Linux-pc's te hacken via lek in Madwifi-driver

linux

Gepubliceerd: Woensdag 11 april 2007

Onderzoekers hebben tijdens de Black Hat-conferentie in Amsterdam gedemonstreerd hoe een wifi-lek kwaadwillenden toegang verschaft tot Linux-machines.

Toon volledig artikel

elmo.nl op Woensdag 11 April 2007 14:38

image

Hoewel zeker een kritiek lek, lijkt me de titel een beetje misleidend. Die doet voorkomen dat (alle) Linux systemen vatbaar zijn voor dit lek.

De MadWifi driver is echter alleen bruikbaar voor Atheros chipsets, die voor zover ik weet zeker niet de meest voorkomende is (maar daarin kan ik mij vergissen; correcties zijn welkom).

Voort lijkt het er op dat de MadWifi geen onderdeel is van de standaard kernel maar door een zelfstandige groep programmeurs is gemaakt. Tot slot lijkt het probleem reeds opgelost te zijn (http://madwifi.org/wiki/Releases/0.9.2.1). Aangezien de oplossing er al sinds 7 december 2006 lijkt te zijn, lijkt mij dit niet meer dan stemming makerij.

  • 12 / 16

Nappy op Woensdag 11 April 2007 15:00

image

Het toont in ieder geval aan dat ook linux kwetsbaar kan zijn als er maar genoeg mensen aan het zoeken gaan en er genoeg (en snel) boven op zitten wat nu nog niet het geval is.

Als bv palm linux gaat gebruiken en er meer en meer linux op bv $100 laptops komen dan wordt ook linux een target voor spammer/botnet beheerders.

  • 1 / 25

Weird Hobbes op Woensdag 11 April 2007 15:15

image

Het toont in ieder geval aan dat ook linux kwetsbaar kan zijn als er maar genoeg mensen aan het zoeken gaan en er genoeg (en snel) boven op zitten wat nu nog niet het geval is.

Drivers die in kernel space draaien hebben toegang tot alle uithoeken van het systeem. Elk OS dat drivers in kernel space laat draaien is dus kwetsbaar als een dergelijke driver lek is. Dit heeft niets te maken met Linux of Windows, maar is een rechtstreeks gevolg van drivers die in kernel space draaien.

  • 9 / 11

Mr. Right op Woensdag 11 April 2007 16:31

image

Ik denk dat je gelijk hebt.
Dat maakt Vista veiliger, aangezien Vista drivers niet meer in de kernel heeft draaien.

  • 0 / 18

dtech op Woensdag 11 April 2007 16:53

image

In linux is dit ook mogelijk. En drivers kunnen nog steeds in de kernel geladen worden, ze moeten wel ondertekend zijn dan, maar daar worden dit soort lekken natuurlijk niet ontdekt.

  • 2 / 4

Eric_ op Donderdag 12 April 2007 09:32

image

Bedankt voor de toelichting en links.
Ik kon helaas maar 1 + geven ;-)

  • -3 / 5

elmo.nl op Woensdag 11 April 2007 15:21

image

OMG, gaan we weer op die toer. Natuurlijk bevat ook Linux fouten, net als ieder ander OS. Je zult mij ook niet anders horen zeggen. Dat neemt nog niet weg dat je appels met peren kunt vergelijken. En hoewel je aanname wat betreft "big target = big exploits" nog zo aannemelijk kan klinken, valt dit nog maar te bezien. Het is echt niet zo dat Windows niet veilig gemaakt kan worden, maar zolang MS meer prioriteit geeft aan marketing dan aan ontwikkeling (wat overigens al vanaf hun ontstaan het geval is), blijft Windows technisch gezien gehandicapt omdat marketing en ontwikkeling vaak tegengestelde belangen hebben. In het algemeen zou je zelf kunnen overwegen of niet ieder commerciële toepassing van software niet tot (onnodige) technische compromis leiden. Een ding weet ik wel zeker, MS zal altijd blijven proberen met zo min mogelijk inspanning zo veel mogelijk winst te behalen. Dat kan in mijn ogen niet anders leiden tot het niet doorvoeren van verbeteringen als daar geen (financiële) noodzaak voor is.

  • 1 / 15

MeneM op Donderdag 12 April 2007 12:58

image

Inderdaad, als alle "big targets" automatisch meer aangevallen zou worden waarom word de apache webserver niet vaker gehacked? Gezien het feit Dat 58.62%) van alle websites hieronder draaien?

  • 1 / 1

Zwooop op Woensdag 11 April 2007 14:48

image

Linkje naar originele artikel en achtergrondinfo zou niet misstaan...

  • 8 / 8

Kickass op Woensdag 11 April 2007 14:55

image

Atheros chipset zit oa in SMC pci wifi kaarten.(b/g/n compatible)
Maar als je op de site van MadWiFi kijkt, zie je dat sinds deze ontdekking er alweer 2 nieuwere versies zijn, meest recente is van 19 maart jongstleden. Tevens is dit en erg nieuwe wifi driver. Dus niet zo vreemd dat er nog wat bugjes inzitten. (madwifi-new generation is vanaf kernel 2.6 dacht ik)
Wel mooi dus dat bv SMC pci wifi kaarten niet meer windows only zijn. Nu nog effe de critical bugs uit de madwifi drivers halen, en ik kan vaarwel zeggen tegen w2k hier(die draai ik juist ivm scm pci wifi kaart die naar mijn weten windows only was).

  • 5 / 7

brama op Woensdag 11 April 2007 16:17

image

Wat wel een reeel gevaar is, zijn de embedded linux devices, zoals adsl modems, routertjes, etc. Als een dergelijk lek in een veel toegepast chipset zit wat die dingetjes gebruiken, maak je borst dan maar nat! Dat zijn nl. systeempjes die vrijwel nooit geupdate worden, en waar er relatief veel van zijn.

  • 6 / 6

Mr. Right op Woensdag 11 April 2007 16:35

image

Absoluut mee eens.
Ook door het welke bekende Fox-IT wordt dit als een serieus risico gezien.
Nu zijn het niet perse allemaal Linux versies, maar inderdaad wel veel.
Zaak dus om overal automatische updates mogelijk te maken en aan te zetten (by default).

  • 1 / 5

Anonymous Coward op Woensdag 11 April 2007 16:55

image

Je slaat de spijker op de kop. En daar ging de presentatie van Black Hat ook over.
Het gevaar zit hem vooral in de embedded devices en niet zo zeer op de desktop-pc.
Desktop-pc's worden regelmatig geupdate met updates, maar mobiele devices amper tot nooit. Dat geldt overigens voor meer apparaten met een kleine operating system. Wie heeft er bijvoorbeeld zijn modem of access point geupdated?

Veel hulpdiensten gebruiken meer en meer mobiele devices, dat zou een potentiële slachtoffer kunnen zijn.

  • 4 / 4

Anonymous Coward op Woensdag 11 April 2007 16:26

image

Linux PC's zijn ook te hacken als de software van pietje op linux wordt gedraaid. Dit omdat pietje niet kan coden.

  • -3 / 13

Mr. Right op Woensdag 11 April 2007 16:37

image

Je lijkt te willen beweren dat als er geen software van pietjes geinstalleerd wordt, Linux niet gehackt kan worden.
Maar dat is natuurlijk onzin, ook Linux is niet bugfree. Geen enkele (omvangrijke) software is dat, of zal dat ooit zijn. Je reactie lijkt me dan ook niet echt iets toevoegen.

  • 2 / 12

Eddy Dean op Woensdag 11 April 2007 20:49

image

Ook als Pietje wel kan coden, en dat zelfs goed kan is het mogelijk dat Pietje een fout maakt. Het is ook mogelijk dat die fout zo ernstig is, dat remote access kan worden verkregen. Jouw post insinueert dat Linux zelf helemaal veilig is, en dat het altijd aan anderen ligt. Je weet zelf best wel dat dat niet waar is.

  • 5 / 7

Eric_ op Woensdag 11 April 2007 21:21

image

Als je nou 2x het woord "linux" weglaat, ben ik het helemaal met je eens. Zoals al eerder werd gesteld, fouten zitten in elk OS en elk (stevig) OS is lek te slaan met de installatie van software met fouten erin.


  • 3 / 5

Eric_ op Donderdag 12 April 2007 09:37

image

Je hebt gelijk, mijn formulering laat te wensen over.
Anders gezegd dan: om het even welk OS je draait, als je 'slechte' software installeert loop te het risico een lek te installeren. Het OS op zich kan dan zeer veilig zijn, het 'lek' op het systeem als geheel is er. De risico's van zo'n lek is natuurlijk een ander verhaal.


  • 1 / 1

Eddy Dean op Donderdag 12 April 2007 16:35

image

Precies. Ik ben er zeker van dat een kale installatie van de eerste versie van MS-DOS helemaal veilig was voor remote exploits. Waarom? Het had nog geen netwerkmogelijkheden.
Als ik nu een driver zou maken voor dat OS, en daar een lek in zou laten zitten, was het systeem opeens wel hackbaar. Dit is natuurlijk niet de schuld van Microsoft, die hebben namelijk een veilig OS gemaakt. Het is dan mijn schuld, want ik maak er een lek in.
Maar alle besturingssystemen met een redelijke functionaliteit bevat wel een lek, al komt OpenBSD erg dicht in de buurt van het "onkraakbaar" zijn.

  • 2 / 2

thegve op Woensdag 11 April 2007 20:31

image

Ik heb 14 dagen geleden een nieuwe PCMCIA kaart van Linksys gekocht met een Atheros chipset, dit heb ik gedaan na onderzoekje naar opensource drivers, mijn conclusie was dat er 2 "nieuwe" chipsets met opensource drivers zijn, en dat dat Intel (met name onboard) en Atheros zijn. Met andere woorden, dit is een vrij populaire chipset.

  • 2 / 2

Diogenes_Isher op Donderdag 12 April 2007 01:12

image

Zie: mijn commentaar
Heel domme fout van mij, ik heb die reactie bij de verkeerde topic neergezet... :-(
Maar ik ga hem niet 2 keer plaatsen, vandaar dit linkje.

  • -5 / 9

geertw op Donderdag 12 April 2007 01:32

image

Hmm, ik had het handiger gevonden als je 'm gewoon wel in zijn geheel hier had geplaatst, of moet ik reageren bij het andere artikel? :-/

  • 5 / 9

Sir Limpsalot op Donderdag 12 April 2007 10:29

image

Maar ik ga hem niet 2 keer plaatsen, vandaar dit linkje.

Dus linken is minder moelijk dan 'Copy/Paste'?

  • 3 / 5

Eddy Dean op Donderdag 12 April 2007 16:38

image

Dat brengt me eigenlijk op de gedachte waarom ze de driver niet aan de kernel laten vragen om een bepaald signaal te sturen naar de hardware, en dat de kernel dan kan "keuren" of het langs mag of niet?
Een soort firewall binnen je eigen computer zeg maar.

  • -1 / 1

Diogenes_Isher op Vrijdag 13 April 2007 06:25

image

Voor wie interesse heeft in een werkelijk goede packet filter: NetFilter
Wie - na de source ervan te downloaden, compilen && instaleren - de moeite neemt om de MANual pages ervan zorgvuldig te lezen en een rule-set ervoor te schrijven die aan de gestelde eisen voldoet, die zit vrij goed ! ;-)

En dat bedoel ik letterlijk - ik raad ook iedereen met klem aan om altijd de source van een progje te dowloaden - nooit slechts een binary !!
Alleen het feit dat die source beschikbaar wordt gesteld is al een teken van betrouwbaarheid. (Al heb ik dit vast wel eens eerder gezegd...)

Het enige "probleempje" is dat deze voortreffelijke software niet werkt onder dat "bekende, tamelijk veel gebruikte systeem".
Maar ja, dat is ook nimmer gemaakt om veilig te zijn !
Dat is zelfs door de firma die het "produceert" ooit toegegeven. (Al kan ik op dit moment niet zo gauw vinden waar dat ook weer stond. Mogelijk op zdnet...)

  • 0 / 0

Eddy Dean op Vrijdag 13 April 2007 09:13

image

Daar zit wat in, IPTables (Of IPChains natuurlijk) is een heel veilige firewall, die niet als "Alles mag, behalve..." werkt, maar volgens "Niets mag, behalve mensen met het MAC addres blah"
Maarja, draadloze devices blijven natuurlijk sowieso kwetsbaar. MAC adres spoofing en WEP/WPA cracken stelt bijna niets meer voor, en hier kan noch IPTables, noch de router/server iets aan doen.
Maar dat is geen reden om een inbreker root access te geven, die fout zat dus overduidelijk in de firmware/driver.

  • 0 / 0

Pruts0r op Donderdag 12 April 2007 09:14

image

Lezen jullie wel goed?????

"De aanval maakt misbruik van de automatische zoekfunctie naar wifi-accesspoints die is ingebouwd in netwerkkaarten"

Dat heeft niks met het OS te maken maar met de firmware op de kaart. Dus eigenlijk gaat het daar al fout en niet zozeer in de driver (welke dat ook mag zijn)

Maar zo interpreteer ik het, kan het ook mis hebben natuurlijk....

  • 1 / 3

Sir Limpsalot op Donderdag 12 April 2007 10:27

image

"De aanval maakt misbruik van de automatische zoekfunctie naar wifi-accesspoints die is ingebouwd in netwerkkaarten"

Toen ik dat las dacht ik meteen aan die MAC wifi-exploit... Die overigens ook alleen met een verouderde driver werkt...

  • 1 / 1

Om te kunnen reageren, dient u ingelogd te zijn.

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Peiling

Loading Poll

Video: World Tech Update: Darpa's robot oorl...

World Tech Update: Darpa's robot oorlogspaard (video)

Verleden nieuws