Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
https://lh3.googleusercontent.com/-yda-wbCf_Vc/ULCTHFU9afI/AAAAAAAAA88/KbSQfPOrmGA/s800/20090406_rootkit.jpg

Túlreagálták a linuxos rootkit felbukkanását

2012.11.24. 10.35
https://lh3.googleusercontent.com/-yda-wbCf_Vc/ULCTHFU9afI/AAAAAAAAA88/KbSQfPOrmGA/s800/20090406_rootkit.jpgA minap hatalmas médiafelhajtás övezte egy Linuxra szánt rootkit szoftver felbukkanását, amit egy webszerver munkájának helytelen eredményeként fedeztek fel. A kártevő veszélyességével kapcsolatban azonban már sokkal homályosabb információk jutottak el az olvasókig.

Jó, ha az elején leszögezzük, hogy a kérdéses malware több informatikai médium állításával ellentétben valójában nem vírus. Ezt azt jelenti, hogy nem képes szabadon terjedni, mint ahogyan azt megszokhattuk a különböző Windows verziókra fejlesztett kártékony szoftverek többségénél, így alaptalanok az olvasók linuxos világvége kiáltásai, amikkel nem egy helyen találkoztam. A Linux alapú rendszerekre amúgy sem könnyű a hagyományos értelemben vett vírusok fejlesztése, ebben az esetben viszont ilyenről szó sincs.

Az egyelőre még név nélküli kártevőt kifejezetten webszerverekre, azokon belül is a Debian disztribúciót 2.6.32-5-amd64-es Linux kernellel futtató webkiszolgálókra fejlesztették és munkájának eredménye egy a kiszolgált weboldalba ágyazott iframe HTML kód, amivel lehetősége válik a weboldal egy bizonyos területére egy külső forrásból származó weboldalt betölteni.

A szoftver különlegessége, hogy valójában egy betölthető Linux kernelmodulként él a rendszerben és épül be annak hálózati kommunikációs rétegeibe. Ebből kifolyólag egyszerűen láthatatlannak számít fájlmódosítás szempontjából, ugyanis nem látszik sem a webszerver, sem a lokálisan tárolt - és kiszolgálásra kerülő - fájlok kódjában, így elmondható, hogy sok felhasználási lehetőség rejlik a megoldásban, viszont egyáltalán nem egyszerű az üzembe helyezése.

A malware-t ugyanis elsősorban a 64 bites Debian egy bizonyos kernelverziójához fejlesztették, aminek komoly akadályokon kell átjutnia ahhoz, hogy működésbe léphessen, ráadásul már a kernelhez fordítása sem egyszerű feladat. Lássuk be, erre nem képes minden második ember. A nagy látogatottságú weboldalak komolyabb biztonsági előírásokkal rendelkeznek, így - leszámítva az emberi mulasztás lehetőségét - kizárólag egy nagyon komoly biztonsági rés adhat lehetőséget egy ilyen támadásra, de még akkor sem lehet olyan jelenségekről szó, mint amilyenek a windowsos vírusoknál felléphetnek.

Tehát kétségtelen, hogy a napokban felbukkant kártevő képes kellemetlen dolgokra, ha erre komoly szakértelemmel - rengeteg biztonsági hiányosságot kihasználva - valaki ráveszi. Tekintettel arra, hogy egy Linux kernelmodulról van szó, ami nem egy eddig ismeretlen biztonsági hiányosság útján dolgozik, hanem egyszerűen teszi a dolgát, amire a rendszer legálisan lehetőséget ad a rendszergazdai jogok birtokában, nem várható semmiféle biztonsági javítás az ügy kapcsán. Kivéve akkor, ha a jövőben felbukkan egy olyan biztonsági rés, ami lehetőséget ad a kód szerverekre való feljuttatására és azok távoli adminisztrációjára.