Безопасность Linux

Противодействие хакерским угрозам

Модераторы: Olej, adminn, vikos

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Безопасность Linux

Непрочитанное сообщение Olej » 23 фев 2016, 15:22

Сюда я предполагаю (и другим предлагаю) сбрасывать факты, вызывающие сомнения в безопасности использования Linux-систем.
Удивительно даже, что такую тему не подняли за 10 лет существования форума.

Также обращайтесь сюда с возникающими сомнениями в безопасности.
Мы вместе пообсуждаем и попробуем их развеять.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Olej » 23 фев 2016, 15:29

«Доктор Веб»: обнаружен Linux.Encoder.2
19 ноября 2015 года

Появление опасного шифровальщика для ОС Linux, получившего наименование Linux.Encoder.1, всколыхнуло мировую общественность — оказалось, что это семейство операционных систем, всегда считавшееся устойчивым к воздействию вредоносных программ, также подвержено риску заражения энкодерами. Тем не менее, данный троянец оказался не единственным — в последнее время стало известно как минимум еще о двух представителях этой группы шифровальщиков. Специалисты компании «Доктор Веб» готовы поделиться результатами исследования одного из них, получившего наименование Linux.Encoder.2.

Несмотря на то, что данная вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, исторически она появилась раньше, однако в течение длительного времени не попадала в поле зрения аналитиков антивирусных компаний. Более того: недавно одна из компаний – разработчиков антивирусного ПО опубликовала исследование другого троянца, названного ею Linux.Encoder.0, — предположительно, он является самым первым в этой группе шифровальщиков, Linux.Encoder.2 начал распространяться чуть позже, в сентябре-октябре 2015 года, а уже затем появился Linux.Encoder.1.

Среди основных отличий этой модификации шифровальщика от Linux.Encoder.1 необходимо отметить то, что она использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1), шифрование осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Также в Linux.Encoder.2 имеется ряд других существенных отличий от альтернативной реализации этого энкодера.
Не смотря на большой объём статьи (см. оригинал), в ней нигде не называется вредоносное ПО вирусом (хотя, судя по интонациям - очень хочется :lol: )
Судя по всему, это троян, срипт, который:
- нужно запустить, чтобы он активировался
- запустить его нужно как root
Это же насколько нужно быть самоубийцей в Linux, чтобы запустить от root скрипт, который непонятного происхождение и неизвестно что делает!? :twisted:

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Olej » 23 фев 2016, 15:39

Olej писал(а): Это же насколько нужно быть самоубийцей в Linux, чтобы запустить от root скрипт, который непонятного происхождение и неизвестно что делает!? :twisted:
Вот сказал - и сам себе удивился: а насколько??? :-o

Товарищи вирусописатели - хорошая идея:
- вы просто обязаны ;-) научиться собирать инсталляционные пакеты .rpm & .deb
- и заворачивать ваши любимые трояны в .rpm & .deb пакеты
- пакетные инсталляторы (apt-get, aptitude, rpm, yum, dnf) - это единственные программы, которые пользователь Linux запускает под root, и не задумываясь вводит пароль на sudo... :oops:

P.S. Товарищи вирусописатели! Не могли бы вы подсказать кассу, в которую я мог обратиться за материальным вознаграждением за оказанную помощь моей гениальной догадкой?
Изображение

Nicoz
Интересующийся
Сообщения: 3
Зарегистрирован: 31 мар 2016, 06:21
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Nicoz » 31 мар 2016, 06:43

Пожалуйста, ответьте на такие вопросы:

1. Возможно ли исполнение вредоносного кода с правами непривилегированного пользователя после посещения зараженной веб-страницы, который (код) зашифрует (украдет, удалит и т.д.) личные файлы этого пользователя?
Если это возможно, то какая разница - получит вредонос права root или нет?

2. Возможна ли такая ситуация: злоумышленник проник на компьютер с установленной системой Linux и запустил от имени простого непривилегированного пользователя кейлоггер, который (кейлоггер) затем перехватит все пароли и перешлет злоумышленнику?


PS
algri14
непривеИлиЕгеИрованного
Спасибо.
Последний раз редактировалось Nicoz 31 мар 2016, 17:36, всего редактировалось 2 раза.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Olej » 31 мар 2016, 11:45

Nicoz писал(а):Пожалуйста, ответьте на такие вопросы:
Ответить точно на все вопросы о безопасности вам не сможет никто и никогда.
Потому что каждая опасность должна рассматриваться в очень конкретных условиях и формулировках.
Потому и вскрываются время от времени дыры в безопасности, пишутся баг-репорты и принимаются меры к их окрытию.

