Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: Jaune - 09.01.08 - klo:08.48
-
http://www.theregister.co.uk/2008/01/09/mbr_rootkit/
Eli, sikäli mikäli ymmärsin oikein, rootkit asentuu mbr:lle ja latautuu ennen kuin käyttöjärjestelmä?
Sen ymmärsin että leviämiseen tämä tarvitsee windowssia, mutta tarvitseeko toimiakseen? Eli jos on dualboot kone ja windows antaa tuon härpäkkeen asentua mbr:lle, tarvitseeko tuo härpäke windowssia toimiakseen, vai osaako se operoida jos bootataan toiseen käyttöjärjestelmään? Tai onko virtuaali OS:llä pääsy MBR:rään?
-
http://www2.gmer.net/mbr/
tuossa vähän syvempi kuvaus kuinka pöpö toimii... en vieläkään kyllä oikeen ymmärtänyt mitä se tekee :)
-
Eli, sikäli mikäli ymmärsin oikein, rootkit asentuu mbr:lle ja latautuu ennen kuin käyttöjärjestelmä?
Näin sen sanotaan tekevän.
Sen ymmärsin että leviämiseen tämä tarvitsee windowssia, mutta tarvitseeko toimiakseen? Eli jos on dualboot kone ja windows antaa tuon härpäkkeen asentua mbr:lle, tarvitseeko tuo härpäke windowssia toimiakseen, vai osaako se operoida jos bootataan toiseen käyttöjärjestelmään?
Linux ei tosiaan voi levittää/asentaa tuota. Periaatteessa tuolla tekniikalla voidaan rakentaa rootkit, joka toimii kummassakin käyttöjärjestelmässä. Tuossa jutussa ei kerrota miten tuo yksilö toimii, tosin Linuxia ei mainitakaan. Veikkauksena voisin heittää, ettei tuo toimi Linuxissa. Kahdessa käyttöjärjestelmässä toimivan rootkitin teko on näet monimutkaisempaa.
Tai onko virtuaali OS:llä pääsy MBR:rään?
Käyttöjärjestelmän virtuaalisesti ajamisen yksi perusidea on, että sen pääsyä näpräämään konetta voidaan rajoittaa. Käytännössä se ei pysty koskemaan MBR:rään.
-
http://www2.gmer.net/mbr/
tuossa vähän syvempi kuvaus kuinka pöpö toimii... en vieläkään kyllä oikeen ymmärtänyt mitä se tekee :)
Eli tämän mukaan se sorkkii Windowsin ydintä. Se vahvistaisi käsitystä, ettei tuo tee mitään Linuxissa.
Ennen käyttöjärjestelmää käynnistyvällä viruksella on kaikki valta koneeseen, eli se voi tehdä mitä lystää. Siten Linuxin käyttäjät eivät ole tällaisilta turvassa, jos se pääsee asentumaan koneelle ja osaa hyödyntää Linuxia. Toki Linuxissa viruksen saaminen mbr:ään on paljon vaikeampaa.
-
Ennen käyttöjärjestelmää käynnistyvällä viruksella on kaikki valta koneeseen, eli se voi tehdä mitä lystää. Siten Linuxin käyttäjät eivät ole tällaisilta turvassa, jos se pääsee asentumaan koneelle ja osaa hyödyntää Linuxia. Toki Linuxissa viruksen saaminen mbr:ään on paljon vaikeampaa.
Kunhan käyttäjät tuplanapsauttelevat webistä sieltä täältä löytyviä debejä tarpeeksi kauan ja antavat sudo-salasanan uuden hienon "näytönsäästäjän" asentamiseksi pakettienhallinnan ulkopuolelta, saa viruksen asennettua helposti koneelleen.
Mutta jos ei asenna ohjelmia pakettienhallinnan ulkopuolelta, viruksen saaminen on toki erittäin epätodennäköistä.
-
tässä tapauksessa minua oikeastaan kiinnostaa mahtuuko tuo pöpö+grub mbr:lle? ja jos mahtuu osaako pöpö toimia linuxin alla mitenkään? esim osaako pöpö mennä virtuaalisesti ajetun windowssin ydintä käpistelemään?
-
tässä tapauksessa minua oikeastaan kiinnostaa mahtuuko tuo pöpö+grub mbr:lle? ja jos mahtuu osaako pöpö toimia linuxin alla mitenkään? esim osaako pöpö mennä virtuaalisesti ajetun windowssin ydintä käpistelemään?
MBR:n koko on vakio (512t) kaikissa BIOS:sia käyttävissä PC:issä. Grub ei vaikuta siihen mitenkään. Tosin tuo virus ei sitten välttämättä osaa käynnistää Grubia (en ole varma). Joka tapauksessa Linuxin kautta virus tuskin voi tehdä yhtään mitään.
-
Eikös grub asennu MBR:lle? Eli siis mietin että mahtuuko tuo pöpö siihen mbr:lle grubin rinnalle, vai särkeekö saastuessaan tuo grubin?
-
Eikös grub asennu MBR:lle? Eli siis mietin että mahtuuko tuo pöpö siihen mbr:lle grubin rinnalle, vai särkeekö saastuessaan tuo grubin?
512 tavuun ei taida paljon muuta mahtua kuin bootleaderin (esim Grubin) lataaja ;D
Kunhan arvailen. ;D
T:Jallu59
-
Säätää niin ettei MBR:ää voi ylikirjoittaa ja ongelma on ratkaistu? Näin ainakin voisi luulla jos alkaa biossin kanssa leikkimään.
-
Kunhan käyttäjät tuplanapsauttelevat webistä sieltä täältä löytyviä debejä tarpeeksi kauan ja antavat sudo-salasanan uuden hienon "näytönsäästäjän" asentamiseksi pakettienhallinnan ulkopuolelta, saa viruksen asennettua helposti koneelleen.
Mutta jos ei asenna ohjelmia pakettienhallinnan ulkopuolelta, viruksen saaminen on toki erittäin epätodennäköistä.
Olen skitso vihulaisten suhteen;
epätodennäköinenkin on täyttä totta niille, joiden koneeseen r00tkit pääsee mellastamaan, eikä sitä aina osaa olla antamatta sudoa 'luotettavalla' sivustolla...
Linuxiin(Ubuntu+MEPIS ainakin) saa turvaksi paketinhallinnan kautta kuitenkin rkhunterin.
Päivittyy terminalissa: rkhunter --update
Skannaa koneen C-levyn(?) ja näppiksen(?): rkhunter -c -sk
(ubuntun eri versioissa tietty sudolla)
Toistaiseksi ei ole tullut muuta kuin varoituksia, muttei ainuttakaan r00tkit troijalaista.
-
Olen skitso vihulaisten suhteen;
Jep. Linuxin tietoturvan uhkakuvista saa jonkinlaisen käsityksen laittamalla Googleen hakusanaksi "krewing". . . ;D
-
Kyllä se Panda Securityn mukaan voi toimia myös Linuxissa.
Lainaus:
”Nämä rootkitit toimivat myös muilla alustoilla, kuten Linuxilla, sillä niiden toiminta on riippumatonta siitä, mikä käyttöjärjestelmä koneelle on asennettuna”, lisää Corrons.
http://www.pandasoftware.fi/ta/2008002.html
http://www.digitoday.fi/tietoturva/2008/01/11/Uusi+n%E4kym%E4t%F6n+uhka+tietokoneita+vastaan/2008955/66?rss=6
Sen verran olen ollut Pandan kanssa tekemisissä töiden puolesta, että en noiden kavereiden kommenteille anna mitään painoarvoa, varsinkin koun koko Panda on surullisen kuuluisa siitä, että seotessaan se sekoittaa pahimmillaan wintoosan verkkotoiminnot käyttökelvottomiksi, eikä sitä ei tahdo saada silloin suosiolla pois, kun se on seonnut, vaan sen kanssa joutuu tekemään hiki päässä töitä.
