Tucatnyinál is több biztonsági rést fedeztek a nyílt forrású operációs rendszerrel soros buszon keresztül kommunikáló eszközök kapcsán.

Egy IT-biztonsági szakértő 14, linuxot érintő sebezhetőségről számolt be az elmúlt napokban. Andrey Konovalov szerint mindegyik aktiválható egy speciális feltételeknek megfelelő paraméterrel bíró USB eszközzel. Persze csak akkor, ha a támadónak fizikai hozzáférése van a célpont számítógéphez.

Fizikai hozzáférés kell

A bevezetőben említett 14 biztonsági rés amúgy csak a jéghegy csúcsa. A kutató ugyanis összesen 79 szoftverhibát fedezett fel, melyek egy jó részét patch-elték is. Néhányuk pusztán szolgáltatásmegtagadásra (DoS) irányúló támadást tesz lehetővé, lefagyasztható és újraindításra kényszeríthető általuk az áldozatul esett PC. Más sérülékenységek azonban még ártalmas kód futtatását is lehetővé teszik.

Ugyan a cikk tárgyát képző szoftverbugok közvetlen hozzáférést igényelnek a gazdarendszerhez, mégsem szabad lebecsülni hatásukat. Ez ugyanis nem jelenti azt, hogy kevésbé veszélyesek lennének: ha valaki képes ártalmas USB-eszköz csatlakoztatására, akkor komoly károkat okozhat általuk. Akár komplett szervereket vagy egész vállalatokat kényszeríthet térdre egy pendrive-val.

És ha ez még mindig nem tűnik akkora veszélynek, gondoljunk csak vissza az iráni dúsítók ellen 7 évvel ezelőtt végrehajtott izraeli támadásra. A 2010 nyarán felfedezett Stuxnetet az egyik legszofisztikáltabb számítógépes vírusnak tartják, ami valószínűvé teszi, hogy komoly szakmai és anyagi támogatásra volt szükség a kifejlesztéséhez. A Windows rendszer alatt terjedő, a Siemens ipari szoftvereit és eszközeit célzó kártevő felel az iráni atomprogram 2010 végi felfüggesztéséért, miután sikeresen tönkretette az urándúsításhoz használt centrifugák jelentős részét. Sikeréhez kulcsfontosságú volt egy fertőzött eszköz fizikai bejuttatása az iráni létesítménybe – azaz a fizikai hozzáférés megléte.

Lazán kezelt driverek

Noha a nyílt forrású közösség igen elkötelezett a biztonságos környezetek létrehozása és fenntartása mellett, annyi USB eszköz – és az ezekhez egyenként tartozó számos meghajtószoftver - van szerte a világban, hogy elszaporodtak a nem megfelelően tesztelt driverek. Előbb-utóbb tehát gondot fog okozni, hacsak addig be nem foltozzák a biztonsági hiányosságokat a kernelben. Erre egyébként a Linux alkotója, maga Linus Torvalds is felhívta a figyelmet nemrég, sürgetve a kernel USB alrendszere biztonságosságának fokozását.

Konovalov egyébként a Syzkaller nevű eszközzel akadt a sebezhetőségre. Ezt a Google hozta létre, hogy elősegítse a rendszermagot érintő hibakereséseket. De nem csak ez a lehetőség áll a kutatók rendelkezésére. A Londoni Egyetem biztonsági kutatói idén tették elérhetővé a virtuális gépeket használó POTUS nevű eszközt, amivel kifejezetten a linuxos USB eszközmeghajtó programokat lehet átfésülni, hibák után kutatva.

Csak ezzel két, USB-s gyökerű, a Linux rendszermagot érintő hibára bukkantak rá. Az első egy memóriaszivárgási sebezhetőség, ami az Airspy Software Defined Radio (SDR) révén kommunikáció meghajtószoftver kapcsán okozhat gondot. A másik pedig úgynevezett Use-After-Free sérülékenység, amin a Linux kernel Lego USB Tower driverében 2003(!) óta létezik.

Biztonság

Már nem csak adatokra, de erőforrásokra utaznak a támadók

...akik előszeretettel használják ki az API-k sérülékenységeit a máskülönben jól védett oldalakon is. Az Akamai legfrissebb biztonsági jeletése szerint az idén beköszönnek a mobilos botnetek is.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.