Но 1-е общее правило будет выглядеть примерно так: безопасность Linux в сравнении со всеми системами семейства Windows, с точки зрения вирусов, троянов и другого вредоносного ПО - устойчивее раз в ... 10e6 :lol:

Что и подтверждается прекрасно числом обнаруженных эксцессов (вирусов, троянов, червей etc.)
Nicoz писал(а): 1. Возможно ли исполнение вредоносного кода с правами непривелигерованного пользователя после посещения зараженной веб-страницы, который (код) зашифрует (украдет, удалит и т.д.) личные файлы этого пользователя?
Если это возможно, то какая разница - получит вредонос права root или нет?
Совсем не обязательно такое возможно. Потому как кроме защищённости root-ом (про что все слышали и повторяют ;-) ) в Linux существуют гораздо боле тонкие в настройке системы регламента безопасности (например SELINUX), которы позволяю разрешать "поштучно" каждую возможность для пользователя, или даже запрещать так же "поштучно" отдельные действия и для root.

Не очень понятно, как это запустится код, полученный из Интернет, каким способом? ... за исключением того, если вы его сами запустите шаловливыми ручками. :-o
Так руки то нужно сдерживать! ;-)
Nicoz писал(а): 2. Возможна ли такая ситуация: злоумышленник проник на компьютер с установленной системой Linux и запустил от имени простого непривелигерованного пользователя кейлоггер, который (кейлоггер) затем перехватит все пароли и перешлет злоумышленнику?
А вы сделайте такой "кейлоггер"...
А потом мне покажете :lol:
Потому как для этого вам потребуется доступ к устройствам в /dev, коорый вам без привилегий никто не даст.

Но более того, что значит "все" пароли?
Рядовой пользователь вообще не должен знать пароль root ... а знание персонального пароля какого-то лузера Васи Пупкина для злоумышленника - это воистину большое приобретение!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Olej » 31 мар 2016, 11:53

Nicoz писал(а):который (код) зашифрует (украдет, удалит и т.д.) личные файлы этого пользователя?
Вообще то, уровень защищённости, вплоть до параноидального - определяется настройками системы безопасности, и может гулять на несколько порядков (если считать по вероятности взлома) только из-за настроек.

А вы что, работаете в резидентуре ФСБ или АНБ? ... что вас беспокоит параноидальный уровень обеспечения безопасности.
А ваши документы обладают такой вот степенью бесценности? :lol:

Вот здесь недалеко есть тема astra linux:
Сертификат соответствия: Минобороны России, ФСТЭК России, ФСБ России.
Релизы операционной системы Astra Linux Special Edition
Инновационная операционная система класса Linux, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».
Не желаете ли в подобном качестве использовать Windows 10? :twisted:

algri14
Активист
Сообщения: 16
Зарегистрирован: 07 мар 2016, 17:48
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение algri14 » 31 мар 2016, 14:34

Nicoz писал(а):Пожалуйста, ответьте на такие вопросы:
1. Возможно ли исполнение вредоносного кода с правами непривеИлиЕгеИрованного пользователя после посещения зараженной веб-страницы, который (код) зашифрует (украдет, удалит и т.д.) личные файлы этого пользователя?
Если это возможно, то какая разница - получит вредонос права root или нет?
2. Возможна ли такая ситуация: злоумышленник проник на компьютер с установленной системой Linux и запустил от имени простого непривелигерованного пользователя кейлоггер, который (кейлоггер) затем перехватит все пароли и перешлет злоумышленнику?
Постараюсь объяснить на языке простого чайника пользователя :-)
Nicoz, если сравнивать с виндой, то при посещении сайтов на машине Linux, Вы просто так ничего не подцепите и не запустите в систему, здесь "два клика" по ссылке/скрипту/бинарнику не работают. Это в винде, а уж тем паче если под админом работать — "два клика" и вредоносный код запустится без всякого предупреждения. В линуксе в таком случае у Вас "выскочит" окно-предупреждение от системы и спросит права root(пароль всё таки должен быть не 12345).
Права непривилегированного пользователя на выполнение каких-либо изменений(или доступа куда-либо) система не примет.
И даже если Вы(сдуру :lol: ) дадите разрешение(ведь на десктопе пользователь знает пароль root), то не всякий вредонос сможет запуститься конкретно в вашей системе, ибо дистрибутивов очень много и бинарник должен быть скомпилирован именно под Вашу систему.
На второй вопрос ответ тот же.
Вывод:
1. Админ для десктопа — это не просто пользователь, знающий пароль root, а человек наделённый знаниями, понимающий не только "букварь" линукса, но гораздо более
2. Никто не запрещает Вам эксперименты на домашнем ПК, но перед этим крепко подумайте стоит ли это делать, может быть сначала почитать умную книжку, а уж потом пускаться во все тяжкие :lol:

Nicoz
Интересующийся
Сообщения: 3
Зарегистрирован: 31 мар 2016, 06:21
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Nicoz » 31 мар 2016, 15:48

