sslug-teknik team mailing list archive

Thread
Date

Re: sikkerheds brist i module systemet

To: sslug-teknik@xxxxxxxx
From: Mads Bondo Dydensborg <madsdyd@xxxxxxxxxxxx>
Date: Wed, 1 Sep 1999 23:53:31 +0200 (CEST)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <Pine.OSF.3.95.990901193157.5292B-100000@vile.diku.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

On Wed, 1 Sep 1999, Jon Bendtsen wrote:

> 
> > Forudsætningen er at man er root. Det er kun root der kan udføre de
> > skridt, som skal til for at loade moduler, der ikke er "depmod'ede".
> > 
> > Quote: "When root has been compromised, all bets are off".
> > 
> > Sikringen består i at sikre at crackere *ikke* bliver root.
> det ved jeg, men det kan man kun sikre sig 103.54 % imod ved ikke at have
> netledning til maskinen (og her mener jeg ikke ethernet, atm, ppp... men
> POWER, aka ganske almindelig 220V ;-0

Det er ikke helt korrekt, men jeg forstår din pointe. 

> > Kodeordene er her "maintain control".
> det ved jeg, men dette hul er relativt nemt at lukke, og hvorfor så ikke
> gøre det ??

Ded er ikke et hul. Adgangen til at blive root er hullet.

At forsøge at minimisere den skade root kan gøre på systemet kan være
fornuftigt, men er udtryk for at systemet ikke er sikkert nok til at
starte med. Det kan være en ekstra sikring at fjerne muligheden for at
bruge moduler, hvis man *ikke* tror ens system er sikkert nok til at
starte med.

MEN, som root kan jeg installere en ny kerne..... (Det er selvfølgelig
lettere at opdage, hvis maskinen er unavailable for et stykke tid, men
bagefter kan jeg jo pille ved diverse tællere, mv, så det ser ud som om at
maskinen ikke har været bootet.)

> > Jeg var totalt paf da jeg læste om det angreb der var årsag til den
> > oprindelige diskussion. Udmærket at udbrede kendskabet.
> hvilket angreb var årsagen ??

http://www.securityfocus.com/templates/forum_message.html?forum=2&head=32&id=32

Det mest interessante er, som lwn skriver;

The document also includes a fair amount of "war story" material, and a
scary description (under "third week") of a truly high-clue breakin of one
of their systems. Many of us have seen "script kiddies" at work, but these
were a different breed of folks. Among other things, the attack shows a
real-world use of a loadable kernel module to perform evil acts. 

Ekstremt interessant læsning. Skræmmende. Meget meget skræmmende.

Bemærk at root blev komprimiteret vha. en kde suid binary.

Stykket så jeg første gang på linuxtoday.

Mads

-- 
Mads Bondo Dydensborg.                               madsdyd@xxxxxxxxxxxx
Just because a program takes text commands makes it complex? I love GUI's. I
love using the web. I love WYSIWYG word processors. But I also love CLIs. It
feels more natural to me, as if I'm talking with the computer (granted, the
language isn't english, it's bash, and the vocabulary happens to be whatever's 
is my PATH)--I tell it what to do and it does it for me (unlike GUI's where I
have to do everything my own damn self). 
                                      - fassler, in response to MS France FUD

References

Re: sikkerheds brist i module systemet
From: Jon Bendtsen, 1999-09-01