Slo-Tech - Raziskovalca Hector Marco in Ismael Ripoll sta na konferenci DeepSec 2016 na Dunaju predstavila svežo ranljivost v številnih distribucijah Linuxa, ki nepooblaščenemu uporabniku omogoča pridobitev administratorskega (root) dostopa do računalnika, ki ima particije zašifrirane z LUKS-om.
Za vstop v sistem zadostuje, če vnašalko (Enter) držimo 70 sekund oziroma napačno geslo poizkusimo vnesti 93-krat. Tedaj se znajdemo v lupini initramfs, kjer imamo administratorski dostop. Šifrirane particije seveda ne moremo odšifrirati, lahko pa počnemo kaj drugega, če kakšna izmed ostalih particij ni šifrirana. Sistemska običajno ni, poleg tega pa lahko prepišemo vsebino šifrirane particije in uničimo podatke. A to lahko storimo tudi, če disk fizično odstranimo iz računalnika.
Prizadete so distribucije Debian, Ubuntu, Fedora, Red Hat (RHEL) in SUSE (SLES), ki uporabljajo Cryptsetup, ne pa naprimer Arch ali Solus. Ranljivost je mogoče izrabiti tudi na daljavo, če uporabljamo oblačne storitve. Vse skupaj je posledica obravnave napačnega vnosa gesla v konfiguracijski datoteki v Cryptsetupu, a je luknja že zakrpana. Vse večje distribucije bodo popravek dobile v naslednjih dneh, v vmesnem času pa se je mogoče ranljivosti izogniti z vnosom v konfiguracijsko datoteko, ki prepreči zagon po izčrpanju poizkusov za vnos gesla.
Sramotna napaka pri večini distribucij je to, da sta kernel in initramfs zraven bootloaderja torej v /boot. Če imaš šifriran celoten disk, v bistvu kernel in initramfs nista šifrirana.
Mavrik> Hmm, a to da lahko brez gesla namestiš patchan kernel ni varnostna ranljivost?!
Seveda je, ampak ne v initrd. Varnostna ranljivost je v "chicken and egg" problemu varnega zagona. Nekatere sodobne UEFI implementacije omogočajo to, da si v CMOS ali NVRAM zabeležijo fingerprint ključa, s katerim je podpisano programje, ki so ga pripravljene pognati. Vse ostale rešitve so v resnici ranljive, ker se med zagonom vedno mora pognati nekaj, kar ni kriptirano, pa zna dekriptirat sistem (in če ta "nekaj" ni podpisan, potem ga napadalec lahko zamenja).
Ja, bug je butast in v nekaterih kiosk-like postavitvah omogoča precej lažji dostop, ampak bistven del težave se nahaja v tem, kako se x86 računalniki zaganjajo.
No, predvsem je odvisno, kako strežnik zaščitiš, je pa nekaj, do podatkov vseeno ne more. BISTVO! Če tudi zbriše particije, podatkov napadalec nima, če ukrade strežnik --> podatkov nima. Torej? Bistvo je doseženo.
Pa stvar je bila takoj pokrpana, večje distribucije bodo to popravile v nekaj dneh, druge bodo sledile.
Torej brez panike. To je pač neke vrste bug, ne pa varnostno sporno. Torej tudi stare distribucije in neposodobljeni sistemi se nimajo ob kraji serverja bati izgube podatkov.
No, predvsem je odvisno, kako strežnik zaščitiš, je pa nekaj, do podatkov vseeno ne more. BISTVO! Če tudi zbriše particije, podatkov napadalec nima, če ukrade strežnik --> podatkov nima. Torej? Bistvo je doseženo.
Zaščita sistema pred uporabniki, ki imajo fizičen dostop je vedno komplicirana.
Ni varnostna ranljivost? Hosting center, kjer je moj strežnik ravno zraven tvojega. Me spustijo not in za 15/30 sekund tipkovnico in monitor vtaknem v vašega. Disk mate mogoče celo v ohišju tako, da direktnega dostopa do strojne opreme nimam. Enako velja za ostale računalnike, ki stojijo po raznih ustanovah. Neke zgodbice o logih in adminu, ki zaganja paniko če opazi, da se je računalnik rebootal so točno to. Zgodbice. Tako kot razno nalaganje, da to v hosting centrih ni možno. Vsi članki zadnjih par let nakazujejo, da je taka varnost in pozornost precej redka pa tudi če jo izvajajo vsi na slo-techu. To je varnostna ranljivost in konec.
... Hosting center, kjer je moj strežnik ravno zraven tvojega. Me spustijo not in za 15/30 sekund tipkovnico in monitor vtaknem v vašega. ...
Resno misliš, da je v resnih podatkovnih centrih to mogoče? Če ja, potem imaš naprave v napačnem podatkovnem centru, ali pa jih nimaš in imaš napačne predstave o tem, kako to gre.
Ni varnostna ranljivost? Hosting center, kjer je moj strežnik ravno zraven tvojega. Me spustijo not in za 15/30 sekund tipkovnico in monitor vtaknem v vašega. Disk mate mogoče celo v ohišju tako, da direktnega dostopa do strojne opreme nimam. Enako velja za ostale računalnike, ki stojijo po raznih ustanovah. Neke zgodbice o logih in adminu, ki zaganja paniko če opazi, da se je računalnik rebootal so točno to. Zgodbice. Tako kot razno nalaganje, da to v hosting centrih ni možno. Vsi članki zadnjih par let nakazujejo, da je taka varnost in pozornost precej redka pa tudi če jo izvajajo vsi na slo-techu. To je varnostna ranljivost in konec.
1. V podatkovni center si uspel prinest monitor in tipkovnico, nisi pa uspel v žep dat enega USB ključka, kjer bi imel vse potrebno za napad (glej sporočila zgoraj)? 2. Še enkrat, govorimo o initramfs lupini. To je tista lupina, ki se ti pokaže, če (recimo) gre pri boot-u kaj narobe in ti root particije more mountat. Je to tudi varnostna ranljivost? 3. V podatkovnem centru imajo full disk enkripicijo? Kako pa potem izvedejo ponovni zagon sistema? (Če pa jo nimajo, glej 1. točko.)
Tipkovnice dejansko ne potrebuješ, če imaš USB napravo, ki emulira HID in izvršuje ukaze, ki jih bi sicer tipkal na roke. Ker je večina initramfs ,,tovarniških" je uspeh zagotovljen.
Pa saj to se že več precej let. Evil Maid napad se reče temu.
Mimogrede, iz tega razloga imam jaz svoje sisteme trojno šifrirane. Najprej na strojnem nivoju, potem LUKS, potem pa še dodatno svoj account z eCryptFS. Plus - ob tem se NE SME zanemariti fizične varnosti.
