Как подхватить вирус через apt-get

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Проблемы apt-get

В своем исследовании Университет Аризоны проанализировал 10 самых популярных систем обновления программного обеспечения, в том числе APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast и YUM и все они оказались способны поставить под угрозу безопасность ОС и компьютеров.

Все эти пакеты изначально разрабатывались для того, что автоматически обновлять в системе программное обеспечение, избавляя администраторов от рутинных забот по установке и удалению обновлений. "Учитывая их важную роль в системах, эти разработки должны быть чрезвычайно безопасны, однако все они уязвимы", говорится в отчете.

Атака на Linux через репозиторий

Исследователи говорят, что разработанный ими метод атаки позволяет получить полный контроль над системой благодаря уязвимости, присутствующей во многих легитимных пакетах. Дело в том, что практически во всех пакетах цифровая подпись не имеет какого-либо ограничения по времени, а ряд ОС такую возможность даже не поддерживают.

«Это означает, что после того, как в каком-либо пакете была обнаружена уязвимость, клиенты все равно смогут установить уязвимое ПО из-за правильности самой подписи. Атакующий может абсолютно верно подписать пакеты или встроить метаднные из предыдущего релиза и без проблем установить злонамеренное ПО», — говорят разработчики метода.

Устаревшие цифровые подписи

Приведем пример: известно, что старые версии OpenSSL, в частности те что поставлялись с Debian Linux, содержат уязвимости, однако с точки зрения ОС эти пакеты абсолютно верны, так как верны их цифровые подписи. Соответственно, злоумышленник, создав подставной открытый сервер обновлений (зеркало), сможет при помощи подписей взаимодействовать с менеджерами обновлений.

Поддельный сервер обновлений Linux

При помощи эксплуатации старого , но подписанного файла и подставного зеркала с обновлениями можно легко внедрить злонамеренное ПО в систему.

"Создать подставной сервер обновлений совсем нетрудно. Мы арендовали у провайдера машину и бесплатно разместили на ней зеркала обновлений для дистрибутивов Ubuntu, Fedora, OpenSuse, CentOS и Debian. Судя по серверным журналам, подставным зеркалом воспользовались несколько тысяч пользователей, в том числе и из сетей, принадлежащих военным и правительственным органам", - говорят разработчики метода.

В краткосрочной перспективе администраторы могут защищать свои системы за счет использования только доверенных репозиториев, ручной инсталляции обновлений или используя метаданные от производителей ОС, а также связываясь с серверами обновлений по протоколу HTTPS. В долгосрочной перспективе авторы метода советуют внедрить в технологии цифровой подписи ПО функцию истечения срока действия подписи.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
Stilgar

Если дать APT вместе с зекралом официальный источник (или надёжное, но более медленное зеркало), то он будет автоматически обновлятся до самой новой версии из доступных, а подставная такой не будет.

Хотя истечение срока — хорошая вещь, не спорю.

Ваша оценка: Нет
a

а зачем прописывать зеркала, если есть официальные источники?

Ваша оценка: Нет
11
Stilgar

DDoS будет на официальных источниках. Вы никогда не читали просьбы к конечным пользователям скачивать всё по возможности с одного из зеркал?

Ваша оценка: Нет
11
pomodor

Не сработает. Подставных репозиториев можно насоздавать сколько угодно. Но чтобы с него что-либо загрузить, нужно репозиторий сначала добавить. А это делается в явной форме отдельной командой в терминале. К тому же, если юзер запилил свой частный репозиторий, то использовать легитимные ключи и старые пакеты нет никакой надобности — можно (и нужно) создать свою подпись. Кстати, именно поэтому подключение сторонних репозиториев — очень плохая идея в большинстве случаев.

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.