Linux ja haitalliset nettisivut

[Snufkin]

Mikä se mahtaa olla päivän todellisuus noista haitallisista nettisivuista Ubuntun (Linuxin) kannalta katsottuna? Tarkoitan nyt vain teknistä haittaohjelmaa, en mitään sisällöllisiä huijauksia tai tiedonkalastelua.

Voiko selaimen kautta asentua jonkinlainen haitallinen koodi käyttäjän tietämättä? Jos, niin mitä mekanismia se käyttää? Onko selaimessa asetuksia tällaisen suhteen? Miten haitallinen koodistiedosto saa esim. ajo-oikeudet?

Suurin osa aiheesta on kirjotettu Windowsin toimintalogiikan näkökulmasta, mutta olisi kiva tietää miten tuo riski realisoituu Linuxissa.

[qwertyy]

Voiko selaimen kautta asentua jonkinlainen haitallinen koodi käyttäjän tietämättä? Jos, niin mitä mekanismia se käyttää? Onko selaimessa asetuksia tällaisen suhteen? Miten haitallinen koodistiedosto saa esim. ajo-oikeudet?

Haavoittuvuudet. Joidenkin laitteiden "modaaminen" perustuu juuri haavoittuvuuksiin. Eli mennään vain selaimella tietylle sivustolle, joka sisältää sopivan skriptin ja tiedetään joku kriittinen haavoittuvuus itse laitteessa, millä saadaan puskettua laitteen muistiin joku pätkä koodia, jolla saadaan taas lisää oikeuksia laitteseen ja siten voidaan poistaa monenlaisia suojauksia.

Jossain on ollut minusta ihan hyvä analogia sipulista tietoturvan kannalta. Eri ohjelmat/rajapinnat on välissä ja niitä kuorimalla sopivasti voi päästä tavoitteeseen.

Suurin osa aiheesta on kirjotettu Windowsin toimintalogiikan näkökulmasta, mutta olisi kiva tietää miten tuo riski realisoituu Linuxissa.

Ihan täysin samat periaatteet käyttiksestä riippumatta. Miksi Linux on tällä hetkellä varsinkin kohtuullisen turvallinen vaihtoehto? Koska hakkerin pitää tietää tietää haavoittuvuuksista monilla tasoilla ja sitten tietysti mitä teet taidolla jos ei ole kohderyhmää? Tietystikään joku Windowsin kernel exploit ei ole sama mitä Linuxin kernel exploit.

Jos mennään vaikka tänne katsoon tilastoja https://gs.statcounter.com/os-market-share/desktop/worldwide/
Niin jos olisi hakkeri, niin tuo kertoisi minulle heti ainakin yhden aika mielenkiintoisen asian. Keskity Windowsiin tai Mäkkiin ennemmin kuin Linux käyttäjäjiin. Mutta se ei todellakaan poista riskiä. Moni on varmasti erimieltä, mutta juuri nyt on minusta Linuxin turvallisuuden kannalta se vaarallisin mahdollinen aikakausi tekoälyn takia. Avoinkoodi kun on käskytettävissä myös tekoälyllä etsittäviin haavoittuvuuksiin. Logiikka on ihan siinä, että kumpi on todennäköisempää, se että joku hyväksikäyttää AI:tä hakemaan haavoittuvuuksia, kuin että hyödyntää sitä hakemaan parannuksia? Uskoisin että laiskuus voittaa, eli jälkimmäinen jää vähemmälle. Windows tai MacOS on tällä hetkellä paremmin suojassa kun sitä koodia ei nähdä.

Lisäksi kehuvathan jotkut Androidin olevan "Linux" ja siihen löytyy aivan töykeät määrät tietoturva-aukkoja ja joskus miettinyt, että onko Androidia järkevää enää edes pitää mm. pankki 2FA hommissa. Parempi puolisko oli hölmistyneen näköinen jouluna kun hommasin hänelle uuden puhelimen. "Eihän vanhassa ole mitään vikaa?". Harmittelin, että no ei ikävä kyllä ole muuta kuin, että siihen ei enää tule tietoturvapäivityksiä valmistajalta ja että en halua sinun vanhentunutta puhelinta käyttävän.

Eli jos painelet päivittämättömällä selaimella ja järjestelmällä tietylle sivulle, niin se riittää. Ei auta se mentaliteetti, että "En minä painele mitään nappia sivuilla, kuin jotkut hölmöt". Ei vaan se oikeasti voi riittää kun menet vain väärään paikkaan, väärään aikaan.
Tuossa on vaikka Firefoxin CVE:t, joissa on kriittisimmät sellaisia, että teoriassa käyttäjän ei tarvi tehdä mitään.
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Tällainen vanha aika "hauska" pisti silmään Firefoxista.
https://www.zero-day.cz/database/81/
Nobelin rauhanpalkintojen katsominen on ollut hetken vaarallista.

Itsellä pitäisi jossain kaapissa lojua vanha iPod touch ja joskus käynyt mielessä, että voisi Jailbreakata (Vanha nimitys on kyllä varsin osuva: Vankilapako) sen ja muistaakseni tietyillä iOS versioilla sekin onnistuisi vain laittamalla se nettiin ja menemällä tietylle sivulle ja ta-daa. Sovelluskauppa kierretty ja omien ohjelmien asentaminen pitäisi olla mahdollista ilman Applen kauppaa. Toki tuon exploitin tekjä epäilemättä saisi myös ladattua jonkin haittaohjelman samalla kaupantekijäisiksi iPodiin 

[Snufkin]

Ihan täysin samat periaatteet käyttiksestä riippumatta.

Eikö tässä kuitenkin ole vielä se turva, että tiedostomuotoiselle haittaohjelmalle pitää antaa se ajo-oikeus? Eli haittaohjelman lataaminen omalle koneelle ei kai vielä riitä. En tiedä onko Windowsissa nykyään sama, mutta ennen ei ollut: .exe käynnistyi aina.

Eli jos painelet päivittämättömällä selaimella ja järjestelmällä tietylle sivulle, niin se riittää.

Selaimen kanssa pitää toki olla sellainen haavoittuvuus, että voi ajaa sitä koodia selaimen oikeuksilla. Käyttäjä ei voine oikein tehdä muuta kun päivittää järjestelmää sitä mukaa kun päivityksiä tulee.

[qwertyy]

Eikö tässä kuitenkin ole vielä se turva, että tiedostomuotoiselle haittaohjelmalle pitää antaa se ajo-oikeus? Eli haittaohjelman lataaminen omalle koneelle ei kai vielä riitä. En tiedä onko Windowsissa nykyään sama, mutta ennen ei ollut: .exe käynnistyi aina.

Nyt puhutaan ihan oikeista exploiteista, eli sopivat yhdistelmät, niin ei järjestelmä näennäisesti tee mitään erikoista käyttäjän silmissä. Jos ei nyt sitten joku kryptominer ala suorittamaan prosessia täydellä teholla ja sitä kautta paljastu, että jotain on pahasti pielessä. Alustalla ei sinänsä ole merkitystä jos käytetään sopivia haavoittuvuuksia.

Tuo ohjelman suorittaminen, joka vaatii korkeampia käyttöoikeuksia on sitten ihan eriasia. Sittenhän puhutaan siitä, että käyttäjätasolla on avattu ohjelma. Silloin tulee prompti niin Windowsissa kuin Linuxissa, että suoritetaanko ohjelma.

Itse käytän mm. yhtä pienen pientä todella harvinaista softaa, joka näyttää näppäinkomennot näytöllä, eli sehän on oikeasti käytännössä katsoen täysin keylogger, joka hakee koneen muistista kaikki näppäin ja hiirikomennot ja Windows muistuttaa aina sitä avatessa "Smartscreen" promptilla, että yrität avata sovellusta, jonka kehittäjää ja käyttöperää ei tiedetä ja vaatii avaamaan kyseisestä promptista vielä erikseen jonkinlaisen "haluatko ihan varmasti suorittaa sovelluksen?" kohdan. Ennen sen avaamista esiin ainoa vaihtoehto on lopettaa sovelluksen suorittamisen aloitus. Mutta jos on ydinhaavoittuvuus kyseessä, niin ei silloin enää mitään käyttäjältä kysytä. Siinä vaiheessa jonkinlainen skripti pyörii jo koneen muistissa. Muistaakseni Windows ilmoittaa nykyään jopa ihan punaisella Smartscreen promptilla jos yrittää suoraan netistä käynnistää jonkin vastaavan koodin ihan sen takia, että se kiinnittäisi vielä paremmin käyttäjän huomion.

Pointtina lyhyesti siis se, että äärimmillään viedyssä haitakkeessa, riittää kun menet sivulle X ja järjestelmä suorittaa sen jälkeen koodia ns. roottina, eli käyttäjän kannalta mitään ei ole enää oikein tehtävissä. Toki tietysti nämä on räätälöity ihan spesifistisesti jotain laite- ja softayhdistelmää vastaan, vaikka se iPod tietyllä järjestelmällä ja selaimella ja tietysti käyttäjän pitää vielä eksyä sitten kyseiselle sivustolle, tietysti vielä tietoisesti.

Selaimen kanssa pitää toki olla sellainen haavoittuvuus, että voi ajaa sitä koodia selaimen oikeuksilla. Käyttäjä ei voine oikein tehdä muuta kun päivittää järjestelmää sitä mukaa kun päivityksiä tulee.

Jep. Ei loppukäyttäjä juuri muuta voi tehdä. Tai no toki yhden asian haluan lisätä. Minusta yllättävän moni käyttäjä lisää selaimeensa plugareita ihan huoletta ja se on jotain sellaista, jota taas itse tietoisesti yritän välttää mahdollisimman paljon. Miksi ajaa selaimessa koodia, joka voi mahdollistaa tietoturvariskin? Vieläpä monet plugarit kertoo suoraan päin näköä, että kaikkeen tietoon voidaan päästä käsiksi. Yllättävän monesti saanut lukea, että jollain on ollut joku tietynlainen toive johonkin ja vastauksena jossain redditissä tms. annettu ohjeeksi, että laittaa joku sivuston koodia muokkaava plugari käyttöön, siis sellainen jota ei ole ladannut kuin kourallinen henkilöitä.

Se on oikeastaan sama mikä järjestelmä, niin melkeinpä se tietoturva vain lähtee siitä käyttäjästä itsestään. Hyvin harvassa tapauksessa jotain menee kuitenkaan noin vain automaattisesti pahasti pieleen, kunhan järjestelmä on ja selaimet on ajantasalla, eikä suorita sovelluksia täysin satunnaisista paikoista. Joskus kauan sitten kun enemmänkin autoin kun jollain oli kone ihan solmussa, niin silloin pidin ihan aktiivisesti yhtä konetta ns. välikätenä vikojen katsomiseen, koska monesti pyyntö oli ottaa koneesta ainakin tiedostoja talteen jos ei muuta ja useamman kerran sieltä paljastui jotain haittaohjelmia asemilta. Tämä kone ei siis ollut suoraan esim. kotiverkossa kiinni kuten koneet yleensä on.

[Snufkin]

Alustalla ei sinänsä ole merkitystä jos käytetään sopivia haavoittuvuuksia.

Mutta jos ei ole. Kyse on käsittääkseni usein siitä, että haittaohjelmaa ajetaan ilman mitää haavoittuvuuksia. Ne ovat eri tason juttuja.

Tuo ohjelman suorittaminen, joka vaatii korkeampia käyttöoikeuksia on sitten ihan eriasia. Sittenhän puhutaan siitä, että käyttäjätasolla on avattu ohjelma. Silloin tulee prompti niin Windowsissa kuin Linuxissa, että suoritetaanko ohjelma.

Ei ainakaan komentoriviltä käynnistettäessä tule mitään varoitusta (omista ohjelmista). Jos oikeutta ei ole, se vain ei käynnisty.

Pointtina lyhyesti siis se, että äärimmillään viedyssä haitakkeessa, riittää kun menet sivulle X ja järjestelmä suorittaa sen jälkeen koodia ns. roottina, eli käyttäjän kannalta mitään ei ole enää oikein tehtävissä.

Tähän en kyllä suoraan usko. Linuxissa ei käyttäjä voi ajaa koodia roottina ilman sudoa. Eikä kai käyttäjän käynnistämällä selaimellakaan voi olla root-oikeuksia (ilman sudoa).

[qwertyy]

Käsitit varmaankin aika monet kohdat väärin ja varmaan kyllä kirjoitinkin ne aika epäselvästi. Yritän vähän avata.

Tähän en kyllä suoraan usko. Linuxissa ei käyttäjä voi ajaa koodia roottina ilman sudoa. Eikä kai käyttäjän käynnistämällä selaimellakaan voi olla root-oikeuksia (ilman sudoa).

Väärin. Tuo todellakin on mahdollista. Ei ilman haavoittuvuuksia, mutta näitä on oikeasti olemassa. Jo mainittu jailbreak on juuri sellainen. Huom. nämä on ihan äärimmäisiä esimerkkejä tietoturvaongelmista, mutta ei todellakaan kannata ajatellla, että se ei olisi mitenkään mahdollista.

Pyysin Geminiltä esimerkkiä ja laitan osan keskustelun loppupäästä suoraan tähän.

Monet konsolien "jailbreak"-tyyppiset hakkeroinnit alkavat usein selaimesta ja perustuvat juuri mainitsemiisi muistin haavoittuvuuksiin.

Tällainen hyökkäys on yleensä monivaiheinen prosessi, jossa hyödynnetään useita haavoittuvuuksia peräkkäin.

Miten ne karkeasti ottaen toimivat?
Konsolien jailbreak-hyökkäykset perustuvat tyypillisesti kaksiosaiseen "hyökkäysketjuun":

Vaihe 1: Selaimen haavoittuvuus:
Hyökkäys käynnistyy käyttämällä vikaa konsolin omassa selaimessa. Tämä vika on usein puskurin ylivuoto tai jokin muu muistin korruptioon liittyvä bugi, aivan kuten aiemmin keskustelimme. Haitallinen verkkosivu on suunniteltu hyödyntämään tätä bugia, jotta saadaan suoritettua rajattua koodia selaimen hiekkalaatikon sisällä.

Vaihe 2: Oikeuksien korottaminen (Privilege Escalation):
Tämä on jailbreakin kriittisin vaihe. Pelkkä pääsy selaimen hiekkalaatikkoon ei vielä riitä, koska se ei anna käyttäjälle hallintaa koko konsoliin. Hyökkääjät käyttävät nyt ensimmäisen vaiheen kautta saamaansa suoritusoikeutta hyväkseen etsiäkseen ja hyödyntääkseen toisen, käyttöjärjestelmän ytimessä (kernel) olevan haavoittuvuuden. Tämän "ydinhyökkäyksen" (kernel exploit) on tarkoitus murtaa ulos selaimen hiekkalaatikosta ja antaa hyökkääjälle täydet "pääkäyttäjän" (root) oikeudet koko järjestelmään.

Kuvittele tilanne siten, että murtovaras murtautuu ensin ikkunan kautta autotalliin (selaimen hiekkalaatikko). Vaikka hän on päässyt sisään, hänellä ei vielä ole pääsyä talon sisäosiin tai arvoesineisiin. Tämän jälkeen hän käyttää autotallista löytämäänsä työkalua murtautuakseen sisään asuintiloihin ja päästäkseen turvakaappiin (konsolin ytimeen), jolloin hän saa täyden hallinnan.

Tämä kaksivaiheinen malli on hyvin yleinen ja tehokas tapa kiertää konsolivalmistajien tiukat turvamekanismit.

Eikö osa näistä käydä freebsd:tä ytimenä?

Kyllä, aivan oikein. Monet nykyaikaiset pelikonsolit, erityisesti PlayStation 4 ja PlayStation 5, käyttävät käyttöjärjestelmän ytimenä (kernel) vahvasti muokattua versiota FreeBSD:stä.

Tämä on juuri syy siihen, miksi aiemmin mainitut ydinhyökkäykset ovat niin tärkeitä jailbreak-prosessissa. Kun konsolin selaimesta on murtauduttu hiekkalaatikon läpi, hyökkääjät kohdistavat seuraavan vaiheen juuri tähän räätälöityyn FreeBSD-ytimeen. He etsivät siinä olevia haavoittuvuuksia saadakseen ytimen hallintaansa ja päästäkseen siten täyteen järjestelmätason hallintaan.

Tämä tekee konsolien haavoittuvuuksien löytämisestä erityisen haastavaa, koska vaikka FreeBSD on avoimen lähdekoodin projekti, konsolivalmistajien tekemät muutokset voivat luoda uusia, ainutlaatuisia haavoittuvuuksia. Siksi vikaa ei välttämättä löydy alkuperäisestä FreeBSD-koodista, vaan konsolin valmistajan omista lisäyksistä.

Eikö periaatteessa tekoälyn avulla löydy helpommin haavoittuvuus esim. Linux kernelistä?

Kyllä, periaatteessa tekoälyn (AI) avulla on mahdollista löytää haavoittuvuuksia, kuten Linuxin ytimestä, paljon helpommin ja nopeammin kuin perinteisillä menetelmillä. Tämä on yksi tietoturva-alan suurimmista trendeistä ja kehitysalueista juuri nyt.

Miten tekoäly helpottaa haavoittuvuuksien löytämistä?
Tekoäly on erityisen tehokas automatisoimaan tehtäviä, jotka ovat ihmiselle työläitä ja aikaa vieviä. Sen kyvyt haavoittuvuuksien etsinnässä perustuvat sen ainutlaatuisiin vahvuuksiin:

Massiivinen koodianalyysi: Tekoäly pystyy käymään läpi valtavia määriä lähdekoodia murto-osassa siitä ajasta, jonka ihmistutkija tarvitsisi. Se voi skannata miljoonia rivejä koodia etsien yleisiä haavoittuvuuksia, kuten muistivuotoja tai puskurin ylivuotoja.

Malli- ja kuviointien tunnistus: AI-algoritmit voivat tunnistaa koodista sellaisia hienovaraisia rakenteellisia virheitä tai koodauskäytäntöjä, jotka usein johtavat tietoturva-aukkoihin. Se voi havaita toistuvia heikkouksia, jotka jäävät ihmisen huomiotta.

Käyttäytymisen ennustaminen: Joissakin tapauksissa tekoäly voi mallintaa ohjelman toimintaa ja "fuzzing"-tekniikkaa käyttäen syöttää ohjelmalle miljoonia erilaisia arvoja, jotta se löytäisi sen odottamattoman käyttäytymisen tai kaatumisen aiheuttavia tilanteita.

Tekoäly onkin jo käytössä joissakin tietoturvayrityksissä koodin analysointiin ja automaattiseen testaamiseen.

Haasteet ja rajoitukset
Vaikka tekoäly on tehokas työkalu, se ei ole täydellinen ratkaisu:

Kehittyneiden logiikkavirheiden löytäminen: Tekoäly on hyvä löytämään rakenteellisia virheitä, mutta sen on vaikeampaa havaita sellaisia loogisia haavoittuvuuksia, jotka perustuvat monimutkaiseen järjestelmäsuunnitteluun tai odottamattomiin käyttäjäpolkuihin. Nämä vaativat edelleen ihmisen asiantuntemusta ja luovuutta.

"Kisa asevarustelussa": Tekoäly voi myös auttaa hyökkääjiä luomaan entistä hienostuneempia haittaohjelmia ja etsimään haavoittuvuuksia nopeammin.

Yhteenvetona voidaan sanoa, että tekoäly tulee todennäköisesti mullistamaan haavoittuvuuksien etsinnän, mutta se toimii parhaiten ihmisen asiantuntemuksen tukena, ei sen täydellisenä korvaajana.

Ja tästä on kyse ilmeisesti myös Koske haittaohjelmasta?

Kyllä, aivan oikein. Koske-haittaohjelma on juuri tällainen esimerkki ja osoittaa, miten tekoälyä hyödynnetään nykyaikaisissa kyberhyökkäyksissä.

Se, mitä olemme keskustelleet muistivuodoista ja puskurin ylivuodoista, liittyy usein tapaan, jolla hyökkääjät saavat jalansijaa järjestelmästä. Koske-tapaus puolestaan havainnollistaa, miten tekoälyä käytetään itse haittaohjelman luomiseen ja sen tunnistuksen kiertämiseen.