Не очень понятно, как это запустится код, полученный из Интернет, каким способом? ... за исключением того, если вы его сами запустите шаловливыми ручками. :-o
Имеется ввиду javascript'ы. Пусть на нужном нам сайте функциональность реализована на javascript.
Но более того, что значит "все" пароли?
Пароль самого пользователя, для которого разрешено использовать sudo.
что вас беспокоит параноидальный уровень обеспечения безопасности.
Думаю, никто не захочет, чтобы его компьютер работал как часть ботнета, например (да и вообще - несанкционированный доступ сторонних лиц к домашнему ПК - это нормально?).
А ваши документы обладают такой вот степенью бесценности? :lol:
Для пользователя его документы вполне могут обладать чрезвычайно высокой ценностью.
Nicoz, если сравнивать с виндой, то при посещении сайтов на машине Linux, Вы просто так ничего не подцепите и не запустите в систему, здесь "два клика" по ссылке/скрипту/бинарнику не работают.
Вот! Нельзя ли поподробнее, например, если открыта страница с вредоносным javascript-кодом, может ли этот код скопировать файлы пользователя на удаленный сервер без запроса разрешения или уведомления пользователя?
В линуксе в таком случае у Вас "выскочит" окно-предупреждение от системы и спросит права root(пароль всё таки должен быть не 12345).
Обычный бинарник или скрипт, имеет права на исполнение для всех, владелец - скачавший его пользователь. Не будет никакого предупреждения и запроса прав root, или нет?

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Olej » 31 мар 2016, 17:00

Nicoz писал(а):
Не очень понятно, как это запустится код, полученный из Интернет, каким способом? ... за исключением того, если вы его сами запустите шаловливыми ручками. :-o
Имеется ввиду javascript'ы. Пусть на нужном нам сайте функциональность реализована на javascript.
JavaScript и, забегая вперёд, аплеты Java не имеют доступа к локальной файловой системе (даже в $HOME).
Nicoz писал(а):
Но более того, что значит "все" пароли?
Пароль самого пользователя, для которого разрешено использовать sudo.
А не нужно кому попало давать sudo :lol:
Тем более, что в конфиге sudo я могу дать вам полномочия на какую-то команду, mount, например, а на другие админ. операции - незачем.
Nicoz писал(а):
что вас беспокоит параноидальный уровень обеспечения безопасности.
Думаю, никто не захочет, чтобы его компьютер работал как часть ботнета, например (да и вообще - несанкционированный доступ сторонних лиц к домашнему ПК - это нормально?).
При возможности физического доступа к компьютеру (руками, с отвёрткой, паяльником... :lol: ) защиту от доступа невозможно обеспечить в принципе. В любой системе!
А про ботнеты на Linux компьютерах? ... что-то давно я такого не слышал...
Nicoz писал(а):
А ваши документы обладают такой вот степенью бесценности? :lol:
Для пользователя его документы вполне могут обладать чрезвычайно высокой ценностью.
Вот пропорционально этой "чрезвычайно высокой ценности" пользователь и обязан тратить столько же своего времи на конфигурирование своей безопасности.
Nicoz писал(а):
Nicoz, если сравнивать с виндой, то при посещении сайтов на машине Linux, Вы просто так ничего не подцепите и не запустите в систему, здесь "два клика" по ссылке/скрипту/бинарнику не работают.
Вот! Нельзя ли поподробнее, например, если открыта страница с вредоносным javascript-кодом, может ли этот код скопировать файлы пользователя на удаленный сервер без запроса разрешения или уведомления пользователя?
Не может.
Nicoz писал(а):
В линуксе в таком случае у Вас "выскочит" окно-предупреждение от системы и спросит права root(пароль всё таки должен быть не 12345).
Обычный бинарник или скрипт, имеет права на исполнение для всех, владелец - скачавший его пользователь. Не будет никакого предупреждения и запроса прав root, или нет?
Кроме права запуска -x, запущенная программа должна ещё иметь права -rw, чтения-записи, к чему она хочет доступиться.
А кто ей даст?

Кроме того, вы опять сбиваетесь на программу.
А программа сама не запускается.
Её вы своими руками запускаете.
Держите руки в узде!!! :lol:

Nicoz
Интересующийся
Сообщения: 3
Зарегистрирован: 31 мар 2016, 06:21
Контактная информация:

Re: Безопасность Linux

Непрочитанное сообщение Nicoz » 31 мар 2016, 17:29

Кроме права запуска -x, запущенная программа должна ещё иметь права -rw, чтения-записи, к чему она хочет доступиться.
А кто ей даст?
Так если владелец и исполняемого файла и файла с данными - тот же пользователь, то программа и будет иметь права на чтение-запись?
Кроме того, вы опять сбиваетесь на программу.
Я просто ответил на замечание algri14.

Olej
Не могли бы Вы немного подробнее рассказать, почему javascript-код не может выполнять все те действия, которые может исполнять пользователь, ведь, если код запущен (через браузер) пользователем, то должен иметь те же права?

Ответить

Вернуться в «Безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей