Tucatnyinál is több biztonsági rést fedeztek a nyílt forrású operációs rendszerrel soros buszon keresztül kommunikáló eszközök kapcsán.

Egy IT-biztonsági szakértő 14, linuxot érintő sebezhetőségről számolt be az elmúlt napokban. Andrey Konovalov szerint mindegyik aktiválható egy speciális feltételeknek megfelelő paraméterrel bíró USB eszközzel. Persze csak akkor, ha a támadónak fizikai hozzáférése van a célpont számítógéphez.

Fizikai hozzáférés kell

A bevezetőben említett 14 biztonsági rés amúgy csak a jéghegy csúcsa. A kutató ugyanis összesen 79 szoftverhibát fedezett fel, melyek egy jó részét patch-elték is. Néhányuk pusztán szolgáltatásmegtagadásra (DoS) irányúló támadást tesz lehetővé, lefagyasztható és újraindításra kényszeríthető általuk az áldozatul esett PC. Más sérülékenységek azonban még ártalmas kód futtatását is lehetővé teszik.

Ugyan a cikk tárgyát képző szoftverbugok közvetlen hozzáférést igényelnek a gazdarendszerhez, mégsem szabad lebecsülni hatásukat. Ez ugyanis nem jelenti azt, hogy kevésbé veszélyesek lennének: ha valaki képes ártalmas USB-eszköz csatlakoztatására, akkor komoly károkat okozhat általuk. Akár komplett szervereket vagy egész vállalatokat kényszeríthet térdre egy pendrive-val.

És ha ez még mindig nem tűnik akkora veszélynek, gondoljunk csak vissza az iráni dúsítók ellen 7 évvel ezelőtt végrehajtott izraeli támadásra. A 2010 nyarán felfedezett Stuxnetet az egyik legszofisztikáltabb számítógépes vírusnak tartják, ami valószínűvé teszi, hogy komoly szakmai és anyagi támogatásra volt szükség a kifejlesztéséhez. A Windows rendszer alatt terjedő, a Siemens ipari szoftvereit és eszközeit célzó kártevő felel az iráni atomprogram 2010 végi felfüggesztéséért, miután sikeresen tönkretette az urándúsításhoz használt centrifugák jelentős részét. Sikeréhez kulcsfontosságú volt egy fertőzött eszköz fizikai bejuttatása az iráni létesítménybe – azaz a fizikai hozzáférés megléte.

Lazán kezelt driverek

Noha a nyílt forrású közösség igen elkötelezett a biztonságos környezetek létrehozása és fenntartása mellett, annyi USB eszköz – és az ezekhez egyenként tartozó számos meghajtószoftver - van szerte a világban, hogy elszaporodtak a nem megfelelően tesztelt driverek. Előbb-utóbb tehát gondot fog okozni, hacsak addig be nem foltozzák a biztonsági hiányosságokat a kernelben. Erre egyébként a Linux alkotója, maga Linus Torvalds is felhívta a figyelmet nemrég, sürgetve a kernel USB alrendszere biztonságosságának fokozását.

Konovalov egyébként a Syzkaller nevű eszközzel akadt a sebezhetőségre. Ezt a Google hozta létre, hogy elősegítse a rendszermagot érintő hibakereséseket. De nem csak ez a lehetőség áll a kutatók rendelkezésére. A Londoni Egyetem biztonsági kutatói idén tették elérhetővé a virtuális gépeket használó POTUS nevű eszközt, amivel kifejezetten a linuxos USB eszközmeghajtó programokat lehet átfésülni, hibák után kutatva.

Csak ezzel két, USB-s gyökerű, a Linux rendszermagot érintő hibára bukkantak rá. Az első egy memóriaszivárgási sebezhetőség, ami az Airspy Software Defined Radio (SDR) révén kommunikáció meghajtószoftver kapcsán okozhat gondot. A másik pedig úgynevezett Use-After-Free sérülékenység, amin a Linux kernel Lego USB Tower driverében 2003(!) óta létezik.

Biztonság

Tervezni kezdik az óriási, űrhajósok generációit szállító hajókat

A legközelebbi exobolygók is csak több száz vagy ezer év alatt lesznek megközelíthetők, ami különféle kérdések egész sorát veti majd fel az utazás fizikai megvalósításán túl is.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.