Комментарии 95
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
де факто стандарт компьютерной безопасности, вот полный текст
www.dynamoo.com/orange/fulltext.htm
www.dynamoo.com/orange/fulltext.htm
И, все таки гугл это действительно полезная вещь. Думаю речь об этом.
Вы не смотрели фильм «Хакеры»?
класс А оранжевой книги — не панацея. хотя бы потому что он абстрагируется от оборудования и связанных с ним уязвимостей.
НЛО прилетело и опубликовало эту надпись здесь
Напишем вирус на Perl, Shell, C — на Линуксе выбор средств программирования номного шире, а вот в винде Перл стоит не всюду.
Дадим этому вирусу права на запуск (вручную), запустим его (тоже вручную)… а вот только в винде он может самостоятельно запуститься…
Скажем пользователю, что для просмотра роликов он должен набрать perl super-mega-video в консоли ;)
Нет, вначале надо сказать в какую папку скопировать этот скрипт, объяснить, что такое консоль и где ее найти. Если это сделать в корень домашней папки, тогда запустить скрипт можно будет с помощью вашей команды, но никак ни по другому — в противном случае вам придется ему объяснять, как в консоли перейти в другую папку.
И чтобы этот вирус смог распространяться, нужно к каждому его экземпляру прилагать инструкцию по запуску. Вот такие они — вирусы под Линукс!
И чтобы этот вирус смог распространяться, нужно к каждому его экземпляру прилагать инструкцию по запуску. Вот такие они — вирусы под Линукс!
Мэйнстримовых — не тысячи. Максимум сотни. При том разных типов — максимум десятки.
НЛО прилетело и опубликовало эту надпись здесь
На шестой, кажется. И хорошо если у юзера включено обновление безопасности. Но ведь не у всех же и не под всеми дистрибутивами.
Притом в Gentoo патч применили толко на десятый день после выпуска :-)
15-го апреля стало известно о уязвимости. в этот же день создан тикет в багзилле. через 2 часа уже был первый патч всё там же. через два дня размаскировали ебилд. сегодня — 20-е апреля. где вы тут 10 дней насчитали?
8 апреля, а не 15го.
прошу прощения, вы правы. 8-е апреля.
Открытым остался вопрос — как заставить пользователя запустить у себя на компьютере эту программу :).
Вот вам и разница.
Вот вам и разница.
НЛО прилетело и опубликовало эту надпись здесь
Возможно. Хотя это по-прежнему затруднительно чисто технически. Я больше о другом — нет таких глупостей, как, например, авторан с флешек. Который даже «продвинутым пользователям» венды надёжно запретить более чем нетривиально :(.
НЛО прилетело и опубликовало эту надпись здесь
Гм… Ну, давайте в сторону вендов опять посмотрим. Там такое есть? Есть десятки тысяч пользователей, установивших себе заражённый изначально дистрибутив, взятый неизвестно откуда? Я подозреваю, что такое бывает, поскольку сделать это не сложно, но разве это реально массовое явление на которое могут сделать ставку ботнетописатели?
НЛО прилетело и опубликовало эту надпись здесь
>В большинстве случаев вирус идет вместе с комплектом программа + кряк.
Ну, эт понятно
>Говносборки очень любят и, хоть и редко, но попадаются дистрибутивы с «закладкой».
Всё-таки редко?
>Сейчас происходит ажиотаж с промежуточными сборками Windows 7, которые предоставляются неизвестно кем и как.
Ну, это особоспециальные кульхацкеры с неизвестными сборками развлекаются. Страшно далеки они от народа. :)
Ну, эт понятно
>Говносборки очень любят и, хоть и редко, но попадаются дистрибутивы с «закладкой».
Всё-таки редко?
>Сейчас происходит ажиотаж с промежуточными сборками Windows 7, которые предоставляются неизвестно кем и как.
Ну, это особоспециальные кульхацкеры с неизвестными сборками развлекаются. Страшно далеки они от народа. :)
Основа для ботнетов — т.н «кодеки», типа поставь себе чудо-кодек и фильм (как правило порно) заиграет прям в том же окне. Пример приводить не надо? Фильм конечно может и заиграть с халявного порно-туба, но лоадер (а что потом лоадер поставит, дело владельца лоадера, зависит от цены того что надо ставить) поставится 100%
На этом и собирается миллионные ботнеты.
На этом и собирается миллионные ботнеты.
Концепция доверенных репозитариев УЖЕ есть и работает.
Доверенные репы в например убунте давно есть и «недоверенный» туда добавить может только достаточно продвинутый юзер. Потом, были как-то подобные «учения», когда в опенсорный коммитился кусок с вредоносным кодом, это выяснилось уже через пару часов.
С другой стороны, нельзя не вспомнить про дыру в openssh в дебиане размером с КОСМОС, которую нашли только через полтора что-ли года после ее появления :)
С другой стороны, нельзя не вспомнить про дыру в openssh в дебиане размером с КОСМОС, которую нашли только через полтора что-ли года после ее появления :)
Например в gnome, кстати, autorun есть :-)
Но он пока еще спрашивает «вы точно хотите запустить программу с флэшки?»
Но он пока еще спрашивает «вы точно хотите запустить программу с флэшки?»
а как ботнет под макинтошами появился? Люди сами вводили пароль администратора установщику трояна. Так что с этим проблем не будет
Доля правды есть в его словах, но… Вы же не станете спорить, что по *nix работают по большей части серверы. И мне лично кажется, что будь эта ось такой же дырявой как винда, очень и очень все было бы печально, ибо одно дело ботнет на пачке пользовательских машин, и совсем другое — на пачке серверов ;)
Любая уязвима. Только в той же Gentoo багованные версии udev были убраны из портежа в день публикации новости от уязвимости.
А сколько будет в такой ситуации раскачиваться MS?
А сколько будет в такой ситуации раскачиваться MS?
НЛО прилетело и опубликовало эту надпись здесь
В день публикации уязвимости? Вы оптимист :-)
Касательно последней строки — имхо одну из ключевых ролей в уязвимости ОС играет человек, её использующий. При прочих равных — при наличии за «рулём» опытного пользователя шансы поюзать уязвимость будут значительно ниже.
А в случае с unix-like ОС, я вообще очень смутно себе представляю применение локальных уязвимостей — софт большинство ставят из репозиториев. Можно конечно предположить, что «говнецо» подложат именно туда, но кмк, вероятность этого мала.
А в случае с unix-like ОС, я вообще очень смутно себе представляю применение локальных уязвимостей — софт большинство ставят из репозиториев. Можно конечно предположить, что «говнецо» подложат именно туда, но кмк, вероятность этого мала.
НЛО прилетело и опубликовало эту надпись здесь
Я тоже сначала обновился — а потом увидел новость о дыре :)
А вообще, наличие дыр, количество дыр, их опасность — всё фигня по сравнению со скоростью их исправления. Если найдут 10 дыр, о которых объявят вместе с прилагающимся обновлением и если найдут одну, исправления для которой не будет несколько месяцев — что хуже?
А вообще, наличие дыр, количество дыр, их опасность — всё фигня по сравнению со скоростью их исправления. Если найдут 10 дыр, о которых объявят вместе с прилагающимся обновлением и если найдут одну, исправления для которой не будет несколько месяцев — что хуже?
В udev 141-1 дыра уже залатана?
Для этого нужно еще получить доступ к исполнению бинарников
На практике мы видим что из 15-20к ботнета с которого на нас недавно велись атаки — не менее 20% судя по user-agent'am браузеров — Linux системы, хотя тут сложно сказать точно — скорее уязвимости браузеров. Причём судя по всему user-agent'ы эти не вставлены нарочно, а это именно уязвимые версии браузеров, и если с IE 6-7 на Windows всё давно понятно, то видеть такое довольно внушительное число заражённых компьютеров на довольно устойчивой к таким вещам ОС — как минимум заставляет задуматься. То ли ещё будет.
А не могли бы вы статистику опубликовать? А то получается, что на долю linux приходится уже 20%, если принять уязвимость linux-версий браузеров равной уязвимости win-версий. Как-то не верится.
Нашёл один чудом спасшийся лог размером 2.3 Гб (это примерно 15 минут атак). Выбрал основные попавшиеся на глаза user-agent'ы.
Вот статистика (useragent — общее кол-во запросов):
==================
Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en] — 1779347
Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1;) — 1740587
Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.8.1.6) Gecko/2007072300 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etc
h1+lenny1) — 1503310
Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko) — 882791
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) — 1399225
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022;.
NET CLR 3.5.30729; .NET CLR 3.0.30618) — 869930
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.4.154.25 Safari/525.
19 — 849723
Вот статистика (useragent — общее кол-во запросов):
==================
Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en] — 1779347
Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1;) — 1740587
Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.8.1.6) Gecko/2007072300 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etc
h1+lenny1) — 1503310
Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko) — 882791
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0) — 1399225
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022;.
NET CLR 3.5.30729; .NET CLR 3.0.30618) — 869930
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.4.154.25 Safari/525.
19 — 849723
Хм. Моих знаний не хватает, чтобы это правильно интерпретировать…
К невероятной доле в 20% добавились ещё и Konqueror/Iceweasel… Хотя по логике вещей должны были быть линуксовые версии Firefox и Opera… Есть кто в теме, как это вообще объяснить-то?
К невероятной доле в 20% добавились ещё и Konqueror/Iceweasel… Хотя по логике вещей должны были быть линуксовые версии Firefox и Opera… Есть кто в теме, как это вообще объяснить-то?
Я не профессионал в этой области, но истинность тоже вызывает серьёзные подозрения. А именно метки о:
1) Принадлежности клиента к 2.6.15-FC5(Fedora Core 5, насколько я понял?). Я сто лет не сталкивался с Федорой, но вспоминая продукцию RedHat`a, они в гуях держали утилитку для апдейта системы, которая трудолюбиво сообщала про обновления(было это еще в RH8, если я не ошибаюсь — не думаю, что они отказались от столь полезной вещи). В таких условиях крайне маловероятно, что 5й релиз не превратился во что-нибудь посвежее под влиянием апдейтов(текущий-то вроде как — FC11?).
2) Конкретного билда IceWeasel(оно же Firefox в Debian`овском исполнении), причем версии 2.0.x, когда в стейбле уже давно лежит экземпляр 3й ветки.
В общем, как мне кажется — где-то собрали «срез» user-agent`ов и просто бомбили данными, взятыми из него.
1) Принадлежности клиента к 2.6.15-FC5(Fedora Core 5, насколько я понял?). Я сто лет не сталкивался с Федорой, но вспоминая продукцию RedHat`a, они в гуях держали утилитку для апдейта системы, которая трудолюбиво сообщала про обновления(было это еще в RH8, если я не ошибаюсь — не думаю, что они отказались от столь полезной вещи). В таких условиях крайне маловероятно, что 5й релиз не превратился во что-нибудь посвежее под влиянием апдейтов(текущий-то вроде как — FC11?).
2) Конкретного билда IceWeasel(оно же Firefox в Debian`овском исполнении), причем версии 2.0.x, когда в стейбле уже давно лежит экземпляр 3й ветки.
В общем, как мне кажется — где-то собрали «срез» user-agent`ов и просто бомбили данными, взятыми из него.
А может быть часть ддоса была организована путём внедрения ссылки (картинки) на каком-то популяром ресурсе?
Все дело в том, что прикинуться можно любым браузером и любой осью, видимо это ботнет успешно и сделал.
Занятно. Хотя, возможно, это был какой-нибудь банальный iframe на вмеру популярном сайте.
Нет, не iframe. У нас по статистике доходило до 15-25к запросов в секунду, причём если отсеивать по IP то видно было что с каждого IP поступает стабильно 2-3 запроса в секунду. Да и не видел я таких популярных сайтов с iframe — забанить по рефереру можно вообще без проблем.
