NSA varnar för ryska attacker mot Linux

Permalänk
Melding Plague

NSA varnar för ryska attacker mot Linux

Skadlig kod vid namn Drovorub utnyttjas av den ryska militärens underrättelsetjänst för intrång i Linux-system.

Läs hela artikeln här

Permalänk
Medlem

Snacka om att hugga ved.

Permalänk
Medlem

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Permalänk
Avstängd
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Då kändes det ännu mera konstigt med tanke på bilden av en arlo kamera men det hade väl med övervakning att göra. Trodde ryssarna satsat allt på just arlos kameror och skulle knäcka dessa.😀

Permalänk
Medlem

Och förutom GRU, vilka andra treställiga underrättelseorganisationer utnyttjar detta gamla säkerhetshål?
Kan det vara så att NSA försöker förekomma istället för förekommas och verka vara en av "the good guys" genom att på detta sätt avslöja något alla underrättelseorganisationer kände till?

Permalänk
Medlem
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012.

Precis. Kör man med äldre kärnor än denna så lär man inte få nys om denna säkerhetsvarning i vilket fall. 😂

Permalänk
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

CentOS/RHEL 6.10 kör på kernel 2.6.x och det är ett supportat system till november i år, så det kanske finns ett gäng gamla servrar som fortfarande tuggar på med version 6. Å andra sidan brukar RedHat ha en rejält modifierad kärna så den kanske inte är sårbar för detta.

Permalänk
Medlem
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Det är VÄLDIGT många IoT och Routrar som kör 2.6.x.

Permalänk
Medlem
Skrivet av dlq84:

Det är VÄLDIGT många IoT och Routrar som kör 2.6.x.

Vilket förstås är helt oacceptabelt dåligt, men så går det till när ingen ställer krav.

Permalänk
Inaktiv

Finns massor med Android-enheter som använder Linux-kärnor som är forkade från äldre mainline-kärnor. Tittar jag t.ex. i min Galaxy S7 med helt uppdaterat LineageOS17.1 (som är baserat på Android 10) så kör det på en kernel baserat på Linux 3.18.91.

Det må vara länge sen den ursprungliga mainline 3.7 släpptes, men ni som tror denna attacken är utdaterad är helt ute och cyklar.

Permalänk
Medlem

Det finns ju bakdörrar i alla Intel och AMD processorer också.

Permalänk
Medlem

@Robbo:

Det finns bakdörrar överallt!
Vad det än gäller.
Det tillhör själva livet.

Det finns dåliga bakdörrar.
Och det finns bra bakdörrar.

Det kommer alltid finnas en bakdörr.
Sen om det är en bra bakdörr, eller en dålig bakdörr (?) vet enbart den som går igenom den

Shit, det blev nästan poesi av detta.....note.

Permalänk

Ska man ta på foliehatten och anta att NSA har bakdörrar i UEFI secure boot då detta verkar indirekt rekommenderas att slå på.

Permalänk
Medlem

Hur vet man om en router kör linux och vilken version?

Permalänk
Medlem

@maweric: om din router har telnet eller ssh logga in och köra uname -a så ser du vilken kärna din router kör.

Permalänk
Medlem

Kollade min router Asus RT-AC66, kärna 2.6.22.19

Permalänk
Medlem

Ubiquiti Edgerouter Lite kör 3.10.107 så då är man safe hoppas jag. Känns lite gammalt ändå...

Permalänk
Medlem

@mechersmith: Jag tror inte att NSA förlitar sig på bootsektorvirus.

Permalänk
Medlem
Skrivet av mechersmith:

Ska man ta på foliehatten och anta att NSA har bakdörrar i UEFI secure boot då detta verkar indirekt rekommenderas att slå på.

Oh noes.
Intels megaläcka för ca en vecka sedan innehöll ju intern processorkod med bakdörrar i.

Permalänk
Moderator

*Tråd rensad*

Vänligen håll er till ämnet

/Vzano, Moderator

Permalänk
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Tyvärr är artikeln fel, även nyare kärnor kan tänkas drabbas.

Vad detta handlar om är _inte_ en sårbarhet utan om ett rootkit som kan installeras. På klient-sidan kommer det i formen av en kernelmodul.

Vad artikeln nämner är att för att hindra rootkitet från att installeras så bör man ställt in så Linux-kärnan kräver signerade kernel-moduler vilket man behöver en kärna som är nyare än 3.7. Man behöver även använda sig av secure boot och kräva signerade moduler.

Vilka sårbarheter som används för att nå rootåtkomst och därmed kunna installera rootkitet framgår inte i artikeln. Vi kan väl bara hoppas att de rapporterats/åtgärdats upstream redan, men som vanligt när det kommer till exploits så är det ett väldigt rörligt fält där 0-days är hårdvaluta bland dessa organisationer, även om värdet kan ifrågasättas när motståndarna har tillgång till dem.

Permalänk
Medlem
Skrivet av ThomasLidstrom:

Och förutom GRU, vilka andra treställiga underrättelseorganisationer utnyttjar detta gamla säkerhetshål?
Kan det vara så att NSA försöker förekomma istället för förekommas och verka vara en av "the good guys" genom att på detta sätt avslöja något alla underrättelseorganisationer kände till?

Spelar det någon roll varför de säger detta?

Permalänk
Skrivet av Klarspråkarn:

Spelar det någon roll varför de säger detta?

Ehhh... Spelar det någon roll varför någon säger någonting?

..

Permalänk
Hedersmedlem
Skrivet av ThomasLidstrom:

Och förutom GRU, vilka andra treställiga underrättelseorganisationer utnyttjar detta gamla säkerhetshål?
Kan det vara så att NSA försöker förekomma istället för förekommas och verka vara en av "the good guys" genom att på detta sätt avslöja något alla underrättelseorganisationer kände till?

Eller så är det deras uppdrag att göra det, om andra organisationer använder det blir det bara relevant för NSA att varna ifall de utgör ett hot mot USA eller allierade.

Men på sweclockers är allting en konspiration.
Varför skrev du det här inlägget till exempel, går du rysslands ärenden? Är du i själva verket en bot i en trollfabrik?

Permalänk
Medlem

Och kom ihåg - Arlokameran på bilden har inte skrivit brevet.

Permalänk
Medlem
Skrivet av Clint Eastwood:

Ehhh... Spelar det någon roll varför någon säger någonting?

..

Om det de säger stämmer finns det en stor risk som bör åtgärdas. Oavsett anledning. Om de gör det för spela "good guys" eller inte förändrar inget med säkerhetshålet, eller?

Permalänk
Medlem

Lär vara Snowden som har skapat den.

Permalänk
Medlem

ser inte hur detta är en sårbarhet när någon måste köra en installation av kittet... är väll som att medvetet installera en RAT på sin dator och tro att det är en ny sorts dokusåpa man laddat ner som måste installeras...

så kontentan är... precis som allt annat i livet likaså inom IT.. "trust but verify" det du laddar ner och ska installera på din driftmiljö, ladda inte ner din nya kernel uppdatering från tpb osv osv... källkritik...

Känns som att artiklarna i swec börjar tumma ner på kvalitetsäkringen...

Permalänk
Medlem

Förstår inte riktigt vad det är Ryssland skulle göra här. Skulle dom bryta sig in och skriva sudo rm -rf / i min tty?

Det här är samma sak som att spela schack. Du vinner inte för att du attackerar motståndaren, utan för att du tvingar motståndaren att blotta sig.

Problemet är inte attackerna i sig, dom kommer finnas oavsett. Du själv måste spela så inkräktaren tvingas att vara pålitlig.

Förstår att en utdaterad router som är flera år gammal självklart är mer sårbar än vad en (ny) dator är. Men använder man bara detta som argument för sin säkerhet har missat en stor del av vad man själv kan / ska göra.

Hur många människor är det som inte läser igenom ett avtal när dom skriver på? I princip alla i lyxfällan (tv3) vet inte ens vad ränta är för något och har räntor som kan vara på flera hundra procent ibland. D.v.s det är inte sin egen okunskap som är ens största fiende, även om den har en stor del, utan sina felprioriteringar och sin egen lathet.

Permalänk
Medlem
Skrivet av OldComputer:

Förstår inte riktigt vad det är Ryssland skulle göra här. Skulle dom bryta sig in och skriva sudo rm -rf / i min tty?

Nej, detta handlar om mjukvara de kan använda när de redan har tagit sig in och fått root-access på datorn. Detta är alltså vad de skulle använda istället för att radera all din data, så att de t.ex. kan använda din dator för att infektera andra datorer och läsa av din nätverkstrafik.