1.1, Cepreu (??), 01:24, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Очень интересная статья. Оказывается все не так уж и радужно. Можно вполне и не заметить, что это вирус, т. к. и KDE и GNOME прячут расширение .desktop (some_text.odf.desktop - как вам это?). И к тому же файлу .desktop можно присвоить любую иконку. И еще он не требует атрибута "Исполняемый файл" для запуска. А если он сам распространяет себя по email и файл .odt пришел к вам от знакомого человека? Как тут что-то заподозрить? И наконец root можно получить просто модифицировав один из файлов .desktop, который запускает, например, ваш GUI управления пакетами. Вы ведь даете ему пароль root не так ли? Впрочем и без root'а уже можно навредить. В автозагрузку себя поместить? Не вопрос. По почте отослать? Вполне реально... Вот такие вот дела, господа Линуксоиды.
Единственный шанс - заметить расширение .desktop еще там, в почтовом клиенте перед тем, как скачать и доблкликнуть файл. Но ведь не только по почте он ведь может распространяться? Можешь со страницы скачать. Мы же не рассматриваем пристально сами ссылки, когда качаем? Или друг тебе на флешке может принести интересный документки (который откроется сразу после выполнения исполняемого файла вируса).
| |
|
2.2, demimurych (?), 01:46, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>GNOME прячут расширение .desktop (some_text.odf.desktop - как вам это?). И к
>тому же файлу .desktop можно присвоить любую иконку. И еще он
>не требует атрибута "Исполняемый файл" для запуска. А если он сам
>распространяет себя по email и файл .odt пришел к вам от
>знакомого человека? Как тут что-то заподозрить? И наконец root можно получить
>просто модифицировав один из файлов .desktop, который запускает, например, ваш GUI
>управления пакетами. Вы ведь даете ему пароль root не так ли?
>Впрочем и без root'а уже можно навредить. В автозагрузку себя поместить?
>Не вопрос. По почте отослать? Вполне реально... Вот такие вот дела,
>господа Линуксоиды.
Понимаете есть такая штука - вирулентность. Так вот у этого способа она стремится к нулю. слишком уж много если в этом всем. Если пользователь сохранит. Да еще сохранит на рабочем столе. А потом запустит. и т.д. и т.п
Я знаю способ мощнее. Рассылать письма с просьбой запустить вложение от рута. Приблизительно тот же эффект.
| |
|
3.8, ы 0 (?), 03:19, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Не знаю, конечно, но мне кажется, что большинство юзеров понимают, что чтобы открыть картинку или посмотреть фильм запускать присланный файл от рута не нужно.
В windows каждая вторая программа (почти все игры, включая World of Warcraft, LineAge2, ...) требует запуска с административными правами.
К тому же, из-за отсутствия какой-либо централизованной системы пакетов, там считается нормой инсталляция программ с помощью запуска инсталлятора конкретной программы (а не из менеджера пакетов дистрибутива).
Плюс ко всему, из-за отсутствия встроенного sudo (служба runas == kdesu), администраторы часто дают пользователям права администратора из-за потенциальной необходимости выполнения каких-либо действий, их требующих.
По этой причине пользователи windows мало удивились бы такой просьбе, в то время как linux-пользователь, скорее всего, насторожится.
Ну а дурака можно уговорить и патч Бармина применить, тут любая ОС бессильна.
| |
|
4.30, Ariel (??), 14:52, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Ну почему? В windows можно запустить отдельную программу с правами администратора из пользовательской учётной записи.
| |
|
|
2.4, User294 (ok), 02:43, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Все это напомнило мне анекдот про чукотский вирус, который в письме с ним просил пользователя его запустить т.к. дескать из-за низкого уровня развития IT на большее автор вируса оказался не способен :-)
| |
|
1.3, warlomak (?), 02:19, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем на рабочем столе ? Файлы *.desktop прекрасно работают/запускаются из любой папки...
p.s.
Статья заставляет задуматься...
| |
1.5, ы 0 (?), 02:43, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хммммм.....
Вообще-то, верно, конечно - linux незащищён от установки трояна ТУПЫМ юзером, равно как и windows, причём для линукса антивирусы почти не пишут...
Но, с другой стороны, остутствие режима x действительно ограничивает запуск какой-либо бяки в рамках шелла; хотя заразить тот же opendocument макровирусом несложно, эта проблема уже решается на уровне открывающих данный файл программ, которые должны запрещать непроверенные макросы по умолчанию.
Тем не менее, как показано в статье, launcher files KDE и Gnome (иногда называемые "ярлыками"), запускаются и без этого, позволяя, в свою очередь, выполнить любую команду.
Лично я вижу в данном поведении серьёзную уязвимость этих сред, которая должна быть закрыта методом установки всем создаваемым пользователем launcher'ам бита x, и выдачи дополнительного предупреждения или даже блокировки открытия файлов такого типа без права на исполнение (выдавая пользователю понятное сообщение о том, что он попытался сделать, и как ему разрешить себе это сделать).
В качестве способа смягчить для пользователей невозможность открыть старые "ярлыки", можно предусмотреть автодобавление атрибута u+x если лаунчер указывает на заведомо безопасный объект. В следующей версии такое поведение необходимо отменить, чтобы не оставлять ненужной лазейки.
У кого какие мысли на этот счёт?
| |
|
2.6, ы 0 (?), 02:50, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Что-то я очень длинно написал...
Основной смысл в том что это, ИМХО, уязвимость KDE/Gnome, которую необходимо закрыть!
| |
|
3.26, Andrey Mitrofanov (?), 13:10, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Основной смысл в том что это, ИМХО, уязвимость KDE/Gnome, которую необходимо закрыть!
Уязвимость в вендузятнег-френдли сделаем-как-у-мс. Хотели как - получайте, "офисные" вирусы _как_ у мсофта. "Скрыли" расширения? Мелочи какие. Неизвестно, что делает програма? Мы же френдли. Исполняемый код в _документах_? Это ж зе-онли-вей. Вирусы? Давно ждём. Так как-то.
Отдельное спасибо Сану -- за ООо, за питон в нём, за узер-френдли грабле-строительную фабрику, ранее порадовавшую Мир "жавва"-вирусами в телефонах, теперь расширяющей ареал поставок сельхоз.инструментов. Те-епе-ерь лимоно^Wи линУксны-ый!
PS: Скоро и Сам MS с _чистой_ совестью сможет поставлять Lin* в каческтве Win(n+1) -- "качество" растёт на глазах, а с разработкой у них всё как-то не того. %)
| |
|
4.31, User294 (ok), 14:55, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Отдельное спасибо Сану -- за ООо, за питон в нём, за узер-френдли
>грабле-строительную фабрику, ранее порадовавшую Мир "жавва"-вирусами в телефонах, теперь расширяющей ареал
>поставок сельхоз.инструментов. Те-епе-ерь лимоно^Wи линУксны-ый!
Ну, *вирусов* на жаве не видел а вот трояны имеющие лохов и эксплойты JVM - это да.
В конечном итоге - если дурак может как-то выполнять свой код, его никакая система не спасет.
Вариантов несколько:
1) Сделать систему недоступной дуракам.Тогда и остальные не будут ее жаловать поскольку юзать "правильную" систему будет достаточно геморройно.
2) Проапгрейдить дураков до не-совсем-дураков.Сложно...
3) Обуть дурака на возможность выполнять код, но это уже фашизм.
| |
|
|
2.10, Аноним (10), 08:35, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Хммммм.....
>
>Вообще-то, верно, конечно - linux незащищён от установки трояна ТУПЫМ юзером, равно
>как и windows, причём для линукса антивирусы почти не пишут...
>
Dr.Web - это уже не антивирус ??? Он нативный есть для Linux и даже с GUI один в один как в виндах
| |
|
3.11, Владимир (??), 08:50, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Dr.Web - это уже не антивирус ??? Он нативный есть для Linux
>и даже с GUI один в один как в виндах
Парень, релакс. это для почты, чтобы вендовые письма не проходили через данный сервер; что за вирус, который надо кликать как минимум 3 раза - 1) при просмотре вложений, 2) при сохранении вложения, 3) при собственно "открытии", причём шаг #3 должен быть выполнен из специального браузера файлов, "понимающего" .desktop файлы - konqueror и тп.
не слишком ли много шагов?))
| |
|
|
1.7, whatever_it_was (?), 03:07, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
(= помню на одном форуме толпа умных спецов так красиво описывало безопасность использования Linux, ведь почти все из здравомыслящих понимают - это неоправданная надежда. Да написать OSS вредоностный скрипт можно проще, чем для windows и замаскировать его легче.
