что виртуализатор впихнуть? Ну там вылезет гора других нестыковок, вплоть до того что точно сэмулировать именно мою мамку, именно ее чипсет и именно ее флешку - задача нетривиальная. > Места, повторюсь, ему хватит: несколько килобайт для защиты У х86 нет каких-то удобных и штатных средств для "защиты доступа к одному конкретному девайсу". Как абсолютный максимум, я могу представить себе загрузку системы под гипервизором. Но при этом вылезет 100500 особенностей и глюков, и я готов поспорить что виртуализатор, особенно способный мне показать именно мою флеху, на моем чипсете, на правильном интерфейсе, нигде не приврать, но при этом перехватить доступ - очень врядли втиснется в свободное место в биосе. Кстати сидя за компом, успех записи в BIOS несложно проверить и без программатора. > и передачи управления по команде более чем достаточно. Передачи управления кем, куда и в какой момент? [del] > И я про другое говорил: что один прошивальщик разбирается на детали, > отыскивается магическая последовательность А она вроде и не отыскивается - если я правильно помню прошивальщик просто обламывается и просит отключить в BIOS защиту от записи. > действий, а место, где она находится, запоминается. Остальные прошивальщики (для других > материнок) разбирать уже не надо, просто идём в нужное место и > добываем инфу. И, повторюсь, это наихудший из реальных вариантов. Ну, со времен CIH кое-какие средства добавления сложностей вирусам - появились. В частности - какая-никакая защита от записи встречается не то чтобы редко. > Полностью спрятать массовый продукт всё равно не удастся. :) Дла начала его сделать надо. PoC отличается от боевой версии как ракета для фейерверка - от лунного модуля. [del] > или конфиденциальная информация, например. И ещё неизвестно, за что голову будут > хотеть открутить больше. ;) Конфиденциальную информацию можно упереть и без таких извращений и логично потратить ресурсы на эффективность именно этого, раз уж все-равно обнаружат при более-менее массовых диверсиях ;).Все-равно при обнаружении сделают средства автоматизированного обнаружения, обезвреживания и удаления. Если уж на bluepill сделали детектор... ;) > Если же говорить о чём-то нишевом, то там и спецификации будут более > конкретные, а, значит, и возможностей качественно замаскироваться будет больше. Наиболее реалистично - поставить партию компов с предустановленной операционкой и/или bios где то или другое немного пробэкдорены, при этом можно все более-менее подогнать. Но это совершенно заурядное вредительство. И в серьезных местах должны такую возможность рассматривать. Ну и какие-то сильно адресные атаки может быть. И то - проще просто упереть инфо да самовытереться после того как интересная инфа уперта. > дальше понятно. :) Дальше, судя по сабжу - разломают эпплу аппстор и сразу оптом отгрузят всем счастья килограммами. Проще и результативнее. [del] > Как откуда — из сплоита, вестимо. Опять же - софт апдейтится довольно оперативно. Массовых поимений пользователей оперативно обновляемого софта не видно даже под виндой. Почему-то через хром и фокс пользователей почти не ломают, откровенно предпочитая IE, ридер и прочих - у которых обновление тормозное, кривое или отсутствует. >> как правило штопают быстро и массовых поимений как правило не происходит. > Это вы про nix? Да про всех. См. выше. Виндоусапдейт с его циклом выпуска = 1 месяц не считается. За месяц можно все разнести. Почему MS не в курсе - не мои проблемы. > Ну так и доля десктопов пока что мала. А вон ту кучу серверов мы не будем замечать? Судя по тому что на вывешенном SSH лог отрастает на десятки метров в сутки - желающих халявы в природе навалом. А случаи взлома все-таки единичные почему-то. Ну во всяком случае zeus-ы всякие - под виндой :). Заявления о том что миллионы всегда включенных мощных машин на >=100М канале никому не нужны - неубедительны. > Вот, Android пошёл в массы — и проблемы безопасности на нём > уже стоят довольно остро. В нем довольно остро стоит в общем то одна единственная проблема: гугл тянет в свой каталог всякий сомнительный хлам являющийся по большому счету малварью. > Займёт какая-нибудь Убунта хотя бы 10% рынка десктопов-ноутбуков, и дырки > в nix-софте также начнут массово использовать Нерентабельно получается покупать сплойт. Заплатить денег чтобы обнаружить что все уже законопачено - не прикольно, знаешь ли. Это ж не MS который раз в месяц фиксы выкатывает. Там да, если ты заплатил - у тебя гарантированно месяц есть, кроме ну совсем уж вопиющих случаев способных сподвигнуть этих бегемотов на внеплановый апдейт :) > (не забывая, разумеется, и про социальную инженерию). С которой опять же все не так удобно. > Один только XDG со всеми предлагаемыми им прибабахами и друзьями по имени Кеды > и Гном уже подготовил платформу для злоупотреблений. Теоретически, найти тот или иной баг можно везде кроме разве что hello world. Практически, есть еще вопрос соотношения затрат сил к результативности мероприятия. Оттуда и вытекает то что