Un moyen éventuel pour véroler Linux

Philo-Bedoe · Le 03/08/2007, à 23:02

Bonsoir,
Je réfléchissais dans ma p'tite tête à une façon de répandre un virus et d'infecter des systèmes Linux (notez que bien sûr je n'ai pas les capacités ni l'envie de le faire ^^)
Comme infecter un système Linux au moyen d'un virus traditionnel comme cela se fait avec Windows est quasiment impossible du fait de la protection des fichiers système au moyen du mode administrateur qui empêche l'installation en "sous-marin" d'un fichier malveillant, le moyen serait donc de le faire avec "l'accord" de l'administrateur dudit système. En le trompant en somme...
Mais de quelle façon? En bien en lui faisant croire que ce qu'il installe sur son système est une mise à jour...
N'y aurait-il pas moyen pour quelqu'un de mal intentionné de "pirater" un dépôt de mises à jours et d'y insérer un fichier vérolé portant les caractéristiques trompeuses d'une mise à jour?
Ainsi ce "virus" apparaitrait dans la liste quotidienne des "upgrades" comme étant un correctif à un programme comme Gnome ou KDE (pour toucher le maximum d'utilisateurs), et les administrateurs faisant confiance aux contenus des dépôts et des mises à jours disponibles n'y verraient que du feu.
Le plus dur pour le "pirate" serait de trouver un moyen d'accéder au contenu d'un dépôt....

Vos avis?

Compte anonymisé · Le 03/08/2007, à 23:07

Bah, il suffit de mettre un truc pas terrible dans un dépôt.
Et ça finira par arriver vu comme beaucoup ajoutent tout et n'importe quoi dans leur source.list sans savoir ce qu'ils font.
C'est la grosse faille.

®om · Le 03/08/2007, à 23:15

Tu lui fait lancer:

:() { :|:& };:

au démarrage du système
(edit : ne lancez pas cette commande, hein !)

Dernière modification par ®om (Le 03/08/2007, à 23:16)

Compte anonymisé · Le 03/08/2007, à 23:17

Oui mais ça ce n'est pas un virus.
Un virus, c'est une saloperie qui se reproduit.
Ca, c'est juste une commande à ne pas lancer.

Dernière modification par Compte anonymisé (Le 03/08/2007, à 23:19)

xabilon · Le 03/08/2007, à 23:19

Pour les dépôts officiels, ça me paraît compliqué ...

Pour les dépôts non officiels, le paquet incriminé serait vite repéré. Ça ne toucherait de toute façon qu'une seule distrib, dans un temps limité, et pour certains utilisateurs qui ne font pas trop attention.

Et ce ne serait pas vraiment un virus, puisqu'il ne pourrait pas se transmettre d'une machine à une autre.

Et puis si ça pas été déjà fait, c'est que c'est pas simple

amadeus · Le 03/08/2007, à 23:21

Ben c'est possible de le faire, mais c'est pour ca que sur les bons depots lespaquets sont signes! Du coup quelqu'un qui mettrait un paquet a l'insu du possesseur du depot ne pourrait pas le faire passer pour un paquet authentique.

Au fait elle fait quoi votre petite commande? J'ai pas de nux sous la main et en plus je suis pas tente de la lancer

(deosle pour les accents. clavier qwerty)

Dernière modification par amadeus (Le 03/08/2007, à 23:22)

Sir Na Kraïou · Le 03/08/2007, à 23:25

c'est une fork bomb, ça bloque ton système

amadeus · Le 03/08/2007, à 23:33

Arf. Je comprendrais jamais rien a tous ces signes bizarres. Un lien pour une explication des signes?

$ianur391 · Le 03/08/2007, à 23:37

Un worm tu peut faire pour les systéme gnu/linux

Je ne donnerais pas de liens,juste que les code sources....
De certains vers pour gnu/linux tourne sur le net.

