Linux ก็โดน autorun malware เล่นงานได้
Wednesday 9 February 2011 Leave a comment
Jon Larimer แห่งทีม X-Force ของ IBM ได้สาธิตในงาน Shmoocon 2011 ซึ่งเพิ่งจะจัดไปเมื่อปลายเดือนมกราคมที่ผ่านมา แสดงให้เห็นว่า Linux ก็สามารถโดน autorun malware เจาะได้
วิดีโอบรรยายของ Jon Larimer ยาวประมาณ 51 นาที อยู่ข้างล่างนี้
โดยคร่าวๆ คือ เขาใช้ไฟล์ DVI (เป็นไฟล์เอกสารคล้ายๆ กับ PDF) ที่ทำมาเป็นพิเศษใส่เข้าไปใน USB flash drive เมื่อเอาไปเสียบกับเครื่องที่ลง Ubuntu ระบบจะ automount และเปิด Nautilus (file browser ของ GNOME) ขึ้นมา ถ้าเราตั้งค่าให้ Nautilus แสดง thumbnail แล้วละก็ช่องโหว่ที่อยู่ใน Evince (โปรแกรมอ่านไฟล์เอกสาร) จะอนุญาตให้ malicious code ที่แฝงอยู่ในไฟล์ DVI รันได้ทันที
ช่องโหว่นี้สามารถทำให้เครื่องที่รัน Linux + GNOME + Nautilus + Evince ทุกเครื่องมีสิทธิ์ตกเป็นเหยื่อได้เหมือนกันหมด (พูดง่ายๆ ก็ Ubuntu ทุกเครื่อง) ขนาดว่ารัน screensaver อยู่ก็ไม่เว้น
แต่ว่า… ในข่าวร้ายก็มีข่าวดี
ข่าวดี คือ ช่องโหว่ที่ว่าใน Evince ถูกแก้ไปเรียบร้อยแล้วในเดือนมกราคมที่ผ่านมา, ข่าวดีที่สอง คือ ในวิดีโอสาธิต Jon Larimer จงใจปิด Address Space Layout Randomisation (ASLR) และ AppArmor ไว้ ซึ่งมาตรการความปลอดภัยทั้งสองนี้ปกติจะเปิดใช้อยู่แล้วใน Linux เกือบทุก distro (บาง distro อาจใช้มาตรการอย่างอื่น เช่น SELinux ซึ่งน่าจะให้ผลป้องกันได้เช่นกัน), ข่าวดีที่สาม คือ ช่องโหว่นี้ไม่มีผลต่อ server OS หรือ Desktop environment อื่นๆ
แม้จะพอวางใจได้ในระดับหนึ่ง แต่นี่ก็เป็นคำเตือนถึงผู้ใช้ Linux ทุกคนอีกครั้งว่า “ไม่มีระบบไหนปลอดภัย 100%” ตัว ASLR กับ AppArmor ก็ช่วยได้เพียงระดับหนึ่งเท่านั้น ถ้าคนเจาะอยากจะเจาะจริงๆ ก็ brute-force หรือหลบเลี่ยงได้
ที่มา
- http://www.h-online.com/security/news/item/Linux-vulnerable-to-USB-worms-1185696.html
- http://www.omgubuntu.co.uk/2011/02/how-usb-autorun-malware-could-easily-infect-linux
ป.ล. โชคดี ถ้าเป็นเฉพาะช่องโหว่นี้ไม่กระทบผมแน่นอน เพราะผมปิดฟังก์ชัน “Show thumbnails” ใน Nautilus ไว้ตลอด เหตุผลเที่ปิดไม่ได้มาจากรื่องความปลอดภัย แต่เป็นเพราะว่าถ้าเปิดแล้ว Nautilus มันอืด แถม thumbnail ใน Nautilus มันไม่สวยด้วย
ใครมาพูดอะไรไว้บ้าง?