Gepubliceerd: Donderdag 29 mei 2008
Na alle ophef over het lek in Adobe Flash-speler heeft Symantec ook geruststellend nieuws: de bug, waardoor hackers konden inbreken, is vorige maand al grotendeels hersteld.
Toon volledig artikel
Van mij mogen ze toch wel wat details vrijgeven over de Linux versie. Zowel Flash player als Firefox hebben geen admin rechten en kunnen dus ook niks installeren. De enige manier waarop het zou werken is als je moedwillig de deur openzet, iets wat binnen Linux van huis uit niet gebeurt.
Voor het loggen van toetsaanslagen heb je geen 'admin' rechten nodig.
En sockets openen kan ook gewoon vanuit userspace, dus malware draait wel.
Het gaat trouwens ook over de standalone player, dus niet de browser plugin.
En sockets openen kan ook gewoon vanuit userspace, dus malware draait wel.
De term userspace zegt niets voer de benodigde rechten, userspace is binnen het OS het complementaire deel van kernelspace
Sockets openzetten kan vanuit userspace, een applicatie kan dat recht hebben (dit soort applicaties noemt men deamons), maar dat betekent niet dat iedere user dat mag, normalerwijze mag dat maar een user, en dat is root. Ik ken geen voorbeeld waarin een user zonder rootrechten een socket kan opzetten
Of iedere user keys mag loggen weet ik niet.
En dat het over een stand alone player gaat betekent dat hij alleen dat kan doen wat binnen de context van de user mag, en alleen zolang de player draait.
Bij elkaar zijn dit toch aardige hindernissen voor de malware-schrijver
Ik ken geen voorbeeld waarin een user zonder rootrechten een socket kan opzetten
Hoe kom je hier nou weer bij? Sockets kun je gewoon gebruiken als non-root user... anders zou je webbrowser en je e-mail client het ook niet meer doen, nietwaar?
De enige restrictie die linux kent is dat je geen luisterende socket (voor een server en dergelijke) kunt openen op de poorten kleiner 1024 - als niet root. Voor poorten >1024 geldt deze restrictie (standaard) nieteens, dus elke user kan rustig een servertje opzetten op een poort >1024. Handig, voor je bittorrent. Of voor een teamspeak of andere servers op een linux bak waar je geen root rechten hebt, enzovoort.
Sockets kun je gewoon gebruiken als non-root user... anders zou je webbrowser en je e-mail client het ook niet meer doen, nietwaar
Ik heb het over luisterende sockets, natuurlijk kun je een netwerkverbinding opzetten
Sockets/Netwerkverbindingen kun je ook als non-root opzetten. Voor zover ik weet kan alleen root poorten onder 1024 openzetten, en mogen alle andere users dit voor poorten boven 1024 (tenzij expliciet ook verboden).
Probeer het maar eens met netcat. Dit is een tooltje om verbindingen op te zetten en gegevens te versturen tussen computers.
Dit werkt alleen als je root bent:
netcat -l -p 500
En dit werkt ook als je niet root bent:
netcat -l -p 1025
-l = listen
-p = poortnummer
Een executable draaien kan over het algemeen wel vanuit de homedir van de gemiddelde user. Jammer dat die zelden default als noexec gemount worden, en dat terwijl alles wat executable moet zijn keurig in de diverse varianten op /bin en /sbin staat.
Ik gok vanwege (o.a.) de eigen scriptjes (*) onder ~/bin . Daarnaast, mij lijkt het ook niet slim om ~ als noexec te mounten, en de rest van je bestandssysteem niet. Dan moet je namelijk iets te veel weet hebben van welke mappen wel exes kunnen draaien, en welke niet. Een mooi voorbeeld is Google Earth, dat download een bestandje 'GoogleEarthLinux.bin' . Zou je dat downloaden, en staat no-exec aan in ~ , dan krijg je het niet geinstalleerd, en vraag je je af waarom je het niet kunt runnen/installeren. (BTW Google Earth is ook te installeren onder non-root, moet je gewoon een map in je ~ gebruiken).
Het belangrijkste wat ik hier wil zeggen, is dat iets verbieden zonder dat de gebruiker weet wat, waar en waarom niet slim is.
Mensen die hier weet van hebben, en/of een veilige server op willen zetten, kunnen dit dan alsnog doen. Daar hebben ze dan weer de eigen vrije keuze in.
(*) : Ik denk er net aan dat je scriptjes dan waarschijnlijk wel alsnog kunt runnen, alleen weet ik dan niet zeker of './script' ook werkt, of je 'sh script' moet gebruiken.
Het is natuurlijk een kwestie van smaak, en ik ben geen systeembeheerder, behave dan dat ik mijn eigen systeem beheer. Wat mij betreft lijkt mij het wel veilig om een systeem wat gebruikt wordt voor desktop-doeleinden, om daarop de noexec attribuut aan te zetten op de home-directories, dan maar even root worden, als iets zich wil executeren en ik heb de mogeliojkheid om erover na te denken.
Wat betreft professioneel beheer, daar heb ik ik geen verstand van.
Lijkt me niet echt verstandig om $HOME met noexec te mounten. Je hebt namelijk ook nog $HOME/bin.
En ja, wil wil mijn scruipts wel kunnen uitvoeren.
Daar naast is noexec maar een verbandje, zolang je users wel zoiets laat uitvoeren "bash scriptnaam"
Een shellscript op zich is even gevaarlijk als de shell zelf, het is slechts een aaneenschakeling van commando's die je ook met de hand zou kunnen intypen. Als dat een probleem is, heb je het niet echt meer over een bruikbare desktop. Persoonlijk beschouw ik het kunnen installeren van software in ~/bin als een enorm security-lek. Software installeer je systeembreed en je kent rechten toe, of je installeert het helemaal niet. Het zou niet voor het eerst zijn dat ik webservers gehackt zie worden door scriptjes die in de webroot een complete toolkit weten te compileren om vervolgens de rest van de PC over te nemen. Door dit soort directory's noexec (en nosuid, nosetgid) te mounten mislukt meestal de compilatie al, en het is ook knap lastig om je vers gecompileerde binary te starten om een lokale exploit te misbruiken. Best leerzaam om zo'n rootkit eens helemaal te ontleden!
(Verder moet je op een productieserver natuurlijk geen compilers hebben rondslingeren, maar dat terzijde)
Maar was is het nu, uit hetzelfde webwereld artikel
Alleen de Linux-versie van de stand-alone Flash Player 9.0.124 is nog kwetsbaar voor aanvallen, aldus Symantec.
en op het einde
Alleen Windows XP-systemen met de oudere Flash Player versie 9.0.115 zijn nog kwetsbaar, waarschuwt Greenbaum
dus feitelijk zijn beiden kwetsbaar in twee versies van de player ( of wijken de linux en windows versies in nummering af?)
Als je wilt weten welke versie je hebt, kun je dat hier nagaan:
www.adobe.com/p...ts/flash/about/
You have version 9,0,48,0 installed
dus, ik heb niks te vrezen, makkelijk.
Om te kunnen reageren, dient u ingelogd te zijn.
Unified communications biedt vele voordelen, maar heeft ook specifieke uitdagingen en niet ieder project levert het verwachte ROI op.
Downloaden
1 jaar geleden: 24 mei 2011
4 jaar geleden: 24 mei 2008
12 jaar geleden: 24 mei 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
