Vaaralliset USB-tikun oletusoikeudet

[rikonen]

Onko kukaan huomannut, että ainakin Lucid 11.04 muuttaa tiedostojen oikeudet USB:lle talletettaessa siten että niiden ajo on sallittu (-rw-r--r-- => -rwxr-xr-x). Ilmiö ei johdu tiedostojärjestelmästä; tapahtu niin FAT:lla kuin ext3:lla.

Mistähän moinen mahtaa johtua ja miten sen saa pois - se on pieni tietoturvariski ellei itse aina muista palatuttaa asetuksia oikeiksi?

[Jaer]

Vihje / Olisiko tästä apua?

Joskus on tarvetta sille, että tietokoneella on hakemisto, johon usealla käyttäjällä on sekä luku- että kirjoitusoikeudet pysyvästi siten, että myös kaikissa uusissa ja muokatuissa tiedostoissa säilyy ryhmän sisäinen luku- ja kirjoitusoikeus.

Tällainen tilanne on esimerkiksi:

    kotona, jos vaikkapa jokaisella perheenjäsenellä on oma käyttäjätunnus, mutta halutaan silti pitää tietyssä hakemistossa yhteinen multimedia-arkisto, joihin kaikilla on luku- ja kirjoitusoikeus.


Lähde: Linux.fi-wiki - Kansion yhteiskäyttö ryhmässä


Edit: Lisätty tilanne kotona osio.

[Ganymedes]

Taitaa olla tuo alkuperäinen riski aika pieni (eikä tietysti muuta väitettykään). Ei kai niitä ohjelmia sieltä kuitenkaan itsestään mikään aja Linuxissa? Vaarallisia, ajettavia ongelmia ei kannata tikulle laittaakaan jos käyttäjä ei tiedä mitä on tekemässä, koska voihan ne silti ajaa yksinkertaisella kuittauksella, jonka voi senkin tehdä vahingossa.

Tuo ohje on kyllä hyvä ja tarpeellinen.

Ulkoisten medioiden kirjoitussuojauksesta noin muutoin:

- suojaus hakkereilta. Ei minkään arvoista, koska suojaukset voi kuitenkin aina muuttaa.

- suojaus taitamattomilta käyttäjiltä. Jos käyttäjällä on käytettävissä vain yksi kone, johon ei ole kunnollisia oikeuksia, niin tällöin suojaa. Muutoin ei ollenkaan.

- suojaus vahingoilta. Tämänhän se kirjoitusoikeuksien puuttuminen tekee. Esimerkiksi estää kuvien siirtämisen yhteisistä kuva-arkistoista itselle, kun oikeasti olisi pitänyt kopioda.

[rikonen]

Taitaa olla tuo alkuperäinen riski aika pieni (eikä tietysti muuta väitettykään). Ei kai niitä ohjelmia sieltä kuitenkaan itsestään mikään aja Linuxissa? Vaarallisia, ajettavia ongelmia ei kannata tikulle laittaakaan jos käyttäjä ei tiedä mitä on tekemässä, koska voihan ne silti ajaa yksinkertaisella kuittauksella, jonka voi senkin tehdä vahingossa.

En tainnut kuvailla ongelmaa tarpeeksi hyvin; kun tikulla siirtää tiedostoja koneesta toiseen, tapahtuu niin että kaikki tikulla siirretyt tiedostot ovat ajokelpoisia. Se on minusta selvä bugi ja osaltaan mahdollistaa Stuxnet-tyyppisen hyökkäyksen. Kyllä tähän heikkouteen on syytä puuttua.

[qwertyy]

Jos noin käy niin tuohan on oikeastaan paljon pahempi tietoturvaongelma mitä Windowsin pahamaineinen USB-autorun.
http://linux.slashdot.org/story/11/02/07/1742246/USB-Autorun-Attacks-Against-Linux
19.30 eteenpäin on ihan mielenkiintoista juttua Nautiluksesta.

Toivottavasti tuo on pelkästään Nautilus bugi. Ei paljoa naurattaisi jos varmuuskopiot menee USB-kiintolevylle ja järjestelmän palautuksessa jokaikisellä tiedostolla onkin suoritusoikeudet.

[Ganymedes]

Nyt kun käytätte tuollaisia termejä kuten "vaarallinen", niin kertokaa toki mikä on se täsmällinen tapaus, jossa tietoturvariski ilmenee ja mitä tuo oikeuksien muuttuminen tekee sellaista joka ei olisi mainitussa tapauksessa muutoinkin mahdollista.

Jotta voi puolustautua hyökkäykseltä, pitää ymmärtää mikä se hyökkäys on.

Windowsin riski on varsin yleinen ja tulee helposti vastaan (viittaan tosielämän tapahtumiin hiljattain):

Koneella on virus (joita Windows koneissa helposti on, vrt lehtien tilastot eri maissa, vittaan taas myös reaalimaailman tapahtumiin) - virus tartuttaa tikun - tikku työnnetään johonkin muuhun koneeseen - koneessa on lähtökohtaisesti päällä Autorun, jolloin virus tarttuu toiseen koneeseen ja leviää siitä sitten eteenpäin vastaavalla tavalla.

Näin tapahtuu Windowsissa oletuksena. On mahdollista, että joku ohjelma sen kuitenkin estää - e.m. tapauksessa ei estänyt, ainakaan lähteessä. (Blokkaajia: esim. virusskanneri, VMware ottaa Autorunin pois päältä, jne).

Tosin tapauksessa johon viittasin, ei tarvittu Autorunia - jostain syystä virus yritti tarttua ilman sitäkin (sekä Windows XP että Win 7) heti kun tikun laittoi kiinni. Oikeastaan - en tiedä, että miksi ihmeessä, ilmeisesti Windowsissa on Autoruniakin suurempi kupru.

[qwertyy]

Windows 7:ssa noin ei muuten oletuksena tapahdu. Se on MS:n täysin tietoisesti tehty tietoturvaparannus. Se kyllä kysyy avataanko tikku tms. mutta mitään suoritettavia ohjelmia ei avata enää vaikka mitä valitset. Mitä tulee tietoturvaongelmiin, niin mielestäni tuo linkkaamani videon lopun demo kertoo kyllä kaiken. Ubuntu on näytönsäästäjä tilassa odottamassa että käyttäjä kirjautuu takaisin koneelle. Käyttäjä lykää tikun sisään ja muutaman sekunnin päästä käsittääkseni juuri gnome-screensaver prosessi tapetaan noiden haavoittuvuuksien takia ja työpöytä ilmestyy normaalisti esiin. Eihän tuollainen nyt käy esim. yrityskäytössä päinsä lainkaan. Eikä kyllä sitten mitenkään muutenkaan.

Katsoppas uudelleen tuota videota jostain 19min kohdilta kun siinä aletaan käsittelemään tuota Nautilus haavoittuvuutta ja mahdollisia Ubuntun USB autorun tapauksia. En olisi edes arvannut kuinka syvälle järjestelmään voi päästä. Mielestäni potentiaalisesti paljon pahempia tapauksia mitä tiedän Windowsia koskiessa. Kuten jo rikonen mainitsi, niin myös tuossa videossa viittiin myös mahdollisiin Stuxnet tyyppisiin mahdollisuuksiin Gnomea käyttävissä distroissa. Tarkoittaa kyllä minusta sitä, että käytännössä silloin on mm. Ubuntullekin mahdollista räätälöidä virus joka tarttuilee nimenomaan tuon autorun ominaisuuden ja usb välineiden avulla. Ihan niin kuin Windowseissakin, varsinkin vanhemmissa joissa tuo uhka toki on todellinen.

