Vill du vara del av diskussionerna i forumet, ställa frågor eller hjälpa andra? Registrera dig här!

NSA varnar för ryska attacker mot Linux

Trädvy Permalänk
Cyberman
Registrerad
Dec 1999

NSA varnar för ryska attacker mot Linux

Skadlig kod vid namn Drovorub utnyttjas av den ryska militärens underrättelsetjänst för intrång i Linux-system.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Plats
Utlandet
Registrerad
Nov 2008

Snacka om att hugga ved.

Trädvy Permalänk
Medlem
Plats
Söder
Registrerad
Jun 2008

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Jul 2009
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Då kändes det ännu mera konstigt med tanke på bilden av en arlo kamera men det hade väl med övervakning att göra. Trodde ryssarna satsat allt på just arlos kameror och skulle knäcka dessa.😀

Chassi: Fractal Design Define R3 Black, Mobo: ASUS Z170 Pro Gaming, CPU: Intel i7 6700K, kylning CM Hyper 212 EVO, RAM: 32 GB Hyper X 3000 mhz, GPU: Nvidia MSI 1080 Gaming X, PSU: XFX Core Edition Pro 750W, Mus: Logitech G700, Tgb: Corsair Raptor K30, OS: Win10

Trädvy Permalänk
Medlem
Plats
Sölvesborg
Registrerad
Nov 2009

Och förutom GRU, vilka andra treställiga underrättelseorganisationer utnyttjar detta gamla säkerhetshål?
Kan det vara så att NSA försöker förekomma istället för förekommas och verka vara en av "the good guys" genom att på detta sätt avslöja något alla underrättelseorganisationer kände till?

Trädvy Permalänk
Medlem
Registrerad
Jul 2001
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012.

Precis. Kör man med äldre kärnor än denna så lär man inte få nys om denna säkerhetsvarning i vilket fall. 😂

Trädvy Permalänk
Medlem
Registrerad
Okt 2003
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

CentOS/RHEL 6.10 kör på kernel 2.6.x och det är ett supportat system till november i år, så det kanske finns ett gäng gamla servrar som fortfarande tuggar på med version 6. Å andra sidan brukar RedHat ha en rejält modifierad kärna så den kanske inte är sårbar för detta.

"Trying is the first step to failure." - Homer Simpson

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2011
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Det är VÄLDIGT många IoT och Routrar som kör 2.6.x.

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av dlq84:

Det är VÄLDIGT många IoT och Routrar som kör 2.6.x.

Vilket förstås är helt oacceptabelt dåligt, men så går det till när ingen ställer krav.

AMD Ryzen7 3800X || Gigabyte X570 Ultra || Evga GTX 1080Ti || Crucial Ballistix Sport 3200 64GB || Samsung 950 Pro 512GB || Samsung 960 Pro 1024GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Inaktiv
Registrerad
Dec 2005

Finns massor med Android-enheter som använder Linux-kärnor som är forkade från äldre mainline-kärnor. Tittar jag t.ex. i min Galaxy S7 med helt uppdaterat LineageOS17.1 (som är baserat på Android 10) så kör det på en kernel baserat på Linux 3.18.91.

Det må vara länge sen den ursprungliga mainline 3.7 släpptes, men ni som tror denna attacken är utdaterad är helt ute och cyklar.

Trädvy Permalänk
Medlem
Plats
Sweland
Registrerad
Nov 2001

Det finns ju bakdörrar i alla Intel och AMD processorer också.

|| Main: Asus Z170 Pro Gaming | Intel Core i7 6700K | Corsair 4x8GB DDR4 | GeForce GTX 1070 | Linux ||

|| HTPC: MSI Z87I | Intel Core i3 4130T | Corsair 2x4GB DD3 | Intel HD graphics 4400 | Linux ||

|| NAS: Synology Diskstation 212j | DSM 5.2 ||

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Aug 2007

@Robbo:

Det finns bakdörrar överallt!
Vad det än gäller.
Det tillhör själva livet.

Det finns dåliga bakdörrar.
Och det finns bra bakdörrar.

Det kommer alltid finnas en bakdörr.
Sen om det är en bra bakdörr, eller en dålig bakdörr (?) vet enbart den som går igenom den

Shit, det blev nästan poesi av detta.....note.

Pc 1--> [AsRock DualSata2][AMD4600+X2][7800GT] [Intel SSD X-25 80GB G2][1TB F3][750GB IDE][4GB XMSCorsiar]Pc 2--> [Asus Crosshair] [AMD 4800+X2] [2st 8800GT i SLI] [RAID 0 2x250GB] [6GB XMSCorsair] [Corsair HX750]Pc 3-->[HP Microserver 12TB]Pc 4--> AsRock P67 Extreme 4,i7 2600K @ 4.0 GHz,830 256GB,16GB 1600MHz, R9 290X Foto [Nikon D7000][70-300/35 1,8/18-55 [Skärmar=24",24",24" Eyefinity]

Trädvy Permalänk
Medlem
Registrerad
Aug 2010

Ska man ta på foliehatten och anta att NSA har bakdörrar i UEFI secure boot då detta verkar indirekt rekommenderas att slå på.

Every time I see some piece of medical research saying that caffeine is good for you, I high-five myself. Because I'm going to live forever.
~ Linus Torvalds (2010-08-03)

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Jan 2008

Hur vet man om en router kör linux och vilken version?

JJ2 clan ladder

[1] Ryzen 3600 | RX580 | Kingston A2000 [2] Ryzen 1200 | GTX660 | 850 EVO [3] AMD X4 620 | GTX660 [4] AMD X4 620 [5] AMD X2 260 [6] AMD X2 6000+ (alla är i bruk)

Trädvy Permalänk
Medlem
Plats
Borås
Registrerad
Jan 2003

@maweric: om din router har telnet eller ssh logga in och köra uname -a så ser du vilken kärna din router kör.

Trädvy Permalänk
Medlem
Plats
Sweland
Registrerad
Nov 2001

Kollade min router Asus RT-AC66, kärna 2.6.22.19

|| Main: Asus Z170 Pro Gaming | Intel Core i7 6700K | Corsair 4x8GB DDR4 | GeForce GTX 1070 | Linux ||

|| HTPC: MSI Z87I | Intel Core i3 4130T | Corsair 2x4GB DD3 | Intel HD graphics 4400 | Linux ||

|| NAS: Synology Diskstation 212j | DSM 5.2 ||

Trädvy Permalänk
Medlem
Registrerad
Jun 2006

Ubiquiti Edgerouter Lite kör 3.10.107 så då är man safe hoppas jag. Känns lite gammalt ändå...

Trädvy Permalänk
Medlem
Registrerad
Jul 2015

@mechersmith: Jag tror inte att NSA förlitar sig på bootsektorvirus.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Aug 2010
Skrivet av mechersmith:

Ska man ta på foliehatten och anta att NSA har bakdörrar i UEFI secure boot då detta verkar indirekt rekommenderas att slå på.

Oh noes.
Intels megaläcka för ca en vecka sedan innehöll ju intern processorkod med bakdörrar i.

Trädvy Permalänk
Moderator
Brons i quiz
Registrerad
Jan 2012

*Tråd rensad*

Vänligen håll er till ämnet

/Vzano, Moderator

Citera om du vill ha svar!

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jan 2004
Skrivet av Korkskruv:

Enligt Google kom Linuxkärnan (version 3.7) ut i slutet av 2012. Så det är endast väldigt gamla apparater som skulle kunna påverkas. Kanske någon gammal telefon eller någon nätverkspryl?

Tyvärr är artikeln fel, även nyare kärnor kan tänkas drabbas.

Vad detta handlar om är _inte_ en sårbarhet utan om ett rootkit som kan installeras. På klient-sidan kommer det i formen av en kernelmodul.

Vad artikeln nämner är att för att hindra rootkitet från att installeras så bör man ställt in så Linux-kärnan kräver signerade kernel-moduler vilket man behöver en kärna som är nyare än 3.7. Man behöver även använda sig av secure boot och kräva signerade moduler.

Vilka sårbarheter som används för att nå rootåtkomst och därmed kunna installera rootkitet framgår inte i artikeln. Vi kan väl bara hoppas att de rapporterats/åtgärdats upstream redan, men som vanligt när det kommer till exploits så är det ett väldigt rörligt fält där 0-days är hårdvaluta bland dessa organisationer, även om värdet kan ifrågasättas när motståndarna har tillgång till dem.

Trädvy Permalänk
Medlem
Registrerad
Sep 2015
Skrivet av ThomasLidstrom:

Och förutom GRU, vilka andra treställiga underrättelseorganisationer utnyttjar detta gamla säkerhetshål?
Kan det vara så att NSA försöker förekomma istället för förekommas och verka vara en av "the good guys" genom att på detta sätt avslöja något alla underrättelseorganisationer kände till?

Spelar det någon roll varför de säger detta?

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2004
Skrivet av Klarspråkarn:

Spelar det någon roll varför de säger detta?

Ehhh... Spelar det någon roll varför någon säger någonting?

..

Trädvy Permalänk
Hedersmedlem
Plats
i bestens inre
Registrerad
Jul 2001
Skrivet av ThomasLidstrom:

Och förutom GRU, vilka andra treställiga underrättelseorganisationer utnyttjar detta gamla säkerhetshål?
Kan det vara så att NSA försöker förekomma istället för förekommas och verka vara en av "the good guys" genom att på detta sätt avslöja något alla underrättelseorganisationer kände till?

Eller så är det deras uppdrag att göra det, om andra organisationer använder det blir det bara relevant för NSA att varna ifall de utgör ett hot mot USA eller allierade.

Men på sweclockers är allting en konspiration.
Varför skrev du det här inlägget till exempel, går du rysslands ärenden? Är du i själva verket en bot i en trollfabrik?

Inlägget ovan är ett verk av fiktion, all eventuell likhet med verklig hårdvara är oavsiktlig.

Trädvy Permalänk
Medlem
Registrerad
Dec 2003

Och kom ihåg - Arlokameran på bilden har inte skrivit brevet.

Trädvy Permalänk
Medlem
Registrerad
Sep 2015
Skrivet av Clint Eastwood:

Ehhh... Spelar det någon roll varför någon säger någonting?

..

Om det de säger stämmer finns det en stor risk som bör åtgärdas. Oavsett anledning. Om de gör det för spela "good guys" eller inte förändrar inget med säkerhetshålet, eller?

Trädvy Permalänk
Medlem
Registrerad
Jul 2007

Lär vara Snowden som har skapat den.

Trädvy Permalänk
Medlem
Registrerad
Aug 2011

ser inte hur detta är en sårbarhet när någon måste köra en installation av kittet... är väll som att medvetet installera en RAT på sin dator och tro att det är en ny sorts dokusåpa man laddat ner som måste installeras...

så kontentan är... precis som allt annat i livet likaså inom IT.. "trust but verify" det du laddar ner och ska installera på din driftmiljö, ladda inte ner din nya kernel uppdatering från tpb osv osv... källkritik...

Känns som att artiklarna i swec börjar tumma ner på kvalitetsäkringen...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

Förstår inte riktigt vad det är Ryssland skulle göra här. Skulle dom bryta sig in och skriva sudo rm -rf / i min tty?

Det här är samma sak som att spela schack. Du vinner inte för att du attackerar motståndaren, utan för att du tvingar motståndaren att blotta sig.

Problemet är inte attackerna i sig, dom kommer finnas oavsett. Du själv måste spela så inkräktaren tvingas att vara pålitlig.

Förstår att en utdaterad router som är flera år gammal självklart är mer sårbar än vad en (ny) dator är. Men använder man bara detta som argument för sin säkerhet har missat en stor del av vad man själv kan / ska göra.

Hur många människor är det som inte läser igenom ett avtal när dom skriver på? I princip alla i lyxfällan (tv3) vet inte ens vad ränta är för något och har räntor som kan vara på flera hundra procent ibland. D.v.s det är inte sin egen okunskap som är ens största fiende, även om den har en stor del, utan sina felprioriteringar och sin egen lathet.

Server: Fractal design Define R5 | AMD Ryzen 7 1800X 8/16 | ASUS ROG Strix X370-F Gaming | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 19.2 Cinnamon

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jun 2007
Skrivet av OldComputer:

Förstår inte riktigt vad det är Ryssland skulle göra här. Skulle dom bryta sig in och skriva sudo rm -rf / i min tty?

Nej, detta handlar om mjukvara de kan använda när de redan har tagit sig in och fått root-access på datorn. Detta är alltså vad de skulle använda istället för att radera all din data, så att de t.ex. kan använda din dator för att infektera andra datorer och läsa av din nätverkstrafik.