Ahojte.
Pri napísaní tejto správičky o Wine som narazil na názor, ktorý opisuje spôsob možného podvrhnutia shell skriptu (malware typu *.sh súboru) vo forme inštalačného .deb balíčka pre Ubuntu, ktoré je jedno z najrozšírenejších Linuxov vo svete.
Poprosím o Vaše názory, doporučenia, kritiku, polemiku etc., ohľadom tohoto zneužitia inštalačných .deb Ubuntu balíčkov.
Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux
G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
Pre pridávanie komentárov sa musíte prihlásiť.
file-roller (gnome archivator) moze prezriet deb balik pred instalovanim. taktiez mozno cez grep potom vyhladat daky ten retazec s nie moc peknym kodom.
Kde sa dá nájsť zoznam balíčkov ktoré obsahuje posledná verzia Greenie ?
opisujes PEBKAC do ktoreho patri aj stary Irsky virus:
Ahoj, ja som irsky virus. Pretoze moj autor Arthur O'Brian dokazal prepit aj pocitac, tak mal obmedzene moznosti. Vymaz si prosim ta nejaky subor na disku a posli ma cez email nejakym tvojim kamaratom.
Ludska blbost je nekonecna a postupom casu sa rozne tieto techniky dostanu aj do Linuxu. Povedzme si to na rovinu, v com nas ochrani nemodifikovatelneho LiveCD ci pouzivanie profesionalne spravovaneho Cloud Computingu ak sa presypacie porno servre dopatraju presneho vkusu a opytaju sa na cislo kreditky hoci len za ucelom overenia veku?
Ako z toho von, tak toje na dlho. Problem je ze vecsina rieseni je kontraproduktivna. Ci uz sa jedna o podpisovanie internetu (ktore je IMHO tiez zneuzitelne a moze vyustit do cenzury, pametnici to slovo poznaju v plnom rozsahu) alebo o skolenie bezpecnosti uzivatelov (ktory nemaju problem otvorit hocikomu co sa predstavi ako inkasak preplatkov ci roznasac reklamnych letakov).
Tento problem tu bude vzdy, otazkou je ake velke bude riziko a kto bude zabezpecovat riesenie poistnej udalosti.
PS.: Ta kontrola veku pomocou kreditky vo mne vzbudila dost slusny zachvat rehotu, bolo to vtedy ked prva banka na Slovensku zacala ponukat studentske kartove ucty ktore boli aj pre maloletych. A prikladov na rybacku by sa naslo na niekolko hodin.
PEBKAC, non-PEBKAC, ...
... stále platí hypotéza, že najväčší malware sa vo svete nachádza niekde medzi klávesnicou PC a stoličkou pri PC. KAŽDÝ malware (resp. vírus) vyžaduje apoň minimálnu interakciu usera (nedajboh admina). Aj keď sa vyžaduje napríklad interakcia zadania root-hesla, hoci aj keď (staro-nový) špecifický variant ".desktop files" môže ničiť všetko v úrovni user-práv automaticky, pri štarte desktopu. Pri takýchto možnostiach "interakcie" je vlastne ešte štastím, že tu máme diverzifikovaný linuxový ekosystém (populárne povedané). Desktop GNU/Llinux sa snaží spohodlňovať userovi život po vzore Windows, no je to dobré (bezpečné)?
Ale riesenie je jednoduche. Nedovolit uzivatelovi ziskat prava roota nijakym sposobom (ani su, sudo a ine, najlepsie nech nic nema suid flag). Potom nech ten malware robi cokolvek, nebude sa vediet nainstalovat, maximalne tak v uzivatelovom /home. Ale ked tak teraz rozmyslam,
tak vlastne celkom nechapem, naco je takemu beznemu malwaru root, posielat spam, kradnut udaje vie uzivatelovi aj bez toho :-)
Ale presne toto riesi balickovaci system ktory vynada uzivatelovi ze co to robi (balicek mimo repozitarov, balicek bez doveryhodneho podpisu). A ak je uzivatel dostatocne sprosty aby pokracoval v instalacii aj po tvrdom varovani, tak si to zasluzi.
- co sa tyla tych obmedzeni uzivatela, tak ty si si zakazal sudo a su? ci tvoje ubuntu ma nejaku specialnu auru?
- root ucet je dobry napr. na presmerovanie komunikacie, zmeny v routovacich tabulkach, dns zaznamoch, instalaciu dalsieho malware, pristup do dalsich uctov, zmazanie disku atd.
A co sa tyka root uctu: ak zoberies priemerneho BFU uzivatela (napriklad ubuntu), tak ma na svojom konte jeden ucet, pod ktorym funguje/pod ktorym funguje cela rodina. Co sa tyka zmaania disku, naco by to malware ci ina pliaga robila? Jej cielom je sa sirit dalej, nie znicit pocitac (potom sa uz z neho nevie sirit). Presmerovat uzivatelovu komunikaciu vies aj bez root uctu a podobne. Ano, ako root ucet je vyhoda, ale malware ho nepotrebuje na to, aby robil to, co bezne robi (tymto chcem len povedat, ze vie narobit vela skody aj bez root uctu :-).