2008/9/27 cyberpython <[EMAIL PROTECTED]> > > rizitis wrote: > > ήθελα να ρωτήσω τι πληροφορίες περιέχουν τα παρακάτω αρχεία σε ένα > > linux ; > > > > initrd.img.old > > initrd.img > > vmlinuz.old > > vmlinuz > > /root/.bashrc > > /root/.config/Trolltech.conf > > /root/.profile > > dpkg.status.1.gz > > dpkg.status.2.gz > > dpkg.status.3.gz > > dpkg.status.4.gz > > /var/backups/dpkg.status.0 > > /var/tmp/kdecache-rizitis > > > > και αν υποθέσουμε ότι κάποιος τρίτος έχει πρόσβαση σε αυτά τι > > πληροφορίες θα μπορούσε να εξάγει για το σύστημα μου; > > η ερώτηση έχει να κάνει ως προς το αν θα γινόταν λιγότερο ασφαλές το > > σύστημα αν κάποιος είχε πρόσβαση σε αυτά. > > > > άλλη μια υποθετική ερώτηση είναι η εξής, > > είναι δυνατον να εκμεταλευτεί κάποιο site ένα bug στον browser μας και > > μέσου αυτού του bug να περιηγηθεί στο /home μας ή στο /media/cdrom0 > > ή έστω να συλλέξει πληροφορίες απο αυτά; > > > > ευχαριστώ. > > > > > > > > > > Το initrd.img είναι ένα Ramdisk image για να φορτωθούν στη μνήμη κάποια > απαραίτητα στοιχεία του πυρήνα στη μνήμη κατά την εκκίνηση. Το > initrd.img.old είναι απλά παλαιότερη έκδοσή του (μάλλον για παλαιότερο > πυρήνα). > > Το vmlinuz είναι ο πυρήνας (ΔΕΝ το διαγράφουμε!!!) και το vmlinuz.old > παλαιότερη έκδοσή του (καλό είναι να υπάρχει αφού σε περίπτωση > προβλήματος μπορούμε να bootάρουμε σε αυτόν). > > Το /root/.bashrc είναι αρχείο ρυθμίσεων του bash (το κέλυφος που πιθανώς > χρησιμοποιείς για να δείς εντολές από γραμμή εντολών) > > Το αρχέιο .profile κάθε χρήστη συνήθως περιέχει διάφορες μεταβλητές > περιβάλλοντος και ρυθμίσεις > > Το /root/.config/Trolltech.conf μάλλον είναι κάποιο αρχείο ρυθμίσεων του > QT toolkit (η εταιρεία κατασκευής είναι η Trolltech) > > Τα αρχεία dpkg.status.x.gz ΑΝ ΔΕΝ ΚΑΝΩ ΛΑΘΟΣ (δεν είμαι σίγουρος) είναι > παλαιότερα αντίγραφα της κατάστασης του dpkg (πρόγραμμα που > διαχειρίζεται τα πακέτα .deb και κάνει εγκαταστάσεις/απεγκαταστάσεις - > χρησιμοποείται από τους package managers όπως το apt) > > Τώρα, για το τί παίζει με την ασφάλεια του συστήματος θα πρέπει να > απαντήσει κάποιος άλλος... > > > -- > Ubuntu-gr mailing list > [email protected] > > If you do not want to receive any more messages from the ubuntu-gr mailing > list, please follow this link and choose unsubscribe: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
Το τι περιέχει κάθε αρχείο στο είπε ο cyberpython. Το τι μπορεί να κάνει κάποιος με τις πληροφορίες αυτές περιορίζεται μόνο από τη φαντασία και την ευρηματικότητα του. Π.χ. Από το bashrc και το profile θα μπορούσε κάποιος να δει σε ποια path ψάχνει το bash των χρηστών για εκτελέσιμα εφαρμογών και με πια σειρά και άλλες πληροφορίες σχετικά με ρυθμίσεις και μεταβλητές του κελύφους που θα μπορούσαν να του φανούν χρήσιμες για να τοποθετήσει ένα κακόβουλο εκτελέσιμο αρχείο εκεί που πρέπει για να ξεγελάσει τον χρήστη και να το τρέξει νομίζοντας ότι τρέχει κάτι άλλο. Βέβαια αυτό θα απαιτούσε πρόσβαση με δικαιώματα root... Το dpkg status θα μπορούσε να δώσει στον υποτιθέμενο επιτιθέμενο πληροφορίες για το τι πακέτα λογισμικού και ποιες εκδόσεις, άρα και με πια patch και ενημερώσεις ασφαλείας, είναι εγκατεστημένα στον υπολογιστή. Αυτή την πληροφορία θα μπορούσε να τη χρησιμοποιήσει ο επιτιθέμενος για να κάνει κάποια στοχευμένη σε συγκεκριμένο κενό ασφάλειας συγκεκριμένης έκδοσης συγκεκριμένου προγράμματος ή υπηρεσίας επίθεση. Γενικά, όσο περισσότερες, έστω και φαινομενικά μικρής σημασίας, πληροφορίες για το σύστημα έχει στα χέρια του ο επιτιθέμενος, τόσο πιο αποτελεσματικά μπορεί να επιτεθεί. Γι' αυτό θα δεις μεγάλες εταιρίες δικτυακών υπηρεσιών (π.χ. web hosting) όχι μόνο να κόβουν προς τον έξω κόσμο όσο το δυνατό περισσότερες πληροφορίες για τα πραγματικά συστήματα που τρέχουν τις υπηρεσίες, αλλά πολλές φορές να αναφέρουν εσκεμμένα ψευδείς πληροφορίες. (π.χ. ένας web server apache μπορεί να είναι ρυθμισμένος έτσι ώστε να αναφέρει ένα άλλο όνομα web server - π.χ. ligthhttpd - αντί για apache στις συνομιλίες του με τους clients, προκειμένου να αποκρύψει την πραγματική του ταυτότητα και να αποφύγει στοχευμένες σε αυτόν επιθέσεις. Όσον αφορά την ερώτησή σου για τον browser, η απάντηση είναι ναι. Μπορεί να γίνει. Αν ένα πρόγραμμα έχει κάποιο χοντρό bug τότε κάποιος μπορεί να το εκμεταλλευτεί και δίνοντας κατάλληλη είσοδο στο πρόγραμμα να το οδηγήσει σε κατάσταση κατάρρευσης (crash) και να καταφέρει τη στιγμή της κατάρρευσης να τρέξει δικό του κώδικα με τα δικαιώματα του προγράμματος. Έτσι αν κάποιος μέσω μιας σελίδας ή ενός javascript κρασάρει τον firefox με ένα buffer overflow μπορεί να τρέξει δικό του κώδικα με τα δικαιώματα πρόσβασης στα αρχεία και τους δίσκους που είχε ο firefox. Και εφόσον ο ff είχε εκκινηθεί από τον χρήστη kokos πχ. και συνεπώς είχε δικαίωμα πρόσβασης στο home dir του kokos, τα ίδια ακριβώς δικαιώματα θα αποκτήσει και ο επιτιθέμενος. Αυτός είναι και ένας από τους λόγους που φωνάζουμε ότι απαγορεύεται να χρησιμοποιείς καθημερινές εφαρμογές όπως gnome, nautilus,firefox, openoffice, xchat κλπ από το λογαριασμό του root. Αν τρέχεις πχ. τον ff ως root και κάποιος του επιτεθεί τότε θα αποκτήσει πρόσβαση όχι μόνο στο home directory σου, αλλά θα του έχεις δώσει πλήρη root πρόσβαση σε όλο το μηχάνημα. -- Konstantinos Togias Dipl.-Math., M.Sc. Research Academic Computer Technology Institute -- Ubuntu-gr mailing list [email protected] If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