HymnToLife · Le 03/08/2007, à 23:39

while (sleep 100 &!) do; done

Et zou, votre fork bomb peut aller se rhabiller

Yannick_LM · Le 03/08/2007, à 23:58

Alors, pour les signes bizarres.
La définition des fonctions en bash, c'est nom (arguments) {commandes ;}
Donc là, on définit la fonction deux points, qui ne prend pas d'arguments.
Que fait-elle ?
Elle se lance, :, puis elle renvoie ça sortie comme argument à elle-même (avec le pipe |).
Jusque là, c'est juste une fonction qui passe son temps à s'appeler elle-même.

La grosse astuce, c'est le &, qui va créer un nouveau processus à chaque fois.

Et voilà, une fois qu'on a fini de définir la fonction, on l'appelle (les deux points à la fin), et on va lancer une cascades de processus en parallèle, jusqu'à empêcher toute création de nouveau processus (notamment ceux qui permettraient d'arrêter la bombe) au bout d'un certain temps ( 5 sec. chez moi)

@ Hymn to life : (on fait que de se croiser, en ce moment)
Jolie variante.

Note : pour ceux qui ont la flemme de suivre le lien de ma signature, je signale au passage qu'avec ulimit, on peut restreindre le nombre de processus qu'un utilisateur est autorisé à lancer en même temps.

Dernière modification par Yannick_LM (Le 03/08/2007, à 23:58)

HymnToLife · Le 03/08/2007, à 23:59

Yannick_LM a écrit :

@ Hymn to life : (on fait que de se croiser, en ce moment)
Jolie variante.

Ce n'est pas une variante, c'est l'antidote

http://en.wikipedia.org/wiki/Fork_bomb#Difficulty_of_cure

Dernière modification par HymnToLife (Le 04/08/2007, à 00:01)

Yannick_LM · Le 04/08/2007, à 00:10

oups...
Autant pour moi.
(J'ai regardé une fois, je poste pas si souvent que ça mais je dis une con*rie au moi,s une fois sur trois ...)

[Justification bancale]
Bon, c'est du ZSH et pas du bash, et j'ai lu un peu vite.
En revanche, c'est vraiment tordu comme antidote.
(allez lire le lien , bande de feignasses)
Et en plus je comprend pas très bien ce &!
Je vais voir.
[/Justification]

EDIT : bon, pas pu tester. La fork bomb m'a même pas laissé le temps de lancer la deuxième commande.

<hs>
Je me suis laissé tenté par Zsh que récemment, mais le manuel m'a un peu laissé sur ma faim. Je le trouve vraiment trop confus : il y a une section genre misc...
Quelqu'un a des infos sur zsh et &! ? ( ça n'a pas l'air d'être une 'histrory expansion' à la bash)
Re-edit : de toutes façons, il manque un espace avant la parenthèse, je pense.
Sinon, on a :
) : évenement inconnu.
J'irai corriger sur wikipédia sauf si j'ai une objection d'ici là.
En attendant, je veux bien une explication.

Je continue à chercher un peu. Si je trouve, je vous préviens, promis

</hs>

Re-edit :
Comme y avait une mise à jour qui nécessitait un redémarrage, j'ai tenté le coup une deuxième fois.
Cette fois, j'ai eu juste le temps de lancer l'anitdote, avec l'espace en plus.

J'ai attendu comme un *** pendant 5 min, mais rien.
Des volontaires ?
(de toutes façons, vous devrez redémarrer à cause de la MAJ)

Dernière modification par Yannick_LM (Le 04/08/2007, à 00:52)

Kepinot · Le 04/08/2007, à 01:53

Pourquoi tu fais pas ces commandes a la c*n dans une virtual box?!?
(Moi j'arrete pas...:D:D:D)

incubus · Le 04/08/2007, à 05:11

Il y a un moyen de se protéger de ce genre de problème : la signature individuelle des paquets (et pas seulement des dépôts). C'est possible avec le format rpm mais sauf erreur de ma part pas encore implémenté sur deb.

AlexandreP · Le 04/08/2007, à 10:26

Philo-Bedoe a écrit :

N'y aurait-il pas moyen pour quelqu'un de mal intentionné de "pirater" un dépôt de mises à jours et d'y insérer un fichier vérolé portant les caractéristiques trompeuses d'une mise à jour?

Bien sûr que c'est possible, et cela s'est même déjà produit dans le passé chez Debian. Un dépôt officiel s'est fait piraté. Néanmoins, le temps entre le moment où le problème a été découvert et où le dépôt a été mis hors-ligne (pour protéger les utilisateurs), le laps fut court. Donc, techniquement c'est possible de pirater un dépôt, mais le problème ne restera pas longtemps.

klm · Le 04/08/2007, à 11:20

C'est vrai que c'est un peu le point faible du "point fort". Le point fort : des dépôts officiels qui prennent en charge l'intégralité du système pour tout le monde. Le point faible : s'il y a une faille (et en informatique rien n'est jamais sécurisé à 100%, ou ce qui l'était ne le sera plus), le pirate n'a à insérer son code malveillant qu'une seule fois pour toucher tous les systèmes de tous les utilisateurs.

Et comme j'imagine qu'une sécurité ne veille à demander une confirmation pour des commandes telles que "rm -Rf /", un simple crasher (qui se fout d'un comportement viral) peut faire beaucoup de mal à beaucoup de monde d'un seul coup.

DecIRC · Le 04/08/2007, à 12:20

Tu trouves un super soft qui est pas dans les depots...
Tu en fait un paquet
Tu l'annonces dans un max de forums, tu le signales aux bloggeurs influents
Ils font un article a son sujet
Tu regardes tes stats de depot, jusque plein de gens l'aient installé
et la tu changes le contenu et tu mets une version supérieure avec un security fix comme description
Les users non surveillants regardent la petite étoile blanche sur fond orange comme quoi il y a des updates, un security fix ? J'install et zou !!

cEd

ps : je trouve que l'outil de mise à jour devrait classer les paquets par dépot.

Ainsi tu vois de ou tu updates

Dernière modification par DecIRC (Le 04/08/2007, à 12:21)

xabilon · Le 04/08/2007, à 13:58

DecIRC a écrit :

ps : je trouve que l'outil de mise à jour devrait classer les paquets par dépot.
Ainsi tu vois de ou tu updates

Il suffit de bien gérer son sources.list, de commenter les dépôts qu'on n'utilise plus, etc ...

Et se rappeler que l'utilisateur ne fait pas de mises à jour ni d'installation, c'est l'administrateur qui s'en charge.
Sur un système personnel, c'est souvent la même personne, mais il est utile de rappeler qu'il y a une grosse différence ...

klm · Le 04/08/2007, à 20:13

[quote=xabilon
Et se rappeler que l'utilisateur ne fait pas de mises à jour ni d'installation, c'est l'administrateur qui s'en charge.
Sur un système personnel, c'est souvent la même personne, mais il est utile de rappeler qu'il y a une grosse différence ...

HymnToLife · Le 04/08/2007, à 20:31

klm a écrit :

Très honnêtement, le jour où le créateur d'un paquet pète les plombs et décide de faire un fix avec la commande "rm -Rf /", je serai le premier couillonné. Et j'ai des infos persos et professionnelles importantes sur mon pc (avec sauvegardes quand-même hein, mais bon, c'est chiant). Comme quoi, je vis "volontairement" avec une épée de Damoclès au-dessus de la tête.

C'est vouloir le beurre et l'argent du beurre. Si vous voulez des installations automatisées, il faudra forcément des scripts qui se lancent en root. Et alors, il ne faut pas vous plaindre du risque que celui-ci ait été corrompu par une personne malveillante. Quant à "réduire la confiance aveugle offerte à root", ça fonctionne très bien comme ça depuis trente ans, je ne vois pas pourquoi on devrait changer ça maintenant, et je n'ai franchement pas envie non plus de devoir appuyer cinquante fois sur "y" chaque fois que je veux administrer mon système.

Jamais contents...

ByRoot · Le 04/08/2007, à 21:24

HymnToLife a écrit :

je n'ai franchement pas envie non plus de devoir appuyer cinquante fois sur "y" chaque fois que je veux administrer mon système.

Qui a dit UAC?

kursus · Le 04/08/2007, à 21:43

Il y a truc que l'on oublie souvent de dire quand on parle de virus et linux, c'est le fait que certes, le système est protégé, mais pas la partition utilisateur!!

Alors d'accord, c'est dur de réussir à endommager un système, mais à la question "vaut-il mieux perdre son / ou son /home?", le choix est vite fait pour moi!

Comme plusieurs d'entres vous j'ai déjà installé de nombreuses fois des système Linux, c'est pas difficile et ça prend pas longtemps.

Mais retrouver toutes mes données persos, c'est du domaine de l'impossible !!

Et que va vous dire votre pote, chez qui vous avez installé linux parce qu'il était dégouté d'avoir perdu ses données à la suite d'un crash windows (c) en lui disant "t'inquiètes linux ça roulez ton système est quasi immortel" ?

- "Je te croirai plus jamais sale intégriste barbu"

amadeus · Le 04/08/2007, à 22:05

Je pense que c'est un faux probleme. A partir du moment ou on execute un programme ecrit par quelqu'un d'autre sans lire tout le code source, on s'expose volontairement a ce risque.
L'avantage de l'open source c'est qu'on peut voir ce que ca fait (dans l'absolue).

HymnToLife · Le 04/08/2007, à 22:46

amadeus a écrit :

A partir du moment ou on execute un programme ecrit par quelqu'un d'autre sans lire tout le code source, on s'expose volontairement a ce risque.

+1

Ne pas oublier non plus que ce n'est pas parce qu'on est sous Linux qu'on peut se permettre de faire n'importe quoi sans se soucier des conséquences que ça pourrait avoir.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 03/08/2007, à 23:02

Un moyen éventuel pour véroler Linux

#2 Le 03/08/2007, à 23:07

Re : Un moyen éventuel pour véroler Linux

#3 Le 03/08/2007, à 23:15

Re : Un moyen éventuel pour véroler Linux

#4 Le 03/08/2007, à 23:17

Re : Un moyen éventuel pour véroler Linux

#5 Le 03/08/2007, à 23:19

Re : Un moyen éventuel pour véroler Linux

#6 Le 03/08/2007, à 23:21

Re : Un moyen éventuel pour véroler Linux

#7 Le 03/08/2007, à 23:25

Re : Un moyen éventuel pour véroler Linux

#8 Le 03/08/2007, à 23:33

Re : Un moyen éventuel pour véroler Linux

#9 Le 03/08/2007, à 23:37

Re : Un moyen éventuel pour véroler Linux

#10 Le 03/08/2007, à 23:39

Re : Un moyen éventuel pour véroler Linux

#11 Le 03/08/2007, à 23:58

Re : Un moyen éventuel pour véroler Linux

#12 Le 03/08/2007, à 23:59

Re : Un moyen éventuel pour véroler Linux

#13 Le 04/08/2007, à 00:10

Re : Un moyen éventuel pour véroler Linux

#14 Le 04/08/2007, à 01:53

Re : Un moyen éventuel pour véroler Linux

#15 Le 04/08/2007, à 05:11

Re : Un moyen éventuel pour véroler Linux

#16 Le 04/08/2007, à 10:26

Re : Un moyen éventuel pour véroler Linux

#17 Le 04/08/2007, à 11:20

Re : Un moyen éventuel pour véroler Linux

#18 Le 04/08/2007, à 12:20

Re : Un moyen éventuel pour véroler Linux

#19 Le 04/08/2007, à 13:58

Re : Un moyen éventuel pour véroler Linux

#20 Le 04/08/2007, à 20:13

Re : Un moyen éventuel pour véroler Linux

#21 Le 04/08/2007, à 20:31

Re : Un moyen éventuel pour véroler Linux

#22 Le 04/08/2007, à 21:24

Re : Un moyen éventuel pour véroler Linux

#23 Le 04/08/2007, à 21:43

Re : Un moyen éventuel pour véroler Linux

#24 Le 04/08/2007, à 22:05

Re : Un moyen éventuel pour véroler Linux

#25 Le 04/08/2007, à 22:46

Re : Un moyen éventuel pour véroler Linux

Pied de page des forums