Impacto Da Manipulação Da Semente


  Share  
|

Que acontece se algum guy mau começar manipular a semente própria? Porque a semente é toda sobre o controle, modificando a semente, um atacante pode mudar o sistema em uma maneira fundamental. Para aplicar mudanças à semente, o atacante requer primeiramente privilégios do superuser na máquina. Para manipular a semente, o acesso do raiz-nível é needed em máquinas de UNIX, e o acesso do administrador ou do sistema é requerido em sistemas de Windows. Uma vez que instalado, uma semente-modalidade RootKit substitui ou modifica componentes da semente. Estas alterações puderam fazer tudo no sistema parecer funcionar perfeitamente bem, mas o sistema operando-se é realmente rotten ao núcleo. O atacante pode mudar a semente de modo que se encontre sobre o status da máquina.

Para o exemplo, o administrador pôde funcionar um comando que olha para ver se algum processo backdoor funcionasse. Este comando chama a semente para começar uma lista de processos running. Alternativamente, um administrador pôde funcionar um verificador da integridade da lima para ver se algumas limas críticas na máquina fossem mudadas. A semente de ilusão diz ao administrador que nenhuma lima estêve alterada; tudo olha maravilhoso.

Usando a manipulação da semente, os atacantes podem alterar a semente de modo que esconda completamente as atividades do atacante na máquina. A maioria de semente-modalidade RootKits inclui os seguintes tipos de subterfuge:

  • Esconder da lima e do diretório. A maioria limas e de diretórios do hide de RootKits da semente-modalidade dos usuários e dos administradores de sistema. Quando uma lima é escondida, a semente encontrar-se-á a todo o programa que vier procurando a lima.

  • Esconder process. Escondendo um processo usando uma semente-modalidade RootKit, o atacante pode criar um backdoor invisível que não possa ser descoberto usando ferramentas process da análise.

  • Esconder do porto da rede. Por portos escutando escondendo do TCP e do UDP de modo que os programas locais não possam os ver, o guy mau backdoor é mesmo mais stealthier.

  • Esconder promiscuous da modalidade. O atacante não quer um administrador detectar um tubo aspirador funcionar na caixa na modalidade promiscuous, assim a maioria de mentira de RootKits da semente-modalidade sobre o status promiscuous da relação da rede.

  • Redirection da execução. Com esta característica dos muitos a semente-modalidade RootKits, quando um usuário ou um administrador funcionam um programa, a semente finge funcionar o programa pedido. Entretanto, a semente substitui realmente um programa diferente em uma manobra do bait-e-interruptor. Os usuários e os administradores de sistema pensam que estão funcionando um programa, mas estão executando realmente algum outro programa de escolher do atacante. Para o exemplo, em vez de confiar em técnicas de RootKit da usuário-modalidade para substituir o daemon seguro do escudo (sshd) em uma máquina da vítima, com uma semente-modalidade RootKit, um atacante pode apenas dirigir de novo a execução do sshd executável a uma outra versão com um backdoor. O administrador pode mesmo verificar a integridade da lima do sshd. Entretanto, a lima olhará completamente intata, porque é intata. Entretanto, quando um usuário ou um administrador tentam executar a lima do sshd remotamente entrando, a versão backdoor será executada, dando ao guy mau o acesso remoto à máquina da vítima.

  • Interception e controle do dispositivo. Usando uma semente-modalidade RootKit, um atacante pode interceptar ou manipular os dados emitidos a ou de todo o dispositivo de ferragem na máquina. Para o exemplo, um guy mau poderia modificar a semente para gravar todos os keystrokes datilografado no sistema em uma lima local na máquina, executando desse modo um logger muito stealthy do keystroke. Alternativamente, os atacantes executaram as alterações da semente que as deixam espiar nas sessões terminais dos usuários (TTYs), observando e nivelar injetar keystrokes, assim como as respostas geradas pelo sistema.

Pense sobre isto do ponto do atacante da vista. Com uma usuário-modalidade RootKit, o atacante tem que quebrar na caixa e modificar um grupo dos programas para esconder e executar um backdoor. Em um sistema de UNIX, o atacante pôde adaptar, começa acima um ouvinte backdoor do escudo, e usa então uma ferramenta como URK substituir o picosegundo, o ls, o netstat, e os diversos outros comandos. O atacante então tem que funcionar a rotina do reparo para ajustar as datas da modificação e os comprimentos da lima destes comandos aos valores apropriados. Então, o drudgery continua enquanto o atacante configurara os vários componentes e backdoors escondendo de URK. Depois que todo este trabalho cansativo, o atacante ainda tem que se preocupar sobre um administrador de sistema suspicious que mostra acima com um CD-ROM cheio de binaries estaticamente ligados, tais como ferramentas de estática de Stearns' da conta para Linux em www.stearns.org/staticiso, que não se encontrará sobre o estado do sistema. Este a usuário-modalidade RootKits é muitos do trabalho, e não é muito stealthy se os administradores trouxerem seus próprios programas em um CD.

Entretanto, com uma semente-modalidade RootKit, a equação inteira muda no favor do atacante. Em vez de modificar um grupo de programas individuais, o atacante modifica a semente subjacente essa estes programas que todos confiam sobre. Para esconder uma lima, o guy mau não mudará o ls, o achado, o du, e os outros comandos. Instead, o atacante modifica apenas a semente de modo que se encontre a todo o comando ou programa particular funcionado pelo administrador que procura essa lima. Nesta maneira, a semente-modalidade RootKits é mais eficiente distante para o atacante.

Com uma semente-modalidade RootKit, os morphs do atacante o sistema de modo que os administradores e os usuários estejam em uma prisão, mas não a realizam mesmo. Você pôde pensar que você está funcionando determinados programas ou está olhando o status de sua máquina, mas você não sabe que você está vendo um fantasy concocted pelo atacante e executado com uma semente-modalidade RootKit. O que você vê não é realmente seu sistema operando-se, mas somente um mundo ideal projetado escondê-lo da verdade: a verdade que seu sistema se operando está possuído realmente completamente pelo atacante. Sem estar uniforme ciente de sua prisão, você vai blithely sobre viver sua vida, controlando seu sistema, e unwittingly deixando os atacantes controlar tudo.

Você viu sempre o filme a matriz? Se você não tiver, eu terei cuidado para não dar afastado nenhuns spoilers para aquelas poucas almas que não viram ainda o filme ou seus sequels. Para aquelas que a viram, o filme fornece algumas ilustrações excelentes que a ajuda faz as idéias atrás da semente-modalidade RootKits mais concretas. Você sabe, alguns povos compararam a matriz ao teste final de Rorschach. Olhar em e interpretar o meaning do inkblot que é a matriz realmente revelam seus próprios filosofia e worldview. Alguns ventiladores pensam que o filme é sobre o buddhism, o christianity, o Gnosticism, o hinduism, o islam, ou o judaism. Outros pensam que é um flick grande sobre artes martial ou firearms. Mas eu estou aqui dizer-lhe o que a matriz é realmente toda sobre: semente-modalidade RootKits.

No filme, alguns seres evil bonitos manipulam suas vítimas de modo que wired em uma simulação virtual da realidade que olhe como o mundo real. Com seus cérebros wired na matriz, vítimas acreditam que são vidas normais vivas, pagando seus impostos, indo à igreja, e fazendo exame para fora do lixo dos seus landladies'. Entretanto, as vítimas estão encontrando-se realmente nos pods completamente do goo cor-de-rosa, completamente inconsciente de suas circunstâncias físicas reais. A imagem virtual da realidade de suas vidas é meramente um mirage, projetado enslave as vítimas de modo que os seres evil pudessem usar seus recursos. Com uma semente-modalidade RootKit, você pensa que você está olhando seu sistema real, mas os atacantes alteraram a semente de modo que possam usar seus recursos de sistema sem seu conhecimento. Você não pôde realizá-lo, mas, com uma semente-modalidade RootKit, seu computador está vivendo uma mentira. Seu computador é uma matriz atacante-controlada e você é prendido unknowingly para dentro.

Mantenha na mente que para cada um dos conceitos e dos ataques nós discutimos para Linux e Windows, idéias analogous aplicam-se a outros sistemas operando-se. Dado as diferenças nas execuções da semente de vários variants de UNIX, nós necessitamos escolher um espécime do mundo de UNIX para analisar mais detalhadamente. Nós focalizaremos em Linux como um dos representantes os mais comuns de UNIX e UNIX-como sistemas operando-se. Além a Linux, nós olharemos a semente de Windows por causa de sua distribuição difundida e a popularidade como um alvo para a semente-modalidade RootKits. Entretanto, mantenha na mente que os conceitos similares de RootKit da semente-modalidade estiveram executados para outros sistemas se operando, including Solaris FreeBSD e outro. Analisando os detalhes de ataques da semente em Linux e em Windows, nós não podemos somente compreender como trabalham em detalhe nas plataformas as mais populares, mas começamos também uma vista high-level das técnicas similares que são usadas de encontro a outros sistemas.

este é um artigo adicionado por Rafael Kwan


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions