Kirjoittaja Aihe: MBR Rootkit, voiko toimia ubuntussa?  (Luettu 11231 kertaa)

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #20 : 15.09.08 - klo:18.13 »
En ole noihin rootkiteihin sen kummemmin syventynyt, mutta luulisi, että tuohon 512 tavuun ei kovin edistyksellinen haittakoodi mahdu. Varsinaisen toiminnallisuuden kai on pakko sijaita kumminkin tiedostojärjestelmässä. Niinhän se on grubinkin kohdalla, että varsinainen ohjelmakoodi on stage2:ssa mikä sijaitsee tiedostojärjestelmässä, eikä suinkaan mbr:ssä, jossa on vaan tiedot, että mistä stage2 ladataan.

Niin. Mietin siis sitä, että vaikka mbr olisi kirjoitussuojattu niin riittänee kuitenkin jos tiedostojärjestelmää pääsee peukaloimaan. Ujuttaa vaikka haittakoodin grubin sisälle ja korvaa alkuperäisen tiedoston sillä.

Tää nyt oli spekulointia. Faktoista en tiedä :P

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #21 : 15.09.08 - klo:18.48 »

Tuosta rootkitistä en tiedä, mutta periaatteessa ja käytännössäkin rootkit kyllä voi toimia linuxissakin.

Tosin niitä lie varsin vähän olemassa ja liekö yhtään tunnettua tällä hetkellä.
Mutt winkkarissa niitä on sitäkin enemmän.

Ja mahtumisesta on turha puhua, ne kun heivaavat käynnistimet mäkeen mbr:ään asettuessaan

« Viimeksi muokattu: 15.09.08 - klo:18.53 kirjoittanut jake »
Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #22 : 15.09.08 - klo:21.23 »
Ja mahtumisesta on turha puhua, ne kun heivaavat käynnistimet mäkeen mbr:ään asettuessaan
Mbr:n koko on kiinteä 512 tavua, mutta ei siitä sen enempää. (vrt. 4 tekstiviestiin mahtuu 640 tavua)

peran

  • Vieras
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #23 : 15.09.08 - klo:21.32 »
Ja mahtumisesta on turha puhua, ne kun heivaavat käynnistimet mäkeen mbr:ään asettuessaan
Mbr:n koko on kiinteä 512 tavua, mutta ei siitä sen enempää. (vrt. 4 tekstiviestiin mahtuu 640 tavua)


Joops ei mitään hirveän ihmeellistä mahdu mbr:rään, mutta mikäli koneesta löytyy osioimatonta kovalevytilaa, niin sinne mahtuu sitten suurempikin ohjelmisto, eikä sekään näy käyttiksestä suoraan oli sitten Linukka taikka Winukka.

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #24 : 15.09.08 - klo:21.36 »
Joops ei mitään hirveän ihmeellistä mahdu mbr:rään, mutta mikäli koneesta löytyy osioimatonta kovalevytilaa, niin sinne mahtuu sitten suurempikin ohjelmisto, eikä sekään näy käyttiksestä suoraan oli sitten Linukka taikka Winukka.

Totta. Ja olikohan vielä silleen, että levyn nurkassa on aina vähän jämätilaa mitä ei voida normaalisti hyödyntää. Ikäänkuin jakojäännöstä. Muistelen.

jake

  • Käyttäjä
  • Viestejä: 1262
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #25 : 15.09.08 - klo:22.36 »
mbr:ään mahtuu kyllä rootkitin tarvima tila, joko suoraan tai sitt mahd osoitettuna levyltä.
mbr:n koko ei tuu esteeksi sen paremmin winuksissa kuin linuxissakaan.
ja se ajetaan ennen minkään käyttiksen käynnistymistä.
eli kyllä linuxissakin saa rootkitin toimimaan
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä

Kaikille avoin standardi antaa mahdollisuuden valita itselle sopivin ohjelmisto käyttöön.
Millään taholla ei ole oikeutta pakottaa muita käyttämään jotain tiettyä sovellusta tietojen vaihdossa.
"Valitsin siis avointa standardia noudattavat sovellukset, esim: OpenOffice, Firefox ja tiett

eGetin

  • Käyttäjä
  • Viestejä: 1093
  • Milloin mitäkin
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #26 : 15.09.08 - klo:22.49 »
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä
http://www.youtube.com/watch?v=bmk1dToZYGo&feature=related
Uhkarohkea ei saa olla mutta sopiva riskinotto ei ole pahaksi :)
Pöytäkone: Intel i7 920 | Asus P6X58D Premium | 12Gb DDR3 1600MHz | Asus Radeon HD 6950 1Gb | 60GB OCZ Vertex 2 SSD + 2TB WD Caviar Green + Samsung 830 120GB
HTPC: Intel C2D E4400 | Asus P5B | 4Gb DDR2 800MHz | Asus Geforce GT210 | 500GB WD Caviar GP
Kannettava: Asus Eee PC 1225B

Ville Pöntinen

  • Käyttäjä
  • Viestejä: 2078
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #27 : 15.09.08 - klo:23.01 »
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä

Miten niin pää pensaassa? Tässähän tätäkin asiaa pohditaan... ?

MBR-virus toki toimii koneessa kuin koneessa jos se on ko. koneen onnistunut saastuttamaan. Ne eivät sinne pääse mitenkään itsestään, oli kyseessä Windows- tai Linux-kone.

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #28 : 15.09.08 - klo:23.11 »
mbr:ään mahtuu kyllä rootkitin tarvima tila, joko suoraan tai sitt mahd osoitettuna levyltä.
Jep, onhan niitä olemassa, silloinhan ne jonnekin mahtuu :)

Lainaus
mbr:n koko ei tuu esteeksi sen paremmin winuksissa kuin linuxissakaan.

Mbr ja käyttöjärjestelmä elävät molemmat omaa elämäänsä. Ei käyttöjärjestelmällä ole tässä nyt muuta merkitystä kuin se, että turvallinen käyttöjärjestelmä ei päästä mbr:ää saastumaan.

Lainaus
ja se ajetaan ennen minkään käyttiksen käynnistymistä.
eli kyllä linuxissakin saa rootkitin toimimaan

Jep

Lainaus
mutt jos pää pensaassa on turvallisempaa, niin nauttikaa siitä

Asennevamma? Ei tässä nyt kukaan ole yrittänyt todistaa, ettei Linux-käyttäjien tarvitsisi olla valveutuneita tietoturvan suhteen. Korkeintaan todettu, että todennäköisyys, jolla Linux päästää mbr:n saastumaan on oletettavasti merkittävästi pienempi kuin eräässä suositussa kaupallisessa järjestelmässä.

Jaer

  • Käyttäjä
  • Viestejä: 528
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #29 : 16.09.08 - klo:00.33 »
 
Niin, noi rootkitit on suunnattu pääasiassa Winukkaa vastaan, mutta tekeekö se linukan haavoittuvaiseksi kun sinne ajetaan ensin Winu ja sitten Linu. Siis tarkoitan kun Winu saastuu ja MBR kirjasto menee uusiksi niin vaikuttaako se Linukkaan? Toisin sanoen saastutaako Winu Linukan? (oma käsitys on EI, mut en ole sata varma asiasta)

Mutta jos Käyttäjä käynnistää koneen käynnistys cd:n kanssa. Tällöin pääkäynnistyslohkoa ei käynnistetä. Sen jälkeen pääkäynnistyslohko palautetaan esimerkiksi fixmbr:n avulla Windowsin Recovery Consolen kautta.

Niin tämän toimenpiteen jälkeen taitaa myös Linukka hävitä?!?

 -Jaer-



**************************************************

Piiloutuu kiintolevyn mbr-kirjanpitoon
Uudenlaiset mbr-rootkitit erittäin vaarallisia

http://www.tietokone.fi/uutta/uutinen.asp?news_id=33028&tyyppi=1

*************************************************************************************************

Uusi näkymätön uhka tietokoneita vastaan

http://www.itviikko.fi/tietoturva/2008/01/11/uusi-nakymaton-uhka-tietokoneita-vastaan/2008964/7

Tämän haittakoodin poistamiseksi käyttäjien tulee käynnistää kone käynnistys cd:n kanssa. Tällöin pääkäynnistyslohkoa ei käynnistetä. Sen jälkeen pääkäynnistyslohko palautetaan esimerkiksi fixmbr:n avulla Windowsin Recovery Consolen kautta.

- Nämä rootkitit toimivat myös muilla alustoilla, kuten Linuxilla, sillä niiden toiminta on riippumatonta siitä, mikä käyttöjärjestelmä koneelle on asennettuna, lisää Corrons.   


*********************************************************************

F-securen sivulla (englanninkielinen)
MBR Rootkit, A New Breed of Malware

http://www.f-secure.com/weblog/archives/00001393.html

*****************************************************************'


Windowssin  puolella ainakin vauhtia piisaa

http://www.itviikko.fi/tietoturva/2008/06/24/haittaohjelmia-sikiaa-tavatonta-tahtia/200816930/7



Samalla uusia haittaohjelmia syntyy tällä hetkellä jopa 70 000 päivässä. Taiwanilaisen tietoturvayhtiö Trend Micron koulutusjohtaja David Perry sanoo

http://www.tietokone.fi/uutta/uutinen.asp?news_id=34877&tyyppi=1



« Viimeksi muokattu: 16.09.08 - klo:01.12 kirjoittanut Jaer »
Rauta seiska: Intel Core i7 @ 920 & Nvidia
Ubuntu, Mint, Debian, Ultimate Edition
Androidina HTC Desire HD

Jaer

  • Käyttäjä
  • Viestejä: 528
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #30 : 16.09.08 - klo:23.02 »
http://www.itviikko.fi/ratkaisut/2008/09/16/kernelin-korsetti-tunnistaa-kaikki-haittaohjelmat/200824069/7

Kernelin Korsetti tunnistaa kaikki haittaohjelmat

Israelilaisten kehittämä Korset-laajennus väittää auttavansa linuxeja pysäyttämään kaikki haittaohjelmat.

Korset on Linuxin ytimeen tehty muokkaus, jonka pitäisi estää haittaohjelmien toiminta. Se ei etsi haittaohjelmien sormenjälkiä, vaan toimii heuristisesti. Jos ohjelma tekee asioita, joita hyvin käyttäytyvien ohjelmien ei pitäisi, Korset pistää sen rautoihin.

Ohjelman kehittäjän, Tel Avivin yliopiston professori Avishai Woolin mukaan Korsetin ei ole tarkoitus kilpailla antivirusohjelmien kanssa, vaan tehdä internetistä turvallisempi paikka.




Rauta seiska: Intel Core i7 @ 920 & Nvidia
Ubuntu, Mint, Debian, Ultimate Edition
Androidina HTC Desire HD

Ryppy

  • Käyttäjä
  • Viestejä: 837
    • Profiili
Vs: MBR Rootkit, voiko toimia ubuntussa?
« Vastaus #31 : 16.09.08 - klo:23.52 »
Enpäs asenna mitään Korsetteja, tai muitakaan henkseleitä koneelleni ennen kuin ne ilmaantuvat turvallisuus päivityksinä reposiin.
Poistuu taka vasemmalle - - -