Статистику к сожалению опубликовать скорее всего не смогу — логи мы не сохраняли, не видели в этом большой надобности учитывая что они и весили не мало. Если что-то найду сегодня на эту тему — отпишусь.
Статистику к сожалению опубликовать скорее всего не смогу — логи мы не сохраняли, не видели в этом большой надобности учитывая что они и весили не мало. Если что-то найду сегодня на эту тему — отпишусь.
НЛО прилетело и опубликовало эту надпись здесь
А как правило для /dev/ufo попало в систему?
У меня в системе на rules.d не стоят права 777, то есть от ограниченного юзера написать там Вы ничего не сможете.
Как Вы собираетесь испольнить произвольный код, используя эту уязвимость?
У меня в системе на rules.d не стоят права 777, то есть от ограниченного юзера написать там Вы ничего не сможете.
Как Вы собираетесь испольнить произвольный код, используя эту уязвимость?
читайте внимательно.
не нужно прописывать ничего в rules.d — всё уже прописано за нас с вами.
не нужно прописывать ничего в rules.d — всё уже прописано за нас с вами.
root@kms0042 /home/zerkms # cat /etc/udev/rules.d/95-udev-late.rules
# do not edit this file, it will be overwritten on update
# run a command on remove events
ACTION==«remove», ENV{REMOVE_CMD}!="", RUN+="$env{REMOVE_CMD}"
# event to be catched by udevmonitor
RUN+=«socket:@/org/kernel/udev/monitor»
# do not edit this file, it will be overwritten on update
# run a command on remove events
ACTION==«remove», ENV{REMOVE_CMD}!="", RUN+="$env{REMOVE_CMD}"
# event to be catched by udevmonitor
RUN+=«socket:@/org/kernel/udev/monitor»
Так вопрос не о том, что прописано, а как сделать хоть что-то, используя эту уязвимость.
Вообще в оригинальном отчете об уязвимости было сказано о возможности создавать устройства с правами rw-rw-rw-. Я просто не стал разбираться, как это делать, и пошел более кротким путём, найдя уязвимое правило, наличие которого проверил на Debian, Ubuntu и Gentoo :-)
жестка, работает в убунту
Уязвимости есть, их фиксят. Это нормально. Хотя опять же на продакш это обновление попадет не раньше чем через месяц, а иногда полгода-год. Но продакшн у всех разный.
Да, уязвимости есть везде.
И пока практике оказывается что windows без антивируса есть огромный риск потери личных данных, а под MacOS и в Linux вирус подхватить практически нереально, я предпочту альтернативную систему, самой наипопулярной.
И пока практике оказывается что windows без антивируса есть огромный риск потери личных данных, а под MacOS и в Linux вирус подхватить практически нереально, я предпочту альтернативную систему, самой наипопулярной.
когда на прошлой неделе я читал новость об этой уязвимости на лоре — попивая утренний чаек — оживился update applet и сказал о том, что как раз обновление udev вышло, так что не все так страшно…
НЛО прилетело и опубликовало эту надпись здесь
Локальный злоумышленник может получить привилегии суперпользователя…
Ну, ка бы не смертельно.
А удалённо оно работает?
Кстати, udev в Fedora обновился с тех пор.
Ну, ка бы не смертельно.
А удалённо оно работает?
Кстати, udev в Fedora обновился с тех пор.
Занимательно, попробуем-с :)
У студента-недоучки занижена самооценка?
В ответ я решил написать этот топик, демонстрирующий, что создать рабочий эксплойт для опубликованной уязвимости нередко может даже фриланствующий студент-недоучка, потратив пару-тройку часов воскресным вечером.
У студента-недоучки занижена самооценка?
В Mandriva не работает. udev установлен 19'го Марта, то есть уязвим. Тем не менее, такого правила (с «ACTION==«remove», ENV{REMOVE_CMD}!="", RUN+="$env{REMOVE_CMD}"») или аналогичного там нет, поэтому устройство создаётся (а толку?), но произвольный код выполнить не получится.
скучнейший отстой, продолжайте в том же духе!
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Скучный эксплойт для одной широкой дыры