Kernel.org โดนเจาะ

เมื่อวันที่ 28 สิงหาคม 2011 มีการค้นพบว่า Kernel.org เว็บไซต์โฮสต์หลักของ Linux Kernel ได้โดนบุกรุกโดยผู้ไม่ประสงค์ดี คาดกันว่าการโจมตีน่าจะเกิดขึ้นตั้งแต่วันที่ 12 สิงหาคม หรือก่อนหน้านั้น ผู้บุกรุกอาศัย account ที่ขโมยมาเจาะเข้ามาในเว็บไซต์และยกระดับสิทธิ์ตัวเองจนได้ root privileges ผ่านช่องโหว่สักช่อง (ยังไม่มีใครรู้ว่าเป็นอะไร) หลังจากนั้นก็แก้ค่าไฟล์คอนฟิกของ ssh เพื่อแอบเอา trojan มาวางไว้

หลายคนเชื่อกันว่าตัว code ของ Linux Kernel ยังไม่ได้โดนเปลี่ยนแปลงอะไร เพราะว่า Linux Kernel พัฒนาโดยใช้ Git ซึ่งควบคุมการเปลี่ยนแปลงไว้ให้เฉพาะ user ที่มีสิทธิโดยเฉพาะเท่านั้น อีกอย่างหาก Linux Kernel โดนวางยาจริงๆ ผู้พัฒนาทั่วโลกก็คงจะสังเกตได้ก่อนหน้านี้ตั้งนานแล้ว

ต่อให้ Linux Kernel โดนคนแอบเข้ามาแก้จริงๆ สถานการณ์ก็ไม่ได้เลวร้ายมากนัก เพราะ distro ใหญ่ๆ ก็ไม่ได้ใช้ kernel จาก Kernel.org โดยตรงอยู่แล้ว แต่ใช้ kernel ที่ต่างฝ่ายต่างก็พัฒนาเพิ่มเติมและทดสอบกันเองซึ่งส่วนใหญ่ (ถ้าไม่ทั้งหมด) ก็เป็น kernel รุ่นก่อนหน้าที่การโจมตีได้เกิดขึ้น

เรื่องนี้คงมีผลทางจิตวิทยาเกี่ยวกับความปลอดภัยของ Linux มากกว่า การบุกรุกเว็บไซต์โฮสต์ของ Linux อย่างนี้ก็เท่ากับการกระตุกหนวดเสือแท้ๆ

ที่มา

Advertisements

BackTrack 5 ออกแล้ว

หลังจากการพัฒนามาปีกว่าๆ BackTrack 5 “Revolution” ก็ได้ออกตัวจริงสักที

BackTrack 5 ใช้ Ubuntu 10.04 LTS เป็นฐานในการพัฒนา มีการอุดช่องโหว่และใส่เครื่องมือทางด้านความปลอดภัยมาให้พร้อม ใช้ Linux 2.6.38 Kernel ซึ่งเป็น Kernel เสถียรล่าสุด (ตัวเดียวกับ Ubuntu 11.04) นักพัฒนาของ Offensive Security บอกว่า BackTrack 5 คือเวอร์ชันที่ทำกันขึ้นมาใหม่ตั้งแต่ต้น (from scratch) และมีประสิทธิภาพดีกว่ารุ่นก่อนๆ มาก

ที่สำคัญคือ BackTrack 5 ยังมีเวอร์ชันสำหรับ ARM architecture ด้วย จากการทดสอบพบว่าสามารถรันบน Motorola Atrix 4G และ Motorola Xoom ได้สบายๆ เลย ถึงขนาดว่ารัน Metasploit บน Xoom เจาะผ่านช่องโหว่ใน Windows XP ได้แล้วด้วย

ดาวน์โหลด BackTrack 5 ได้จาก www.backtrack-linux.org/downloads/

ที่มา http://www.h-online.com/security/news/item/Security-distribution-BackTrack-5-released-1241332.html

WordPress.com ถูกเจาะ!

Matt Mullenweg แห่ง WordPress.com ได้ออกมายืนยันว่า มีผู้บุกรุกเจาะเข้ามาใน server ของ Automattic ซึ่งเป็นผู้ให้บริการ WordPress.com ระดับของการบุกรุกอยู่ในระดับวิกฤติเนื่องจากผู้บุกรุกได้ root level privileges บน servers หลายตัว และเป็นไปได้ว่าข้อมูลทั้งหมดบน servers เหล่านั้นได้รั่วไหลออกไปแล้ว

สำหรับตอนนี้ WordPress.com แนะนำให้ผู้ใช้ทั้งหมดเปลี่ยนรหัสสำหรับทุก site ที่มีอยู่ และควรเป็นรหัสที่มีความปลอดภัยด้วย เช่น ใช้ตัวเลขผสมตัวอักษร เป็นต้น

รายละเอียดของการบุกรุกยังอยู่ในระหว่างการสืบสวน และ Automattic กำลังหาทางปิดช่องโหว่อยู่

ที่มา http://www.h-online.com/security/news/item/Break-in-at-WordPress-com-1227926.html

วิธีเปลี่ยน password ของ WordPress.com account ให้ log in เข้าหน้า dashboard หลักของตัวเองก่อน

จากนั้นมองไปที่แถบทางด้านซ้ายมือ เลื่อนลงมาล่างๆ จะเจอกล่อง “Users” คลิกตรง “Personal settings”

ในหน้า “Personal Settings” ด้านล่างสุดจะมีหมวด Acccount Details

ใส่รหัสใหม่ที่ต้องการเข้าไปในช่อง New password แล้วกด “Save changes”

USB driver มีช่องโหว่ใช้แฮ็ก Linux ได้

Rafael Dominguez Vega แห่ง MRW InfoSecurity ได้รายงานช่องโหว่ในส่วน Caiaq USB driver ซึ่งมีอันตรายมากพอที่ผู้ประสงค์ร้ายสามารถใช้เจาะระบบ Linux ได้

ปัญหาอยู่ที่ฟังก์ชัน strcpy() ซึ่งถ้าหากเสียบ USB device ที่มีชื่อยาวเกิน 80 bytes (หรือ 80 ตัวอักษร) ทำให้เกิด buffer overflow สามารถยิงและรันคำสั่งได้โดยไม่ต้องผ่านการตรวจสอบของ Kernel มีผู้ทดลองเขียนคำสั่งใส่ลงใน USB flash drive แล้วลองรันดูแล้วเหมือนจะได้ผลซะด้วย

ช่องโหว่นี้น่าจะกระทบ distro เกือบทุกอัน เนื่องจาก strcpy() อยู่ในส่วนของ Mainline tree และเป็น driver ที่ใส่อยู่ในทุก distro แต่ถ้าหากคุณคอมไพล์ Kernel เองจาก code ล่าสุดที่ออกมาหลัง 14 กุมภาพันธ์ 2011 ก็ไม่ควรจะเจอปัญหา เพราะว่าตั้งแต่วันวาเลนไทน์ที่ผ่านมา strcpy() ถูกแทนที่ด้วย strlcpy() ซึ่งปลอดภัยกว่าเรียบร้อยแล้ว

ส่วนตัวผมไม่คิดว่านี่เป็นช่องโหว่ที่น่ากังวลอะไรมากเท่าไร เพราะเป็นช่องโหว่ที่ต้องการ physical access ถ้าเป็นช่องโหว่ที่เจาะผ่าน network ได้ก็ว่าไปอย่าง หากใครปล่อยให้ผู้ประสงค์ร้ายเข้าถึงเครื่องแบบถึงเนื้อถึงตัวแล้ว ระบบความปลอดภัยเจ๋งแค่ไหนก็ไร้ประโยชน์ ดังนั้นแค่ป้องกันไม่ให้ใครเอา USB มาเสียบสุ่มสี่สุ่มห้าก็พอ (สำหรับคนที่ใช้ Linux desktop ยิ่งไม่ต้องกลัว ใครจะบ้าพอเขียน malware ขึ้นมา ยัดใส่ Flash drive แล้ววิ่งวนหาเครื่องที่ใช้ Linux หว่า คำนวณต้นทุนกับผลที่ได้แล้วเหนื่อยฟรีเห็นๆ)

ที่มา http://www.h-online.com/security/news/item/USB-driver-bug-exposed-as-Linux-plug-pwn-1203617.html

Linux ก็โดน autorun malware เล่นงานได้

Jon Larimer แห่งทีม X-Force ของ IBM ได้สาธิตในงาน Shmoocon 2011 ซึ่งเพิ่งจะจัดไปเมื่อปลายเดือนมกราคมที่ผ่านมา แสดงให้เห็นว่า Linux ก็สามารถโดน autorun malware เจาะได้

วิดีโอบรรยายของ Jon Larimer ยาวประมาณ 51 นาที อยู่ข้างล่างนี้

โดยคร่าวๆ คือ เขาใช้ไฟล์ DVI (เป็นไฟล์เอกสารคล้ายๆ กับ PDF) ที่ทำมาเป็นพิเศษใส่เข้าไปใน USB flash drive เมื่อเอาไปเสียบกับเครื่องที่ลง Ubuntu ระบบจะ automount และเปิด Nautilus (file browser ของ GNOME) ขึ้นมา ถ้าเราตั้งค่าให้ Nautilus แสดง thumbnail แล้วละก็ช่องโหว่ที่อยู่ใน Evince (โปรแกรมอ่านไฟล์เอกสาร) จะอนุญาตให้ malicious code ที่แฝงอยู่ในไฟล์ DVI รันได้ทันที

ช่องโหว่นี้สามารถทำให้เครื่องที่รัน Linux + GNOME + Nautilus + Evince ทุกเครื่องมีสิทธิ์ตกเป็นเหยื่อได้เหมือนกันหมด (พูดง่ายๆ ก็ Ubuntu ทุกเครื่อง) ขนาดว่ารัน screensaver อยู่ก็ไม่เว้น

แต่ว่า… ในข่าวร้ายก็มีข่าวดี

ข่าวดี คือ ช่องโหว่ที่ว่าใน Evince ถูกแก้ไปเรียบร้อยแล้วในเดือนมกราคมที่ผ่านมา, ข่าวดีที่สอง คือ ในวิดีโอสาธิต Jon Larimer จงใจปิด Address Space Layout Randomisation (ASLR) และ AppArmor ไว้ ซึ่งมาตรการความปลอดภัยทั้งสองนี้ปกติจะเปิดใช้อยู่แล้วใน Linux เกือบทุก distro (บาง distro อาจใช้มาตรการอย่างอื่น เช่น SELinux ซึ่งน่าจะให้ผลป้องกันได้เช่นกัน), ข่าวดีที่สาม คือ ช่องโหว่นี้ไม่มีผลต่อ server OS หรือ Desktop environment อื่นๆ

แม้จะพอวางใจได้ในระดับหนึ่ง แต่นี่ก็เป็นคำเตือนถึงผู้ใช้ Linux ทุกคนอีกครั้งว่า “ไม่มีระบบไหนปลอดภัย 100%” ตัว ASLR กับ AppArmor ก็ช่วยได้เพียงระดับหนึ่งเท่านั้น ถ้าคนเจาะอยากจะเจาะจริงๆ ก็ brute-force หรือหลบเลี่ยงได้

ที่มา

ป.ล. โชคดี ถ้าเป็นเฉพาะช่องโหว่นี้ไม่กระทบผมแน่นอน เพราะผมปิดฟังก์ชัน “Show thumbnails” ใน Nautilus ไว้ตลอด เหตุผลเที่ปิดไม่ได้มาจากรื่องความปลอดภัย แต่เป็นเพราะว่าถ้าเปิดแล้ว Nautilus มันอืด แถม thumbnail ใน Nautilus มันไม่สวยด้วย