"Tämän haittakoodin poistamiseksi käyttäjien tulee käynnistää kone käynnistys cd:n kanssa"-tarkoitetaankohan tuossa Rootkittiä vai itse Pandaa ;D
Jos se oikein kovasti winkun kanssa epäilyttää, niin aina voi pistää sen ajaen FIXMBR:n tietyin väliajoin, kuin myös asentaa sen Grubin uudelleen, siellä boot sektorissa on niin vähän tilaa, että kaikki muu kirjoittuu pakostakin yli jokatapauksessa, ei sinne enää sen jälkeen jää "bot"sektoria...
-
IMHO: MBR rootkitin pitäisi kyllä toimia minkä tahansa käyttiksen kanssa, olettaen että se on tehty oikein. Tietysti paketin koko kasvaa jos sen pitää tukea natiivisti erilaisia rautaratkaisuita.
Käyttöjärjestelmä kun ei ole mikään edellytys sille että koneella voisi tehdä jotain. Koska tuollainen rootkit kaappaa koneen ennen käyttöjärjestelmää, pitäisi kaikki niiden järjestelmien toimia joita voidaan ajaa edistyneimmissä virtuaalikoneissa. Sekä rootkitin paljastamisen pitäisi olla äärimmäisen vaikeaa, koska sillä on mahdollisuus estää kaikki yritykset haivaita rootkit.
Tosin tuo yritysten estäminen johtaa siihen, että todennäköisesti se aiheuttaa muutoksia järjestelmän ajoituksiin. Joten jos samalla raudalla tehdään tietynlaisia operaatioita rootkitillä ja ilman on lopputulos erilainen.
Em. vaatii kyllä aika hienon rootkit, mutta onhan sekin hienoa että rootkit osaa hyödyntää käyttiksen komponentteja eikä sen tarvitse sisältää kaikkea tarpeellista itsessään.
Luonnollisesti helpoin tapa tuollaisen rootkitin spottaamiseen on käynnistää järjestelmä puhtaalta medialta ja tarkistaa levyt. Näinhän on virusten tapauksessa toimittu jo ennen muinoin. Saastuneella järjestelmällä ei voi koskaan tarkistaa onko järjestelmä saastunut. Lisäksi saastunut järjestelmä tai hakkeroitu järjestelmä tulisi aina asentaa täysin alusta uudelleen tai riittävän vanhoista backupeista ja laittaa reijät tukkoon. Näistä em. toimenpiteistä kyllä aina välillä kuulemma luistetaan. Joka ei luonnollisesti tee hyvää tietoturvalle.
Kommentteja, näkemyksiä?
Ai niin, tämähän oli suoraan Matrixista. ;)
-
Eiköhän ne rootkitit tule ubuntuunkin kun järjestelmä yleistyy tarpeeksi.
Terveisin jori52
-
Esimerkikisi f-perkule,scannaa winkupuolella koneen kyllä tunnettujen rootkittienkin varalta samoin kin suojaavat niiltä, sillä ei se rootkittikään sinne tyhjästä tule, tosin se uusi ja tunnistamaton haittaohjelmahan se vaarallisin aina on.
Se tulee menemään siihen, että mbr osa levystä tulee olemaan kirjoitussuojattu muutoin kuin os:n asennuksen ajan joko salasanalla tai mekaanisesti vielä ajan myötä, jos rootkitit alkavat yleistyä riesaksi asti.
-
Se tulee menemään siihen, että mbr osa levystä tulee olemaan kirjoitussuojattu muutoin kuin os:n asennuksen ajan joko salasanalla tai mekaanisesti vielä ajan myötä, jos rootkitit alkavat yleistyä riesaksi asti.
Miten niin tulee? Sehän on ihan vanha juttu että MBR on kirjoitussuojattu. Silloin kun MBR virukset olivat yleisiä, monissa bioisseissa oli optio "MBR write protect" Yes/No... Tuo sitten tökki kivasti jos oli Yes tilassa ja koitit pistää systeemiä kasaan. Toinen hyvä tapa oli sallia bootti vain kiintolevyltä, niin virukset eivät tartu USB tikuilta, CD:ltä tai esim asemaan unohtuneelta korpulta.
Lähinnä mielenkiintoinen kysymys oli se, että miksei MBR ole kirjoitussuojattu jo käyttiksen käytönaikana. Kun ei muutenkaan sallita suora levy I/O:ta niin miksi MBR:n pitäisi sitten päästä käsiksi?
Mutta kerran kun tuollaisen kunnon rootkitin saa ujutettua järjestelmään, se voi kyllä piileskellä siellä todella pahanpäiväisesti. Ilman että sitä pystyisi mitenkään kovin helposti spottaamaan. Kuten aikaisemmin perustelin.
Hienostitehdyltä kohdennetulta hyökkäykseltä on kyllä vaikea suojautua. Mutta ehkä siihenkin ratkaisut keksitään. Eli virustorjunnan pitää oikeastaan sandboxata kaikki ja ihmetellä mitä menee ulos sandboxista ja sitten luoda tarpeen mukaan hälyytyksiä.
Kun nyt ollaan tietoturva-aiheessa, nää kaikki voi kuunnella ihan iltojensa iloksi.
http://www.grc.com/securitynow.htm
mm. rootkitit on ollut monta kertaa esillä. Vuonna 2005 niitä käsiteltiin jo ahkerasti.
http://media.grc.com/sn/SN-009.mp3
Sekä Blue Pill rootkit tekniikkaa, joka toimii käyttiksestä riippumatta.
http://media.grc.com/sn/SN-054.mp3
-
En tarkoita bioseja, vaan itse kiintolevy, joille epäinen vielä jonkimoisen suojauksen tulevan jos rootkitit yleistyvät.
-
En tarkoita bioseja, vaan itse kiintolevy, joille epäinen vielä jonkimoisen suojauksen tulevan jos rootkitit yleistyvät.
Nopeasti ajatellen nykyaikana rautatason suojaus kuulostaa aika rankalta. Olishan se hieno jos levyssä olisi jumpperi joka pitää siirtää että saa kirjoittaa MBR:n.
Toisaalta juuri tuossa toisessa threadissaa viilasin pilkkua oikein huolella (http://forum.ubuntu-fi.org/index.php?topic=16613.0). Joten täytyy myöntää että softatason suojaukset ovat köh, melkein aina kierrettävissä tavalla tai toisella. BIOSissa oli omat hyvät puolensa. Esim. suojaus oli riittävän aikaisin aktiivinen, estääksen myös vaihtoehtoisilta käynnistysmedioilta tulevan uhkan. Tosin jos biossia ei ole suojattu asianmukaisesti voisi oikein tehty sovellus sorkkia tuota asetusta. Hyvin vaikeita asioita sanoa että se on varmaa. Ja sittenkin voi löytyä poikkeuksia. ;)
-
Uusimmat uutiset RootKiteistä
http://www.linuxjournal.com/content/linux-even-rootkits-are-open-source
http://www.linuxtoday.com/security/2008091001935OSSW
-
En ole noihin rootkiteihin sen kummemmin syventynyt, mutta luulisi, että tuohon 512 tavuun ei kovin edistyksellinen haittakoodi mahdu. Varsinaisen toiminnallisuuden kai on pakko sijaita kumminkin tiedostojärjestelmässä. Niinhän se on grubinkin kohdalla, että varsinainen ohjelmakoodi on stage2:ssa mikä sijaitsee tiedostojärjestelmässä, eikä suinkaan mbr:ssä, jossa on vaan tiedot, että mistä stage2 ladataan.
Niin. Mietin siis sitä, että vaikka mbr olisi kirjoitussuojattu niin riittänee kuitenkin jos tiedostojärjestelmää pääsee peukaloimaan. Ujuttaa vaikka haittakoodin grubin sisälle ja korvaa alkuperäisen tiedoston sillä.
Tää nyt oli spekulointia. Faktoista en tiedä :P
-
Tuosta rootkitistä en tiedä, mutta periaatteessa ja käytännössäkin rootkit kyllä voi toimia linuxissakin.
Tosin niitä lie varsin vähän olemassa ja liekö yhtään tunnettua tällä hetkellä.
Mutt winkkarissa niitä on sitäkin enemmän.
Ja mahtumisesta on turha puhua, ne kun heivaavat käynnistimet mäkeen mbr:ään asettuessaan
-
Ja mahtumisesta on turha puhua, ne kun heivaavat käynnistimet mäkeen mbr:ään asettuessaan
Mbr:n koko on kiinteä 512 tavua, mutta ei siitä sen enempää. (vrt. 4 tekstiviestiin mahtuu 640 tavua)
-
Ja mahtumisesta on turha puhua, ne kun heivaavat käynnistimet mäkeen mbr:ään asettuessaan
Mbr:n koko on kiinteä 512 tavua, mutta ei siitä sen enempää. (vrt. 4 tekstiviestiin mahtuu 640 tavua)
Joops ei mitään hirveän ihmeellistä mahdu mbr:rään, mutta mikäli koneesta löytyy osioimatonta kovalevytilaa, niin sinne mahtuu sitten suurempikin ohjelmisto, eikä sekään näy käyttiksestä suoraan oli sitten Linukka taikka Winukka.
-
Joops ei mitään hirveän ihmeellistä mahdu mbr:rään, mutta mikäli koneesta löytyy osioimatonta kovalevytilaa, niin sinne mahtuu sitten suurempikin ohjelmisto, eikä sekään näy käyttiksestä suoraan oli sitten Linukka taikka Winukka.
Totta. Ja olikohan vielä silleen, että levyn nurkassa on aina vähän jämätilaa mitä ei voida normaalisti hyödyntää. Ikäänkuin jakojäännöstä. Muistelen.
-
mbr:ään mahtuu kyllä rootkitin tarvima tila, joko suoraan tai sitt mahd osoitettuna levyltä.
mbr:n koko ei tuu esteeksi sen paremmin winuksissa kuin linuxissakaan.
ja se ajetaan ennen minkään käyttiksen käynnistymistä.
eli kyllä linuxissakin saa rootkitin toimimaan
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä
-
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä
http://www.youtube.com/watch?v=bmk1dToZYGo&feature=related
Uhkarohkea ei saa olla mutta sopiva riskinotto ei ole pahaksi :)
-
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä
Miten niin pää pensaassa? Tässähän tätäkin asiaa pohditaan... ?
MBR-virus toki toimii koneessa kuin koneessa jos se on ko. koneen onnistunut saastuttamaan. Ne eivät sinne pääse mitenkään itsestään, oli kyseessä Windows- tai Linux-kone.
-
mbr:ään mahtuu kyllä rootkitin tarvima tila, joko suoraan tai sitt mahd osoitettuna levyltä.
Jep, onhan niitä olemassa, silloinhan ne jonnekin mahtuu :)
mbr:n koko ei tuu esteeksi sen paremmin winuksissa kuin linuxissakaan.
Mbr ja käyttöjärjestelmä elävät molemmat omaa elämäänsä. Ei käyttöjärjestelmällä ole tässä nyt muuta merkitystä kuin se, että turvallinen käyttöjärjestelmä ei päästä mbr:ää saastumaan.
ja se ajetaan ennen minkään käyttiksen käynnistymistä.
eli kyllä linuxissakin saa rootkitin toimimaan
Jep
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä
Asennevamma? Ei tässä nyt kukaan ole yrittänyt todistaa, ettei Linux-käyttäjien tarvitsisi olla valveutuneita tietoturvan suhteen. Korkeintaan todettu, että todennäköisyys, jolla Linux päästää mbr:n saastumaan on oletettavasti merkittävästi pienempi kuin eräässä suositussa kaupallisessa järjestelmässä.
