image

Linux kwetsbaar voor aanvallen via kwaadaardige usb-sticks

woensdag 8 november 2017, 11:37 door Redactie, 31 reacties

Linux-systemen zijn kwetsbaar voor aanvallen via kwaadaardige usb-sticks waardoor een aanvaller met fysieke toegang tot een systeem een denial of service kan veroorzaken en mogelijk ook willekeurige code kan uitvoeren. De kwetsbaarheden bevinden zich in het usb-subssysteem van de Linux-kernel.

De beveiligingslekken werden gevonden door onderzoeker Andrey Konovalov, die zijn bevindingen op de Open Source Software Security-mailinglist rapporteerde. De 14 beveiligingslekken waar Konovalov het in zijn e-mail over heeft zijn inmiddels verholpen. De onderzoeker zegt dat er echter nog zo'n 35 soortgelijke kwetsbaarheden zijn die op een update wachten. "De meeste beveiligingslekken betreffen een denial of service, maar een aantal kan mogelijk worden gebruikt voor het uitvoeren van code in de kernel", zo laat Konovalov aan The Register weten.

Reacties (31)
08-11-2017, 11:46 door [Account Verwijderd] - Bijgewerkt: 08-11-2017, 11:47
[Verwijderd]
08-11-2017, 12:01 door Anoniem
de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
08-11-2017, 12:05 door Anoniem
Door Neb Poorten: Help! Moet ik dan toch maar mijn USB poorten dichtsolderen?

Feit is dat je tegen aanvallers met fysieke toegang meestal weinig kan doen. Behalve je harde schijven (volledig) versleutelen. Want die dingen kan je eruit schroeven en aan een andere computer hangen. Als ze dan niet versleuteld zijn dan kan de aanvaller overal bij. En je moet je computer volledig uitzetten wanneer je niet thuis bent. Want als de computer aan staat heb je je harde schijven waarschijnlijk toegankelijk gemaakt om ermee te kunnen werken.

En vooral geen gevonden USB sticks gebruiken. Er zijn al sticks van knutselaars die je moederbord vernietigen met een fikse spanningsstoot. En daar helpt absoluut niets tegen.
08-11-2017, 12:11 door Anoniem
De denial-of-service, en dat is veel ernstiger, kan door een aanvaller met fysieke toegang ook worden uitgevoerd met behulp van de aan-uit-knop. Zeer ernstig dit!!!
08-11-2017, 12:25 door Whacko
Door Anoniem: de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
ja het is een xen hypervisor. Maar draait wel een linux microkernel. Zolang in die micorkernel geen USB gebruikt wordt "is het veilig"... nou nee, het OS wat er bovenop draait kan nog altijd kwetsbaar zijn.
Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
08-11-2017, 12:50 door Anoniem
Volgens mij is elk OS in potentie al snel kwetsbaar voor USB sticks met malware.
08-11-2017, 12:54 door Anoniem
Door Whacko:
Door Anoniem: de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
ja het is een xen hypervisor. Maar draait wel een linux microkernel. Zolang in die micorkernel geen USB gebruikt wordt "is het veilig"... nou nee, het OS wat er bovenop draait kan nog altijd kwetsbaar zijn.
Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
het gaat er ook niet om de die kernel zelf kwetsbaar is, maar dat het dan alleen in die specefieke kernel iets kan doen, en niet in de rest(aka de reden om uberhaubt qubes te gebruiken)
08-11-2017, 13:06 door Anoniem
Tja iemand die een ddos op mijn laptop wil uitvoeren door een kwaadaardig stukje software te schrijven wat kwetsbaarheden benut in USB is waarschijnlijk iemand die in een vliegtuig stapt en richting oosten vliegt als ie het donker wil hebben... een ddos op een systeem waar je bij kunt kun je makkelijker doen door de stekker eruit te trekken...
08-11-2017, 13:17 door Anoniem
Och, heb al jaren last van machines die spontaan over hun nek gaan van inkomende USB, en dan hebben we het over logitech muizen en apple toetsenborden. Zeker als er maar weinig geheugen beschikbaar is wil er wel eens vanalles uitklappen. Dus dat er nu iemand eens een keertje naar de USB stack gekeken heeft is geen overbodige luxe. En dat het vol bleek te zitten met gaten, ach, dat verbaast me niet.

Door Whacko: Maar draait wel een linux microkernel.
linux is geen microkernel. Nee, ook niet als je doet wat qubes er mee doet. Ja, ik snap wat je bedoelt. Nee, linux is geen microkernel. Pak maar een andere term, "minimale kernel" mischien. Maar "microkernel" betekent gewoon al wat anders, en dat is linux niet.
08-11-2017, 13:41 door Anoniem
Je kan op een USB-poort een apparaat aansluiten dat doet alsof het een toetsenbord is. Bijvoorbeeld een YubiKey.
08-11-2017, 14:52 door Anoniem
Pas ook op voor aanvallen met hamers indien de aanvaller toegang heeft tot de computer.
Hamers kunnen zeer destructief zijn.

En ach, een monolitische kernel of microkernel is voor 70% van de IT'ers allemaal een pot nat ....
08-11-2017, 14:54 door Anoniem
Door Anoniem: De denial-of-service, en dat is veel ernstiger, kan door een aanvaller met fysieke toegang ook worden uitgevoerd met behulp van de aan-uit-knop. Zeer ernstig dit!!!

Dat is maar de vraag... Van de fraaie security-driehoek C-I-A (confidentiality, integrity, availability) wordt bij het uitzetten van een server alleen availability minder. Bij het gebruik van een exploit waardoor iemand toegang kan krijgen tot de server en z'n data zijn ook confidentiality en integrity in het geding. Uitzetten is dus veel minder erg dan een USB stick...

Overigens, het roepen dat zodra een aanvaller fysieke toegang heeft tot een systeem er niks meer veilig is gaat niet meer op: als de NSA een iPhone al niet kan kraken als ze deze in handen hebben geeft wel aan dat beveiliging zelfs dan mogelijk is...
08-11-2017, 14:55 door Anoniem
De denial-of-service, en dat is veel ernstiger, kan door een aanvaller met fysieke toegang ook worden uitgevoerd met behulp van de aan-uit-knop. Zeer ernstig dit!!!

Wat een humor !
08-11-2017, 15:24 door Anoniem
Ja, wat is veilig zeg. Als je met een goed dichtgetimmerd systeem zit, dan kan je er donder op zeggen dat een of andere wizkid of slimmerik alsnog binnenkomt. Dus waar praten wij over?
08-11-2017, 16:08 door swake
Fysieke toegang betekent dat je zelf aan het toetsenbord moet zitten en ook nog eens rootrechten moet hebben !
08-11-2017, 16:28 door Whacko
Door Anoniem: Och, heb al jaren last van machines die spontaan over hun nek gaan van inkomende USB, en dan hebben we het over logitech muizen en apple toetsenborden. Zeker als er maar weinig geheugen beschikbaar is wil er wel eens vanalles uitklappen. Dus dat er nu iemand eens een keertje naar de USB stack gekeken heeft is geen overbodige luxe. En dat het vol bleek te zitten met gaten, ach, dat verbaast me niet.

Door Whacko: Maar draait wel een linux microkernel.
linux is geen microkernel. Nee, ook niet als je doet wat qubes er mee doet. Ja, ik snap wat je bedoelt. Nee, linux is geen microkernel. Pak maar een andere term, "minimale kernel" mischien. Maar "microkernel" betekent gewoon al wat anders, en dat is linux niet.
Ik weet dat linux geen kernel is, dat zei ik ook niet. Ik bedoelde Qubes gebruikt een microkernel (minimale kernel) die gebaseerd is op de normale kernel van een linux distributie.
08-11-2017, 16:54 door Anoniem
Door Whacko:
Door Anoniem: Och, heb al jaren last van machines die spontaan over hun nek gaan van inkomende USB, en dan hebben we het over logitech muizen en apple toetsenborden. Zeker als er maar weinig geheugen beschikbaar is wil er wel eens vanalles uitklappen. Dus dat er nu iemand eens een keertje naar de USB stack gekeken heeft is geen overbodige luxe. En dat het vol bleek te zitten met gaten, ach, dat verbaast me niet.

Door Whacko: Maar draait wel een linux microkernel.
linux is geen microkernel. Nee, ook niet als je doet wat qubes er mee doet. Ja, ik snap wat je bedoelt. Nee, linux is geen microkernel. Pak maar een andere term, "minimale kernel" mischien. Maar "microkernel" betekent gewoon al wat anders, en dat is linux niet.
Ik weet dat linux geen kernel is, dat zei ik ook niet. Ik bedoelde Qubes gebruikt een microkernel (minimale kernel) die gebaseerd is op de normale kernel van een linux distributie.

QubesOS gebruikt een minimale linux kernel niet een microkernel.
Als je een voorbeeld van een microkernel wilt dat zou ik eens naar Minix 3 kijken is ongeveer ~12k LoC.
https://upload.wikimedia.org/wikipedia/commons/d/d0/OS-structure2.svg
Linux is een monolithic kernel.
08-11-2017, 17:06 door Anoniem
Door Anoniem:
Door Whacko:
Door Anoniem: de USB domain in qubes os beschermt je hier tegen, lang leven isolatie.
ja het is een xen hypervisor. Maar draait wel een linux microkernel. Zolang in die micorkernel geen USB gebruikt wordt "is het veilig"... nou nee, het OS wat er bovenop draait kan nog altijd kwetsbaar zijn.
Als die Microkernel wel USB onersteuning heeft, kan die ook zelf kwetsbaar zijn aangezien het linux-based is.
het gaat er ook niet om de die kernel zelf kwetsbaar is, maar dat het dan alleen in die specefieke kernel iets kan doen, en niet in de rest(aka de reden om uberhaubt qubes te gebruiken)
Inderdaad, Xen hangt met behulp van IOMMU/Intel VT-d de USB controller aan 1 specifieke VM. Deze kan je dus niet alleen gebruiken om USB apparaten(of andere hardware die via PCI is aangesloten) direct met een VM te laten communiceren maar ook als isolatie door een aparte USB VM te creëeren.
08-11-2017, 22:08 door [Account Verwijderd]
[Verwijderd]
09-11-2017, 00:05 door Anoniem
bijna alle bugs zijn all in linux kernel versie 4.13 gepached.
09-11-2017, 11:44 door Anoniem
Door Anoniem: bijna alle bugs zijn all in linux kernel versie 4.13 gepached.

LTS distro's draaien max. met 4.9
09-11-2017, 12:42 door Anoniem
Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..
09-11-2017, 13:50 door Anoniem
Door Anoniem:
Door Anoniem: bijna alle bugs zijn all in linux kernel versie 4.13 gepached.

LTS distro's draaien max. met 4.9

Waarin backports van allerhande fixes en eventueel features van latere mainline kernels toegevoegd zijn.

Met daarnaast nog de patches die een distro vendor kan toevoegen.
09-11-2017, 13:53 door PietdeVries
Door Anoniem: Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..

Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...
09-11-2017, 17:19 door [Account Verwijderd]
[Verwijderd]
10-11-2017, 07:11 door karma4 - Bijgewerkt: 10-11-2017, 07:14
Door Neb Poorten:
Door PietdeVries:
Door Anoniem: Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..

Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...

Dat geldt ook voor mijn versleutelde harde schijven onder Linux!
Als de NSA ofwel AIVD MIVD ofwel sttatsveiligheid met de FBi ofwel de dagelijks wethanhaving verward dan is er een behoorlijk context issue.
Kom je op het gebied van "ik krijg toch geen bekeuring voor het rijden zonder licht." Nu nog het equivalent van "zorg dat je codicil op orde is. Je red er levens mee"
11-11-2017, 14:54 door [Account Verwijderd]
[Verwijderd]
12-11-2017, 06:56 door karma4
Door Neb Poorten: ....
Wat staat hier? (Kan iemand even helpen om dit te ontcijferen?)
Hetgeen bewijst dat je zelf de weg volledig kwijt bent.
Het besef van de realiteit en je omgeving is verdwenen als je om uitleg moet vragen.
13-11-2017, 09:55 door Whacko
Door Neb Poorten:
Door karma4:
Door Neb Poorten:
Door PietdeVries:
Door Anoniem: Stemming makerij .. IT systemen altijd kwetsbaar via directe toegang ..

Kennelijk niet: een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet. Tuurlijk, stuk maken kan altijd, maar daarmee ligt de data niet op straat...

Dat geldt ook voor mijn versleutelde harde schijven onder Linux!
Als de NSA ofwel AIVD MIVD ofwel sttatsveiligheid met de FBi ofwel de dagelijks wethanhaving verward dan is er een behoorlijk context issue.
Kom je op het gebied van "ik krijg toch geen bekeuring voor het rijden zonder licht." Nu nog het equivalent van "zorg dat je codicil op orde is. Je red er levens mee"

Wat staat hier? (Kan iemand even helpen om dit te ontcijferen?)
Ik kom er ook niet uit hoor. Er missen letters, interpunctie en logica waardoor ik niet weet wat de zin nou moet zijn.
13-11-2017, 10:42 door Anoniem
een iPhone is dermate te beveiligen dat zelfs de NSA er niet echt raad mee weet.

Als het je lukt om de management engine eruit te flashen en je eigen boot loader erop te zetten. En als je er een hardware random number generator op zet, een random master key genereert, alle blokken versleutelt met een unieke sleutel die is afgeleid van de master key met counter. En als je een door jouzelf gecompileerd open source besturingssysteem erop zet. En als je er geen apps op zet die data in de cloud bewaren.

Maar ik weet niet of je het resultaat dan nog kan gebruiken als 'iPhone'.
13-11-2017, 13:55 door [Account Verwijderd] - Bijgewerkt: 14-11-2017, 08:04
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.