Какие пути решения, лично я не особо беспокоюсь, так как работая в большей части с терминалом такая обманка быстренько всплывет.
Да вот интересно то, как будут вирьмейкеры плодить вирусы для альтернативных сред или придумают более изощренный способ :), я лишь надеюсь на одно - ад в разработке вирусов под Linux :), тогда их не будет так много, как может стать в связи с ростом Linux на десктопах.
| |
|
2.12, Владимир (??), 08:56, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
> почти все из здравомыслящих понимают - это неоправданная
>надежда. Да написать OSS вредоностный скрипт можно проще, чем для windows
>и замаскировать его легче.
Идею распространения вируса огласите, если вас не затруднит? Как-то туманно звучат эти "легче... проще...". Виндоус: пользователь получает письмо/заходит на вебстраничку, готово. Линукс: пользователь получает файл, пусть даже от друга, сохраняет вложения на рабочем столе ( или заходит в папку, где сохранил вложение, браузером с поддержкой безусловного выполнения .desktop? этот момент не ясен) потом выполняет (sic!) это вложение. Возможно, в Вашем понимании это "проще и легче", но мне кажется, лично на мой взгляд, ставить на такой вирус - я бы не стал.
| |
|
3.13, Аноним (-), 09:09, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Идею распространения вируса огласите, если вас не затруднит? Как-то туманно звучат эти
>"легче... проще...". Виндоус: пользователь получает письмо/заходит на вебстраничку, готово. Линукс: пользователь
>получает файл, пусть даже от друга, сохраняет вложения на рабочем столе
В Linux точно также, в Firefox/Flash дыр хватает и не все его обновляют постоянно. Часто всплывают дыры в медиа-проигрывателях, посмотрел невесть где скаченный фильм - получил запущенный вирус.
| |
|
4.15, Хелагар (ok), 10:23, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Идею распространения вируса огласите, если вас не затруднит? Как-то туманно звучат эти
>>"легче... проще...". Виндоус: пользователь получает письмо/заходит на вебстраничку, готово. Линукс: пользователь
>>получает файл, пусть даже от друга, сохраняет вложения на рабочем столе
>
>В Linux точно также, в Firefox/Flash дыр хватает и не все его
>обновляют постоянно. Часто всплывают дыры в медиа-проигрывателях, посмотрел невесть где скаченный
>фильм - получил запущенный вирус.
Открою тебе тайну.
Ты немного невкуриваешь в тему. Мягко говоря.
А всё тудаже, давай каменты писать.
Разобрался бы сначала немного, почитал бы о моделях современных безопасности.
Ради общего развития.
Поясню:
В отличие от Винды, где 90% юзверей работают из-под админа или паверуюзера, а дырявый ГУЙ вшит в ядро, в никсах медиаплеер (да и фаерфокс) запускается с правами обычного юзверя. И что может тебе сделать таким образом запустившийся вирус? А?
Да нифига не может. Разве что десктоп подпортит.
А уж если в дистре имеет место быть SELinux или, на худой канец, Apparmour - то единственное, что сможет описанный тобой вирус - испортить кеш браузера или показать неприличную картинку в фильме.
И какой это нафиг вирус?
| |
|
5.18, Аноним (-), 10:38, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
> Разобрался бы сначала немного, почитал бы о моделях современных безопасности.
Судя по вашему отзыву вы рекомендуйте почитать книжку 15-летней давности, написанную каким-то бородатым теоретиком :-)
>В отличие от Винды, где 90% юзверей работают из-под админа или паверуюзера,
...
>таким образом запустившийся вирус? А?
>Да нифига не может. Разве что десктоп подпортит.
Вы в каком веке живете ? Для совершения большинства пакостей для которых создаются вирусы не нужны права админа. Размножаться, распространять спам, участвовать в DDoS атаках, быть транзитным звеном в цепочке взлома, удалить все докементы пользователя (на машине - самое важное данные пользователя) можно без получения root. Если root понадобиться, подменяется ярлык на какой-нибудь синаптик и пользователь сам вбивает вам пароль root, без каких-либо эксплоитов. Социальная инженерия - вот лицо сегодняшних взломов.
| |
|
6.19, Моветон (?), 11:10, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> Размножаться,
Это в большенстве случаев в пределах домашней директории пользователя, (учитывая, что обычно тут нет исполняймых файлов, то не кретично)
>> распространять спам, участвовать в DDoS атаках
да такой вариант возможен, но легко обнаруживается
>>быть транзитным звеном в цепочке взлома
Это врятли, для создания слушащего сокета в большенстве случаев нужны привелегии root
>>удалить все докементы пользователя (на машине - самое важное данные пользователя) можно >>без получения root.
единственная 100% работающая функция, прибыли с этого не будет значит и особо их создавать не будут.
>>Если root понадобиться, подменяется ярлык на какой-нибудь синаптик и пользователь
>>сам вбивает вам пароль root, без каких-либо эксплоитов. Социальная инженерия -
>>вот лицо сегодняшних взломов.
От дурашлепства ни как не защититься
| |
|
7.20, Аноним (-), 11:36, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>> Размножаться,
>Это в большенстве случаев в пределах домашней директории пользователя, (учитывая, что обычно
>тут нет исполняймых файлов, то не кретично)
Как вы не поймете, не нужны вирусам другие локальные директории, сегодня сеть правит балом и распространение производится исклчительно по сети. А для доступа к сети никакого рута не нужно, за исключением случаев кода червь пытается сниффить пароли в локальной сети. Как виндовые черви распространяются ? Начинают слать спам или находят сохраненные пароли и загружают на сайты/блоги троянские javascript/iframe вставки.
> Это врятли, для создания слушащего сокета в большенстве случаев нужны привелегии root
Для портов выше тысячи не нужно, а применение SELinux и лимитирование bind()-а вещи очень экзотические. Загрузка на взломанный хостинг прокси типичная ситуация.
>>>удалить все докементы пользователя (на машине - самое важное данные пользователя) можно >>без получения root.
>единственная 100% работающая функция, прибыли с этого не будет значит и особо
>их создавать не будут.
Основные доходы вирусописателей - спам и DDoS, для этого root не нужен. Под Windows еще воруют WebMoney аккаунты и номера ICQ, на что тоже админские привилегии не нужны.
| |
|
|
5.24, Аноним (-), 12:10, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>Поясню:
>В отличие от Винды, где 90% юзверей работают из-под админа или паверуюзера,
>а дырявый ГУЙ вшит в ядро, в никсах медиаплеер (да и
>фаерфокс) запускается с правами обычного юзверя. И что может тебе сделать
>таким образом запустившийся вирус? А?
>Да нифига не может. Разве что десктоп подпортит.
>А уж если в дистре имеет место быть SELinux или, на худой
>канец, Apparmour - то единственное, что сможет описанный тобой вирус -
>испортить кеш браузера или показать неприличную картинку в фильме.
>И какой это нафиг вирус?
С моими правами вирус может грохнуть мои документы, коллекцию мызыки и фильмов. Если ты линукс запускаешь только для соплепускания по поводу его безопасности - то да, вирус тебе ничего не сделает.
| |
|
6.32, SSN (??), 10:18, 21/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>С моими правами вирус может грохнуть мои документы, коллекцию мызыки и фильмов.
>Если ты линукс запускаешь только для соплепускания по поводу его безопасности
>- то да, вирус тебе ничего не сделает.
На домашей машине для управления коллекциями музыки и фильмов создал отдельных пользователей (nologin, права выполнения команд через sudo от их имени только у меня). На добавление создал каталог incoming с доступом для всех пользователей компьютера, ссылки на него и на каталоги, содержащие фильмы и музыку в домашних каталога пользователей.
При этом подходе не возникает проблем с тем, что кто-то записывает, например, фильм, а посмотреть хотят все, но одновременно не получается. Или, бывало, жена удаляла что-то нужное раньше, чем я это смотрел.
| |
|
|
4.17, Владимир (??), 10:36, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
> Виндоус: пользователь получает письмо/заходит на вебстраничку, готово.
>В Linux точно также, в Firefox/Flash дыр хватает и не все его
>обновляют постоянно. Часто всплывают дыры в медиа-проигрывателях, посмотрел невесть где скаченный фильм - получил запущенный вирус.
Помогу вам не прослыть балаболом, приведите пример медиа-файла и медиа-проигрывателя, при просмотре которого выполнится произвольный код, пусть даже и с правами пользователя, пусть даже и не вирус, но что-то предопределённое, очень интересно.
Далее смело приведите урл, пройдя по которому я, используя свой вполне нормальный Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.8) Gecko/20070412 Firefox/1.5.0.8, получу "заражение системы" вирусом.
Заранее признателен.
| |
|
5.21, Аноним (-), 11:44, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Помогу вам не прослыть балаболом, приведите пример медиа-файла и медиа-проигрывателя, при просмотре
>которого выполнится произвольный код, пусть даже и с правами пользователя, пусть
>даже и не вирус, но что-то предопределённое, очень интересно.
Вы с луны что-ли. В Adobe Flash раз в пол года такие дыры стабильно находят. Скандалы с появлением баннеров с вирусами на rbc.ru и некоторых баннерных сетях не помните ?
Хотите не Flash ? Пожалуйста:
http://secunia.com/advisories/search/?search=vlc
http://secunia.com/advisories/search/?search=mplayer
http://secunia.com/advisories/search/?search=xine-lib
http://secunia.com/advisories/search/?search=ffmpeg
http://secunia.com/advisories/search/?search=libpng
> Далее смело приведите урл, пройдя по которому я, используя свой вполне
>нормальный Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.8) Gecko/20070412 Firefox/1.5.0.8, получу
>"заражение системы" вирусом.
Давайте я вам приведу такой URL через 5 минут после анонса очередной дыры в Firefox или Flash ? Что обновиться не успели ? Ну чтож бывает....
| |
|
6.22, Владимир (??), 12:03, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>http://secunia.com/advisories/search/?search=libpng
>
>
>> Далее смело приведите урл, пройдя по которому я, используя свой вполне
>>нормальный Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.8) Gecko/20070412 Firefox/1.5.0.8, получу
>>"заражение системы" вирусом.
>
>Давайте я вам приведу такой URL через 5 минут после анонса очередной
>дыры в Firefox или Flash ? Что обновиться не успели ?
>Ну чтож бывает....
Резюмирую: урл не привели, видеофайлик для видеоплеера тоже забыли. Слив засчитан?
| |
|
7.25, Аноним (-), 12:38, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
> Резюмирую: урл не привели, видеофайлик для видеоплеера тоже забыли. Слив
>засчитан?
То что для Firefox сегодня нет такого числа готовых затрояненных сайтов, каких можно найти для IE, не доказывает, что уязвимость в нем использовать труднее. Я привел URL на secunia по ссылкам с которой можно найти эксплоит и проверить его работу. Мое время ценится дорого и тратить попусту я его не намерен, чтобы только доказать что-то человеку не умеющему ходить по ссылкам.
| |
|
|
|
|
|
|
1.9, Аноним (10), 08:28, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это скорей проблема пользователей, пришедших с Виндовс.
зы рабочим столом пользуюсь только для размещения conky
| |
|
2.16, V (??), 10:36, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Это скорей проблема пользователей, пришедших с Виндовс.
>
>зы рабочим столом пользуюсь только для размещения conky
indeed
| |
|
1.14, Аноним (14), 09:26, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Фигря это всё какие фтопку доктор вебы изза 1 недоделаной вирусёнки идти путём виндузятиников и ставить ещё один вирус под названием антивирус не линукс вей линукс вей заткнуть эту уязвимость в следующим релизе уязвимого пакета вот и всё.
| |
1.27, Аноним (10), 13:19, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну, конечно такой .desktop это не очень страшно.
А вот уязвимости в прогах мгут быть проблемой.
Но, я думаю, тут может помочь какойнить apparmor/selinux.
Надо чтобы для приложений были прописаны правила, например, медиаплеер может только _читать_ видио файлы и писать файлы конфигурации в домашней папке; аська может писать/читать файлы истории и конфиги.
И так для всего популярного софта.
Это обезопасит от уязвимостей в прогах, которые могут быть в любой ОС.
| |
1.28, Шнур (?), 13:33, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я не особо разбираюсь в Линуксе, но:
1)Если всеже удастсязапустить иксы без прав рута (что пытаются сейчас сделать), будет ли данный вирус работать?
2)Если монтировать хом директорию с ключами no-exec (вроде так называется ключь), какой вирус будет работать вообще?
| |
1.29, Аноним (14), 14:44, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я вам так скажу: некоторые компаниии очень кормяца с вирусов/антивирусов. И по идее им было бы выгодно дискридитировать линукс как платформу хотябы что-то создав вредоносное. Однако видимо не выходит у данилы каменный цветок :)
| |
|