Linux rendszer sebezhetőség ISP felől frissítések útján

Fórum: 

Sziasztok!

Kb egy hetes kezdő Linuxos vagyok. Sok kérdésem közül az első a rendszerbiztonsággal kapcsolatos:

Amikor a rendszer frissítést keres, legyen ez akár alkalmazás, kernel, driver, biztonsági...akármi, akkor kiszúrja e a frissítő, ha pl az ISP felől vagy egyéb módon eltérített irányból érkezik kártékony kód? Tehát ha valaki támad egy adott felhasználót, tudja, hogy milyen rendszert használ, akkor tudja, hogy milyen frissítést fog a gépe keresni. Egy ilyen frissítést módosítva adhat e a támadott fél rendszerére, ha a támadó teljes hozzáféréssel rendelkezik az ISP hez? (pl egy Flash Playert mindenki leszed, célszerű a támadó szervezetnek egy fertőzöttre módosított Flash Playert készíteni, és a gép frissítési igénye esetén az ISP azt adja a gépnek)

A frissítések integrálhatóak egy Linux telepítőbe, hogy esetleg egy 4 év támogatottságú kiadás harmadik évében már ne kelljen az installt követően leszedni a frissítések nagy részét? Van ilyen elszánt illető (mint pl az oprend.hu esetén Kori) aki ezeket integrálja, és hozzérhetővé teszi a rendszerek közel naprakészre frissített ISO képeit?

A frissítések, amiket leszed a gép egy installt követően, mennyire hardware specifikusak? Mindenkinek ugyanaz a frissítés jut, vagy minden hardware-re teljesen más? (gondolom itt egy x százalék lesz a válasz, érdekelne hogy nagyjából mennyi az, amit mindenki megkap a gépétől függően)

Biztonsági frissítések mennyire jellemzőek erre a rendszerre? Vannak Linux rendszer sebezhetőséget kutató szervezetek, akik az eredményekkel segítik a fejlesztőket? Egy tipikus biztonsági rés (ha ez egyáltalán értelmezhető kifejezés) milyen jogosultságokat adhat egy támadónak, milyen adatokhz férhet hozzá?

Létezik e olyan, hogy bizonyos időközönként szerviz csomagok jelennek meg a rendszerhez?

Köszönöm

kimarite képe

RE: Linux rendszer sebezhetőség ISP felől frissítések útján

Értékelés: 

0
Még nincs értékelve

@#0 'ha a támadó teljes hozzáféréssel rendelkezik az ISP hez'
A kérdésnek így túlzottan nincs értelme, mert akkor akár a biztonságos kapcsolat felépítését, a hitelesítési kulcsokat, stb. szimulálhatja, utánozhatja. Ennek semmilyen rendszer nem tud ellenállni bizonyos helyzetek együttállása esetén. Nincs feltörhetetlen rendszer, de a fenti állítást vagyis a kérdést pontosítani kéne.
Mit olvastál, hol, milyen támadásra gondolsz?
A védekezés a csomagokat tartalmazó kiszolgálók tartalmának gyakori ellenőrzése. És igen, ez folyamatosan megtörténik a(z általános megfogalmazásban) linux-nak nevezett rendszereknél is. Máshogy nem lehet ... .
Az Internet szolgáltatók (ISP) felől (keresztül) érkező támadásokat ugyanúgy a veszélyes site-ok kerülésével és más módszerekkel lehet kivédeni, mint más operációs rendszert használva. A fenyegetések megjelenésének elhárítása a szolgáltató feladata.
Beszélhetünk a névfeloldó szerverek biztonsági fokozatáról, például a Google DNS kontra magyarországi internet szolgáltatók szervereinek biztonsági fokáról. Ezeken a szervereken is vizsgálják, bizonyos szempintok szerint szűrik az áthaladó forgalmat. Ez csak egy rész az egészből, és nem álltam ki sem a Google, sem a szolgáltatók mellett.
A frissítéseket csak valamilyen internet szolgáltató szolgáltatására előfizetve tudod letölteni, tehát nem tudod kikerülni ezeket, a forgalmad rajtuk keresztül megy. Túl sok támadásról nem hallani. A védekezés módja lehet a Backup módszerek valamelyike vagy több ilyen módszer együttes alkalmazása. Általános 'megoldások a szoftveres tűzfal, a fizikai tűzfal (router/de ugye egy 300ezer forintos pl. cisco router, na az lenne az 'igazi' fizikai védelem), a biztonsági szoftver, az egyéni alkalmazások; IPtables, rkhunter, chkrootkit, fail2ban, stb... A legtöbb támadás manapság még nem a linux rendszerek ellen indul.

