Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Sunnuntai, 6.1.2002

RST.b-virus pyrkii leviämään Linux-koneisiin

Alunperin syyskuussa 2001 löydetystä RST-viruksesta on nyt havaittu muunneltu versio, joka on nimetty RST.b-virukseksi. RST.b tarttuu Linuxin ELF-muotoisiin ohjelmatiedostoihin ja avaa järjestelmään etäkäytön mahdollistavan takaoven. Otettuaan järjestelmän haltuun virus ilmoittaa valloituksestaan ottamalla yhteyttä eräälle yhdysvaltalaiselle palvelimelle.

Virus pystyy leviämään vain, jos käyttäjä ajaa viruksen sisältävän ohjelmatiedoston pääkäyttäjän oikeuksin. Virusasiantuntijat eivät usko RST.b-viruksen leviävän kovinkaan laajalle, vaikka useimmat Linux-käyttäjät eivät käytä minkäänlaisia virustorjuntaohjelmistoja. Linux-käyttäjät ovat yleisesti melko valveutuneita tietoturva-asioista eivätkä aja sähköpostien mukana tulleita epämääräisiä ohjelmatiedostoja. Windows-alustalla monet virukset ovat päässeet leviämään kulovalkean tavoin hyödyntämällä Outlook-sähköpostiohjelman tietoturvareikiä.

Lue juttu oma, 6.1.2002 16:39. Lähde: Newsbytes

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 14 uutta / 14 )
pistettä.
Näytä vain kommentit joilla on vähintään
Roottina asennus huolestuttaa...
Anonyymi kommentoija, 7.1.2002 13:23:50		 Pisteet: +1
Veikkaanpa, että pahin ongelma Linxin tietoturvassa on se, että softat (rpm, deb ym) pitää yleensä asentaa roottina. Ei ole kuin ajan kysymys, milloin ensimmäinen virus käyttää ko. heikkoutta hyväkseen.

Asialle tatteis tehdä jotakin (distrot hoi!).
Blob Re: Roottina asennus huolestuttaa...
Blob, 7.1.2002 16:35:42		 Pisteet: +1
Veikkaanpa, että pahin ongelma Linxin tietoturvassa on se, että softat (rpm, deb ym) pitää yleensä asentaa roottina.
No rpm:ssä tuo on otettu jo mukaan. Esim. Redhatin sivuilla näkee pakettien md5sumin, joten paketin voi tarkistaa joko sillä tai yksinkertaisesti komentamalla rpm --checksig filu. Tässä tietysti luotetaan siihen että Redhatin tuottama binääri on puhdas. Jos nyt ehdotonta turvaa haluaa niin kääntää sen sitten itse.
Re: Roottina asennus huolestuttaa...
Anonyymi kommentoija, 8.1.2002 08:41:00		 Pisteet: 0
No rpm:ssä tuo on otettu jo mukaan. Esim. Redhatin sivuilla näkee pakettien md5sumin, joten paketin voi tarkistaa joko sillä tai yksinkertaisesti komentamalla rpm --checksig filu. Tässä tietysti luotetaan siihen että Redhatin tuottama binääri on puhdas. Jos nyt ehdotonta turvaa haluaa niin kääntää sen sitten itse.
Aika harva asentamani paketti on redhatin paketoima, varsinkin kun redhatin tarjonta rajoituu lähinnä siihen, mitä rompultakin löytyy.