Tosin tapauksessa johon viittasin, ei tarvittu Autorunia - jostain syystä virus yritti tarttua ilman sitäkin (sekä Windows XP että Win 7) heti kun tikun laittoi kiinni. Oikeastaan - en tiedä, että miksi ihmeessä, ilmeisesti Windowsissa on Autoruniakin suurempi kupru.

Siis torjuntaohjelmasi siis ilmeisesti ilmoitti viruksesta? Niin kunnollisen virustorjunnan pitää luonnollisesti tehdäkin taustatarkistuksen ansiosta. Virustorjuntaohjelmat saattaa alkaa skannaamaan mediaa heti liitettyä ja kuuluu asiaan jos tikulta löytyy virus. Muistaakseni jopa MS:n oma torjuntaohjelma tekee nykyään näin. XP voi saastua tikun kiinnittämisestä, mutta kuten mainittua seiskalle ei noin voi oletuksena käydä jos et itse ole laittanut autorun ominaisuutta päälle.

[Jaer]

Ok.
En siti ole huolissani, sillä kun nyt on tilanne tiedossa. Niin odotellaan päivitystä.

[Ganymedes]

Joo eikä tuossa edellä ole vielä kerrottu mitään konkreettista asiasta ... siis tietokoneet ovat yleiskäyttöisiä koneita joille voi tehdä kaikenlaisia ohjelmia, ei kai sitä kukaan epäile. Teknologiademoista on vielä pitkä matka toimiviin ohjelmiin - tässä tapauksessa viruksiin ja haittaohjelmiin - molemmista puhuttiin yllä.

Joten kertokaa ihan rohkeasti vain että missä tapauksessa ja millä edellytyksillä uhat toteutuvat tällä hetkellä? Jos halutaan pysyä alkuperäisessä asiassa, niin miten tuo raportoitu, mahdollisesti kiusallinen piirre, edesvaikuttaa kyseisessä asiassa? Noin arviolta tuntuisi siltä, että ei mitenkään, koska jos haittaohjelman pystyy kerran koneelle istuttamaan, niin pystyyhän ne suojaukset muuttamaan samalla, jolloin on yhdentekevää mitkä ne olivat alunperin. Mutta ehkä teillä on mielessä jotakin konkreettista - kertokaa toki.

Kun puhutaan muista asioista - kuten tuosta ruudunsäästäjästä, niin näinkö tosiaan on? En ole itse kuitenkaan - tämä on ihan vain henkilökohtainen mielipide - pitänyt kyseistä ruudunsäästäjän ominaisuutta minään muuna kuin haittaohjelmana jo sinänsä - on erittäin vaikeata ymmärtää sitä minään turvaominaisuutena. Itse kyllä teen jotakin muuta kuin oletan ruudunsäästäjän suojaavan tietokoneeni.

[qwertyy]

Eli et pidä tätä Linuxia koskevaa mahdollisuutta sitten läheskään yhtä pahana kuin Windowsin autorun viruksia? Aika mielenkiintoinen suhtautuminen.

Joten kertokaa ihan rohkeasti vain että missä tapauksessa ja millä edellytyksillä uhat toteutuvat tällä hetkellä?

Videossa on kerrottu kyllä kaikki nuo edellytykset tuon käyttöön. Ainoa mitä esittelijä "harmitteli" oli, että hän ei kerennyt löytää AppArmoria hyödyntävää aukkoa ja demota kyseistä haavoittuvuutta out-of-box asennuksen jälkeen. AppArmoristakin hän väitti tietävänsä periaatteen joka näytti pohjautuvan X11:n tarkkailemattomuuteen ja sen hyödyntämiseen. Ei tuo nyt minusta oikein mairittelevaa ole jos tietokoneeseen pääsee käsiksi tikun paikoilleen tökkäämällä kun on kirjautunut ulos työpöydältä ja kaveri väittää että tuo on ihan oikeasti täysin mahdollista.