-
Niin, noi rootkitit on suunnattu pääasiassa Winukkaa vastaan, mutta tekeekö se linukan haavoittuvaiseksi kun sinne ajetaan ensin Winu ja sitten Linu. Siis tarkoitan kun Winu saastuu ja MBR kirjasto menee uusiksi niin vaikuttaako se Linukkaan? Toisin sanoen saastutaako Winu Linukan? (oma käsitys on EI, mut en ole sata varma asiasta)
Mutta jos Käyttäjä käynnistää koneen käynnistys cd:n kanssa. Tällöin pääkäynnistyslohkoa ei käynnistetä. Sen jälkeen pääkäynnistyslohko palautetaan esimerkiksi fixmbr:n avulla Windowsin Recovery Consolen kautta.
Niin tämän toimenpiteen jälkeen taitaa myös Linukka hävitä?!?
-Jaer-
**************************************************
Piiloutuu kiintolevyn mbr-kirjanpitoon
Uudenlaiset mbr-rootkitit erittäin vaarallisia
http://www.tietokone.fi/uutta/uutinen.asp?news_id=33028&tyyppi=1
*************************************************************************************************
Uusi näkymätön uhka tietokoneita vastaan
http://www.itviikko.fi/tietoturva/2008/01/11/uusi-nakymaton-uhka-tietokoneita-vastaan/2008964/7
Tämän haittakoodin poistamiseksi käyttäjien tulee käynnistää kone käynnistys cd:n kanssa. Tällöin pääkäynnistyslohkoa ei käynnistetä. Sen jälkeen pääkäynnistyslohko palautetaan esimerkiksi fixmbr:n avulla Windowsin Recovery Consolen kautta.
- Nämä rootkitit toimivat myös muilla alustoilla, kuten Linuxilla, sillä niiden toiminta on riippumatonta siitä, mikä käyttöjärjestelmä koneelle on asennettuna, lisää Corrons.
*********************************************************************
F-securen sivulla (englanninkielinen)
MBR Rootkit, A New Breed of Malware
http://www.f-secure.com/weblog/archives/00001393.html
*****************************************************************'
Windowssin puolella ainakin vauhtia piisaa
http://www.itviikko.fi/tietoturva/2008/06/24/haittaohjelmia-sikiaa-tavatonta-tahtia/200816930/7
Samalla uusia haittaohjelmia syntyy tällä hetkellä jopa 70 000 päivässä. Taiwanilaisen tietoturvayhtiö Trend Micron koulutusjohtaja David Perry sanoo
http://www.tietokone.fi/uutta/uutinen.asp?news_id=34877&tyyppi=1
-
http://www.itviikko.fi/ratkaisut/2008/09/16/kernelin-korsetti-tunnistaa-kaikki-haittaohjelmat/200824069/7
Kernelin Korsetti tunnistaa kaikki haittaohjelmat
Israelilaisten kehittämä Korset-laajennus väittää auttavansa linuxeja pysäyttämään kaikki haittaohjelmat.
Korset on Linuxin ytimeen tehty muokkaus, jonka pitäisi estää haittaohjelmien toiminta. Se ei etsi haittaohjelmien sormenjälkiä, vaan toimii heuristisesti. Jos ohjelma tekee asioita, joita hyvin käyttäytyvien ohjelmien ei pitäisi, Korset pistää sen rautoihin.
Ohjelman kehittäjän, Tel Avivin yliopiston professori Avishai Woolin mukaan Korsetin ei ole tarkoitus kilpailla antivirusohjelmien kanssa, vaan tehdä internetistä turvallisempi paikka.
-
Enpäs asenna mitään Korsetteja, tai muitakaan henkseleitä koneelleni ennen kuin ne ilmaantuvat turvallisuus päivityksinä reposiin.