Sena funderingar om trojaner

Skulle egentligen sova, men jag vaknade efter en timmes slummer och vred mig en stund innan jag bestämde mig för att skriva detta innan jag glömde det helt.

Som jag skrev innan så verkar det finnas en anti-fildelningstrojan i omlopp just nu. Frågan är om det är upphovsrättsindustrins hantverk, eller om det är någon frifräsare som ligger bakom det hela…

Hursomhelst så pekar trojanen på en svaghet hos de flesta datorer i dagsläget, nämligen hosts-filen. Denna filen återfinns i windows-system (c:\{win-dir}\system32\drivers\etc\hosts) och i Linux-system (/etc/hosts). Det filen är till för är att kunna agera ”light” DNS, d.v.s. koppla domän-namn till ip-adresser, i vissa mindre nät utnyttjar man den helt till detta men i de flesta fallen är det bättre att överlåta ansvaret till en riktig DNS.

Den vanliga gången när man surfar är att man skriver in domän-namnet i webb-läsaren, operativsystemet tittar först i hosts-filen om domän-namnet finns där och om så inte är fallet kontaktas DNS’en.

Om domän-namnet finns i hosts-filen så kontaktas aldrig DNS’en, alltså kan man peka om domäner godtyckligt på lokal nivå, vilket har utnyttjats av trojaner och virus tidigare för att lura in användaren på falska sidor.

Hur ska man då undvika att drabbas av ett sådant angrepp?
För det första så ska man vara försiktig med vad man laddar ned och för det andra så ska man viruskolla allt man laddar ned med ett uppdaterat antivirus-program (känns dessutom som att denna trojanen var en modifiering av en redan existerande, så den bör hittas).
För det tredje så ska kontot man använder för dagligt bruk inte ha administratörs-privilegier. Detta är vad jag vet standarden i alla Windows-versioner upp till Vista, där man ändrade om en hel del.

Det finns ingen anledning till att ha fullständiga rättigheter hela tiden, så enkelt är det. En del saker kräver admin, jag vet det, men det stora flertalet gör det inte. Detta är dock ett problem med många Windows-program, programmeraren har förutsatt att man har fullständiga rättigheter och har därför kodat programmet att det även om det inte behöver dessa rättigheterna inte funkar utan dem.

Vad har då detta med hosts-filen att göra?
Jo, i Linux är det endast root som får göra ändringar i denna filen, och jag tror att det endast är administratören som får göra det i Windows (har inte kollat det än). Om programmet som innehåller trojanen startas av någon som inte har admin, så kan inte trojanen ändra i filen eftersom den inte får tillräckliga privilegier.
Men eftersom det stora flertalet kör med fullständiga rättigheter så kan trojanen ändra i filen efter eget godtycke.

Nu har jag riktat en massa kritik mot Windows, och kritiken rör det som de flesta har påpekat länge; att säkerhetskulturen är eftersatt.

Frågan är om man kan skriva en trojan som utför samma sak på Linux?
Svaret är tveklöst ja, men det är svårare och kräver en stor portition tur för att lyckas. Men man kan låta trojanen infektera någon process som körs på användarrättigheter och sedan låta den vänta tills en process som kräver höjda privilegier startas av användaren (suid), med lite tur och skicklighet kan trojanen kapa rättigheterna och göra det den ska.
Ett annat sätt är att helt enkelt få användaren att sätta suid-biten på programmet som innehåller trojanen…

Engelska Wikipedia har en artikel om Linux-malware för den intresserade.

Ursäkta svammlet, men nu ser jag i kors… Rejält… Dags för några timmars sömn…

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s


%d bloggare gillar detta: