Προστασία στο Linux από rootkits

Μιας και επικρατεί πως το Linux/Unix style OS είναι το πιο ασφαλές λειτουργικό -κι όχι άδικα- θα θέλαμε να επισημάνουμε και κάποιους κινδύνους που εγκυμονούν από μια τέτοια σιγουριά. Είναι γεγονός ότι στο ελεύθερο λογισμικό-ανοικτού κώδικα, του οποίου η φιλοσοφία είναι απαλλαγμένη από το κέρδος και τις συνεχείς αναβαθμίσεις με σκοπό κυρίως το χρήμα, δεν υπάρχει μεγάλος κίνδυνος μόλυνσης από ιούς/rats κτλ σε σχέση με τα Windows. Υπάρχουν όμως γνωστά local exploits, backdoors, rootkits και malware που τρέχουν και στο Linux, πέρα από τα κατά καιρούς vulnerabilities/exploits που ανακαλύπτονται/δημιουργούνται αντίστοιχα, σε γνωστές εφαρμογές και services (Buffer Overflows για παράδειγμα). Άρα μια τυπική προστασία και έλεγχος θα πρέπει να υπάρχει πάντα. Επίσης να αναβαθμίζουμε τακτικά τις εφαρμογές μας και τη διανομή μας (ειδικά στην περίπτωση των servers).

Πάμε στο ψητό 🙂

Σ’αυτό το άρθρο θα παρουσιάσουμε την χρήση 2 βασικών προγραμμάτων/scanners για εντοπισμό γνωστών rootkits και όχι μόνο:

1) rkhunter [http://rkhunter.sourceforge.net]

2) chkrootkit [http://www.chkrootkit.org]

Γενικά βρίσκουν και εντοπίζουν πολλά worms, LKMs και rootkits. Μπορείτε να δείτε περισσότερα στις ιστοσελίδες που υπάρχουν ακριβώς από πάνω.

Εγκατάσταση: Σε debianοειδή (ubuntu κτλ) υπάρχουν έτοιμα τα πακέτα. Για παράδειγμα βεβαιωνόμαστε ότι υπάρχουν με την εντολή στο terminal:

sudo apt-cache search chkrootkit

Λογικά θα μας δώσει:

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner

Είμαστε Ok λοιπόν! Άρα τα εγκαθιστούμε με το synaptic (gui για το apt) ή από την κονσόλα:

sudo apt-get install chkrootkit rkhunter

Σε άλλες διανομές κοιτάξτε στα αποθετήρια τους, αλλιώς κατεβάστε τα από τις παραπάνω ιστοσελίδες, οι οποίες έχουν και οδηγίες.

Μετά την εγκατάσταση ας τα τρέξουμε…

Scanning:

Πριν αρχίσουμε , καλό θα ήταν να δούμε τα man pages των εργαλείων μας ή και τα readme τους. Για τα man pages:

man chkrootkit

man rkhunter

Και τα δύο προγράμματα θέλουν root priviledges για να τρέξουν, οπότε πάμε με sudo ή ως root χρήστης:

Α) rkhunter:

Πρώτα κάνουμε και ένα update:

sudo rkhunter –update

Στη συνέχεια τo τρέχουμε με options: -c (check local system) και -sk (skip keypress για να μην χρειαστεί να πατήσουμε άλλα πλήκτρα κατά το scanning) για ένα γενικό scan στο σύστημά μας:

sudo rkhunter -c -sk

Μόλις τελειώσει, θα δούμε στην κονσόλα τα αποτελέσματα και ελπίζουμε να είναι θετικά χωρίς infections.

Υπάρχουν και άλλα modules στο rkhunter και όπως γράψαμε παραπάνω μπορείτε να ψαχτείτε στο man page!

B) chkrootkit:

Αντίστοιχα και για το chkrootkit, εκτελούμε στην κονσόλα:

sudo chkrootkit

Τα πάντα στο output θα πρέπει να λένε: nothing found!

Σημείωση: Τα εργαλεία αυτά δεν προλαμβάνουν κάποια rootkits, αλλά εντοπίζουν πιθανές μολύνσεις. Επίσης μετά από μια μόλυνση ίσως να χρειαστεί πλήρης εγκατάσταση από την αρχή της διανομής.

Αυτό ήταν. Happy rootkit hunting! 😉

 

Κυβερνητικό πρόγραμμα παρακολούθησης στη Γερμανία

Το Chaos Computer Club, μια πολύ γνωστή ομάδα hackers στη Γερμανία, ανέλυσαν με τη μέθοδο του reverse engineering (http://en.wikipedia.org/wiki/Reverse_engineering), malware που χρησιμοποιεί το γερμανικό κράτος και η αστυνομία για την παρακολούθηση υπολογιστικών συστημάτων και συνομιλιών. Δρούσε ως backdoor και έδινε απομακρυσμένη πρόσβαση στα συστήματα “υπόπτων”.

Στην ιστοσελίδα τους και συγκεκριμένα σε αυτό το άρθρο: http://ccc.de/en/updates/2011/staatstrojaner έχουν επισυνάψει τα binaries, καθώς και την ολοκληρωμένη ανάλυσή τους.