On minusta myös aika merkittävää että tuossa esitelmässä käsitellään myös monia muita haavoittuvuuksia ja hyödyntämistapoja, toki tosin osa teoreettisia. Ubuntu ja Linuxit eivät edelleenkään ole hirveän yleisiä, vaan miten käy haittaohjelmien kanssa kun Linuxit yleistyy. Eihän ompullekaan pitänyt olla mitään haittaohjelmia, vaan miten kävi kun järjestelmä yleistyi ja haittaohjelmien tekijät kiinnostuivat siitä.

Minusta on jotenkin aika kiehtovaa, että Linux-yhteisöissä lähes aina kommentoidaan löytyneitä aukkoja juuri tällä periaatteella, että nythän se tiedetään ja joku paikkaa sen. Miltä vuodelta se yksi haavoittuvuuden sisältänyt kirjasto oli tuossakin esityksessä, jostain vuodelta 2002 tai jotain? Lähes kaikki käyttäjät tuntuu käyttävän ulkopuolisia repoja ja suhtaudutaan niin, että järjestelmä on täysin idioottivarma. Windowsiin saa varmasti kyllä haittaohjelmia kun valitsee sopivan sivuston ja asentelee kummemmin perehtymättä ohjelmia. Tämäkään ei ilmeisesti sitten koske Linuxeja millään lailla. Repojen ylläpitäjät varmasti kaikki seuraavat haavoittuvuuksia ja päivittelevät varmasti ohjelmansa.

Jotenkin vain tuntuu siltä, että Linux käyttäjät suhtautuvat varsin ylimielisesti kaikkiin tietoturvaa koskeviin asioihin. Vähän tuntuu että mennään periaatteella: On se ennenkin ollut turvallinen.

Plus ketjun aloituksessa mainittu Nautiluksen "ominaisuus", niin minusta on ainakin aika huolestuttavaa jos joku varmuuskopioi jotain asetustiedostoja tikulle ja palauttaa ne siltä. Muuttaako Nautilus muka niiden oikeudet takaisin sellaisiksi kuin ne oli? Tuskin. Ei minusta ainakaan kovin paljoa edesauta tietoturvallisuutta.

Mitä tulee Jaerin kommenttiin, niin luultavasti tuo on tiedossa. Vai onko? Jos joku foorumille kirjoittava sattuu huomaamaan jonkin ongelma, niin minusta on ainakin siitä vielä varsin pitkä matka asian korjaamiseen. Mitä olen launchpadiin joskus raportoinut bugeja, niin niihinkin on saattanut tulla jonkinlainen vastaus vasta kuukausien päästä. Joskus ei lainkaan tai raportti suljettu kun ei enää tuettu versio.

[JaniAlander]

Siis torjuntaohjelmasi siis ilmeisesti ilmoitti viruksesta? Niin kunnollisen virustorjunnan pitää luonnollisesti tehdäkin taustatarkistuksen ansiosta. Virustorjuntaohjelmat saattaa alkaa skannaamaan mediaa heti liitettyä ja kuuluu asiaan jos tikulta löytyy virus. Muistaakseni jopa MS:n oma torjuntaohjelma tekee nykyään näin. XP voi saastua tikun kiinnittämisestä, mutta kuten mainittua seiskalle ei noin voi oletuksena käydä jos et itse ole laittanut autorun ominaisuutta päälle.

Muistaakseni XP:ssäkin pystyi Autorun ominaisuuden kytkemään pois päältä, mutta se pitää tehdä itse, toisekseen Microsoftilta on tullut ajat sitten turvapäivitys sekä XP:hen että Vistaan, mikä muuttaa tuon käytöksen oleellisesti samaksi kuin Seiskassa.

[Jaer]

Mitä tulee Jaerin kommenttiin, niin luultavasti tuo on tiedossa. Vai onko?

 

En tiedä. Se oli villiarvaukseni.