Linux kwetsbaar voor aanvallen via kwaadaardige usb-sticks
Linux-systemen zijn kwetsbaar voor aanvallen via kwaadaardige usb-sticks waardoor een aanvaller met fysieke toegang tot een systeem een denial of service kan veroorzaken en mogelijk ook willekeurige code kan uitvoeren. De kwetsbaarheden bevinden zich in het usb-subssysteem van de Linux-kernel.
De beveiligingslekken werden gevonden door onderzoeker Andrey Konovalov, die zijn bevindingen op de Open Source Software Security-mailinglist rapporteerde. De 14 beveiligingslekken waar Konovalov het in zijn e-mail over heeft zijn inmiddels verholpen. De onderzoeker zegt dat er echter nog zo'n 35 soortgelijke kwetsbaarheden zijn die op een update wachten. "De meeste beveiligingslekken betreffen een denial of service, maar een aantal kan mogelijk worden gebruikt voor het uitvoeren van code in de kernel", zo laat Konovalov aan The Register weten.
Reacties (31)
08-11-2017, 11:46 door
[Account Verwijderd]
-
Bijgewerkt: 08-11-2017, 11:47
[Verwijderd]
de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
Door Neb Poorten: Help! Moet ik dan toch maar mijn USB poorten dichtsolderen?
Feit is dat je tegen aanvallers met fysieke toegang meestal weinig kan doen. Behalve je harde schijven (volledig) versleutelen. Want die dingen kan je eruit schroeven en aan een andere computer hangen. Als ze dan niet versleuteld zijn dan kan de aanvaller overal bij. En je moet je computer volledig uitzetten wanneer je niet thuis bent. Want als de computer aan staat heb je je harde schijven waarschijnlijk toegankelijk gemaakt om ermee te kunnen werken.
Feit is dat je tegen aanvallers met fysieke toegang meestal weinig kan doen. Behalve je harde schijven (volledig) versleutelen. Want die dingen kan je eruit schroeven en aan een andere computer hangen. Als ze dan niet versleuteld zijn dan kan de aanvaller overal bij. En je moet je computer volledig uitzetten wanneer je niet thuis bent. Want als de computer aan staat heb je je harde schijven waarschijnlijk toegankelijk gemaakt om ermee te kunnen werken.
En vooral geen gevonden USB sticks gebruiken. Er zijn al sticks van knutselaars die je moederbord vernietigen met een fikse spanningsstoot. En daar helpt absoluut niets tegen.
De denial-of-service, en dat is veel ernstiger, kan door een aanvaller met fysieke toegang ook worden uitgevoerd met behulp van de aan-uit-knop. Zeer ernstig dit!!!
08-11-2017, 12:25 door
Whacko
Door Anoniem: de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
ja het is een xen hypervisor. Maar draait wel een linux microkernel. Zolang in die micorkernel geen USB gebruikt wordt "is het veilig"... nou nee, het OS wat er bovenop draait kan nog altijd kwetsbaar zijn.Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
Volgens mij is elk OS in potentie al snel kwetsbaar voor USB sticks met malware.
Door Whacko:
Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
het gaat er ook niet om de die kernel zelf kwetsbaar is, maar dat het dan alleen in die specefieke kernel iets kan doen, en niet in de rest(aka de reden om uberhaubt qubes te gebruiken)Door Anoniem: de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
ja het is een xen hypervisor. Maar draait wel een linux microkernel. Zolang in die micorkernel geen USB gebruikt wordt "is het veilig"... nou nee, het OS wat er bovenop draait kan nog altijd kwetsbaar zijn.Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
Tja iemand die een ddos op mijn laptop wil uitvoeren door een kwaadaardig stukje software te schrijven wat kwetsbaarheden benut in USB is waarschijnlijk iemand die in een vliegtuig stapt en richting oosten vliegt als ie het donker wil hebben... een ddos op een systeem waar je bij kunt kun je makkelijker doen door de stekker eruit te trekken...
Och, heb al jaren last van machines die spontaan over hun nek gaan van inkomende USB, en dan hebben we het over logitech muizen en apple toetsenborden. Zeker als er maar weinig geheugen beschikbaar is wil er wel eens vanalles uitklappen. Dus dat er nu iemand eens een keertje naar de USB stack gekeken heeft is geen overbodige luxe. En dat het vol bleek te zitten met gaten, ach, dat verbaast me niet.
Door Whacko: Maar draait wel een linux microkernel.
linux is geen microkernel. Nee, ook niet als je doet wat qubes er mee doet. Ja, ik snap wat je bedoelt. Nee, linux is geen microkernel. Pak maar een andere term, "minimale kernel" mischien. Maar "microkernel" betekent gewoon al wat anders, en dat is linux niet.Je kan op een USB-poort een apparaat aansluiten dat doet alsof het een toetsenbord is. Bijvoorbeeld een YubiKey.
Pas ook op voor aanvallen met hamers indien de aanvaller toegang heeft tot de computer.
Hamers kunnen zeer destructief zijn.
En ach, een monolitische kernel of microkernel is voor 70% van de IT'ers allemaal een pot nat ....
Hamers kunnen zeer destructief zijn.
En ach, een monolitische kernel of microkernel is voor 70% van de IT'ers allemaal een pot nat ....
Door Anoniem: De denial-of-service, en dat is veel ernstiger, kan door een aanvaller met fysieke toegang ook worden uitgevoerd met behulp van de aan-uit-knop. Zeer ernstig dit!!!
Dat is maar de vraag... Van de fraaie security-driehoek C-I-A (confidentiality, integrity, availability) wordt bij het uitzetten van een server alleen availability minder. Bij het gebruik van een exploit waardoor iemand toegang kan krijgen tot de server en z'n data zijn ook confidentiality en integrity in het geding. Uitzetten is dus veel minder erg dan een USB stick...
Overigens, het roepen dat zodra een aanvaller fysieke toegang heeft tot een systeem er niks meer veilig is gaat niet meer op: als de NSA een iPhone al niet kan kraken als ze deze in handen hebben geeft wel aan dat beveiliging zelfs dan mogelijk is...
De denial-of-service, en dat is veel ernstiger, kan door een aanvaller met fysieke toegang ook worden uitgevoerd met behulp van de aan-uit-knop. Zeer ernstig dit!!!
Wat een humor !
Ja, wat is veilig zeg. Als je met een goed dichtgetimmerd systeem zit, dan kan je er donder op zeggen dat een of andere wizkid of slimmerik alsnog binnenkomt. Dus waar praten wij over?
08-11-2017, 16:08 door
swake
Fysieke toegang betekent dat je zelf aan het toetsenbord moet zitten en ook nog eens rootrechten moet hebben !
08-11-2017, 16:28 door
Whacko
Door Anoniem: Och, heb al jaren last van machines die spontaan over hun nek gaan van inkomende USB, en dan hebben we het over logitech muizen en apple toetsenborden. Zeker als er maar weinig geheugen beschikbaar is wil er wel eens vanalles uitklappen. Dus dat er nu iemand eens een keertje naar de USB stack gekeken heeft is geen overbodige luxe. En dat het vol bleek te zitten met gaten, ach, dat verbaast me niet.
Ik weet dat linux geen kernel is, dat zei ik ook niet. Ik bedoelde Qubes gebruikt een microkernel (minimale kernel) die gebaseerd is op de normale kernel van een linux distributie.Door Whacko: Maar draait wel een linux microkernel.
linux is geen microkernel. Nee, ook niet als je doet wat qubes er mee doet. Ja, ik snap wat je bedoelt. Nee, linux is geen microkernel. Pak maar een andere term, "minimale kernel" mischien. Maar "microkernel" betekent gewoon al wat anders, en dat is linux niet.Door Whacko:
Door Anoniem: Och, heb al jaren last van machines die spontaan over hun nek gaan van inkomende USB, en dan hebben we het over logitech muizen en apple toetsenborden. Zeker als er maar weinig geheugen beschikbaar is wil er wel eens vanalles uitklappen. Dus dat er nu iemand eens een keertje naar de USB stack gekeken heeft is geen overbodige luxe. En dat het vol bleek te zitten met gaten, ach, dat verbaast me niet.
Ik weet dat linux geen kernel is, dat zei ik ook niet. Ik bedoelde Qubes gebruikt een microkernel (minimale kernel) die gebaseerd is op de normale kernel van een linux distributie.Door Whacko: Maar draait wel een linux microkernel.
linux is geen microkernel. Nee, ook niet als je doet wat qubes er mee doet. Ja, ik snap wat je bedoelt. Nee, linux is geen microkernel. Pak maar een andere term, "minimale kernel" mischien. Maar "microkernel" betekent gewoon al wat anders, en dat is linux niet.QubesOS gebruikt een minimale linux kernel niet een microkernel.
Als je een voorbeeld van een microkernel wilt dat zou ik eens naar Minix 3 kijken is ongeveer ~12k LoC.
https://upload.wikimedia.org/wikipedia/commons/d/d0/OS-structure2.svg
Linux is een monolithic kernel.
Door Anoniem:
Inderdaad, Xen hangt met behulp van IOMMU/Intel VT-d de USB controller aan 1 specifieke VM. Deze kan je dus niet alleen gebruiken om USB apparaten(of andere hardware die via PCI is aangesloten) direct met een VM te laten communiceren maar ook als isolatie door een aparte USB VM te creëeren.Door Whacko:
Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
het gaat er ook niet om de die kernel zelf kwetsbaar is, maar dat het dan alleen in die specefieke kernel iets kan doen, en niet in de rest(aka de reden om uberhaubt qubes te gebruiken)Door Anoniem: de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
ja het is een xen hypervisor. Maar draait wel een linux microkernel. Zolang in die micorkernel geen USB gebruikt wordt "is het veilig"... nou nee, het OS wat er bovenop draait kan nog altijd kwetsbaar zijn.Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
08-11-2017, 22:08 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: bijna alle bugs zijn all in linux kernel versie 4.13 gepached.
LTS distro's draaien max. met 4.9
Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..
Door Anoniem:
LTS distro's draaien max. met 4.9
Door Anoniem: bijna alle bugs zijn all in linux kernel versie 4.13 gepached.
LTS distro's draaien max. met 4.9
Waarin backports van allerhande fixes en eventueel features van latere mainline kernels toegevoegd zijn.
Met daarnaast nog de patches die een distro vendor kan toevoegen.
09-11-2017, 13:53 door
PietdeVries
Door Anoniem: Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..
Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...
09-11-2017, 17:19 door
[Account Verwijderd]
[Verwijderd]
Door Neb Poorten:
Dat geldt ook voor mijn versleutelde harde schijven onder Linux!
Als de NSA ofwel AIVD MIVD ofwel sttatsveiligheid met de FBi ofwel de dagelijks wethanhaving verward dan is er een behoorlijk context issue. Door PietdeVries:
Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...
Door Anoniem: Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..
Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...
Dat geldt ook voor mijn versleutelde harde schijven onder Linux!
Kom je op het gebied van "ik krijg toch geen bekeuring voor het rijden zonder licht." Nu nog het equivalent van "zorg dat je codicil op orde is. Je red er levens mee"
11-11-2017, 14:54 door
[Account Verwijderd]
[Verwijderd]
12-11-2017, 06:56 door
karma4
Door Neb Poorten: ....
Wat staat hier? (Kan iemand even helpen om dit te ontcijferen?)
Hetgeen bewijst dat je zelf de weg volledig kwijt bent.Wat staat hier? (Kan iemand even helpen om dit te ontcijferen?)
Het besef van de realiteit en je omgeving is verdwenen als je om uitleg moet vragen.
13-11-2017, 09:55 door
Whacko
Door Neb Poorten:
Wat staat hier? (Kan iemand even helpen om dit te ontcijferen?)
Ik kom er ook niet uit hoor. Er missen letters, interpunctie en logica waardoor ik niet weet wat de zin nou moet zijn.Door karma4:
Kom je op het gebied van "ik krijg toch geen bekeuring voor het rijden zonder licht." Nu nog het equivalent van "zorg dat je codicil op orde is. Je red er levens mee"
Door Neb Poorten:
Dat geldt ook voor mijn versleutelde harde schijven onder Linux!
Als de NSA ofwel AIVD MIVD ofwel sttatsveiligheid met de FBi ofwel de dagelijks wethanhaving verward dan is er een behoorlijk context issue. Door PietdeVries:
Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...
Door Anoniem: Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..
Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...
Dat geldt ook voor mijn versleutelde harde schijven onder Linux!
Kom je op het gebied van "ik krijg toch geen bekeuring voor het rijden zonder licht." Nu nog het equivalent van "zorg dat je codicil op orde is. Je red er levens mee"
Wat staat hier? (Kan iemand even helpen om dit te ontcijferen?)
een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet.
Als het je lukt om de management engine eruit te flashen en je eigen boot loader erop te zetten. En als je er een hardware random number generator op zet, een random master key genereert, alle blokken versleutelt met een unieke sleutel die is afgeleid van de master key met counter. En als je een door jouzelf gecompileerd open source besturingssysteem erop zet. En als je er geen apps op zet die data in de cloud bewaren.
Maar ik weet niet of je het resultaat dan nog kan gebruiken als 'iPhone'.
13-11-2017, 13:55 door
[Account Verwijderd]
-
Bijgewerkt: 14-11-2017, 08:04
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