"Mit olvastál, hol, milyen támadásra gondolsz"

Értékelés: 

0
Még nincs értékelve

Ezt néztem a youtuben:

https://www.youtube.com/watch?v=qcdNQGXZSfs

Ha jól emlékszem ebben (de lehet hogy egy másik előadó ezen az előadási napon) említette, hogy a szolgálatoknak törvény lehetősége van az ISPnél bármit megtenni.

Win rendszert igen sokat telepítettem. Bevett mozdulatsor volt az Adobe Flash Player leszedése. Rendesen googliba beírtam, az elnavigált az Adobe oldalára. Ott már szedtem is lefelé az online installert. Mivel ez egy begyakorlott mozdulatsor volt a részemről, már fejből tudtam, hogy mekkora file méret jön le. És nem az a file méret volt, amit megszoktam. A gépen fenn volt a Panda ingyenes virusirtó. Azt kézzel indítva, vírust jelzett rá. (frissen rakott rendszer, minden szoftver ok, elötte semmi netezgetés a gépen, az adobe oldala volt az első amit megnyitottam vele az oprendszer felrakása után) Tehát vírusmentes gép virust szed le a virusmentes weboldalról.

Ebben az időben küldözgettek a mail címemre zipbe vagy rarba becsomagolt néhány 10 kb os fileokat. Ismeretlen és teljesen random generált mail címről. Filet leszedtem. Átraktam pendrivon egy net nélküli gépre. Ott kbontottam és elenőriztem. Panda jelezte hogy vírus (Ingyenes verzió!!!). A küldött filet egy próbára telepített gépen (frissen felrakva, tutira virustiszta) lefuttatam, miközben net kapcsolattal nem rendelkezett. A küldött program egyébként egy képernyő pihetetőnek volt álcázva-neve alapján, és csak az adhatta neki azt a nevet, aki engem (érdeklődési körömet) ismer vagy lehallgat. A program kiírt egy hibaüzenetet és kész. Ezután már a viruskereső se talált vírust se a gépen, se a fileban!!! Arra gondoltam, hogy kinyírta a viruskeresőt. De amikor újra feltelepítettem a víruskeresőt, akkor se talált vírust se a gépen,  se a fileban. Tehát a rendszeren módosított valamit.  Vagyis virust csak megelőzni lehet (jobb esetben) utólag irtani nem.

"Általános 'megoldások a szoftveres tűzfal, a fizikai tűzfal (router/de ugye egy 300ezer forintos pl. cisco router, na az lenne az 'igazi' fizikai védelem)"

Én leszedtem ezt:https://www.sophos.com/hu-hu/products/free-tools/sophos-xg-firewall-home...

Összeraktam egy tűzfal PCt: gigabyte n3150n-d3v alaplap két lan kártyával az XG tűzfalnak.

Figyem a log fileokat. http://nemetsuli.pomaz.hu/ hoz tartozó IPről éjszaka is rendszeresen érkezik támadás a gépemre(nagyon sűrű a log file, még sok más helyről is jön minden, de mire kiguglizom az adott ip címet, már ismét van soik új guglizni való ip -aminek persze a 99,99%a teljesen normális). Ha újrarakom a gépem, még fel se megyek semmi weboldalra, akkor sis találtam a log fileben ilyet.

Miután a mailon kapott fileokat mindig elküldtem a virustotalra, illetve azoknak a virusirtó gyártóknak, akiknél van virus gyanus file feltöltési lehetőség ellenőrzésre, megszűnt a mailos bepróbálkozgatás. Gondolom amit mindig küldtek, az egy nulladik napi sebezhetőségre irányuló támadás lett volna, de miután én széjjelküldtem minden víruskereső szoftver fejlesztőnek "Finisher finspy?" témamegjelöléssel, már nem volt nulladik napi. Ezért mindig küldték az újat. Majd megunták.......már hinyzik is igazából....

Egyébként a virustotalon ezekre a nulladik napi támadásokra (Win rendszer)ezek jeleztek pozitivot:Avast, Eset, Malwarebytes, McAffe,Micro WorldEscan, Panda, Rising, Sophos. Két hét múlva ugyanezt a filet tesztelve a VirusTotal 70%a jelzett rá virust.

Csak ezért érdeklődtem a téma iránt.

Egyébként elektronikai kutatási oldalakat szoktam látogatni, se terror, se gyerekporno, se b.mba k.szítés, se reptér menetrend se ilyesmi. Sima amatőr hobbi.

 

 

kimarite képe

RE:"Mit olvastál, hol, milyen támadásra gondolsz"

Értékelés: 

0
Még nincs értékelve

#2 https://www.youtube.com/watch?v=qcdNQGXZSfs
-- Igen, a Hactivity konferencián sok ilyen érdekes előadás volt. De tulajdonképpen bármit meg lehet tenni .., csak akarná és kérdése. Az Android telefonoknál érzek hiányosságot, hogy a gyártók a frissítéseket 'nem adják át' azonnal. De az Iphone is bőven -hasonlóan- sebezhető, és a Windows Phone is 'ugyanígy' sebezhető. A vírusok általában Windows-ra vannak, és OS X-re, a linux inkább rootkitekben 'jeleskedik' (erre írtam alkalmazásokat), abban sem sokban, és megjelent pár vírus is. A krekkereknek bőven van eszköztáruk, azaz jó a műszaki felszereltség. Miért, mert .. kiderül a videóból, politikai célból, s az eszközök kikerülnek a nyilvánossághoz is, ott sincs nagyobb baj (nekünk), csak visszafelé fog működni. Általában nem magánembereket támadnak, esetleg zombi hálózat kiépítése miatt mégis fertőzik ezeket. A videóban hallható, hogy 'valahogy' célhoz kell juttatni pl. egy kozmetikázott -kraftolt- URL-t (később a VPN említve van). Ennek része egy szociális támadási forma (https://hu.wikipedia.org/wiki/Pszichol%C3%B3giai_manipul%C3%A1ci%C3%B3_- IKT), szerintem mindig használják, az emberi viselkedésre építenek, amit semmilyen alkalmazás nem tud 'kivédeni'. A videó ebben a tekintetben nem mond nagy újdonságot ..., mert jó rég olvastam ezt a könyvet (ajánlom is); A Háló kalózai - Hogyan lopjunk kontinenst (131ah, Russ Rogers, Jay Beale,Joe Grand, Fyodor, FX, Paul Craig, Timothy Mullen [Thor], Tom Parker). Azért ez egy elég régi könyv, viszont a social engineering módszer kiválóan modellezni :). Amolyan Agatha Christie-s, de nagyon jó. És igaz(nak is tűnhet, persze, nem tudni ... semmit)
A videó főként a Windows támadásáról szól. Windows alkalmazások nem futnak linux alatt -kivéve Wine alatt, de elszeparáltan (törölhetően) valamennyire- így a linux alatt veszélytelenek. Kivéve, amik a böngészőt támadják, de akkor is a home/user könyvtár lenne elméletileg sebezhető, ez ellen (netes sebezhetőség) is lehet védekezni, pl. a Docler vagy hasonló alkalmazásokkal. A felhasználón szinte minden múlik, a rendszer azért eléggé védett, a jogosultsági szintek miatt is (linux fórumon vagyunk, másról nem beszélek). Amúgy a hekket szót általában a programozókra használják, az etikus szóval karöltve, a rosszindulatú a krekker. (h --> cr)

'Ha jól emlékszem ebben (de lehet hogy egy másik előadó ezen az előadási napon) említette, hogy a szolgálatoknak törvény lehetősége van az ISPnél bármit megtenni.'
-- Meg. De elképzelhetetlen sokat hibáznak ők maguk is, egymással szinte sosem működnek együtt, sem az átlagemberek érdekében, sem a maguké miatt. Erre folyamatosan vannak törekvések, én azért remélem, nem a franciák elképzelése valósul meg, egyrészt mert nem úgy kéne, másrészt mert azt, amit egy éve kijelentettek, nem gondolták át - utóbbi másban is jellemző rájuk, persze, nem csak rájuk, na jó, ez ellenirányú elfogultság, hagyjuk is. :)

'Win rendszert igen sokat telepítettem. Bevett mozdulatsor volt az Adobe Flash Player leszedése. Rendesen googliba beírtam, az elnavigált az Adobe oldalára. Ott már szedtem is lefelé az online installert. Mivel ez egy begyakorlott mozdulatsor volt a részemről, már fejből tudtam, hogy mekkora file méret jön le. És nem az a file méret volt, amit megszoktam. A gépen fenn volt a Panda ingyenes virusirtó. Azt kézzel indítva, vírust jelzett rá. (frissen rakott rendszer, minden szoftver ok, elötte semmi netezgetés a gépen, az adobe oldala volt az első amit megnyitottam vele az oprendszer felrakása után) Tehát vírusmentes gép virust szed le a virusmentes weboldalról.'
-- Erről csak annyit mondanék, hogy az imént megnéztem volna egy Ustream adást, ezen a gépen a Pipelight-tal hozott Flash-sel nem sikerült (egy régebbivel sikerült volna és tervezem is .. vagy a másik gépen megpróbálom csak azt az oldalt). Egyáltalán nem is értem, hogy az Ustream miért használ  ma is Flash-t, elképzelhetetlen. Pocsék, soha nem javította időben az Adobe, húzta, halasztotta a javításokat hónapokig is ... .
A linux flash verziókat a 'szoftvertelepítőből' kapod, nem kell letölteni, általában minden onnan jön, egy helyről. A Flash nem igazán támogatott, mármint .. egyszer az adobe fogta magát és leállt vele. Pótolható, megoldható.

'Ebben az időben küldözgettek a mail címemre zipbe vagy rarba becsomagolt néhány 10 kb os fileokat. Ismeretlen és teljesen random generált mail címről. Filet leszedtem. Átraktam pendrivon egy net nélküli gépre. Ott kbontottam és elenőriztem. Panda jelezte hogy vírus (Ingyenes verzió!!!). A küldött filet egy próbára telepített gépen (frissen felrakva, tutira virustiszta) lefuttatam, miközben net kapcsolattal nem rendelkezett. A küldött program egyébként egy képernyő pihetetőnek volt álcázva-neve alapján, és csak az adhatta neki azt a nevet, aki engem (érdeklődési körömet) ismer vagy lehallgat. A program kiírt egy hibaüzenetet és kész. Ezután már a viruskereső se talált vírust se a gépen, se a fileban!!! Arra gondoltam, hogy kinyírta a viruskeresőt. De amikor újra feltelepítettem a víruskeresőt, akkor se talált vírust se a gépen,  se a fileban. Tehát a rendszeren módosított valamit.  Vagyis virust csak megelőzni lehet (jobb esetben) utólag irtani nem.'
-- ez mind gondolom, a Windows alatt érvényes, a linux tárolókat használ a napi működéshez vagy PPA-kat, git-et - ezek jóval megbízhatóbbak, gondot fordítanak erre. Ismeretlen fájlokat nem szoktam letölteni ... social engineering :) ugye-ugye. Másrészt persze, nenéz mégis kivédeni ezeket, de nem lehetetlen. És tanulással fejlődik az ember, akár a saját hibáiból is, ha másképp nem.
Nálam a mail szolgáltató spam szűrője megfogja ezeket. Tehát mondhatni -valamit- tesz a védelmemért. Szerintem a legtöbbé megfogja.

