Techniki przejmowania konta root'a (local)

[killermachine]

Czesc,

Prosze potwierdzic, czy dobrze mysle: aby przejac PELNA kontrole nad systemem *nix, trzeba uzyskac uprawnienia 'root'a. Lokalnie mozemy zrobic to tylko exploitujac program z suidem lub kernel ? (Nie uzywajac metod socjotechnicznych...) zgadza sie ?

Pzdr

[TQM]

Generalnie tak jak mowisz... Mozesz przez jakis buffer overflow, format string albo dowolny inny sposob ktory dziala na aplikacje, ktora zostaje uruchomiona z prawami root'a.

Raz jeden z programistow wyslal do repozytorium gdzie pracuja nad jadrem linuxa swoje kawalki kodu, ktore cos tam mialy robic... ale bylo tam napisane (nie pamietam dokladnie calosci):

Kod:

if ((<seria flag>) and (UID=0)) {
  # wykonaj jakis kod
}

Doskonale, co? Jesli ustawiono odpowiednie flagi i udalo sie USTAWIC UID na 0 (root) to wykonaj cos tam... Pierwsza osoba, ktora robila przeglad kodu to puscila, dropiero drugi czlowiek to zlapal... Wyobraz sobie co by bylo jakby to poszlo do mainstream kernela - hohooo strach sie bac! Poza tym nie byl to przypadek bo kolesia juz nie odnaleziono... lipne maile, zacierane slady itd.

Ataki na kernel tzn jako rootkit'y rozumiem... to w zasadzie nie kwestia samego ataku ale juz ukrycia swojej obecnosci. Rootkit na poziomie aplikacji, kernela lub nawet mikrokodu (w chipsecie np. karty graficznej). Najczesciej jednak aby zainstalowac rootkit'a trzeba juz miec prawa root'a.

Nie jest to dokladny opis sytuacji i nie obejmuje wszystkich wariantow bo nawet nie powiem ze wszystkie znam :-) To tak mniej wiecej w 'telegraficznym skrocie'.

[killermachine]

Dzieki za odpowiedz. Odnosnie kodu to sam lapie sie na takich bledach '=' != '==', ale od czego jest gdb.

Odnosnie takich specjalnych bledow to chyba nie jest tajemnica, ze czlonkowie grup krakerskich wkrecaja sie do projektow programistycznych(apache, proftpd, php), zeby popelniac takie bledy i pozniej je wykorzystywac. Na szczescie sa ludzie w projektach ktore takie rzeczy weryfikuja. W sumie nie trzeba byc czlonkiem projektu, zeby wprowadzic taka modyfikacje, mozna wlamac sie na serwer projektu i podmienic zrodla. Nasuwa sie pytanie: czy moja dystrybucja linuksa jest bezpieczna ? czy nie posiada ukrytych furtek ?

Pozdro

[TQM]

W sumie nie trzeba byc czlonkiem projektu, zeby wprowadzic taka modyfikacje, mozna wlamac sie na serwer projektu i podmienic zrodla. Nasuwa sie pytanie: czy moja dystrybucja linuksa jest bezpieczna ? czy nie posiada ukrytych furtek ?

Wlamac sie na serwer projektu nie jest tak latwo... bo serwery sa ciagle pod czujnym okiem adminow. Byly takie przypadki, ciagle sie trafiaja... Serwey projektow GNU.org, Debian, kernel.org o ile pamietam... Tak juz bylo i bedzie... Pomysl sobie co by bylo jakby ktos wlamal sie do serwera Microsoft Update... ba - zobacz do przegladarki IE na przyklad i do listy certyfikatow Root CA - znajdziesz klucze sluzace do podpisywania kodu... ale jako UNIEWAZNIONE :-) Po prostu taka sytuacja juz raz sie trafila :-)

Czy Twoja dystybucja jest bezpieczna? Powiedzialbym ze w razie wlamania predzej dowiesz sie o tym jesli to bedzie Linux niz Windows... bo Microsoft na pewno tego nie ujawni a ludzie od Linuxa sami Cie o tym poinformuja i poprosza o sprawdzenie podpisow MD5/SHA1 dla plikow ktore moglyby zostac podmienione.

Niestety nie mam czasu w tej chwili aby dokladniej sie w to wglebic - goscie wyszli na 5min 'przewietrzyc sie' i zaraz ciag dalszy imprezy