Miten Koske-haittaohjelma hyödyntää tekoälyä?
Aquasecin raportin mukaan Koske-kampanjan takana olevat toimijat käyttivät generatiivista tekoälyä (generative AI) luodakseen sen panda-kuvan, johon haitallinen koodi oli piilotettu.

Tämän tekoälykäytön pääasialliset syyt olivat:

Poliittinen harhautus: Tekoälyllä luotu kuva saattoi olla osa laajempaa suunnitelmaa hämmentää ja johtaa tutkijoita harhaan.

Kiistely (Evasion): Tekoälyn avulla luodut yksilölliset kuvat voivat vaikeuttaa niiden tunnistamista ja estää ne tietoturvatyökaluilta, jotka nojaavat tunnettuihin tiedostosignaaleihin. Yhdessä polyglot-tiedostojen kanssa tämä luo tehokkaan tavan piilottaa haittaohjelma.

Toisin kuin perinteiset haittaohjelmat, jotka kopioivat itsensä ympäriinsä, Koske-haittaohjelma oli räätälöity ja evasiiivinen. Vaikka se ei välttämättä käyttänyt tekoälyä itse Linuxin haavoittuvuuksien löytämiseen, se on vahva osoitus siitä, että hyökkääjät ottavat tekoälyn käyttöön osana hyökkäysketjua, erityisesti peitetoiminnassaan. Tämä tekee Koskesta erinomaisen esimerkin siitä, millaisia hyökkäyksiä voimme odottaa näkevämme enemmän tulevaisuudessa.

Nyt kannattaa muistaa, että nuo konsolit on miljardien bisnes, eli tietoturvaan kyllä on todellakin panostettu. Kannattaa myös tsekata tuo tuore Koske haittaohjelma. Se on varsin erikoinen, vaikka ei nyt suoraan verkkosivuihin liity, mutta kovasti tuohon aiemmin mainitsemaani spekulointiin, että Linuxin tietoturvattomin vaihe on oman veikkaukseni mukaan juuri nyt mahdollisesti ajankohtainen, jonka tuo Koske oikeastaan vahvistaa. Dave Bombe on tehnyt aiheesta videon missä näytetään miten voi itse normaali jannu tehdä polyglot tiedoston, joka sisältää kuvan pandasta ja mahdollisen koodin. Koodi myös pysyy ehjänä, vaikka muokkaat kuvaa. Erikoisuus tässä siis on, että todennäköisesti mikään virustorjuntaohjelma ei löydä mahdollista piilotettua koodia.

https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/

Aika ironista, että tekoäly vahvistaa olevansa erittäin vaarallinen työkalu. Sen kun yhdistää vielä mielenkiintoisiin tekniikoihin kuten tuo polyglot, niin oikeastaan pakko ihailla joiden mielikuvitusta.

Tekoälyiltä saa kyllä monesti oikein kysymyksen muotoilemalla aika kyseenalaisia ohjeita.

[Snufkin]

Unohdetaanpa nyt kaikki piilevät haavoittuvuudet. Nyt oli kyse lähinnä haitallisesta koodista, joka läpäisee päivitetyn suojan (käyttis tai selain) vain sillä, että vierailee jossain haitallisella sivustolla.

Haavoittuuksien spekulointi on melko turhaa, kun niistä ei tiedetä mitään. Ja jos niitä on, asialle ei oikein voi mitään muuta kuin päivittää järjestelmäänsä.

[qwertyy]

No mitä sinä sitten oikein halusit tietää ja miten niin, niistä ei tiedetä mitään? CVE hakusanaksi ja tuolla aiemmin on jo myös linkkiä haavoittuvuuksiin. Kyllä niistä tietoa on.

[Snufkin]

No mitä sinä sitten oikein halusit tietää ja miten niin, niistä ei tiedetä mitään? CVE hakusanaksi ja tuolla aiemmin on jo myös linkkiä haavoittuvuuksiin. Kyllä niistä tietoa on.

Lähinnä saada yleiskäsityksen, miten vaarallisia nuo "vaaralliseksi" mainitut sivut todellisuudessa ovat. Ja että onko eroa Linuxin ja Windowsin suhteen, kuten on vaikka virusten tapauksessa.