image

Opensource Linux rootkit bedreiging voor Tux

vrijdag 5 september 2008, 12:17 door Redactie, 29 reacties

Het ontwikkelen van rootkits voor Linux-besturingssystemen is een stuk eenvoudiger geworden nu beveiligingsbedrijf Immunity een opensource rootkit beschikbaar heeft gemaakt. Debug Register zou backdoors en andere malware kunnen verstoppen door zich als kernel debugger te gedragen. Door de mogelijkheid van de processor te gebruiken om interrupts te genereren ontwijkt het de problemen waar traditionele rootkits mee te maken krijgen, die de system call table manipuleren. Steeds meer Linux besturingssystemen zouden het aanpassen van deze tabel bemoeilijken en ook anti-rootkit software controleert of dit gebeurt is.

Het bouwen van rootkits is voor de doorsnee scriptkiddies en virusschrijvers niet weggelegd en daar brengt deze tool verandering in. Hoewel de malware niet onzichtbaar is en dus gedetecteerd kan worden, zorgt het er wel voor dat scriptkiddies meer mogelijkheden krijgen om malware te verstoppen. Daarnaast ondersteunt de Debug Register geen symmetrische multiprocessing en verstopt het zich niet op kernelniveau, dit zou wel door ervaren hackers zijn toe te voegen. "De rootkit laadt via insmod, dus monolithic kernels zonder de module loader zouden niet kwetsbaar moeten zijn," merkt GeeWhiz op.

Immunity laat weten dat de tool vooral voor pentesters bedoeld is, dat neemt niet weg dat mensen met minder goede bedoelingen er ook gebruik van zullen maken. "In het verleden had een aanvaller een bug nodig, moest hij een exploit schrijven, de exploit uitvoeren en zichzelf verbergen om een computer aan te vallen," zegt beveiligingsexpert Charlie Miller. "Het gat tussen scriptkiddie en hackers is weer iets kleiner geworden."

Reacties (29)
05-09-2008, 12:54 door Anoniem
Ik voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
05-09-2008, 13:19 door spatieman
* pakt zak chips *
en kijkt lief naar ubuntu..
05-09-2008, 13:26 door Rolfwil
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
Ik weet niet hoe je bij je voorspelling en je aanname over open source bent gekomen, maar ik denk dat je een verkeerde kristallen bol gebruikt hebt (made in Redmond?) want je aannames raken kant noch wal....
Rolf
05-09-2008, 13:56 door Anoniem
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.

Zeker doen. Windows is uiteraard ultra-veilig en heeft absoluut geen last van rootkits... *zucht*
05-09-2008, 14:04 door Anoniem
Door Ralphwil
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
Ik weet niet hoe je bij je voorspelling en je aanname over open source bent gekomen, maar ik denk dat je een verkeerde kristallen bol gebruikt hebt (made in Redmond?) want je aannames raken kant noch wal....
Rolf

Rolf, dat was sarcasme :) (en nee, ik ben niet de poster van de eerste msg)
05-09-2008, 15:28 door Anoniem
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.

Ah, een voorstander van security by obscurity? Ja, dan moet je bij closed source zoals Windows blijven. Gelukkig laat open source dat toe - inspectie door derden - wat closed source niet doet. Ik vertrouw liever op open dan closed source. Enne, wordt Windows al niet geteisterd doordat het volledig closed is en dus uitnodigd tot hacking?
Frans.
05-09-2008, 15:28 door Anoniem
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
wat is luniks?is dat iets nieuws :) ?
05-09-2008, 15:30 door Eghie
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
Deze rootkit maakt het nog niet mogelijk om op je systeem uberhaubt binnen te komen. Ook maakt het niet mogelijk om als normale gebruiker dit te installeren. Dus je moet eerst een exploit zien te vinden en daarbij root rechten kunnen bemachtigen. Zodra je dat hebt, kun je dit pas gebruiken. Dus dit lijkt me wel mee gaan vallen.

Het handigste is om op Linux servers een custom kernel te draaien die je er speciaal voor gebouwd hebt, met alle modules erin gebouwd. En daarbij het laden van modules uitgezet. Dan ben je hier niet eens meer kwetsbaar voor.
05-09-2008, 16:41 door Anoniem
Ik denk dat script kiddies ook niet in staat zijn zelf een rootkit te fabriceren die syscall table entries overschrijft.. hoewel dat inderdaad niet zo moeilijk is.

Ik zie hier niet veel gevaar in.. Als een script kiddie root kan krijgen op je systeem heb je zowieso al een probleem. Nu is het misschien alleen gemakkelijker voor hen om een moeilijker te detecteren kernel rootkit te installeren.

Zowieso waren de meeste rootkits al in broncode vorm... ook aangezien de rootkits kernel-afhankelijk zijn, moeten ze vaak als source code worden geupload op een geroot systeem.
05-09-2008, 18:50 door Nomen Nescio
En weer wordt hier uitgehaald naar Microsoft. Het gaat om Linux hoor. Of krijgt Microsoft straks ook de schuld van besmettingen in Linux? Laf gelul dus.
05-09-2008, 18:50 door Anoniem
Door Eghie
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
Deze rootkit maakt het nog niet mogelijk om op je systeem uberhaubt binnen te komen. Ook maakt het niet mogelijk om als normale gebruiker dit te installeren. Dus je moet eerst een exploit zien te vinden en daarbij root rechten kunnen bemachtigen. Zodra je dat hebt, kun je dit pas gebruiken. Dus dit lijkt me wel mee gaan vallen.

Het handigste is om op Linux servers een custom kernel te draaien die je er speciaal voor gebouwd hebt, met alle modules erin gebouwd. En daarbij het laden van modules uitgezet. Dan ben je hier niet eens meer kwetsbaar voor.

Je vergeet één belangrijke factor...de gebruiker! Heel veel gebruikers installeren zo maar dingen, dit deden ze op Windows en doen ze ook op Linux. Heeft de rootkit rechten nodig die de gebruiker kan geven, gewoon een list verzinnen om die te verkrijgen. Belofte van porno plaatjes of filmpjes van bekende mensen moet voldoende zijn om grote getale dit te laten doen.
05-09-2008, 20:03 door Anoniem
??????
Microsoft? Sorry ik heb alles nog even na gelezen maar het woord Micrisoft kom ik 1 keer tegen (Nomen Nescio) Windows wel wat vaker wel 10 keer waar van 6 in een quote. Hat zal wel aan mij liggen.

Het is natuurlijk behoorlijk balen dat er een rootkit voor Linux is. Of nee een programma waarmee rootkit gemaakt kunnen worden.
Hmmm hoe was de risico berekening ook al weer kans * gevolg = risico.
Kans is nog steets erg klein Gevolg is redelijk Risico dus redelijk klein.

En als je er toch bang voor bent kan je een virus scanner op je Linux zetten. Iemand een idee welke het beste werkt?
05-09-2008, 21:09 door Anoniem
ja hoor, daar is Nomen weer, kompleet met schuttingtaal.
Stoer hoor jongen, is je moeder nu trots op je ?
05-09-2008, 21:41 door Jackr64
Door Nomen NescioEn weer wordt hier uitgehaald naar Microsoft. Het gaat om Linux hoor. Of krijgt Microsoft straks ook de schuld van besmettingen in Linux? Laf gelul dus.

Mooie poging om alle ik-haat-het-commerciele-Windows-dus-ik-stap-over-op-Linux-of-hoe-heet-het-ook-weer-gedachten de kop in te drukken en terecht ook want de meeste hier gebruiken toch Windows. Maar er is natuurlijk ook geen rede om Linux links te laten liggen omdat het een beetje onveiliger is geworden.
05-09-2008, 21:46 door Anoniem
Door Nomen NescioEn weer wordt hier uitgehaald naar Microsoft. Het gaat om Linux hoor. Of krijgt Microsoft straks ook de schuld van besmettingen in Linux? Laf gelul dus.

http://nl.wikipedia.org/wiki/Nomen_nescio

QUOTE: Op formulieren met een standaardtekst die moet worden uitgesproken als er een bepaalde officiële verklaring wordt afgelegd

Plof...
05-09-2008, 22:30 door Anoniem
Linux blijkt uiteindelijk nog kwetsbaarder te zijn dan Windows.
05-09-2008, 23:14 door Eghie
Door Nomen NescioEn weer wordt hier uitgehaald naar Microsoft. Het gaat om Linux hoor. Of krijgt Microsoft straks ook de schuld van besmettingen in Linux? Laf gelul dus.
Nee, er wordt niet uitgehaald naar Microsoft hier. Hier wordt het verschil tussen closed source en open source uitgelegd. Ook Microsoft heeft open source projecten. Daarnaast wordt hier ook uitgelegd dat Windows ook die problemen heeft die Linux ook heeft met rootkits, dus dat Windows op dat punt nou niet veel veiliger is, want ze leiden aan hetzelfde probleem.
06-09-2008, 09:06 door SirDice
Het ontwikkelen van rootkits voor Linux-besturingssystemen is een stuk eenvoudiger geworden nu beveiligingsbedrijf Immunity een opensource rootkit beschikbaar heeft gemaakt.
Niet om het een of ander maar er zijn wel meer rootkits waar je gewoon de source van kunt downloaden.

Door Eghie
Door AnoniemIk voorspel u dat luniks vanaf nu door een golf van malware geteisterd zal worden. Aangezien de source open is (wat garant staat voor totale onveiligheid) en deze tools het zo kinderlijk eenvoudig maken.
SirDice zal het wel druk krijgen. Ik ga maar weer terug naar Windows.
Deze rootkit maakt het nog niet mogelijk om op je systeem uberhaubt binnen te komen. Ook maakt het niet mogelijk om als normale gebruiker dit te installeren. Dus je moet eerst een exploit zien te vinden en daarbij root rechten kunnen bemachtigen. Zodra je dat hebt, kun je dit pas gebruiken. Dus dit lijkt me wel mee gaan vallen.
Inderdaad. Rootkits worden, over het algemeen, gebruikt om een eenmaal pwnd machine te behouden en te verbergen dat het ding pwnd is.

Het handigste is om op Linux servers een custom kernel te draaien die je er speciaal voor gebouwd hebt, met alle modules erin gebouwd. En daarbij het laden van modules uitgezet. Dan ben je hier niet eens meer kwetsbaar voor.
Absoluut aan te raden voor productie servers en helpt zeker tegen LKM rootkits. Wel nog even oppassen voor "low-tech" rootkits, een verzameling aangepaste systeem commando's zoals ps of netstat. Het read-only mounten van root (/, waar o.a. /etc, /bin en /sbin leven) kan dan uitkomst bieden. Iets wat onder BSD makkelijk te realiseren is m.b.v. security-levels. Maakt alleen het updaten van de machine wat lastig ;)
06-09-2008, 10:50 door Anoniem
Het is allemaal weer de schuld van de grote mogendheden. Microsoft sponsort de oorlog in Osnetië en daar wonen de anti-lunikshackers. Net zoals de chemtrails die wij allemaal inademen en die moderne drie-dimensionale graancirkels die je opeens overal ziet en dan opeens weer weg zijn zonder dat iemand er iets van af weet hoe dat allemaal komt. Ik zeg je, als Obama aan de macht komt wordt het allemaal niets beter. Free Nelson Mandela!
06-09-2008, 13:26 door Eghie
Door SirDice
...

Absoluut aan te raden voor productie servers en helpt zeker tegen LKM rootkits. Wel nog even oppassen voor "low-tech" rootkits, een verzameling aangepaste systeem commando's zoals ps of netstat. Het read-only mounten van root (/, waar o.a. /etc, /bin en /sbin leven) kan dan uitkomst bieden. Iets wat onder BSD makkelijk te realiseren is m.b.v. security-levels. Maakt alleen het updaten van de machine wat lastig ;)
Ach, voor het updaten mount -o remount,rw / te doen en daarna weer mount -o remount,ro / te doen kan ook prima. Uiteraard kan iemand met een (local) root exploit dat ook. Misschien in combinatie met SELinux ofzo, met RBAC.

Door AnoniemHet is allemaal weer de schuld van de grote mogendheden. Microsoft sponsort de oorlog in Osnetië en daar wonen de anti-lunikshackers. Net zoals de chemtrails die wij allemaal inademen en die moderne drie-dimensionale graancirkels die je opeens overal ziet en dan opeens weer weg zijn zonder dat iemand er iets van af weet hoe dat allemaal komt. Ik zeg je, als Obama aan de macht komt wordt het allemaal niets beter. Free Nelson Mandela!
Ik raad je aan om de film "The Genius Club" te kijken. Zie voor trailer: http://www.youtube.com/watch?v=MFZhYfDTtrw Gaat o.a. over het kapitalisme en wereld problemen enzo. Is wel een leuke film.
06-09-2008, 14:00 door Anoniem
Door AnoniemHet is allemaal weer de schuld van de grote mogendheden. Microsoft sponsort de oorlog in Osnetië en daar wonen de anti-lunikshackers. Net zoals de chemtrails die wij allemaal inademen en die moderne drie-dimensionale graancirkels die je opeens overal ziet en dan opeens weer weg zijn zonder dat iemand er iets van af weet hoe dat allemaal komt. Ik zeg je, als Obama aan de macht komt wordt het allemaal niets beter. Free Nelson Mandela!

Ik raad je aan om de film "The Genius Club" te kijken. Zie voor trailer: http://www.youtube.com/watch?v=MFZhYfDTtrw Gaat o.a. over het kapitalisme en wereld problemen enzo. Is wel een leuke film.
kewl! ;-)
07-09-2008, 08:51 door [Account Verwijderd]
[Verwijderd]
07-09-2008, 09:16 door Anoniem
Door rookie
Door AnoniemHet is allemaal weer de schuld van de grote mogendheden. Microsoft sponsort de oorlog in Osnetië en daar wonen de anti-lunikshackers. Net zoals de chemtrails die wij allemaal inademen en die moderne drie-dimensionale graancirkels die je opeens overal ziet en dan opeens weer weg zijn zonder dat iemand er iets van af weet hoe dat allemaal komt. Ik zeg je, als Obama aan de macht komt wordt het allemaal niets beter. Free Nelson Mandela!

Dat vriendje van Obama, die Joe Biden, is een communist pur sang, want als het aan Joe ligt, wordt er een internet belasting in het leven geroepen, mag er nog alleen maar software gebruikt worden die door de staat is gecontroleerd en moet alle software een backdoor bevatten die voor de staat toegankelijk is.

Rokkie, we betalen allemaal al internetbelasting, door die slechte implementatie van de TCP/IP stack door Mickey$oft is je internet veel trager dan zou hoeven - je benut je bandbreedte niet optimaal en wie profiteren daarvan? Al die anderen die dat door hebben en nu proberen lunixks onderuit te halen! Ik zeg je 1984 is nu! George Orwel voorspelde niet, hij schreef een handleiding. Je hoort nooit meer van deze klokkenluider, is hij soms de eerste bewoner van Guantanamo Bay en loopt hij in zo'n mooi oranje overal stenen te meppen? nee dan die republikeinse miep, zij zal nooit op marian thieme stemmen, voor het ontbij nog ff een eland afknallen, tussen de middag gezellig zeehondjes meppen en s'avonds een rondje rendierballen met de mannen meeeten. Ik zeg je, lunix ruulz!
@Eghie, leuke trailer trouwens!
07-09-2008, 11:54 door [Account Verwijderd]
[Verwijderd]
07-09-2008, 11:59 door SirDice
Door AnoniemIk zeg je 1984 is nu! George Orwel voorspelde niet, hij schreef een handleiding. Je hoort nooit meer van deze klokkenluider, is hij soms de eerste bewoner van Guantanamo Bay en loopt hij in zo'n mooi oranje overal stenen te meppen?
Wat vreemd dat je niets meer van 'm hoort. Zou het misschien komen omdat'ie al zo'n 58 jaar dood is?

http://en.wikipedia.org/wiki/George_Orwell
07-09-2008, 12:29 door [Account Verwijderd]
[Verwijderd]
07-09-2008, 14:43 door Anoniem
Het verband met Windows in veel reacties is mij ook niet duidelijk. Rootkits komen uit de *IX-wereld en nu is er een rootkit-tool speciaal voor linux. Mensen die elke gelegenheid maar aangrijpen om Windows te bashen zijn m.i. gefrustreerd omdat ze zich met gratis software moeten behelpen.
Nomen heeft groot gelijk!
10-09-2008, 09:59 door Anoniem
Wat leuk om te zien hoe iedereen hier weer een dicussie voert over wie er beter is, linux of Windows!

ping-pong-ping-pong

Ga vooral door, entertainment van de bovenste plank.

Ga ik nog ff lekker in me secure linux omgeving wat andere dingen doen!
14-09-2008, 14:32 door Anoniem
Weer dikke FUD, niemand op een moderne linux-distro kan hierdoor geïnfecteerd worden!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.