Jak zaatakować Linuksa i BSD
Systemy dystrybucji poprawek do oprogramowania pełnią niezwykle ważną rolę na rynku IT. Z tego względu można się spodziewać, że są one bardzo dobrze zabezpieczone. Okazuje się jednak, że nie zawsze tak jest.
Justin Cappos, Justin Samuel, Scott Baker i John H. Hartman z University of Arizona znaleźli błędy w wykorzystywanych przez Linuksa i BSD narzędziach APT, YUM i YaST. Luki dają cyberprzestępcom dostęp do części systemu operacyjnego, umożliwiając modyfikowanie, kasowanie oraz wgrywanie plików i, co za tym idzie, zainstalowanie szkodliwego oprogramowania.
Naukowcy zauważają, że linuksowi dystrybutorzy niewystarczająco sprawdzają serwery będące mirrorami oficjalnych maszyn dystrybuujących poprawki. Na potrzeby eksperymentu akademicy założyli fikcyjną firmę, wynajęli serwery w centrum hostingowym i bez najmniejszych problemów stworzyli mirrory dla Ubuntu, Fedory, OpenSuSE, CentOS-a i Debiana. W ciągu kilku dni z tymi mirrorami skontaktowały komputery tysięcy użytkowników, w tym maszyny rządowe i wojskowe.
Niektóre z dystrybucji sprawdzają zawartość mirrorów, jednak, jak twierdzą akademicy, mimo to cyberprzestępcy mogliby rozpowszechniać inną zawartość niż spodziewana. Wysyłane na komputer pliki z poprawkami są cyfrowo podpisane. Próba podmiany zawartości pliku skończy się wystąpieniem błędu podczas instalacji. Cyberprzestępcy mają jednak inne wyjście. Otóż mogą wysłać prawidłowo podpisane stare pakiety, które będą zawierały znane im luki. Co więcej, badania wykazały, że jeśli na dany komputer uda się przez pewien czas wysyłać podobne przestarzałe dane z repozytorium, to taki ustawiony przez cyberprzestępców mirror nie dopuści do zainstalowania najnowszych poprawek.
Innymi słowy, przestępcy po ustawieniu mirrora mogą w niedługim czasie przyciągnąć do niego pokaźną liczbę komputerów, które będą pobierały stare pakiety ze znanymi dziurami, dzięki czemu zostanie przygotowany grunt pod skuteczny atak.
Komentarze (2)
ZolV, 17 lipca 2008, 13:52
otoz sumy kontrolne rozwiazuja problem kontroli zawartosci pliku, ktory nie wazne skad sciagne: z serwera oficjalnego, mirrora czy innego zrodla.
Natomiast serwery ktore mowia co moge miec zainstalowane i jakie sa sumy kontrolne dla programow administratorzy swiadomie musza wpisywac w pliki konfiguracyjne. Jesli ktos jako swoje repozytorium wpisze jakis pierwszy lepszy serwer, to jest to jego decyzja i problem.
marc, 19 lipca 2008, 15:09
"błędy w wykorzystywanych przez Linuksa i BSD narzędziach APT, YUM i YaST"
Co prosze? a od kiedy to narzedzia APT, YUM i YaST sa czescia ktoregokolwiek systemu *BSD?
Autor napisal oczywista brednie, ktora nie ma nic wspolnego z rzeczywistoscia, i chyba tylko
z nadgorliwosci dodal, ze luki te maja zastosowanie w przypadku systemow *BSD.