Serwer IRC dla Linuksa pół roku z furtką: upada mit o bezpieczeństwie „pingwina”

Do tej pory miłośnicy Linuksa w swojej świętej wojnie z użytkownikami Windows chętnie podnosili argument o odporności „pingwina” na złośliwe oprogramowanie. Podczas gdy w świecie „okienek” malware było przykrą codziennością, a producenci oprogramowania antywirusowego prześcigali się w przesyłaniu alarmujących informacji prasowych do redakcji pism komputerowych, linuksowy kod miał być z przeróżnych powodów nietykalny – linuksowe zagrożenia miały być w najlepszym razie tylko akademickimi eksperymentami, które trzeba było sobie ręcznie kompilować. Jednak z tym już koniec.

Unreal IRCd to całkiem popularny serwer IRC, określany jako „IRCd następnej generacji – jeden z najbardziej rozbudowanych serwerów IRC na świecie”. W byciu rozbudowanym nie ma nic złego (chyba, że wierzy się w filozofię KISS), ale rozbudowa oprogramowania o backdoory to nie jest to, czego oczekują użytkownicy.

Oficjalny komunikat zespołu deweloperskiego Unreala ściera uśmiech z twarzy fanatyków Linuksa:

„Cześć wszystkim,

To bardzo zawstydzające,

ale odkryliśmy, że plik Unreal3.2.8.1.tar.gz na naszych serwerach lustrzanych został jakiś czas temu zastąpiony wersją, zawierającą furtkę (trojana).

Furtka pozwala napastnikowi na wykonanie dowolnej komendy z uprawnieniami użytkownika uruchamiającego ircd. Furtka może zostać uruchomiona bez względu na ograniczenia dla użytkowników (nawet jeśli masz zabezpieczony hasłem serwer lub hub, który nie dopuszcza żadnych połączeń).

(...)

Wygląda na to, że podmiana pliku .tar.gz nastąpiła w listopadzie 2009 r. (przynajmniej na części lustrzanych serwerów). Najwyraźniej nikt tego nie zauważył aż do teraz”.

W praktyce oznacza to, że oficjalny plik archiwum popularnego oprogramowania na Linuksa został zainfekowany backdoorem, oddającym napastnikowi całkowitą kontrolę nad komputerem. Slangowo można określić to tylko w jeden sposób: „Pwn”.

Najśmieszniejsze w tym wszystkim jest to, że wersja Unreala dla Windows nie została naruszona. Nic dziwnego – skanery antywirusowe na serwerach czy aplikacje ochronne na desktopach z „okienkami” odkryłyby, że plik jest zainfekowany w ciągu najdalej kilku dni od jego pojawienia się w Sieci. Tymczasem odkrycie zagrożenia na Linuksie zajęło pół roku.

Problem został już rozwiązany, kolejne wersje Unreala będą cyfrowo podpisywane. Dokładne informacje o tym, jak rozwiązać problem z serwerem IRCd można znaleźć na liście FullDisclosure. Ile jednak takich ataków jeszcze będzie, zanim użytkownicy Linuksa nie zaczną korzystać z oprogramowania antywirusowego?

Źródło: seclists.org/fulldisclosure

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

24 skomentuj »

Polecamy

Reklama

Komentarze

#1 oink 2010-06-14 09:26:02 0
Pan autor ma jakieś smutne przeżycia związane z linuksem? Każdy system jest na tyle bezpieczny, na ile dba o niego administrator. Włamanie i podmiana paczek to nie wina filozofii linuksa, tylko błędnych procedur ludzi za to odpowiedzialnych. Dziwnie czytać jak za pomocą jednego niszowego przykładu podważana jest wiarygodność całego środowiska. MSZ Pan Adam przesadził z tak daleko idącymi wnioskami. Slangowo artykuł można określić tylko w jeden sposób: "Flame" ;)
IP: 77.236.13.[...] Mozilla/5.0 (X11; U; Linux x86_64; pl-PL; rv:1.9.1.9) Gecko/20100402 Ubuntu/9.10 (karmic)
#2 fpo 2010-06-14 09:45:28 0
Tytuł i wstęp na prawdę mocne... zacząłem się bać, wszak "mit o bezpieczeństwie pingwina upada", a co tak na prawdę mamy:

- jeden z programów/serwerów ma lukę,

- wykorzystując ją można zdobyć uprawnienia użytkownika, który taki serwer uruchomił

- serwery w unixach są zwykle uruchamiane przez dedykowanych użytkowników (np. serwer www przez użytkownika apache) z odpowiednio przyciętymi prawami (np. odnośnie możliwości odczytu/modyfikacji określonych plików)

- jeżeli ten serwer IRC jest uruchamiany wg. powyższego scenariusza, to praktycznie jedyne co groziło osobie, która taki serwer uruchamiała to utrata panowania nad tym serwerem + ewentualny wyciek danych użytkowników serwera IRC...

Moim skromnym zdaniem Pingwin się obronił.
IP: 90.156.74.[...] Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.55 Safari/533.4
#3 fpo 2010-06-14 09:52:57 0
Tak na prawdę najważniejsze jest to, że autorzy tego IRC serwera padli ofiarą NIE wykorzystywania podpisów cyfrowych pod pakietami. Główne dystrybucje linuxa wykorzystują takie podpisy właśnie po to, aby uniknąć niebezpieczeństwa podmiany pakietów na mirrorach/stronach www. Jeżeli ktoś decyduje się na instalację pakietu, który takowego podpisu nie ma, to sam prosi się o kłopoty...
IP: 90.156.74.[...] Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.55 Safari/533.4
#4 eimi^® 2010-06-14 09:58:36 0
@oink: od 10 lat strasznie cierpię przez Linuksa, więc faktycznie, można powiedzieć, że to kwestia osobista. Reakcje branży antywirusowej są jednak w stylu OMG, a incydent zostanie wykorzystany do tego, by firmom trzymającym różne RHEL-e i SLES-y sprzedawać "certyfikowane oprogramowanie AV".

F-Secure już się cieszy.

Inna sprawa, że wśród młodocianych użytkowników Linuksa mnóstwo jest takich, którzy uważają, że "hoho, zainstalowałem Ubuntu, I am master of disaster". Coraz więcej softu na linuksa zaczyna być rozpowszechnianego też poza oficjalnym systemem repo (np rozmaite getDeby)... to się kiedyś źle skończy dla ekosystemu pingwina.
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.55 Safari/533.4
#5 Over 2010-06-14 10:08:55 1
- (... ) to praktycznie jedyne co groziło osobie, która taki serwer uruchamiała to utrata panowania nad tym serwerem + ewentualny wyciek danych użytkowników serwera IRC...

Zaiste, drobnostka. ;)
IP: 89.174.38.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)
#6 dAREuS^® 2010-06-14 10:13:57 -1
Mnie natomiast trochę zastanawia to myślenie w stylu "uff, to nie Linux, to jakiś serwer IRC". Ale powiedzcie tak szczerze: kogo to obchodzi?

Od zawsze krąży argument, że Linux to ludzie, społeczność, Open Source etc. A więc dlaczego, kiedy część tej układanki zawodzi, powyższy argument przestaje być ważny?

Fakt jest taki, że da się przejąć kontrolę nad Linuksem w całkiem prosty sposób. To rzuca jednak cień na cały ekosystem (bo przecież nie ma Linuksa bez repozytoriów). Pokaż komentarz
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#7 lukas niez* 2010-06-14 11:06:52 0
Coś podobnego było na http://gnome-look.org. Skrypt, który po uruchomieniu pobierał jakiegoś robala z sieci. Na Linuksa są antywirusy, więc jeśli ktoś czuje się niepewnie, to może z tego skorzystać. Sam udostępniam kilka skryptów, a jeden pozwala w łatwy sposób dodać repozytorium co moze być niebezpieczne. Demon, który będzie pilnował plików ewentualnie wysyłał raport, to 5 min roboty, ale ufam takim usługom jak DrobBox i tego nie stosuje. A na DropBoksie ostatnio ludzie stawiają własne repozytoria.
IP: 83.18.90.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
#8 m_gol^® 2010-06-14 11:26:58 0
@dAREuS

Podasz mi przykład systemu operacyjnego, na który nie da się napisać programu robiącym coś poza tym, co deweloper ogłasza oficjalnie na stronie? Rozwalasz mnie.

To chyba logiczne, że nie wiemy, co robi program, którego kodu nie przestudiowaliśmy i sami nie skompilowaliśmy. Jedyną stroną, która się tu skompromitowała, są autorzy programu, a nie bezpieczeństwo Linuksa, bądźmy poważni. To prawie tak, jak byś napisał: "OMG mój sąsiad włamał mi się do mieszkania i zepsuł laptopa poprzez walenie młotkiem! A przecież miałem tam Linuksa! Linux ssie!"

Z repozytoriami trafiłeś kulą w płot - repozytoria są prawie zawsze cyfrowo podpisane, takie Ubuntu wielkimi literami ostrzega, jeśli próbuje się zainstalować coś niepodpisanego z repo.
IP: 89.174.26.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
#9 dAREuS^® 2010-06-14 12:16:24 -1
m_gol, ale ja nie powiedziałem, że są takie systemy - po co mam podawać przykłady?

Nie mówię też o kompromitacji - mówię o tym, że Linux to również społeczność i ludzie, a więc ich głupota, słabość, nieuwaga.

Dwa razy też użyłeś słowa "prawie" - myślę, że sam czujesz słabość swoich argumentów. Pokaż komentarz
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#10 fpo 2010-06-14 12:35:30 1
@over

fpo: "utrata panowania nad tym serwerem + ewentualny wyciek danych użytkowników serwera IRC...

over: "Zaiste, drobnostka. ;)"

Szanowny Mr Over - właśnie o to chodzi - błąd dotyczył jednej aplikacji i TYLKO tej aplikacji, a artykuł sugeruje, że cały system jest do bani, a to nie prawda. Problem byłby wtedy, gdyby błąd tej aplikacji wpływał na bezpieczeństwo całego systemu.

Każde oprogramowanie ma błędy większe lub mniejsze, problem pojawia się wtedy, gdy można wykorzystać lukę w jednym programie, aby przejąć kontrole nad inną aplikacją bądź też całym systemem. Tu takiej sytuacji nie było - ot luka, codziennie dowiadujemy się o kilkunastu takowych dotykających różnych aplikacji.

Jedyną ciekawą informacją w tym artykule było to, że autorzy aplikacji przez pół roku nie byli świadomi, że ktoś podmienił im binarkę na trefną - gdyby autor skupił się na tym, to nie byłoby całej tej jałowej dyskusji. Autor jednak postanowił wyciągnąć daleko idące wnioski, które zamiast obalać mity prowadzą do tworzenia nowych.
IP: 156.17.7.[...] Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.55 Safari/533.4
#11 m_gol^® 2010-06-14 12:39:46 0
@dAREuS

> ale ja nie powiedziałem, że są takie systemy

No właśnie - bo takich nie ma. Ja się zgadzam, że należy linuksiarzy i makowców uświadamiać, że absolutne bezpieczeństwo nie istnieje i trzeba patrzeć, co się ściąga, w co się klika itp. Gdy jednak mówimy o bezpieczeństwie Linuksa i porównujemy z Windowsem, chodzi po pierwsze o liczbę istniejących zagrożeń (bez porównania), jak i o model bezpieczeństwa (w nadal szeroko używanym Windowsie XP pracuje się na koncie administratora - *niksowy root niweluje sporo zagrożeń).

Natomiast bicie w alarmujące dzwonu, jakoby jakiś "mit o bezpieczeństwie pingwina" upadał to posługiwanie się nagłówkami rodem z Faktu - żaden mit bowiem nie upadł, nic się nie zmieniło.

Użyłem słowa "prawie", gdyż oczywiście zdarzają się niepodpisane repozytoria. Rzadko, ale się zdarzają. Podobnie jak zdarzają się powypadkowe kradzione samochody i "nowe" komputery bez gwarancji. I podobnie jak należy unikać kupowania "nowych" komputerów nie na gwarancji, tak też trzeba unikać używania niepodpisanych cyfrowo repozytoriów.
IP: 89.174.26.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
#12 dAREuS^® 2010-06-14 12:45:29 0
fpo, każdy miecz ma dwa ostrza - kiedy wyśmiewamy się z bezpieczeństwa Windows - nikt nie mówi "ech, przecież zainstalowałeś Windows z torrentów z 10 backdoorami, więc sam sobie jesteś winien".

Albo nikt nie mówi "pobrałeś grę z key-generatorem, który dodatkowo przerobił Twój komputer w zombie".

Wszyscy mówią "Windows sucks". Dziś każdy jest skrupulatny. Dziwne.
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#13 dAREuS^® 2010-06-14 12:52:39 0
m_gol, liczba zagrożeń jest wprost proporcjonalna do liczby użytkowników. To jest argument, który działa w dwie strony, niestety.

Co do pozostałych kwesti - ogólnie się zgadzam, z małym zastrzeżeniem, powiązanym z powyższym w sumie. Problemem systemów bezpieczeństwa są ludzie i w miarę upowszechniania się Linuksa, do grupy jego użytkowników będzie trafiało coraz więcej osób.

A więc prawdopodobieństwo, że wśród nich będą - nazwijmy to w skrócie - lamerzy - będzie rosło. A więc akcji takich jak ta będzie coraz więcej. A więc "mit" będzie obalany, bez względu na to, czy sama architektura będzie doskonała.
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#14 asdf 2010-06-14 17:37:44 0
Tak czy siak, tytuł artykułu poniżej poziomu Fuctu.
IP: 213.156.117.[...] Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
#15 dAREuS^® 2010-06-14 18:09:56 0
"Tak czy siak, tytuł artykułu poniżej poziomu Fuctu." W zasadzie to dobrze podsumowuje pewne podejście - podejście pt. "nie mają znaczenia argumenty, znaczenie ma to, co ja wcześniej sobie o tym myślałem".
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#16 asdf 2010-06-14 18:45:29 0
@dAREuS: zachowujesz się tak, jakby to był artykuł Twojego autorstwa.

Tu nie ma czego argumentować, był backdoor i tyle. O co Ci właściwie chodzi? Merytoryka tego artykułu jest na poziomie brukowca i rozciąga wizję jak to twierdza Linuksa padła pierwszy raz i to na zawsze. Nigdy w życiu nie słyszałem o unrealircd, ani żaden z moich *unixowych znajomych, a treść artykułu wpaja pogląd jakoby ów soft był zainstalowany na każdym pojedycznym desktopie z linuksem.

Abstrahując od całości. Proszę o zmianę tytułu artykułu na:

Serwer IRC dla Linuksa, Solarisa, FreeBSD, OpenBSD, NetBSD pół roku z furtką: upada mit o

bezpieczeństwie „pingwina i wszystkich wyżej wspominanych systemów”
IP: 213.156.117.[...] Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
#17 dziobas^® 2010-06-14 19:09:27 0
Podmiana na windowsie też raczej nie zostałaby wykryta. W końcu serwer irc instalują nieliczne osoby. Nawet jeśli by ktoś zauważył, że aplikacja odpala port nasłuchu to by myślał, że to w celach ircowych. Antywirus wykryje znane trojany, nieznanych nie wykryje. Heurystyka działa jak program wykonuje coś dziwnego np. odkodowuje się w pamięci, modyfikuje exe, wykrywa antywirusy, kopuluje system.

Dziobas
IP: 80.239.242.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.5.24 Version/10.53
#18 fpo 2010-06-14 19:25:39 0
Dareus:

'fpo, każdy miecz ma dwa ostrza - kiedy wyśmiewamy się z bezpieczeństwa Windows - nikt nie mówi "ech, przecież zainstalowałeś Windows z torrentów z 10 backdoorami, więc sam sobie jesteś winien".'

Przeczytaj proszę dokładnie to co napisałem - napisałem, że tu nie ma problemu, bo dziura w aplikacji dotyka tylko właściwie niej samej. Zupełnie innym rodzajem luki jest taka, która lukę w aplikacji zamienia na niebezpieczeństwo przejęcia kontroli nad całym systemem - takie luki są wstydliwe. Natomiast luka, o której napisaliście jest "popularna" - tysiące aplikacji miały, mają i będą mieć luki tego rodzaju.

W artykule przyjęliście myślenie: luka -> wszystko się wali. Tak nie jest luka luce nierówna. Niestety autor tego nie zauważył, a Ty mu wtórujesz... To jak z samochodem, jak masz problem z tym, że żarówka oświetlająca wnętrze Ci się regularnie przepala, to jest to mniejszej wagi niż sytuacja, gdy blokuje Ci się pedał gazu...

Dareus: "Wszyscy mówią "Windows sucks". Dziś każdy jest skrupulatny. Dziwne."

Ech, znów problem z czytaniem ze zrozumieniem...
IP: 156.17.7.[...] Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.55 Safari/533.4
#19 dAREuS^® 2010-06-14 20:15:20 0
fpo, cytat z wypowiedzi samych autorów: "Furtka pozwala napastnikowi na wykonanie dowolnej komendy z uprawnieniami użytkownika uruchamiającego ircd."
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#20 nie chce mi sie logowac 2010-06-15 10:13:15 0
@dAREuS®

No i sobie sam zaprzeczyłeś, osoba która ma uporawnienia do odpalenia ircd, nie koniecznie musi byc adminem. I niekoniecznie oznacza to, że dzięki temu cos uszkodzi i namiesza w systemie. W Windows, tez mozna instalowac masę syfu, ale tam zawsze masz prawa root'a wiec zawsze co zainstalujesz bedzie grozne, w linux jest inaczej, wiec nie porownujmy tego. A to że jedna aplikacja ma lukę nic nie oznacza smierci calego systemu. Gdy loguje sie na ubuntu to nie mam praw root'a, a backdoor FLASH nie jest dla mnie zagrożeniem, bo nikt kto mi się dostanie przez niego nie nabruździ mi w systmie nie znając hasła root'a, takie to trudne do zrozumienia? Tak samo jest tutaj z tym ircd
IP: 87.105.153.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 ( .NET CLR 3.5.30729)
#21 dAREuS^® 2010-06-15 10:27:28 0
W Windows też nie musisz mieć praw Administratora.
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
#22 GTriderXC^® 2010-06-15 16:47:56 0
Artykuł na poziomie Informacji w Polsacie: tak wygłosić treść aby narobić dużo szumu, zdobyc dużo wejść i komentarzy do artykułu. Może jakieś szczegóły? Jak plik został podmieniony? Może za kopertę pod stołem dokonał tego sam admin?

Jeśli odczytam hasło do poczty z żóltej karteczki na monitorze komputera koleżanki, i będę wchodził na jej konto to już jestem hakerem?

Czy jeśli np. ktoś z adminów miał biznes w podmianie pliku to jest to już ułomność Linuxa, że innych admnów nie zabiły powiadomienia o tym fakcie w oknach a la Vista?

W tym artykule nie jest powiedziane: ktoś się włamał, wykorzystał lukę, czy też Unix nie dał rady. Tylko takie informacje mają jakąkolwiek wartość.

Jeśli następnego dnia kolezanka przy kawie w biurze obok opowie innym znajomym, że czytam jej pocztę, to wiadomość ta wywoła w firmie burzę w szklance wody i zostanę wielkim hakerem!== ot ile wart jest ten artykuł.
IP: 178.56.53.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
#23 SlawcioD 2010-06-15 20:58:46 0
GTriderXC®: Jeśli odczytam hasło do poczty z żóltej karteczki na monitorze

komputera koleżanki, i będę wchodził na jej konto to już jestem hakerem?

tak jestes hakerem, "zlamales" kolezanke ;).

hakerstwo to nie tylko sztuka lamania zabezpieczen systemu, ale tez sztuka lamania ludzi.

pozdrawiam

SlawcioD
IP: 89.74.223.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.0.19) Gecko/2010040118 Ubuntu/8.10 (intrepid) Firefox/3.0.19
#24 Neon 2010-06-16 06:16:43 0
dAREuS®: trollin'?
IP: 77.255.60.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.55 Safari/533.4

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.