Effetto Di Manipolazione Del Nocciolo


  Share  
|

Che cosa accade se un certo tipo difettoso comincia maneggiare il nocciolo in se? Poiché il nocciolo è interamente circa controllo, modificando il nocciolo, un attacker può cambiare il sistema in un senso fondamentale. Per applicare i cambiamenti al nocciolo, il attacker in primo luogo richiede i privilegi del superuser sulla macchina. Maneggiare il nocciolo, l'accesso del radice-livello è necessario sulle macchine di UNIX e l'accesso del sistema o del coordinatore è richiesto sui sistemi di Windows. Una volta che installato, un nocciolo-modo RootKit sostituisce o modifica i componenti del nocciolo. Queste alterazioni potrebbero fare tutto sul sistema sembrare funzionare perfettamente bene, ma il sistema operativo è realmente marcio al nucleo. Il attacker può cambiare il nocciolo in modo che si trovi circa la condizione della macchina.

Per esempio, il coordinatore potrebbe fare funzionare un ordine che osserva per vedere se dei processi backdoor stanno funzionando. Questo ordine denomina il nocciolo per ottenere una lista dei processi correnti. Alternativamente, un coordinatore potrebbe fare funzionare un ispettore di integrità della lima per vedere se alcune lime critiche sulla macchina sono state cambiate. Il nocciolo d'inganno dice al coordinatore a che nessuna lima sia stata alterata; tutto sembra meraviglioso.

Usando la manipolazione del nocciolo, i attackers possono alterare il nocciolo in modo che nasconda completamente le attività del attacker sulla macchina. La maggior parte del nocciolo-modo RootKits include i seguenti tipi di subterfuge:

  • Nascondersi dell'indice e della lima. La maggior parte di lima e dei indici del pellame di RootKits di nocciolo-modo dagli utenti e dai coordinatori di sistema. Quando una lima è nascosta, il nocciolo starà a tutto il programma che viene cercando la lima.

  • Nascondersi trattato. Nascondendo un processo usando un nocciolo-modo RootKit, il attacker può generare un backdoor invisibile che non può essere scoperto per mezzo degli attrezzi trattati di analisi.

  • Nascondersi dell'orificio della rete. Dagli orificii ascoltanti nascondentesi del UDP e di TCP in moda da non potere vederlo i programmi locali, il tipo difettoso backdoor è ancora più stealthier.

  • Nascondersi promiscuo di modo. Il attacker non desidera un coordinatore rilevare una ventosa funzionare sulla scatola nel modo promiscuo, così la maggior parte della bugia di RootKits di nocciolo-modo circa la condizione promiscua dell'interfaccia della rete.

  • Reinstradazione di esecuzione. Con questa caratteristica dei molti il nocciolo-modo RootKits, quando un utente o un coordinatore fa funzionare un programma, il nocciolo finge fare funzionare il programma chiesto. Tuttavia, il nocciolo realmente sostituisce un programma differente in una manovra dell'esca-e-interruttore. Gli utenti ed i coordinatori di sistema pensano che stiano facendo funzionare un programma, ma realmente stiano eseguendo un certo altro programma della scelta del attacker. Per esempio, invece di contare sulle tecniche di RootKit di utente-modo per sostituire il daemon sicuro delle coperture (sshd) su una macchina della vittima, con un nocciolo-modo RootKit, un attacker può riorientare appena l'esecuzione dello sshd eseguibile ad un'altra versione con un backdoor. Il coordinatore può persino controllare l'integrità della lima dello sshd. Tuttavia, la lima osserverà completamente intatta, perché è intatta. Tuttavia, quando un utente o un coordinatore prova ad eseguire la lima dello sshd a distanza entrando, la versione backdoor sarà eseguita, dante al tipo difettoso l'accesso a distanza alla macchina della vittima.

  • Intercettazione e controllo del dispositivo. Usando un nocciolo-modo RootKit, un attacker può intercettare o maneggiare i dati trasmessi a o da tutto il dispositivo di fissaggi sulla macchina. Per esempio, un tipo difettoso potrebbe modificare il nocciolo per registrare tutte le battiture scritto nel sistema in una lima locale sulla macchina, quindi effettuante un registratore di dati atmosferici molto stealthy di battitura. Alternativamente, i attackers hanno effettuato le alterazioni del nocciolo che le lasciano spiare sulle sessioni terminali degli utenti (TTY), osservando e perfino l'iniezione delle battiture, come pure le risposte generate dal sistema.

Pensi a questo dal punto di vista del attacker. Con un utente-modo RootKit, il attacker deve rompersi nella scatola e modificare un mazzo di programmi per nascondere ed effettuare un backdoor. Su un sistema di UNIX, il attacker ha potuto rodaggio, inizia in su un ascoltatore backdoor delle coperture ed allora utilizza un attrezzo come URK per sostituire lo ps, il ls, il netstat e parecchi altri ordini. Il attacker allora deve fare funzionare la procedura di difficoltà per regolare le date di modifica e le lunghezze della lima di questi ordini ai valori adatti. Allora, il drudgery continua mentre il attacker configura i vari componenti e backdoors nascondentesi di URK. Dopo che tutto questo lavoro noioso, il attacker ancora debba preoccuparsi per un coordinatore di sistema sospettoso che rivela con un CD-ROM pieno dei binaries staticamente collegati, quali gli attrezzi statici dello Stearns della fattura per Linux a www.stearns.org/staticiso, che non si troverà circa il sistema dichiari. Questo il utente-modo RootKits è lavoro molto e non è molto stealthy se i coordinatori portano i loro propri programmi su un CD.

Tuttavia, con un nocciolo-modo RootKit, l'equazione intera cambia per il attacker. Invece di modificazione del mazzo di diversi programmi, il attacker modifica il nocciolo di fondo quel questi programmi che tutti contano sopra. Per nascondere una lima, il tipo difettoso non cambierà il ls, il ritrovamento, il du ed altri ordini. Invece, il attacker modifica appena il nocciolo in modo che stia a tutto l'ordine o programma particolare fatto funzionare dal coordinatore che cerca quella lima. In questo modo, il nocciolo-modo RootKits è molto più efficiente per il attacker.

Con un nocciolo-modo RootKit, i morphs del attacker il sistema in modo che i coordinatori e gli utenti siano in una prigione, ma neppure non la realizzano. Potreste pensare che stiate facendo funzionare determinati programmi o stiate guardando la condizione della vostra macchina, ma non sapete che state osservando una fantasia inventata dal attacker ed effettuata con un nocciolo-modo RootKit. Che cosa vedete non è realmente il vostro sistema operativo, ma soltanto un mondo di sogno destinato per nasconderli dalla verità: verità che il vostro sistema operativo realmente completamente è posseduto dal attacker. Senza essere uniforme informati della vostra prigione, blithely continuate vivere la vostra vita, controllando il vostro sistema ed unwittingly lasciando i attackers controllare tutto.

Avete visto mai il film la tabella? Se non avete, farò attenzione non dare via alcuni spoilers per quelle poche anime che ancora non hanno visto il film o i relativi seguiti. Per coloro che la ha vista, il film fornisce alcune illustrazioni eccellenti che l'aiuto rende le idee dietro il nocciolo-modo RootKits più concrete. Sapete, qualche gente ha confrontato la tabella all'ultima prova di Rorschach. Osservando in ed interpretare il significato del inkblot che è la tabella realmente rivelano la vostri propri filosofia e worldview. Alcuni ventilatori pensano che il film sia circa buddhism, christianity, Gnosticism, hinduism, Islam, o judaism. Altri pensano che sia un flick grande circa le arti martial o i firearms. Ma sono qui dirvi che cosa la tabella è realmente interamente circa: nocciolo-modo RootKits.

Nel film, alcuni esseri diabolici graziosi maneggiano le loro vittime in moda da legarli in una simulazione virtuale di realtà che assomiglia al mondo reale. Con i loro cervelli ha legato nella tabella, le vittime credono che fossero vite normali viventi, pagando le loro tasse, andando alla chiesa e prendendo verso l'esterno l'immondizia dei loro landladies. Tuttavia, le vittime realmente stanno trovandosi in baccelli in pieno del goo dentellare, completamente ignaro delle loro circostanze fisiche reali. L'immagine virtuale di realtà delle loro vite è soltanto un mirage, destinato per asservire le vittime in modo che gli esseri diabolici abbiano potuto usare le loro risorse. Con un nocciolo-modo RootKit, pensate che stiate guardando il vostro sistema reale, ma i attackers hanno alterato il nocciolo in moda da poterli usare le vostre risorse di sistema senza vostra conoscenza. Non potreste realizzarli, ma, con un nocciolo-modo RootKit, il vostro calcolatore sta vivendo una bugia. Il vostro calcolatore è una tabella attacker-controllata ed unknowingly siete bloccati all'interno.

Tenga presente che per ciascuno dei concetti e degli attacchi discutiamo per Linux e Windows, idee analoghe si applicano ad altri sistemi operativi. Dato le differenze nelle esecuzioni del nocciolo di varie varianti di UNIX, dobbiamo selezionare un esemplare dal mondo di UNIX per analizzare più dettagliatamente. Metteremo a fuoco su Linux come uno dei rappresentanti più comuni di UNIX e UNIX-COME i sistemi operativi. Oltre che Linux, guarderemo il nocciolo di Windows a causa del relativo schieramento diffuso e la popolarità come obiettivo per il nocciolo-modo RootKits. Tuttavia, tenga presente che i concetti simili di RootKit di nocciolo-modo sono stati effettuati per altri sistemi operativi, compreso Solaris FreeBSD ed altri. Analizzando i particolari degli attacchi del nocciolo a Linux ed a Windows, non possiamo capire soltanto come funzionano dettagliatamente sulle piattaforme più popolari, ma inoltre otteniamo una vista ad alto livello delle tecniche simili che sono usate contro altri sistemi.

ciò è un articolo aggiunto da Rafael Kwan


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions