Tucatnyinál is több biztonsági rést fedeztek a nyílt forrású operációs rendszerrel soros buszon keresztül kommunikáló eszközök kapcsán.
Hirdetés
 

Egy IT-biztonsági szakértő 14, linuxot érintő sebezhetőségről számolt be az elmúlt napokban. Andrey Konovalov szerint mindegyik aktiválható egy speciális feltételeknek megfelelő paraméterrel bíró USB eszközzel. Persze csak akkor, ha a támadónak fizikai hozzáférése van a célpont számítógéphez.

Fizikai hozzáférés kell

A bevezetőben említett 14 biztonsági rés amúgy csak a jéghegy csúcsa. A kutató ugyanis összesen 79 szoftverhibát fedezett fel, melyek egy jó részét patch-elték is. Néhányuk pusztán szolgáltatásmegtagadásra (DoS) irányúló támadást tesz lehetővé, lefagyasztható és újraindításra kényszeríthető általuk az áldozatul esett PC. Más sérülékenységek azonban még ártalmas kód futtatását is lehetővé teszik.

Ugyan a cikk tárgyát képző szoftverbugok közvetlen hozzáférést igényelnek a gazdarendszerhez, mégsem szabad lebecsülni hatásukat. Ez ugyanis nem jelenti azt, hogy kevésbé veszélyesek lennének: ha valaki képes ártalmas USB-eszköz csatlakoztatására, akkor komoly károkat okozhat általuk. Akár komplett szervereket vagy egész vállalatokat kényszeríthet térdre egy pendrive-val.

És ha ez még mindig nem tűnik akkora veszélynek, gondoljunk csak vissza az iráni dúsítók ellen 7 évvel ezelőtt végrehajtott izraeli támadásra. A 2010 nyarán felfedezett Stuxnetet az egyik legszofisztikáltabb számítógépes vírusnak tartják, ami valószínűvé teszi, hogy komoly szakmai és anyagi támogatásra volt szükség a kifejlesztéséhez. A Windows rendszer alatt terjedő, a Siemens ipari szoftvereit és eszközeit célzó kártevő felel az iráni atomprogram 2010 végi felfüggesztéséért, miután sikeresen tönkretette az urándúsításhoz használt centrifugák jelentős részét. Sikeréhez kulcsfontosságú volt egy fertőzött eszköz fizikai bejuttatása az iráni létesítménybe – azaz a fizikai hozzáférés megléte.

Lazán kezelt driverek

Noha a nyílt forrású közösség igen elkötelezett a biztonságos környezetek létrehozása és fenntartása mellett, annyi USB eszköz – és az ezekhez egyenként tartozó számos meghajtószoftver - van szerte a világban, hogy elszaporodtak a nem megfelelően tesztelt driverek. Előbb-utóbb tehát gondot fog okozni, hacsak addig be nem foltozzák a biztonsági hiányosságokat a kernelben. Erre egyébként a Linux alkotója, maga Linus Torvalds is felhívta a figyelmet nemrég, sürgetve a kernel USB alrendszere biztonságosságának fokozását.

Konovalov egyébként a Syzkaller nevű eszközzel akadt a sebezhetőségre. Ezt a Google hozta létre, hogy elősegítse a rendszermagot érintő hibakereséseket. De nem csak ez a lehetőség áll a kutatók rendelkezésére. A Londoni Egyetem biztonsági kutatói idén tették elérhetővé a virtuális gépeket használó POTUS nevű eszközt, amivel kifejezetten a linuxos USB eszközmeghajtó programokat lehet átfésülni, hibák után kutatva.

Csak ezzel két, USB-s gyökerű, a Linux rendszermagot érintő hibára bukkantak rá. Az első egy memóriaszivárgási sebezhetőség, ami az Airspy Software Defined Radio (SDR) révén kommunikáció meghajtószoftver kapcsán okozhat gondot. A másik pedig úgynevezett Use-After-Free sérülékenység, amin a Linux kernel Lego USB Tower driverében 2003(!) óta létezik.

Biztonság

Nyakunkon az összehajtható Samsung okostelefon?

Egy véletlennek köszönhetően hullott le a lepel egy kísérleti készülékről.
 
A magánszektorban az egyetlen út a sikeres üzletmenethez az ügyfélen keresztül vezet. Ha értjük, mit akar, igényeit hatékonyan és gyorsan ki tudjuk elégíteni, akkor nincs menekvés a növekvő bevétel elől.

a melléklet támogatója a TOPdesk

Hirdetés

Agilis módszerek a szolgáltatás-menedzsmentben

Számos szervezet hozott olyan stratégiai döntést, hogy mindent agilis módszerek alapján kell csinálni. Az a felismerés indokolta ezt, hogy az elégedett ügyfelek és egy működő végtermék fontosabbak, mint a folyamatok vagy szerződések. A szolgáltatásmenedzsment területén ez különösen lényeges.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.