Miten olisi Makefileissä leviävä virus? Tai "make install", joka antaa huomaamatta vahingolliselle binäärille SUID-oikat?
äölk Re: Roottina asennus huolestuttaa...
äölk, 7.1.2002 18:57:14		 Pisteet: 0
Jos nyt ehdotonta turvaa haluaa niin kääntää sen sitten itse.
Ja lukee sorsat ja käännöskriptit läpi ennen kääntämistä?
ATQ0 Re: Roottina asennus huolestuttaa...
ATQ0, 8.1.2002 14:11:50		 Pisteet: 0
Ja lukee sorsat ja käännöskriptit läpi ennen kääntämistä?
Kun vapaan/avoimen ohjelmien koodaajat elävät enemmän maineesta ja kunniasta kuin rahasta varmaan kannattaa tahallaan laittaa jotain pahaa koodia joukkoon? Tietty jos imuttelee jostain hämäristä paikoista tavaraa voikin saada jonkun tyypin "sopivasti" modifioimaa tavaraa...
--
/(ATQ0)
Re: Roottina asennus huolestuttaa...
Anonyymi kommentoija, 8.1.2002 14:37:35		 Pisteet: 0
Kun vapaan/avoimen ohjelmien koodaajat elävät enemmän maineesta
Ilkiöiden ei tietty tarvitse tahrata omaa mainettaan, kun voi toimia anonyyminä tai valenimellä. "Riskiryhmänä" pitäisin jotain pieniä, yhden henkilön tekemiä koodinpätkiä.
ATQ0 Re: Roottina asennus huolestuttaa...
ATQ0, 9.1.2002 11:10:41		 Pisteet: 0
Ilkiöiden ei tietty tarvitse tahrata omaa mainettaan, kun voi toimia anonyyminä tai valenimellä. "Riskiryhmänä" pitäisin jotain pieniä, yhden henkilön tekemiä koodinpätkiä.
Jep. Vaan ajatus tuntuu siltikin absurdilta: ensin teet kauheasti työtä jotta saat kasaan toimivan ohjelman jota ihmiset haluavat käyttää, sitten pilaat sen maineen tekemällä (anonyyminä) "black hat" -version siitä? Eh?
--
/(ATQ0)
Blob Re: Roottina asennus huolestuttaa...
Blob, 7.1.2002 20:33:52		 Pisteet: 0
Ja lukee sorsat ja käännöskriptit läpi ennen kääntämistä?
No jos nyt välttämättä haluaa, tämähän on kai open-sourcen yksi perusideoista. Tuollaista varmasti harrastetaan jossain korkean tietoturvan vaatimilla alueilla, esim. sotilaskäytössä. Valmiina binääreinä tulevat ohjelmat voivat sisältää mitä tahansa backdooreja. Todennäköisyys Pertti Peruskäyttäjän kannalta että jokin tunnettu taho päästäisi binääreissään jonkun viruksen leviämään taitaa olla aika pieni. Itse asensin juuri Tripwiren ja pitänee tästä lähin alkaa tarkastelemaan noita valmiiksi käännettyjä binäärejä.
Pineapple Mitens ?
Pineapple, 7.1.2002 20:46:57		 Pisteet: 0
Sanokaapa asiaa tuntevat : Miten linux käsittelee rautatason kutsut ? Pystyyhän sitä levyä ohjaamaan asm-tasolla kohtuuhelposti - varsinkin jos on mielessä pelkä vahingonteko. Estääkö kernel tämäntasoiset vahingot ?
Pineapple
äölk Re: Mitens ?
äölk, 7.1.2002 21:08:57		 Pisteet: 0
Sanokaapa asiaa tuntevat : Miten linux käsittelee rautatason kutsut ? Estääkö kernel tämäntasoiset vahingot ?
Tottakai IO-käskyt on kielletty tavallisilta prosesseilta (tai raudan muistiosoitteet jos on x86:tta yksinkertaisempi arkkitehtuuri). Rootin omistamat prosessit voivat kyllä sitten pyytää oikeutta käsitellä portteja suoraan.

Luulisi sen NT:nkin estävän prosesseilta esimerkiksi juuri IDE-porttien käytön. Mutta pystyykö NT:ssä käyttäjä asentamaan laiteajureita? Jotenkin sellainen muistikuva on, mutta en ole täysin varma. Tällöin kyllä portit saanee helposti käyttöön.
tpr Vähäiseksi jää..
tpr, 6.1.2002 17:46:11		 Pisteet: 0
Juu, eipäs taida hirveän paljon tuokaan virus levitä. Toinen asia sitten ovat wintoosasta linuxiin vastasirtyneet, jotka voivat availla nuita rooteilla jne.
äölk Re: Vähäiseksi jää..
äölk, 6.1.2002 18:05:23		 Pisteet: 0
jotka voivat availla nuita rooteilla jne.
Kyllä sitä paljon pahaa voi tehdä ilman rootin oikeuksiakin, joskaan ei järjestelmää rikkoa. Esimerkkinä voi asentaa takaoven, josta pääsee kyseisen käyttäjän oikeuksilla käyttämään järjestelmää. Lisäksi pääsee yhtä lailla käsiin esimerkiksi käyttäjän sähköpostiosoitemuistioon, joten samanlaisilla ohjelmilla kuin Windowsissa on tapana käyttää, *nixeissäkin kyllä pystyy tekemään aivan yhtä lailla pahaa, paitsi rikkomaan järjestelmää (kuten apassia).

Niin, jotta omaa koodia saisi ajettavaksi satunnaisen ohjelman käynnistyessä, ei tarvitse edes päästä muuntelemaan ohjelmatiedostoja. Riittää laittaa käyttäjän .bash_profileen (tai muuhun vastaavan) rivi

LD_PRELOAD=ev1lh4xx0r.so; export LD_PRELOAD

missä ev1lh4xx0r.so on halutut temput tekevä jaettu kirjasto.
anger Re: Vähäiseksi jää..
anger, 6.1.2002 18:29:56		 Pisteet: 0
Kyllä sitä paljon pahaa voi tehdä ilman rootin oikeuksiakin, joskaan ei järjestelmää rikkoa.
Aivan. Ja onko sillä järjestelmällä edes kotikäyttäjillä niin väliäkään? Linuxin nyt pystyy asentamaan helposti uudelleen CD:ltä, mutta se menetetty kotihakemisto kaikkine töineen voikin sitten olla aivan eri asia.

Eli kaipa sitä kannattaa Linuxissakin hiukan varautua viruksiin sun muihin troijalaisiin.

Josta tulikin mieleen, että mitenhän päteviä nämä harvat Linuxille tehdyt ilmaiset virustutkat ovat? Löytävätkö ne viruksia?
oma Re: Vähäiseksi jää..
oma, 6.1.2002 23:43:56		 Pisteet: 0
Eli kaipa sitä kannattaa Linuxissakin hiukan varautua viruksiin sun muihin troijalaisiin.
Ei varmasti tee yhtään pahaa varautua viruksiin, vaikka ainakin tällä hetkellä minä pidän paljon pahempana uhkana Linux-järjestelmille erilaisia tietoturva-aukkoja. Varsinaisia Linux-viruksia en ole kohdannut koskaan, mutta erilaisia kolkutteluja verkossa oleviin Linux-purkkeihin tulee lähes päivittäin.

Josta tulikin mieleen, että mitenhän päteviä nämä harvat Linuxille tehdyt ilmaiset virustutkat ovat? Löytävätkö ne viruksia?
Onko pakko olla täysin ilmainen virustutka? Useimmilla merkittävillä virustorjuntaohjelmien valmistajille on myös Linux-versio ohjelmistaan. Esimerkiksi Panda Softwaren ohjelmisto Linuxille on ainakin toistaiseksi "freeware", joten sen käyttäminen ei maksa mitään.

Sinällänsä ihan hauskaa, että Sophos on ainakin oman markkinointihypensä mukaan maailman johtava virustorjuntayritys, kuten varmaan ovat kaikki muutkin alalla toimivat yritykset ;-)

Ja vielä linkit, jos joku niitä kaipaa:
http://www.sophos.com/
http://www.avp.ru/
http://www.pandasoftware.com/
http://www.f-secure.com/
http://www.mcafee.com/
Testing