'"Általános 'megoldások a szoftveres tűzfal, a fizikai tűzfal (router/de ugye egy 300ezer forintos pl. cisco router, na az lenne az 'igazi' fizikai védelem)"'
-- Ezt csak azért említettem, mert egy olyan, az már komoly fizikai védelem (ma már sokkal olcsóbb, régen említette egy barátom ezt az árat). Ha nagy támadás éri a router-t, nem lehet akárhogyan összerakni, azt bírnia kell. A szoftveres tűzfalak is elég kielégítőek. Legyen ingyenes, vagy fizetős.
'Én leszedtem ezt:https://www.sophos.com/hu-hu/products/free-tools/sophos-xg-firewall-home... '
-- Ez sem linux alá van. Én mindössze ezt kaptam: ''Kérem küldjenek frissítéseket, híreket a Sophos termékekről, szolgáltatásokról, ingyenes próba termékeket, meghívót különleges eseményekre és egyéb érdekes dolgokat' (naná) - letölteni semmit nem tudtam. Linux alá is vannak ingyenes és fizetős megoldások is, a nyílt forráskód (open source) nem egyenlő a 'free'-vel (free as a beer - ingyen sör, gondolták sokan), de az Open Source mellett (előtte) a FOSS (Free and Open Source Software); https://www.gnu.org/philosophy/floss-and-foss.html és más megfogalmazások (GNU, stb.)
Nyilván az, hogy a forráskód szabadon módosítható (ellenőrzés után kerül be a kész, kiadott alkalmazásba),
Eris S. Raymond - A Katedrális és a bazár
nem egyenlő azzal, hogy igenis, amiben sok munka van, azt meg lehet és sokszor meg kell fizetni. Viszont, ha a forráskód zárt, abba semmilyen rálátás nem lehet. A jogi védelem egyébként a zártság nélkül is megvalósítható, de sajnos az -egyre kevesebb- erőfölénnyel rendelkező cégek ezt nem akarják belátni. Ez a fejlődés akadálya. A lopás más kérdés, az üldözhető, a tettes elkapható, nem tűnhet el.

'Összeraktam egy tűzfal PCt: gigabyte n3150n-d3v alaplap két lan kártyával az XG tűzfalnak.'
-- Úgy is lehet, hogy szerver a tűzfal, rajta lehet Windows, mögötte Linux vagy fordítva és máshogy. Jó módszer.

'Figyem a log fileokat. http://nemetsuli.pomaz.hu/ hoz tartozó IPről éjszaka is rendszeresen érkezik támadás a gépemre(nagyon sűrű a log file, még sok más helyről is jön minden, de mire kiguglizom az adott ip címet, már ismét van soik új guglizni való ip -aminek persze a 99,99%a teljesen normális). Ha újrarakom a gépem, még fel se megyek semmi weboldalra, akkor sis találtam a log fileben ilyet.'
-- Éjszaka? Hát nem tűnnek veszélyesnek :). Megkeresném az igazgatót.

'Miután a mailon kapott fileokat mindig elküldtem a virustotalra, illetve azoknak a virusirtó gyártóknak, akiknél van virus gyanus file feltöltési lehetőség ellenőrzésre, megszűnt a mailos bepróbálkozgatás.'
-- Lehet, hogy ennek az eredméyne, nem kizárt.
'Gondolom amit mindig küldtek, az egy nulladik napi sebezhetőségre irányuló támadás lett volna, de miután én széjjelküldtem minden víruskereső szoftver fejlesztőnek "Finisher finspy?" témamegjelöléssel, már nem volt nulladik napi. Ezért mindig küldték az újat. Majd megunták.......már hinyzik is igazából....'
-- Igen, nekem egy puncs fagyi hiányzik most, pl. :) ;)

'Egyébként a virustotalon ezekre a nulladik napi támadásokra (Win rendszer)ezek jeleztek pozitivot:Avast, Eset, Malwarebytes, McAffe,Micro WorldEscan, Panda, Rising, Sophos. Két hét múlva ugyanezt a filet tesztelve a VirusTotal 70%a jelzett rá virust.'
-- Már rég kinőttem ebből, de lehet nézegetni. Igazából sokkal értelmesebb, ha az ember a nézegetés helyett sok mindent megtanul a véekezés módszereiről ugyanazt azt időt erre fordítva.

'Csak ezért érdeklődtem a téma iránt.'
-- Én is érdeklődöm, mestere nem vagyok. De tanulom. Sokat kell, szinte a végtelenségig lehet, határtalan lehetőségek vannak.

'Egyébként elektronikai kutatási oldalakat szoktam látogatni, se terror, se gyerekporno, se b.mba k.szítés, se reptér menetrend se ilyesmi. Sima amatőr hobbi.'
-- Bomberakészítés? Az veszélyes :D

Úgy érzem, ezek most inkább Windows-zos problémák. Én egyik gyártó mellett sem teszem le a voksom, minden évben más végez az első helyen, mindegyik ugyanúgy rohan 'az érem után'. Most állítólag egy német cég a legjobb. Lehet, nem mondtam sok újdonságot, de talán ki kéne próbálni egy Linux Mint-tet és megkezdeni az ismerkedést.

RE:"Mit olvastál, hol, milyen támadásra gondolsz"

Értékelés: 

0
Még nincs értékelve

#2   Szia !

Csak címszavakban, megemlítenék néhány lehetőséget.

A Mint frissítéskezelője, eléggé informatív...mutatja a felajánlott frissítések típusát

(pl. biztonsági, v. rendszerfrissítés) és mutatja a szinteket...hogy ezek mit jelentenek ?

https://i.imgur.com/D3MPeMU.png

Lényeges !: automatikusan nem frissít semmit ! Csak a jóváhagyásoddal.

- Tűzfal (ak): pl. router + UFW - GUFW

- Az indokolatlanul nyitva lévő portok bezárása.

-  Böngésző kiterjesztések: pl. NoScrypt (scrypt alapú támadások ellen), sandbox (homokozó)

- Linuxra is vannak valósidejű víruskeresők

- Vannak specifikus Linux disztribúciók (kiadások, op. rendszerek)

(Ezek mindennapi használatra is alkalmasak, de e-mellett, ilyen - olyan funkcióra

ki vannak hegyezve. (Pl. behatolás-tesztelés vagy anoním böngészés / kommunikáció, stb.)

Ha érdekel egy fokozott biztonságú Linux op. rendszer, javaslom ismerkedj meg a "Qubes"-el.

(Igaz, nem kimondottan kezdőknek való !)

 

kimarite képe

A rendszerbiztonság távlatai - egy hír és a megoldása

Értékelés: 

0
Még nincs értékelve

A rengeteg nyílt forráskódú és szabad szoftver által használt Libgcrypt és az alapjául szolgáló GnuPG titkosító megoldásokban egy olyan sebezhetőséget rejt, amivel az RNG 4640 bitjének ismeretében a következő 160 bit is megszerezhető – ezzel jelentősen csökkentve a titkosítás hatékonyságát. A hiba a Libgcrypt és a GnuPG összes korábbi kiadásában megtalálható, egészen 1998-ig visszamenőleg. A sebezhetőséget felfedező Felix Dörre és Vladimir Klebanov azt javasolja, várjuk meg a következő frissítést, de javított változatokat is elérhetővé tettek a biztonságkritikus rendszerek üzemeltetői számára.
... https://androbit.net/mini/2537/18_eves_sebezhetoseget_fedeztek_fel_a_szabad_szoftverek_titkositasaban.html

A bejelentés
http://lists.gnu.org/archive/html/info-gnu/2016-08/msg00008.html

A rendszeremre a javítás tegnap -August 17, 2016 - megérkezett
(az open source alkalmazások biztonsági sebezhetőségeit gyorsan javítják)

Package : gnupg
CVE ID : CVE-2016-6313

Felix Doerre and Vladimir Klebanov from the Karlsruhe Institute of
Technology discovered a flaw in the mixing functions of GnuPG's random
number generator. An attacker who obtains 4640 bits from the RNG can
trivially predict the next 160 bits of output.

A first analysis on the impact of this bug for GnuPG shows that existing
RSA keys are not weakened. For DSA and Elgamal keys it is also unlikely
that the private key can be predicted from other public information.

For the stable distribution (jessie), this problem has been fixed in
version 1.4.18-7+deb8u2.

We recommend that you upgrade your gnupg packages.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Package : libgcrypt20
CVE ID : CVE-2016-6313

Felix Doerre and Vladimir Klebanov from the Karlsruhe Institute of
Technology discovered a flaw in the mixing functions of Libgcrypt's
random number generator. An attacker who obtains 4640 bits from the RNG
can trivially predict the next 160 bits of output.

A first analysis on the impact of this bug for GnuPG shows that existing
RSA keys are not weakened. For DSA and Elgamal keys it is also unlikely
that the private key can be predicted from other public information.

For the stable distribution (jessie), this problem has been fixed in
version 1.6.3-2+deb8u2.

We recommend that you upgrade your libgcrypt20 packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/