Linux ก็โดน autorun malware เล่นงานได้


Jon Larimer แห่งทีม X-Force ของ IBM ได้สาธิตในงาน Shmoocon 2011 ซึ่งเพิ่งจะจัดไปเมื่อปลายเดือนมกราคมที่ผ่านมา แสดงให้เห็นว่า Linux ก็สามารถโดน autorun malware เจาะได้

วิดีโอบรรยายของ Jon Larimer ยาวประมาณ 51 นาที อยู่ข้างล่างนี้

โดยคร่าวๆ คือ เขาใช้ไฟล์ DVI (เป็นไฟล์เอกสารคล้ายๆ กับ PDF) ที่ทำมาเป็นพิเศษใส่เข้าไปใน USB flash drive เมื่อเอาไปเสียบกับเครื่องที่ลง Ubuntu ระบบจะ automount และเปิด Nautilus (file browser ของ GNOME) ขึ้นมา ถ้าเราตั้งค่าให้ Nautilus แสดง thumbnail แล้วละก็ช่องโหว่ที่อยู่ใน Evince (โปรแกรมอ่านไฟล์เอกสาร) จะอนุญาตให้ malicious code ที่แฝงอยู่ในไฟล์ DVI รันได้ทันที

ช่องโหว่นี้สามารถทำให้เครื่องที่รัน Linux + GNOME + Nautilus + Evince ทุกเครื่องมีสิทธิ์ตกเป็นเหยื่อได้เหมือนกันหมด (พูดง่ายๆ ก็ Ubuntu ทุกเครื่อง) ขนาดว่ารัน screensaver อยู่ก็ไม่เว้น

แต่ว่า… ในข่าวร้ายก็มีข่าวดี

ข่าวดี คือ ช่องโหว่ที่ว่าใน Evince ถูกแก้ไปเรียบร้อยแล้วในเดือนมกราคมที่ผ่านมา, ข่าวดีที่สอง คือ ในวิดีโอสาธิต Jon Larimer จงใจปิด Address Space Layout Randomisation (ASLR) และ AppArmor ไว้ ซึ่งมาตรการความปลอดภัยทั้งสองนี้ปกติจะเปิดใช้อยู่แล้วใน Linux เกือบทุก distro (บาง distro อาจใช้มาตรการอย่างอื่น เช่น SELinux ซึ่งน่าจะให้ผลป้องกันได้เช่นกัน), ข่าวดีที่สาม คือ ช่องโหว่นี้ไม่มีผลต่อ server OS หรือ Desktop environment อื่นๆ

แม้จะพอวางใจได้ในระดับหนึ่ง แต่นี่ก็เป็นคำเตือนถึงผู้ใช้ Linux ทุกคนอีกครั้งว่า “ไม่มีระบบไหนปลอดภัย 100%” ตัว ASLR กับ AppArmor ก็ช่วยได้เพียงระดับหนึ่งเท่านั้น ถ้าคนเจาะอยากจะเจาะจริงๆ ก็ brute-force หรือหลบเลี่ยงได้

ที่มา

ป.ล. โชคดี ถ้าเป็นเฉพาะช่องโหว่นี้ไม่กระทบผมแน่นอน เพราะผมปิดฟังก์ชัน “Show thumbnails” ใน Nautilus ไว้ตลอด เหตุผลเที่ปิดไม่ได้มาจากรื่องความปลอดภัย แต่เป็นเพราะว่าถ้าเปิดแล้ว Nautilus มันอืด แถม thumbnail ใน Nautilus มันไม่สวยด้วย

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: