Telefones Android e desktops e servidores Linux compartilham um ancestral comum. Eles são todos baseados em um kernel comum e compartilham utilitários e componentes comuns. Sempre que uma vulnerabilidade de segurança é encontrada nessas áreas, o contágio é enorme, e centenas de milhões de computadores e dispositivos móveis serão inevitavelmente afetados.
Uma vulnerabilidade descoberta recentemente (CVE-2016-0728) no kernel do Linux é um exemplo surpreendente disso. Ele tira proveito de uma falha no chaveiro do sistema operacional e permitiria que qualquer invasor ou usuário não privilegiado obtivesse acesso root ao sistema em questão. Veja como isso funciona e o que você precisa ter cuidado.
Entendendo essa vulnerabilidade
Esta vulnerabilidade foi descoberta pela Perception Point - uma importante firma de consultoria em segurança de informações baseada em Tel Aviv. A falha foi introduzida pela primeira vez há cerca de três anos, com o lançamento do kernel Linux Kernel do Linux: uma explicação em termos de layman O kernel Linux: uma explicação nos termos de Layman Há apenas uma coisa de fato que as distribuições Linux têm em comum: Kernel do Linux. Mas, embora muitas vezes se fale, muitas pessoas não sabem exatamente o que faz. Leia mais versão 3.8. O ponto de percepção estima que cerca de dois terços dos dispositivos Android e uma quantidade incerta de desktops e servidores Linux (provavelmente na casa das dezenas de milhões) são vulneráveis.
Como mencionado anteriormente, esta falha é encontrada no chaveiro do sistema operacional. Esse é o componente usado no Linux que permite que os drivers armazenem dados de segurança em cache, como chaves de criptografia e tokens de autenticação. Por design, os dados mantidos no chaveiro do sistema operacional não devem estar acessíveis para outros aplicativos.
A exploração em si tira proveito de uma falha na forma como a memória é gerenciada no Keyring OS. Ao executar um estouro de buffer, os atacantes podem acionar o sistema operacional para executar algum shellcode arbitrário, que seria executado como root.
Espera-se que a maioria das distribuições do Linux emitirá correções até o começo da próxima semana. Mas se você tiver um processador Intel moderno (Broadwell ou posterior), o SMAP (Supervisory Mode Access Prevention) e o SMEP (Supervisory Mode Execution Prevention) devem ser ativados e limitar o dano que essa vulnerabilidade pode causar.
Enquanto isso, se você estiver no Android, o SELinux também deve fazer o truque. Vale a pena ressaltar que o Google minimizou veementemente os riscos apresentados por essa vulnerabilidade. Em um comunicado, eles disseram que todos os dispositivos que executam o Android 5.0 Lollipop e mais tarde são protegidos pelo SELinux, e a maioria dos dispositivos mais antigos (com o Android 4.4 KitKat e anterior) não contém o código vulnerável que foi introduzido na versão 3.8 do Linux Kernel. .
A equipe de segurança do Android também reclamou que eles não receberam notificação para emitir um patch. Essencialmente, eles disseram que o Ponto de Percepção não realizou uma divulgação responsável Divulgação Completa ou Responsável: Como as Vulnerabilidades de Segurança São Divulgadas Divulgação Completa ou Responsável: Como as vulnerabilidades de segurança são divulgadas Vulnerabilidades de segurança em pacotes de software populares são descobertas o tempo todo, mas como elas são reportado aos desenvolvedores e como os hackers aprendem sobre as vulnerabilidades que podem explorar? Consulte Mais informação .
Essencialmente, eles não estão dizendo que não há um problema, mas que isso afeta uma proporção muito menor de dispositivos Android, como foi reivindicado anteriormente pelo Perception Point. Apesar disso, eles estão emitindo uma correção, que, quando lançada, deve fechar essa vulnerabilidade de uma vez por todas.
Verificando seu privilégio
Um dos princípios mais fundamentais da segurança de computadores pode ser resumido de forma sucinta: nem todos os usuários devem poder fazer todas as coisas o tempo todo .
Se um usuário estivesse logado como root ou administrador, seria significativamente mais fácil para um malware ou um invasor remoto causar danos significativos. É por esse motivo que a maioria dos usuários e aplicativos existe em um modo restrito com permissões limitadas. Quando eles querem fazer algo que possa resultar em danos ao computador - como instalar um novo programa ou alterar um importante arquivo de configuração - eles devem primeiro elevar seus privilégios. Esse conceito é universal e pode ser encontrado em praticamente todos os sistemas operacionais.
Suponha que alguém esteja conectado a um computador Linux ou Mac com uma conta de administrador e que deseje editar seus hosts. Como editar o arquivo de hosts do Mac OS X (e por que você pode querer) Como editar o arquivo de hosts do Mac OS X Por que você pode querer? O arquivo hosts é usado pelo seu computador para mapear nomes de host para endereços IP. Ao adicionar ou remover linhas ao seu arquivo de hosts, você pode alterar o local em que certos domínios apontarão quando você os acessar ... Leia Mais arquivo para remapear um nome de host para um endereço IP local. Se eles apenas tentarem abri-lo imediatamente com um editor de texto, o sistema operacional retornará com uma mensagem de erro dizendo algo como "acesso negado".
Para fazê-lo funcionar, eles teriam que elevar seus privilégios. Eles podem entrar no modo de superusuário indefinidamente O que é SU e por que é importante usar o Linux efetivamente? O que é SU e por que é importante usar o Linux efetivamente? A conta de usuário root ou SU do Linux é uma ferramenta poderosa que pode ser útil quando usada corretamente ou devastadora se usada de forma imprudente. Vejamos por que você deve ser responsável ao usar SU. Leia mais executando "sudo su". Isso é útil se eles estiverem executando uma série de ações restritas, durante um período não especificado. Para sair desse modo e retornar à conta de usuário normal, basta usar o comando “exit”.
Para executar apenas um comando como superusuário, apenas prefira esse comando com “sudo”. Usando o exemplo do arquivo hosts, você pode editá-lo com “sudo vim etc / hosts”. Você será solicitado a fornecer sua senha. Se a conta não tiver privilégios de administrador (ou seja, uma conta de usuário padrão), o comando não funcionará.
No Android, eles têm um modelo de permissões fundamentalmente diferente, em que os aplicativos são atomizados e em área restrita, e os usuários podem fazer alterações limitadas sob o capô. Os usuários são ativamente desencorajados a obter acesso à raiz. É por este motivo porque a maioria das operadoras e fabricantes (com HTC entre as exceções Como fazer Root sua primeira geração HTC One Como fazer root sua primeira geração HTC One Excepcionalmente, não existem utilitários especiais que permitem isso - em vez disso, você deve usar enraizamento aprovado da HTC método. Leia mais) ativamente desencorajar os usuários de enraizar seus telefones, e por que se tornou um pouco de "arte escura".
O Windows também tem seu próprio sistema de privilégios elevados. Sempre que um programa fizer uma alteração no sistema que requeira permissões aprimoradas, o Windows solicitará ao usuário uma janela do UAC (User Access Control). Isso mostra o programa que está solicitando permissões elevadas. Se o código receber uma assinatura criptográfica, ele mostrará quem o assinou, permitindo que você localize programas impostores. O usuário pode optar por conceder ao programa as permissões solicitadas ou recusá-lo.
Enquanto este processo não é sem suas falhas (UAC janelas são consideradas bastante irritante Pare irritante UAC Prompts - Como criar um controle de conta de usuário Whitelist [Windows] Pare irritante UAC Prompts - Como criar um controle de conta de usuário Whitelist [Windows] Desde então Vista, nós, usuários do Windows, fomos importunados, incomodados, incomodados e cansados do prompt de Controle de Conta de Usuário (UAC) nos informando que um programa está sendo iniciado e intencionalmente lançado. geralmente apenas 'clicado', por exemplo), é um que geralmente funciona. No entanto, ele pode ser facilmente contornado por falhas no sistema operacional, muito parecido com o identificado pelo Perception Point.
Ameaças Crescentes para Dispositivos Linux
Nos últimos anos, vimos uma avalanche de ataques direcionados a sistemas operacionais baseados em Linux, pois ela fortalece seu mercado de servidores e aumenta sua participação no mercado de desktops.
Recentemente, pesquisador na Rússia descobriu um Trojan de Acesso Remoto Como lidar de forma simples e eficaz com o acesso remoto Trojans Como lidar de forma simples e eficaz com o acesso remoto Trojans Cheirar um RAT? Se você acha que foi infectado por um cavalo de Troia de Acesso Remoto, pode se livrar dele seguindo estas etapas simples. Leia mais que foi criado para ajudar um invasor a espionar os usuários. Chamado de Linux.Ekoms.1, o Trojan faz uma captura de tela a cada 30 segundos e o salva em uma pasta temporária como um JPEG disfarçado com uma extensão de arquivo diferente. Uma análise mais detalhada do Trojan revelou que os desenvolvedores estavam trabalhando em recursos que permitiriam gravar áudio. Esses arquivos, em seguida, seriam enviados para um servidor remoto. Os invasores também seriam capazes de emitir comandos por meio de um servidor de comando e controle.
Outro rootkit para Linux - chamado Snakso-A - direcionava servidores web Linux de 64 bits, e sequestrava silenciosamente as páginas da Web que estavam sendo atendidas, para injetar um iFrame que serve malware.
Então, é claro, há as vulnerabilidades que foram tão severas que se tornaram notícias internacionais. Eu estou falando sobre os gostos de Shellshock pior que Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança do OS X e do Linux é pior do que o Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança para o OS X e Linux Leia mais, a vulnerabilidade do Ghost O defeito fantasma do Linux: tudo o que você precisa saber A vulnerabilidade do fantasma do Linux: tudo o que você precisa saber A vulnerabilidade do GHOST é uma falha vital. grande distro Linux. Poderia, em teoria, permitir que hackers assumissem o controle de computadores sem a necessidade de um nome de usuário ou senha. Leia mais, e Heartbleed Heartbleed - O que você pode fazer para ficar seguro? Heartbleed - o que você pode fazer para ficar seguro? Consulte Mais informação .
Essas ameaças geralmente são resolvidas de maneira conveniente pelos mantenedores e desenvolvedores dos componentes do Linux que eles afetam. No entanto, nos últimos meses, sua capacidade de fazê-lo tem sido questionada, como resultado do financiamento e escassez de pessoal, levando alguns a questionar se o Linux foi vítima de seu próprio sucesso. O Linux foi vítima de seu próprio sucesso? O Linux foi vítima de seu próprio sucesso? Por que o diretor da Linux Foundation, Jim Zemlin, disse recentemente que a "era de ouro do Linux" pode acabar em breve? A missão de "promover, proteger e promover o Linux" falhou? Consulte Mais informação .
Verificar se há atualizações
Nos próximos dias, a maioria das distribuições do Linux emitirá patches, assim como o Google para Android. Você é aconselhado a verificar regularmente o seu gerenciador de pacotes para atualizações.
Essa vulnerabilidade fez você questionar se deveria continuar a usar o Linux? Conte-me sobre isso nos comentários abaixo.
Créditos das fotos: Cripta (Christian Ditaputratama), PasswordFile (Christiaan Colen)