Diskuse k článku

Dvacet let je v Linuxu díra, která pomohla ke „slavnému“ útoku na USA

V roce 1996 začala první světová kyberválka. Proti USA ji tehdy nepozorovaně zahájila skupina dosud neznámých hackerů. Ze serverů Pentagonu, NASA a dalších vládních, energetických a informačních společností tajně stahovala data. Útočníci působí v éteru dodnes a chyba, kterou zneužili, je stále neopravená.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J31o65s30e50f 51K24a29r84f92í86k 7452385156640

To je nějaká ftákovina ne? Vždyť linux stejně jako Apple je ze své podstaty nenapadnutelný ne?;-)

0/−1
11.4.2017 13:35

J35i91ř54í 84K50o41c93u84r76e39k 6745774625158

Dvacet let je v Linuxu díra ... útočníci použili program Loki.

Do Pieruna polskiego!

0/0
7.4.2017 15:07

J42a19n 87D52l17o49u86h26ý 7964839170879

Clanek dlouhej jak tejden pred vyplatou ale popsat nejak konkretne, kde je teda ta DIRA, to jak si nejde? Kdyz je to tak "jasne" a "zrejme" ze ona DIRA je tam dvacet let;-D

+2/0
7.4.2017 12:54

M75i64l73a37n 65K12e78r16š57l41á91g68e91r 2819976545363

V původním článku není zmínka o nějaké přetrvávající chybě, nýbrž o nástroji Turla, který existuje těch 20 let.

+1/0
7.4.2017 1:11

L54a72d87i19s85l74a15v 43K37a88l27o48u37s 7185466961730

No mě spíš vadí, jak pod hlavičkou Paypalu chtějí někde v Moldavii odchytit heslo.

+2/0
6.4.2017 18:18

M75a30r56t21i36n 95J71i15r72o50u49s95e70k 7196935605708

Je zcela jednoduchý každej "paypal" mail s "dear customer ihned mazat. Já mám dokonce filtr, který vyhodnocuje obsah a automaticky to maže.

0/0
7.4.2017 18:42
Foto

V34o94j96t12ě10c58h 39P10a75v83l39í78k 5484941934938

„Musíme si položit otázku,“ říká Juan Saade. „Jak je možné, že téměř dvě dekády stará zadní vrátka do systému lze stále otevřít i na moderních linuxových systémech?“

Odpověď je prostá: Protože pokud jste již jako útočník získal máte práva správce, můžete si do systému přidat kolik zadních vrátek chcete, i třeba dvacet let stará.

Jak získal útočník práva na Linuxových systémech v RUAG se nedozvíme, nejpravděpodobněji pomocí nakažené Windowsové stanice správce systému, protože Windowsové stanice byly pomocí nakažených websitů infikovány jako první.

+9/−1
6.4.2017 17:17
Foto

V25o60j51t43ě10c58h 11P82a45v44l34í19k 5714281934668

Přesné detaily útoku na RUAG jsou zde: https://www.melani.admin.ch/melani/en/home/dokumentation/reports/technical-reports/technical-report_apt_case_ruag.html

+2/0
6.4.2017 15:34

M27a90r55t44i51n 65R91o65s77o56l 4550803202661

Takže z tajemné bezpečnostní díry a superinteligentních hackerech se vyklubala stará dobra metoda: "Nainstalujete si prosím tento program ke stahování dat? Děkuji pěkně." A oslovením dostatečně velkého počtu lidí, až na jednoho troubu narazí, neboli phishing. Stejně jako super hackerské špehování NSA probíhá tak, že řeknou MS, Applu, googlu: "helejte dejte do svých programů, ať to kopii posílá i k nám do NSA" a vida hackerský zázrak se poved - skutečně mají mejly od všech.

+6/0
6.4.2017 15:33

J60a60n 21D33l22o60u66h74ý 7494669800819

az na to, ze zrovna Apple NSA nic nedava a vsechny sve datove uloziste ma sifrovane. R^ Probehlo dokonce i nejake rizeni Apple vs USA R^

0/−1
7.4.2017 12:53

M27a61r75t35i55n 97R31o96s69o94l 4970573912181

To řízení bylo s FBI nikoliv NSA. Snowden ukázal, že NSA má i data z Applů, ted buď spolupracují, nebo jsou naprosto neschopní v šifrování. Jinak způsoby jak zašifrovat a psát emaily tak, aby je NSA nerozlouskla samozřejmě existují, jen nejsou poruce na první doboru.

+1/0
7.4.2017 15:42

P26e67t87r 78B38o61u60š43k16a 6659783981872

Přestávám posílat cédéčka Českou poštou. Nechci aby mi je v USA něčím nakazili 8-o

+3/0
6.4.2017 15:11

J38a96n 76P33a74v62e34l14k26a 3397321574341

Nemusíte se bát. Nedojdou.

+3/0
7.4.2017 15:10

M82a50r71t61i12n 29J24i95r92o77u95s20e15k 7296485205948

Ütok na USA z Ruska. Ohraná deska posledních dvou let

+1/−1
6.4.2017 14:53

M95a35r67t69i33n 29J45i30r45o33u87s90e85k 7456405545558

Spekulace

0/−1
6.4.2017 14:52

K20a88m80i14l 46Š63t13ě93p59á11n66e28k 9546249233

Ve Windows je na takový útok přímo tlačítko:-)

0/0
6.4.2017 14:49

M18a30r13t64i86n 11J62i15r50o26u77s41e33k 7196565475508

Tlačítko vypnout. ;-D

0/0
6.4.2017 14:54

M64a93r40e66k 16R58u41s32s 7729202315624

lidem kteří rozumí problematice je tento článek plný naprostých blábolů k smíchu

+10/−1
6.4.2017 13:24

K75a31r20e78l 70V82o80h53n53o92u15t 4478649350157

Jeden z nejslabších článků, které jsem kdy na Technetu viděl. Na autora Jana Kužníka si budu dávat pozor.

+1/0
6.4.2017 11:30

R40o93b46e22r60t 11P34e23l56n16á58ř 3878801904

...Vcera me ten clanek fakt rozcilil, vidim ze nejsem sam :)

+5/0
6.4.2017 11:19

L76u78d98v87í74k 94G67a61j62d36o75š93í95k 2715873914122

Z firmy Kaspersky se tu dělají superodborníci.

Přitom je to podivná parta, jejíž aktivity na poli zabazpečení jsou spíš jen zástěrka jejich skutečné činnosti - hackování pro Rusy a vytváření mediálního poprasku a fám.

+2/−4
6.4.2017 11:13

M80i53c11h37a35l 96M69i61n91a61ř73í13k 9302816119888

Největší bezpečnostní díra je špehování pomocí win10.

+4/−2
6.4.2017 11:04

J75o73s93e26f 72Z69a66h53á77l66k70a 4283639398456

Bulvár dorazil i do rubriky Technet? Tak to je smutné, jedna z mála rubrik prakticky nezasažena infekcí z expres.cz a playtvak.cz. Teď už je to minulost.

+14/0
6.4.2017 10:52

A31n54t35o15n86í52n 65S78e19b46e95r22a 7303648400809

To není bezpečnostní díra, ale vlastnost systému. !

0/0
6.4.2017 10:41

P34a85v27e31l 77S71e29d42l23á10k 3320706638781

Odkdy je Solaris Linux? Tenhle článek bude asi dost děravý ...

0/0
6.4.2017 9:55
Foto

P15a32v55e40l 29K77a24s93í58k33, 96T64e56c30h59n48e12t22.95c42z

Díky, tuto (a pár dalších) nepřesností jsem v článku opravil.

0/0
6.4.2017 13:05

R84u11d42o60l73f 11P21e21k15á63r81e11k 9102131249503

Tak jestě ten nadpis...

+2/0
6.4.2017 13:08
Foto

P81a11v86e26l 85K75a61s29í65k31, 50T69e92c20h87n36e37t78.76c72z

Nadpis vychází z toho, co řekli výzkumníci Kaspersky na konferenci, viz konec článku. Doporučuji též odkazy na phrack.org, rovněž v článku.

0/0
6.4.2017 14:25
Foto

J70a80n 38K17u65ž19n39í75k

Ještě doplním, že na této konferenci byla i řada lidí od konkurence Kasperskyho a názory těch, kterých jsem se na "20 let starou zranitelnost" ptal, byly velmi podobné.

+1/0
6.4.2017 14:33

R32o96b61e41r79t 76P47e25l94n19á65ř 3328801754

to bude podobny jako u doktoru a policajtu - v nekterejch oborech spolu lidi drzej basu presto ze jde o konkurenci... ;)

0/0
6.4.2017 14:45
Foto

J39a32n 41K28u11ž27n37í53k

Jestli to nebude tentokrát třeba jen tím, že tam ta zranitelnost stále je, může ohrozit i špičkové technologické firmy (viz RUAG) a měla by být opravena.

0/0
6.4.2017 15:06
Foto

V31o32j40t53ě68c52h 92P30a16v56l10í39k 5324141884708

Jste si jistý, že mluili o zranitelnosti (vulnerability) a ne o zadních vrátcích (backdoor)?

Protože to je v detailních popisech incidentu jediná věc s cca 20 let dlouhou historií. Původně LOKI2, dnes Turla Unix, je software na tajné vynášení informací ze zabezpečených sítí a utajené řízení sítě data sbírajících programů uvnitř sítě.

Nejedná se ovšem o zranitelnost.

Útočníci v případě RUAG použili zranitelnosti uvnitř systémů Windows pomocí klasických Spear-phishing a Waterhole metod.

+5/0
6.4.2017 15:46

R91o55b94e91r26t 71P55e95l96n40á58ř 3968881634

je otazka z jakeho uhlu se na to divate. Naprosto presne tu o tom pise pan Pavlik. Podle me je to proste vlastnost systemu. Ten kod jsem nestudoval detailne ale jsem si jisty ze podobny demon by bylo mozne napsat i pro windows (tam by se tomu rikalo nejspis service :-). Hlavni problem je ze se tam ten demon vubec dostane - to je primarni bezpecnostni dira a zde hraje roli hlavne lidsky faktor (zadna zaplata nepomuze). Skryt nejakou komunikaci v dnesni dobe neni az takovy problem. Vzhledem k mnozstvi a rozmanitosti dat ktere tecou pres sitova rozhrani se takovy tunel da vytvorit mnoha zpusoby a bude jen velice tezko odhalitelny beznymi prostredky - podobne jako loki2.

Na kodu loki2 je videt genialita a elegance posixu - ten kod je totiz pomerne kratky vzhledem k tomu co dela. Dovolim si tvrdit ze neco podobneho napsaneho na urovni winapi by bylo mnohonasobne delsi.

Doba ovsem pokrocila a i viry/trojani mohou mit mnohem delsi a slozitejsi kod aniz by hrozilo jejich objeveni.

Na zaver dodam ze zranitelnost windows, linuxu a treba macu je naprosto srovnatelna pokud jde o podobnou situaci - tedy ze na cilove masine je jiz nainstalovan zaskodnicky program s odpovidajicim opravnenim.

+1/0
6.4.2017 18:54
Foto

V91o11j32t10ě73c31h 87P20a34v53l93í88k 5624651924578

Ano, to, že systém umožňuje sledovat všechny packety, včetně ICMP a odesílat ICMP packety s libovolným obsahem je jedna vlastností systému vyžadovaných standardem POSIX. Je velmi užitečná i pro "mírové" použití a jako takovou nemá smysl ji odstraňovat. Zneužitelná je skoro každá vlastnost systému, zvlášť s právy správce.

Pokud bychom měli hovořit o díře, tak máslo na hlavě mají výrobci perimeter firewallů a security gatewayí - tedy firmy z oboru počítačové bezpečnosti, které nerozpoznají, když jimi protékají ICMP packety speciálně upravené LOKI2 a Turla, přesto, že LOKI2 už je známý léta včetně zdrojového kódu a tak lze jeho signaturu v packetech snadno detekovat.

+2/0
6.4.2017 20:40

R70o50b61e48r71t 15P35e21l80n74á36ř 3438221194

presne jak pisete. Existuje vic moznosti jak to resit (prisne nastaveni firewalu, oddelena sit, monitoring atd.) ale vsechny maji sve nedostatky. Zpravidla se to resi jejich kombinaci.

Cekal bych ze v pripade dulezitych serveru (tajne sluzby, vladni organizace atd) bude aktivni monitoring ktery bude sledovat nejen obsah komunikace ale i jeji prubeh v case a upozorni na neobvyklou situaci kterou ihned nekdo bude analyzovat. Takto by odhalili i komunikaci zprostredkovanou loki2.

Zajimave reseni pouzivala (a mozna dosud pouziva) ceska vezenska sluzba (nebo sprava veznic, ted presne nevim) - veskera komunikace probihala jen pres vytacene linky :)

+1/0
6.4.2017 22:36
Foto

V54o14j66t23ě55c77h 38P58a82v11l59í67k 5124101124638

Je tam odkaz na stránku na Phracku o LOKI2, což ale opravdu není díra v Linuxu. Je to starý a dobře známý a dostupný UNIXový program na exfiltraci dat, který musí někdo na systém nejprve nainstalovat aby jej bylo možno použít. Ani označení trojský kůň použitě na phracku pro něj není úplně korektní, neboť se ani nepokouší tvářit jako nevinná aplikace.

+5/0
6.4.2017 15:52

P16e62t47r 35G89o96l58i26c58h 6662897503347

Úkol zněl jasně, očernit nixové OS ;-D

0/0
6.4.2017 20:02
Foto

V47o87j74t10ě78c48h 37P74a17v86l63í98k 5864491114808

LOKI2 je Krysa - RAT - Remote Access Tool.

+1/0
6.4.2017 16:00

P69a15v32e57l 74M22o87r17a32v22e95c 3862179562648

Nadpis říká, že v Linuxu je 20 let stará díra. Což jste sám rozporoval. Když už tak do nadpisu doplňte " .. říká Kaspersky".

0/0
15.4.2017 18:27
Foto

V37o14j20t94ě35c58h 88P62a71v36l55í28k 5974471474508

Jenže on ani server HP9000 s PA-RISC v roce 1996 téměř jistě neběžel na Linuxu, rozodně ne ve produkčním nasazení státní správě USA. Operační systém na těchto strojích byl HP-UX.

+4/0
6.4.2017 15:33
Foto

V94o76j56t52ě44c41h 74P22a58v79l51í87k 5814601294288

Solaris nikdy nemohl běžet na HP9000, HP a Sun byly konkurenční firmy a každá používala zcela jinou architekturu: PA-RISC vs SPARC.

+6/0
6.4.2017 15:55

K51a59r59e88l 91B23a51r90t16á42k 3949113552236

Máte to ve špatné rubrice. Reklamní a manipulační oddělení je jinde.

+11/−1
6.4.2017 9:39
Foto

V50o68j81t26ě29c40h 64P22a33v61l90í61k 5254831704178

LOKI2 není díra. Natož díra, která by byla v Linux 20 let.

LOKI2 je program, který umožňuje vytvořit z počítače, kam už se útočník nějak dostal (například tím, že získal heslo) bezpečný kanál, kterým může exfiltrovat (ukrást) data, aniž by si toho firewally po cestě všimly. Je to vlastně forma skryté VPN.

To, že LOKI2 funguje na systémech i po 20 letech, je jen důkazem, že UNIX a Linux berou kompatibilitu vážně. Ano, to by se na Windows nestalo.

Hlavní část přednášky ze SAS2017, a hlavní cíl výzkumu pana

Juana Andrése Guerrero-Saade je ovšem forenzní analýza útoků a hledání spojitostí, potažmo identifikace skutečných viníků. Jeho výsledkem tedy není objevení 20 let staré díry, ale nalezení nepřímých důkazů, že Penquin a Moonlit Maze mohou být tatáž skupina, nebo že mezi nimi je spojitost.

+42/0
6.4.2017 9:17

J12a52r18o14m67í48r 58M55a36y53e85r 1501202489408

Zrovna u Windows ta kompatibilita bude také, pokud se použije standardní Win32 API, budete mít aplikaci kompatibilní od Win95 do Win10.

0/−5
6.4.2017 9:20
Foto

V28o97j18t20ě69c70h 62P30a64v16l28í97k 5674371764398

To máte pravdu. Jen stabilní API pro posílání ICMP je ve Win32 až od Windows 2000.

+5/0
6.4.2017 9:31

O79d83s14t89r86a95n87ě74n91ý 23U54ž72i43v88a53t72e91l

Uživatel požádal o vymazání
+2/0
6.4.2017 9:37

R42o92b52e14r23t 10P53e80l86n11á85ř 3698791304

Kompatibilita u windows? delate si legraci? psal jste nekdy nejakou aplikaci pro windows?

0/0
6.4.2017 11:26

R78o96b73e11r45t 30P60e43l40n33á25ř 3968241974

omluva, to patrilo jinam, Vase prispevky patri mezi ty nejkvalitnejsi...

0/0
6.4.2017 11:27

J29a40r21o42m35í64r 74M83a71y25e79r 1391322129848

Takže to bylo na mě? Ok.

Mám aplikaci pro komunikaci s embedded zařízeními (naštěstí nezloženými na Linuxu). Bez problému běží od WinXP do Win10 na C++/C#

0/0
6.4.2017 13:44

R20o27b93e70r44t 56P98e41l53n32á21ř 3578121684

jo tak to vam teda zavidim.. na neco takovyho sem windows pouzival naposled ve verzi XP a uz bych se k tomu fakt nerad vracel :)

Kompatibilita je u windows opravdu problem. Uvedu priklad - kdyz si vyvojari konecne zvykli na technologii COM, tak ji M$ sproste nahradil .NET technologiji a COM nechal pomalu umirat. A takovejch by se naslo vic. M$ zkratka hazi vyvojarum klacky pod nohy. S kazdou novou verzi windows je treba slozitejsi aplikace totalne prevorat. To Vam potvrdi kazdy kdo pise aplikaci pro windows. Firmy co se zabyvaji vyvojem u teto ohavne platformy zustavaji jen ze setrvacnosti a rekneme navaznosti na dalsi technologie (hw atd). Je jen otazkou casu kdy se to definitivne zlomi.

Ve Windows neustale bojujete se zbytecnymi mezivrstvami diky kterym je pak vysledny kod mnohonasobne slozitejsi (=mene spolehlivy, mene citelny, hure prenositelny atd).

Dalo by se toho napsat vic, vyvojem na platforme windows jsem se zabyval skoro petadvacet let (cca od roku 93).

+2/0
6.4.2017 14:13

Najdete na iDNES.cz