наблюдяется по факту на рынке заразы. >> Единственным исключением является винда, где апдейты по расписанию, > Справедливости ради следует сказать, что в особых случаях обновления в винде приплывают > моментально. Справедливости ради, я видел такое лишь несколько раз в жизни. А ддосы и спамы с виндовых ботнетов почему-то валятся ежедневно, поэтому налицо некоторая нестыковка. Секрет в том что хакерам глубоко наплевать на удобные таймлайны лощеных манагеров и их корпоративные проблемы. Внеплановый апдейт обычно делается под давлением недовольных кастомеров, в том числе и корпоративных, когда они устают массово вытряхивать малварь. > Плюс для корпоративных пользователей они тоже приходят немного пораньше. > Ну да не суть. Да хрен там. Скорее, чаще админы напротив не пускают те или иные апдейты по причине обнаруженных проблем совместимости и деферрят их до момента когда станет понятно как с этим бороться. Через корпоративный апдейт может быть роздано МЕНЬШЕ (админы могут выбрать что раздать а что нет). Но больше - не может. И приезжает всем примерно одинаково, по вторникам, раз в месяц. Вообще странно было бы корпоративщикам раньше остальных присылать - они не оценят бетатесты на себе ;) [del] > Нет, я имел в виду, например, такое: > # chflags schg /bsd /bin/* /sbin/* /etc/boot.conf /etc/rc{,.securelevel} ... Это что-то bsd-специфичное? Если верить гуглю, оно не позволяет изменять файлы. Повторяю еще раз: в случае руткита мы НЕ ДОВЕРЯЕМ ядру. И не доверяем флагам. И не доверяем тому что и как ядро будет энфорсить. Рут - повелитель ОС. Он в принципе может все. Да, можно что-то где-то вроде бы откусить, но у рута всегда в запасе over 9000 интересных фокусов. Исходная логика кто такой рут не предусматривает эффективной защиты от него. По сути он "представитель системы". Ее управляющий. Запрещать ему административные действия в общем случае отдает ФГМ. Но руткит чуть покруче. В хучшем случае он - кусок ядра. Тот кто и определяет кому и что можно, а кому - нельзя. Ядро и применяет те или иные флаги. Если его поломали в памяти (а руткиты наполовину именно об этом) - мы уже не можем доверять флагам. Вообще, в такой ситуации верить можно только носителю который полностью readonly на аппаратном уровне (CD-R еще никто перезаписать не смог :D). А всякие там атрибуты, флаги и свойства энфорсимые ядром - это так, от обычных пользователей. А от качественного руткита, патчащего сисколы в ядре - не спасет совсем. Ядро само себе не разрешит чего-то? Ха-ха. > Плюс, разумеется, отсылку syslog'а на удалённый хост. Добавляет немного гимора при обновлении, > но в качестве рубежа обороны вполне себе: От серьезно настроенного ядерного руткита не обязано спасать, т.к. как минимум теоретически, руткит вполне способен переиначить логику работы ядра. Как пример: хваленый SELinux ядерные сплойты выпинывают в два счета. Что помешает втулить патч для забития на флаги? Лично я бы не стал уповать на этот рубеж применительно к руткитам. На самом деле, задача хорошего, годного руткита в правильном понимании этой технологии - вломиться в память ядра и захватить контроль над сисколами. Утилитки режима пользователя - невинные детские шалости. Их должен детектить и выносить любой вменяемый админ, голыми руками (из инструментов достаточен сишный компилер как максимум). Палится тупо: дерганием сискола и сравнением результата дерга с выводом соотв. утили. Куча программ-охотников на руткиты проверяют это первым делом. Нормальные охотники идут намного дальше и дотошно сравнивают дерги разных сисколов между собой. Вот на этом уже и ядерный руткит может спалиться. Сисколов - много, все захватить и с 100% точностью запатчить так чтобы поведение было везде идентично - довольно сложно. К тому же ядерщики их перетрясают, добавляют новые и прочая. Руткит вполне может и облажаться где-то. > при отсутствии эксплоита для выхода в ядро, позволит защитить систему > от прописывания дряни на автозапуск, что уже немало, согласитесь. Осталось только найти метод который позволит достоверно определить - а вот в данный момент у нас в оперативной памяти нормальная версия кернела или уже похаканая? Если некто получил именно настоящего рута - по исходной задумке этой системы прав, руту можно все. Вплоть до работы с оборудованием и прочая. Поэтому в такой ситуации довольно криво и ненадежно уповать на то что рут был глуп и не смог пропатчить ядро в памяти. Подстановка костылей - это замечательно, но т.к. методов пролезания в ядро настоящему руту доступно целая уйма - я не думаю что их можно все более-менее эффективно законопатить. > Хм. Что-то в этом есть... Сэмулировать одну железку другой железкой - всегда забавно. [skip] >> выложить несколько k$ или даже десятков k$ чтобы их спереть. Где >> бы вы их хранили, зная что на них будут всерьез охотиться >> не слишком глупые хаксоры? > Этот вопрос сильно зависит от организации работы в фирме, стоимости информации, особенностей > работы с оной (подписывания в данном случае)... Мне не слишком интересно как организован процесс в некоей конкретной шараге. Интересно как лично вы бы действовали допустим для лично себя, если бы у вас был допустим сертификат за которым гоняются хакеры, готовые угробить некоторое количество усилий чтобы его умыкнуть. В такой постановке задачи - можете считать что бюрократия равно нулю, а цель - получить максимальную сохранность сертификата при минимизации геморроя. [del] > Надеюсь, вы правильно поймёте, что детально о том, как это было на том > или ином месте моей работы сделано, я рассказывать не буду? ;) Меня не интересует как оно было. Меня интересует как действовали бы вы лично от себя. [..] >> прогой на си написанной за 5 минут или любым охотником на >> руткиты из репов даже. > Или вообще штатными средствами ОС. ;) А вот их могли и подменить, если это не автоматическая атака тупого бота. Собственно потому то и своей прогой. Хотя в принципе могут и компилер/либы подменить, поэтому лучше все-таки грузиться с заведомо чистой копии ОС, во избежание сюрпризов. > Но не суть. Я с руткитом на никсах вживую сталкивался всего раз. Он засел > внутри фряшного jail'а, и дальше не ушёл. Поимка была элементарной. Но это было ещё > до массового помешательства на почве виртуализации, сейчас бы пришлось тщательно проверять > всё подряд. Малварь под *никс вообще довольно редкая штука. >> Это весьма лайт версия руткита. И что значит - нет другого способа? > Это значит, нет возможности вылезти на уровень ядра. Чисто теоретически такой способ есть всегда. Потому что оперативка сама по себе read-write, а сумеет ли этим воспользоваться злодей или нет - как-то очень уж негарантированный фактор. Например, всего 1 баг в ядре - и вот уже в нем крутится хацкерский код. Учитывая размеры современных кернелов баги там ожидать вполне можно. > То есть это именно классический руткит: прячем себя и указанные процессы > от любопытных глаз, и даём доступ по хитрому запросу. ИМХО что-то такое в юзермоде сколь-нибудь всерьез может насолить разве хукая вызовы ВСЕХ программ путем перехвата вызовов в либы с помощью всяких там LD_PRELOAD (и то, это паливно). В остальных случаях это всего лишь довольно смешной лохоразвод. > Гм. Не все ОСи — тридцатидвухбитная винда. :) Напрямую к железке обращаться > как бы никто не даст. В общем случае руту можно весьма дофига, и надежно откусить реально разве что "фэйковым рутом", типа того который в openvz/lxc недавних. Который для остальной системы - конь в пальто. Защита системы от настоящего рута попахивает маразмом в стиле цифровых подписей у дров на висте и семерке, которые больше для защиты DRM-ограничений от юзера + диктатуры производителям железа чем для защиты собственно OS от хакеров. >> Если честно - как-то не ожилал настолько несерьезного администрирования от ЭТИХ людей. > Администрированием занимаются не они, а университет Альберты, Канада. Тогда, "настолько несерьезного управления проектом". Так больше нравится? > Хм. Ну, если в OpenSSH тоже начать каждый год по месяцу при > каждом подключении писать «дайте денег»... ;) На один сервак - хватит и пары упоминаний в год, пожалуй. У вики серверов несколько сотен, они все-таки круглосуточно и много отгружают всей планете :) >> хоумпаг. И траффика дают - хоть залейся. > Первый попавшийся датацентр в Канаде: http://www.datacenterscanada.com/private-racks.html > 800$ в месяц за отдельную стойку (а ставить ftp.openbsd.org в общую стойку > вы бы стали?), Ну нифига себе практика двойных стандартов. Значит ставить сервак администраяемый посторонними - нормально, а в общую стойку - "ну что вы, как можно?!" :))). А если развить идею, тогда наверное и свой датацентр надо. А то как это вообще - ставить свой сервак рядом с какими-то еще козлами в одном датацентре? Да еще и всякий там чужой персонал шляться будет?! Вообще, тем что набито в 42U можно пожалуй весь опенбсд обслужит. Ну договориться тогда с еще несколькими заинтересованными и арендовать на толпу, под кучу связанных проектов, вплоть до того что персональный сервак занедорого. Наверное 800 баксов в месяц на всю ораву можно и найти. В пересчете на 1U получается всего 19 баксов в месяц. Ну, если забыть про относительно скромное питание (на то и 110 вольт) и какой-то жадновато-хилый интернет (берите ). > плюс 35$ за каждые Мбит/с сверх 10. И ещё за разные опции сдерут. > Не кислая сумма выходит. И это не считая собственно железа. А если весь ДЦ скупить - ценник будет еще круче :). А то 42U за раз на 1 не очень большой проект - хорошо живете, а? >> Это кто так? > Да вот недавний факап с сертификатами у нидерландского центра сертификации. Несколько дней > сертификаты крупных компаний не отзываются и не перевыпускаются — это нормально? > Не говоря о том, сколько времени эти герои вообще молчали в тряпочку. Нет, разумеется это EPIC FAIL. Кстати а они разве не норвежцы были? Впрочем, от господ с IIS на сайте я как-то и не привык ожидать особо здоровского администрирования и трепетного отношения к безопасности.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру