Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 19/10/2011, à 20:31

Spitfire 95

/home/$USER/.local/applications et la sécurité

Bonjour.
Tout d'abord, je suis Ubuntero depuis quelques années déjà, et depuis disons Karmic je teste les versions en développement de la distribution; et je développe sous Linux en Python depuis deux ans et en C depuis peu, donc je ne suis pas un noob qui s'inquiète pour les virus (comme ça j'évite les réponses inutiles vers la doc et tout ça ^^).

Supposons qu'un programme malveillant veuille nous supprimer des fichiers important dans la configuration. Grâce aux permissions, à moins de lui donner le pass root, impossible pour lui (du moins théoriquement, car il y a peut-être (sûrement) des failles). Donc le pire qu'un programme malveillant puisse faire, c'est supprimer notre ./*
Mais dans notre ./ il y a un dossier de lanceurs. /home/$USER/.local/applications
Maintenant supposons que quelqu'un parvienne à introduire un programme malveillant (via une faille dans un navigateur web par exemple) dans le dossier de l'utilisateur. Il le précède d'un point pour le rendre invisible, comme ça peu de risques d'être repéré par l'utilisateur lambda qui n'utilisera pas souvent l'affichage des fichiers cachés).
Ensuite, supposons qu'il ai le droit de s’exécuter (droit préservés au téléchargement, ou faille de sécurité quelque part, je sais pas), il s'attaque à des fichiers dans .local/applications de façon à changer les lanceurs. Il fait pointer des lanceurs tels que Synaptic, Software-properties et tous les autres lanceurs classiques utilisant gksu (et ou kdesu) (pour être crédible il ne changera que ceux de l'environnement nécessaire donc "dpkg -l | grep kde" pour savoir si le système utilise KDE, par exemple (non pas besoin de sudo pour ça)).
Ensuite, l'utilisateur lance un programme, disons Synaptic. On lui demande son mot de passe, il le rentre sans se méfier (avoir gksu au lieu de -pkexec doit le surprendre un peu, certes, mais il se dira qu'on est revenu à gksu pour une meilleur intégration et fera comme si ne rien était). Et là, que se passe-t-il ? Le lanceur vers Synaptic utilisé n'est plus /usr/share/applications/synaptic.desktop mais /home/$USER/.local/applications/synaptic.desktop ! Et le lanceur n’exécute plus synaptic-pkexec mais ./.lemalware.bin (./.lemaware.sh ou même sans extension, c'est comme vous voulez), qui a le droit de s'attaquer à la racine !

Alors soit il y a une faille dans mon raisonnement, soit j'ai négligé un paramètre de sécurité (ou tout simplement je l'ignorais), soit on a une vulnérabilité ici...
Quelqu'un a des réponses ?

Dernière modification par Spitfire 95 (Le 19/10/2011, à 21:00)


Trisquel GNU/Linux 6.0 / Fedora 19 & rawhide.
joueur ryzom et wesnoth
Développeur livewallpaper
Membre déserteur et traître de la brigade des S.

Hors ligne

#2 Le 19/10/2011, à 20:43

helly

Re : /home/$USER/.local/applications et la sécurité

Déjà, là où tu te fourvoies, c’est qu’un virus n’a jamais pour but de détruire des données !
Un virus est là pour espionner ou pour prendre le contrôle de la machine.
Ça ne sert à rien pour un créateur de virus de supprimer des fichiers !
« ouais, j’t’ai supprimé tous tes .doc… »
«… et ensuite ? »


Archlinux-wmii-dwb.
Un problème résolu ? Faites le savoir en mettant [résolu] à côté du titre de votre topic.
Un problème non résolu ? Faites le savoir en insultant ceux qui cherchent à vous aider.
Un site bleu super remasterised©, un wiki cherchant des volontaires pour traduire un site.

Hors ligne

#3 Le 19/10/2011, à 21:03

Spitfire 95

Re : /home/$USER/.local/applications et la sécurité

Mais un type qui crée un virus n'est rien d'autre qu'un crétin génial en informatique ! Donc faut pas chercher la logique de ces gens...
Ensuite je connais quelqu'un qui a créé quelques virus pour Windows, surtout pour la partie cryptage pour pas se faire repérer par les antivirus, mais derrière il peut prendre le contrôle de la machine (ce qu'il a dû faire quelques fois pour essayer) ou alors bloquer le secteur d'amorçage de Windows (ce qu'il a aussi dû créer sans diffuser massivement).
Et ensuite, si maintenant les virus sont majoritairement des espions, ce n'a pas toujours été le cas. Avant l'objectif était juste de casser Windows.

Mais mon exemple peut s'appliquer à autre chose. Après le changement de cible du lanceur et l'exécution du script, rien n'empêche de changer la configuration ou d'ajouter le script qu'il a créé dans la racine pour le mettre en autostart et envoyer par exemple chaque semaine des informations sur l'utilisateur.

Après on peu aussi se dire qu'un pirate aura peu d'intérêt à attaquer les utilisateurs sous Linux car peu nombreux et nous oubliera, et préférera s'attaquer aux serveurs, et ils n'utilisent pas .local/applications et les commandes des serveurs (ex : sudo service apache2 start) ne peuvent pas être corrompus par cette méthode.


Trisquel GNU/Linux 6.0 / Fedora 19 & rawhide.
joueur ryzom et wesnoth
Développeur livewallpaper
Membre déserteur et traître de la brigade des S.

Hors ligne

#4 Le 19/10/2011, à 22:10

Bousky

Re : /home/$USER/.local/applications et la sécurité

gksu affiche la commande exacte qu'il va lancer au moment de saisir le mot de passe. Bon après c'est sûr il faut lire. D'ailleurs ça mériterait d'être écrit en plus gros…


Linux qui plante complètement ? Plus rien ne répond ? On peut toujours le redémarrer proprement :
Alt + SysRq + REISUB (Retourne En Islande Sur Un Bateau !)

Hors ligne

#5 Le 20/10/2011, à 18:35

Spitfire 95

Re : /home/$USER/.local/applications et la sécurité

Qui lit ce qu'affiche gksu à chaque fois ? lol


Trisquel GNU/Linux 6.0 / Fedora 19 & rawhide.
joueur ryzom et wesnoth
Développeur livewallpaper
Membre déserteur et traître de la brigade des S.

Hors ligne