[linux-l] Dateien mit '/' im Dateinamen

Steffen Dettmer steffen at dett.de
Fr Aug 1 10:04:49 CEST 2003


* Peter Ross wrote on Fri, Aug 01, 2003 at 12:14 +1000:
> > Im Moment scheint nur leider keine Alternative angeboten zu
> > werden, wie ein Kernel-Modul sich denn sonst vor den
> > Systemaufruf einhängen kann.

Find ich auch. Das ist gegen modularisierung und das
Delegationsprinzip. Finde ich auch sehr Schade.

> Wer fuer die Sicherheit zustaendig ist, freut sich drueber.

Nee, wieso? Wird sicherlich jemand sofort (bzw. hat vermutlich
schon längst) jemand ein rootkit gebastelt. Einem Cracker ist eh
wurst, ob das stabil, sicher und offziell funktioniert. Ein
Cracker schleppt auch Tabellen wo die Adressen der erwünschten
Funktion drin steht mit, sauber geordnet nach Distri. Gut, einige
Systeme stürzen dann ab, weil es die falsche Adresse war, aber
das hat Cracker noch nie sonderlich interessiert.

Sich jetzt zu freuen, weil es schwieriger wird, weil security
through obscurity betrieben wird, halte ich für falsch.

> Fuer letzteren brauchst Du, selbst wenn Du es schaffst,
> zumindest einen Neustart - und wenn der unvermutet passiert,
> sollte man sich schon am Kopf kratzen.

Warum eigentlich? Wenn einem so ziemlich alles egal ist, kann man
den sicherlich einfahc umpatchen. Gut, wenn da gerade jemand was
aufruft, stürzt der Kernel vermutlich ab, aber das interessiert
einen Cracker nicht, solange es meistens funktioniert. Paar
Schreibfehler bei Plattenzugriffen sind auch egal. Da kann man
ganz anders arbeiten! Und das wird ja auch so gemacht.

Einen neustart kann man auch prima erzwingen, beispielsweise ein
return in einen wichtigen Treiber einpatchen, der dann nix mehr
tut. Irgendwann wird der Admin dann schon ein reboot machen, weil
sich so komische Fehler nicht anders lösen lassen. Oder man
wartet einfach 100 Tage. Kommt sowieso wohl öfter mal vor, das
gehackte Kisten gar nicht mehr booten, weil die rootkits nicht
laufen....

> Mal abgesehen davon, dass man weder Compiler noch Kernelquellen
> auf sicherheitsrelevanten Produktsservern lassen sollte.

Ja, und kein /bin/cat etc., weil man damit schließlich einen
Compiler anlegen kann. Klar, auf servern, die Kreditkartendaten
speichern, seh ich das auch so. Aber bei dem internen Webserver
möchte ich schon einen Compiler haben.

> Dann kann der Angreifer nur raten, ob der Kernel, den er
> installiert, auch zu Deiner Maschine passt.

Er kann ja Teile davon hashen und mit einer Tabelle vergleichen
oder so. Die Zeiten, daß Cracker Debug-Symbole wollen, sind
leider lange vorbei.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.




Mehr Informationen über die Mailingliste linux-l