Linux kwetsbaar voor USB Autorun-aanval
Niet alleen Windows, maar ook Linux is kwetsbaar voor besmette USB-sticks, zo demonstreerde onlangs IBM beveiligingsonderzoeker Jon Larimer. Volgens Larimer denken veel mensen dat Linux immuun is voor de Autorun-aanvallen waar Windows zo door geplaagd wordt. De ontwikkelingen van de afgelopen jaren om Linux gebruiksvriendelijker te maken, hebben voor mogelijkheden gezorgd die een Autorun-aanval mogelijk maken.
Tijdens zijn demonstratie op de ShmooCon 2011 conferentie liet Larimer zien hoe aanvallers deze functies kunnen gebruiken om een systeem via een USB-sticks over te nemen. Ook demonstreerde de onderzoeker hoe USB als een "exploit-platform" dient voor het omzeilen van beveiligingsmaatregelen zoals ASLR en hoe deze aanvallen een niveau van toegang kunnen bieden die met andere fysieke aanvalsmethoden niet mogelijk is.
Larimer besloot zijn presentatie met stappen die Linux distributies en gebruikers kunnen nemen om hun systemen tegen deze dreiging te beschermen, en zo een "golf van Linux Autorun malware" te voorkomen.
Reacties (18)
Wat heeft autorun met gebruikersvriendelijk te maken? Een van de eerste dingen die uit gezet worden. Vanaf de introductie al... Wat heeft iemand toch aan al dat eigen initiatief van een OS?
08-02-2011, 10:03 door
N4ppy
@Ano: Omdat dat voor gewone gebruikers handig is. Als je een cd/dvd er in steekt dan wil je in principe wat met die cd/dvd doen en in veel gevallen is dat een standaard actie. Voor nerds is het vaak net even anders en zul je die optie uitzetten.
Maar tante beb wil gewoon dvd kijken of muziek luisteren of foto's van de kids kijken die op een stikkie staan
Maar tante beb wil gewoon dvd kijken of muziek luisteren of foto's van de kids kijken die op een stikkie staan
08-02-2011, 10:06 door
staubsauger
Dat komt omdat al die gebruiksvriendelijke Linux distro's steeds meer op Windows moeten lijken.
Autorun, Automount en Autologin zijn zeer gebruiksvriendelijk maar waren juist de kracht van Unix omdat deze dat niet haden. ASLR helpt alleen tegen ouderwetse aanvallen waarbij applicatie's vaste geheugen plaatsen hebben.
Autorun, Automount en Autologin zijn zeer gebruiksvriendelijk maar waren juist de kracht van Unix omdat deze dat niet haden. ASLR helpt alleen tegen ouderwetse aanvallen waarbij applicatie's vaste geheugen plaatsen hebben.
Volgens mij doet Linux helemaal geen autorun maar alleen een automount ?!?
Door Anoniem: Volgens mij doet Linux helemaal geen autorun maar alleen een automount ?!?
Dat klopt maar de autorun zit em in het feit dat je nautilus (in dit geval) standaard al een paar fotokes en pdf, dvi files rendered. Zodat je al een beetje weet wat je gaat zien.
Door Anoniem:
Dat klopt maar de autorun zit em in het feit dat je nautilus (in dit geval) standaard al een paar fotokes en pdf, dvi files rendered. Zodat je al een beetje weet wat je gaat zien.
Door Anoniem: Volgens mij doet Linux helemaal geen autorun maar alleen een automount ?!?
Dat klopt maar de autorun zit em in het feit dat je nautilus (in dit geval) standaard al een paar fotokes en pdf, dvi files rendered. Zodat je al een beetje weet wat je gaat zien.
Maar er is een groot verschil in het renderen van plaatjes/documenten en het starten van (verstopte) programma's. Er is dus van een autorun geen sprake en is er alleen een gevaar indien kwaadwillende plaatjes/documenten gebruik maken van de 'gaten' in die rendering software. Die ""...golf van Linux Autorun malware..." is dan ook behoorlijk overdreven.
08-02-2011, 13:54 door
Mysterio
Hmmmpfff... het lijkt wel als er weer eens iemand een kwetsbaarheid heeft gevonden er meteen stickers als 'Extreem gevaarlijk' en 'Golf van malware' op geplakt moet worden om maar een beetje op te vallen en aan te sluiten bij de angst politiek.
Fijn, een kwetsbaarheid. Maar hou toch eens een keer op met dat paniekerige gedoe erover.
Fijn, een kwetsbaarheid. Maar hou toch eens een keer op met dat paniekerige gedoe erover.
Natuurlijk is ook Linux kwetsbaar voor Malware,Virus en dergelijke. Wie dacht van niet? Wij in ieder geval niet!
Chung Hui & Jorrit C
InfraG.
Chung Hui & Jorrit C
InfraG.
Ach ja ik heb het niet zo nou met autorun,en gebruik het dus niet.
Ik heb deze functie zowel binnen Linux als Windows uitgeschakeld op mijn pc en laptop.
Ik heb deze functie zowel binnen Linux als Windows uitgeschakeld op mijn pc en laptop.
08-02-2011, 14:36 door
Eerde
Heeft iedereen de volle 51 minuten bekeken ?
Tsja, Ubuntu 10.10 en dan nog 32 bits. Op Gnome, niet b.v. Kubuntu.
Nautilus en evince zijn toch al een ramp b.v. geen protectie van AppArmor -de bug waar hij het over heeft is gefixd-, doe maar Dolphin of gewoon Konqueror.
"Autorun under Linux is safe" en gaat hij door met een lang verhaal met "physical access" en later gaat het voornamelijk over "Thumbnails" als je dit al niet uit hebt gezet, gaan die echt niet verder dan de 'user's home dir oftwel /home/user'.
"kill screensaver" weet ik niets van, maar zoals hij zegt zort AppArmor daarvoor, ook al denkt hij dat te kunnen omzeilen.
Verder zet hij een hoop dingen 'uit' AppArmor & ASLR etc om zijn punt te maken...
Het enige dat hij laat zien is dat hij de screensaver uit kan zetten..... duhhh.
Jammer ik vind het niet sterk..... maar overtuig mij !
Tsja, Ubuntu 10.10 en dan nog 32 bits. Op Gnome, niet b.v. Kubuntu.
Nautilus en evince zijn toch al een ramp b.v. geen protectie van AppArmor -de bug waar hij het over heeft is gefixd-, doe maar Dolphin of gewoon Konqueror.
"Autorun under Linux is safe" en gaat hij door met een lang verhaal met "physical access" en later gaat het voornamelijk over "Thumbnails" als je dit al niet uit hebt gezet, gaan die echt niet verder dan de 'user's home dir oftwel /home/user'.
"kill screensaver" weet ik niets van, maar zoals hij zegt zort AppArmor daarvoor, ook al denkt hij dat te kunnen omzeilen.
Verder zet hij een hoop dingen 'uit' AppArmor & ASLR etc om zijn punt te maken...
Het enige dat hij laat zien is dat hij de screensaver uit kan zetten..... duhhh.
Jammer ik vind het niet sterk..... maar overtuig mij !
op tweakers:
De onderzoeker is er nog niet in geslaagd om de beveiligingsmodule AppArmor te omzeilen, maar dat lijkt een kwestie van tijd
tweakers -1
security.nl -1
De onderzoeker is er nog niet in geslaagd om de beveiligingsmodule AppArmor te omzeilen, maar dat lijkt een kwestie van tijd
tweakers -1
security.nl -1
Volgens mij is dit helemaal geen algemene Linux fout, autorun is volgens mij een functionaliteit van de desktop environment, in dit geval blijkbaar Gnome.
Wat een kwatsch....het gaat slecht bij ibm.
Er is geen autorun....maar automount en als er wat gedaan zou kunnen worden.....de screensaver!!!! whaaaaaaa
dan is dat binnen een user sessie....nooit het systeem zelf zoals bij windows....
Uitloggen is alles weg....
Alle bestanden die hij eventueel zou kunnen aanmaken zijn user bestanden die kunnen niets binnen het operating system.
Bij suse b.v. staat standaard het auto...spul niet aan maar wordt er gevraagd wat wil je.....
En dan nog...je kunt niets binnen een user sessie....ja internetten...
Maar niets met het systeem
Er is geen autorun....maar automount en als er wat gedaan zou kunnen worden.....de screensaver!!!! whaaaaaaa
dan is dat binnen een user sessie....nooit het systeem zelf zoals bij windows....
Uitloggen is alles weg....
Alle bestanden die hij eventueel zou kunnen aanmaken zijn user bestanden die kunnen niets binnen het operating system.
Bij suse b.v. staat standaard het auto...spul niet aan maar wordt er gevraagd wat wil je.....
En dan nog...je kunt niets binnen een user sessie....ja internetten...
Maar niets met het systeem
08-02-2011, 18:39 door
Dev_Null
Paniekzaaierij.. een beetje linux gebruiker heeft dit al lang en breed uitgezet in de juiste config files :-P
Ik snap wel wat Larimer wil aangeven maar, hij gaat er ook ff vanuit dat er fouten in de drivers zitten die op een bepaald moment in kernel mode werken. En die fouten kan hij dan benutten.
Das ver gezocht omdat zelfs in de channel programmatuur van MVS en VM zulke fouten gevonden zijn waardoor wat studentjes die channel programma's aan het schrijven waren voor de mainframes een buffer overflow veroorzaakte.
Dan gaat zelfs zo'n systeem . Als je dus zelfs dat moet voorkomen moeten de linux USB drivers in usermode werken en nooit op het systeem in DEV/MEDIA gemount worden.
Hij gaat er dus vanuit dat de drivers bugs hebben.
Hij heeft een punt voor encrypted disk die via een user benaderd wordt......
De versleuteling ken je dan maar dan heb je nog niet de toegang tot niet eigen files...
Dus als je de kernel drivers niet kunt vertrouwen........ja dan heb je de hoofdprijs.....
apparmor help daar ook niet tegen.
Das ver gezocht omdat zelfs in de channel programmatuur van MVS en VM zulke fouten gevonden zijn waardoor wat studentjes die channel programma's aan het schrijven waren voor de mainframes een buffer overflow veroorzaakte.
Dan gaat zelfs zo'n systeem . Als je dus zelfs dat moet voorkomen moeten de linux USB drivers in usermode werken en nooit op het systeem in DEV/MEDIA gemount worden.
Hij gaat er dus vanuit dat de drivers bugs hebben.
Hij heeft een punt voor encrypted disk die via een user benaderd wordt......
De versleuteling ken je dan maar dan heb je nog niet de toegang tot niet eigen files...
Dus als je de kernel drivers niet kunt vertrouwen........ja dan heb je de hoofdprijs.....
apparmor help daar ook niet tegen.
08-02-2011, 21:11 door
staubsauger
Een beetje Windows en OSX gebruiker ook trouwens, maar daar gaat het hier helemaal niet om.
Het gaat over het platform wat gebruikt kan worden voor het omzeilen van beveiligingsmaatregelen zoals bijvoorbeeld ASLR.
Daar heeft deze meneer wel een punt, maar dit is geen spectaculair nieuws.
Het gaat over het platform wat gebruikt kan worden voor het omzeilen van beveiligingsmaatregelen zoals bijvoorbeeld ASLR.
Daar heeft deze meneer wel een punt, maar dit is geen spectaculair nieuws.
noobuntu en gnome disease perhaps?
dingen simpel willen maken die niet simpel zijn zodat het juist onhandig wordt en problemen kan geven?
een simpel voorbeeld van dergelijk achterlijke ideologien is de ubuntu single user mode die root toegang geeft zonder paspoort in recovery modes en om dat uit te zetten moet de sudo ert een volwaardig root account maken om het een echt password te schenken :P
dingen simpel willen maken die niet simpel zijn zodat het juist onhandig wordt en problemen kan geven?
een simpel voorbeeld van dergelijk achterlijke ideologien is de ubuntu single user mode die root toegang geeft zonder paspoort in recovery modes en om dat uit te zetten moet de sudo ert een volwaardig root account maken om het een echt password te schenken :P
geestig...
linux is blijkbaar zo veilig dat een een of ander no brainer exploit wat niet eens werkt in de praktijk al nieuws is...
wat meneer eigenlijk heeft ontdekt is dat als je de functionaliteiten van een prgramma als nautilus gebruikt je door 1 van de vele lagen van beveiling binnen linux dus in principe het systeem NIET kan overnemen.
natuurlijk heb je freaks die selinux of apparmor expres uitzetten omdat ze er geen verstand van hebben maar dat is dan ook eigen schuld dikkke bult.
laatst las ik een heel verhaal over een gast die met backtrack en metasploit aan de gang was geweest om aan te tonen dat een encrypted en gemount volume in principe geen goede beveiliging is tegen ongepatchte browsers.
whaha :D
verder is het sowieso een bedenkelijke methode aangezien je dus fysiek toegang moet hebben tot de pc.
nou is het 'filosofie' van linux altijd geweest dat als je mensen fysiek toegang geeft tot je linux bak dan is hij per definitie al verloren.
als je root wil worden op een linux bak herstart je simpel weg even in single user mode en je bent root... zonder password. (oh dear.. ik voel opeens een nieuwe headline opkomen op security.nl..)
maar goed,
tijden zijn inmiddels een beetje verandert en tegenwoordig kan je met 1 klik tijdens installatie al je hardeschijven on the fly encrypten en dan is ook single user geen optie meer.
linux is blijkbaar zo veilig dat een een of ander no brainer exploit wat niet eens werkt in de praktijk al nieuws is...
wat meneer eigenlijk heeft ontdekt is dat als je de functionaliteiten van een prgramma als nautilus gebruikt je door 1 van de vele lagen van beveiling binnen linux dus in principe het systeem NIET kan overnemen.
natuurlijk heb je freaks die selinux of apparmor expres uitzetten omdat ze er geen verstand van hebben maar dat is dan ook eigen schuld dikkke bult.
laatst las ik een heel verhaal over een gast die met backtrack en metasploit aan de gang was geweest om aan te tonen dat een encrypted en gemount volume in principe geen goede beveiliging is tegen ongepatchte browsers.
whaha :D
verder is het sowieso een bedenkelijke methode aangezien je dus fysiek toegang moet hebben tot de pc.
nou is het 'filosofie' van linux altijd geweest dat als je mensen fysiek toegang geeft tot je linux bak dan is hij per definitie al verloren.
als je root wil worden op een linux bak herstart je simpel weg even in single user mode en je bent root... zonder password. (oh dear.. ik voel opeens een nieuwe headline opkomen op security.nl..)
maar goed,
tijden zijn inmiddels een beetje verandert en tegenwoordig kan je met 1 klik tijdens installatie al je hardeschijven on the fly encrypten en dan is ook single user geen optie meer.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
