Re: απορίες για directories και files στο ubuntu και στο linux γενικότερα.

[Konstantinos Togias]

2008/9/27 cyberpython <cyberpython at gmail.com>
>
> rizitis wrote:
> > ήθελα να ρωτήσω τι πληροφορίες περιέχουν τα παρακάτω αρχεία σε ένα
> > linux ;
> >
> > initrd.img.old
> > initrd.img
> > vmlinuz.old
> > vmlinuz
> > /root/.bashrc
> > /root/.config/Trolltech.conf
> > /root/.profile
> > dpkg.status.1.gz
> > dpkg.status.2.gz
> > dpkg.status.3.gz
> > dpkg.status.4.gz
> > /var/backups/dpkg.status.0
> > /var/tmp/kdecache-rizitis
> >
> > και αν υποθέσουμε ότι κάποιος τρίτος έχει πρόσβαση σε αυτά τι
> > πληροφορίες θα μπορούσε να εξάγει για το σύστημα μου;
> > η ερώτηση έχει να κάνει ως προς το αν θα γινόταν λιγότερο ασφαλές το
> > σύστημα αν κάποιος είχε πρόσβαση σε αυτά.
> >
> > άλλη μια υποθετική ερώτηση είναι η εξής,
> > είναι δυνατον να εκμεταλευτεί κάποιο site ένα bug στον browser μας και
> > μέσου αυτού του bug να περιηγηθεί στο /home μας ή στο /media/cdrom0
> > ή έστω να συλλέξει πληροφορίες απο αυτά;
> >
> > ευχαριστώ.
> >
> >
> >
> >
>
> Το initrd.img είναι ένα Ramdisk image για να φορτωθούν στη μνήμη κάποια
> απαραίτητα στοιχεία του πυρήνα στη μνήμη κατά την εκκίνηση. Το
> initrd.img.old είναι απλά παλαιότερη έκδοσή του (μάλλον για παλαιότερο
> πυρήνα).
>
> Το vmlinuz είναι ο πυρήνας (ΔΕΝ το διαγράφουμε!!!) και το vmlinuz.old
> παλαιότερη έκδοσή του (καλό είναι να υπάρχει αφού σε περίπτωση
> προβλήματος μπορούμε να bootάρουμε σε αυτόν).
>
> Το /root/.bashrc είναι αρχείο ρυθμίσεων του bash (το κέλυφος που πιθανώς
> χρησιμοποιείς για να δείς εντολές από γραμμή εντολών)
>
> Το αρχέιο .profile κάθε χρήστη συνήθως περιέχει διάφορες μεταβλητές
> περιβάλλοντος και ρυθμίσεις
>
> Το /root/.config/Trolltech.conf μάλλον είναι κάποιο αρχείο ρυθμίσεων του
> QT toolkit (η εταιρεία κατασκευής είναι η Trolltech)
>
> Τα αρχεία dpkg.status.x.gz ΑΝ ΔΕΝ ΚΑΝΩ ΛΑΘΟΣ (δεν είμαι σίγουρος) είναι
> παλαιότερα αντίγραφα της κατάστασης του dpkg (πρόγραμμα που
> διαχειρίζεται τα πακέτα .deb και κάνει εγκαταστάσεις/απεγκαταστάσεις -
> χρησιμοποείται από τους package managers όπως το apt)
>
> Τώρα, για το τί παίζει με την ασφάλεια του συστήματος θα πρέπει να
> απαντήσει κάποιος άλλος...
>
>
> --
> Ubuntu-gr mailing list
> Ubuntu-gr at lists.ubuntu.com
>
> If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr

Το τι περιέχει κάθε αρχείο στο είπε ο cyberpython. Το τι μπορεί να
κάνει κάποιος με τις πληροφορίες αυτές περιορίζεται μόνο από τη
φαντασία και την ευρηματικότητα του. Π.χ. Από το bashrc και το profile
θα μπορούσε κάποιος να δει σε ποια path ψάχνει το bash των χρηστών για
εκτελέσιμα εφαρμογών και με πια σειρά και άλλες πληροφορίες σχετικά με
ρυθμίσεις και μεταβλητές του κελύφους που θα μπορούσαν να του φανούν
χρήσιμες για να τοποθετήσει ένα κακόβουλο εκτελέσιμο αρχείο εκεί που
πρέπει για να ξεγελάσει τον χρήστη και να το τρέξει νομίζοντας ότι
τρέχει κάτι άλλο. Βέβαια αυτό θα απαιτούσε πρόσβαση με δικαιώματα
root... Το dpkg status θα μπορούσε να δώσει στον υποτιθέμενο
επιτιθέμενο πληροφορίες για το τι πακέτα λογισμικού και ποιες
εκδόσεις, άρα και με πια patch και ενημερώσεις ασφαλείας, είναι
εγκατεστημένα στον υπολογιστή. Αυτή την πληροφορία θα μπορούσε να τη
χρησιμοποιήσει ο επιτιθέμενος για να κάνει κάποια στοχευμένη σε
συγκεκριμένο κενό ασφάλειας συγκεκριμένης έκδοσης συγκεκριμένου
προγράμματος ή υπηρεσίας επίθεση.

Γενικά, όσο περισσότερες, έστω και φαινομενικά μικρής σημασίας,
πληροφορίες για το σύστημα έχει στα χέρια του ο επιτιθέμενος, τόσο πιο
αποτελεσματικά μπορεί να επιτεθεί. Γι' αυτό θα δεις μεγάλες εταιρίες
δικτυακών υπηρεσιών (π.χ. web hosting) όχι μόνο να κόβουν προς τον έξω
κόσμο όσο το δυνατό περισσότερες πληροφορίες για τα πραγματικά
συστήματα που τρέχουν τις υπηρεσίες, αλλά πολλές φορές να αναφέρουν
εσκεμμένα ψευδείς πληροφορίες. (π.χ. ένας web server apache μπορεί να
είναι ρυθμισμένος έτσι ώστε να αναφέρει ένα άλλο όνομα web server -
π.χ. ligthhttpd - αντί για apache  στις συνομιλίες του με τους
clients, προκειμένου να αποκρύψει την πραγματική του ταυτότητα και να
αποφύγει στοχευμένες σε αυτόν επιθέσεις.

Όσον αφορά την ερώτησή σου για τον browser, η απάντηση είναι ναι.
Μπορεί να γίνει. Αν ένα πρόγραμμα έχει κάποιο χοντρό bug τότε κάποιος
μπορεί να το εκμεταλλευτεί και δίνοντας κατάλληλη είσοδο στο πρόγραμμα
να το οδηγήσει σε κατάσταση κατάρρευσης (crash) και να καταφέρει τη
στιγμή της κατάρρευσης να τρέξει δικό του κώδικα με τα δικαιώματα του
προγράμματος. Έτσι αν κάποιος μέσω μιας σελίδας ή ενός javascript
κρασάρει τον firefox με ένα buffer overflow μπορεί να τρέξει δικό του
κώδικα με τα δικαιώματα πρόσβασης στα αρχεία και τους δίσκους που είχε
ο firefox. Και εφόσον ο ff είχε εκκινηθεί από τον χρήστη kokos πχ. και
συνεπώς είχε δικαίωμα πρόσβασης στο home dir του kokos, τα ίδια
ακριβώς δικαιώματα θα αποκτήσει και ο επιτιθέμενος. Αυτός είναι και
ένας από τους λόγους που φωνάζουμε ότι απαγορεύεται να χρησιμοποιείς
καθημερινές εφαρμογές όπως gnome, nautilus,firefox, openoffice, xchat
κλπ από το λογαριασμό του root. Αν τρέχεις πχ. τον ff ως root και
κάποιος του επιτεθεί τότε θα αποκτήσει πρόσβαση όχι μόνο στο home
directory σου, αλλά θα του έχεις δώσει πλήρη root πρόσβαση σε όλο το
μηχάνημα.


--
Konstantinos Togias
Dipl.-Math., M.Sc.
Research Academic Computer Technology Institute