Impacto De la Manipulación Del Núcleo


  Share  
|

¿Qué sucede si algún mal individuo comienza a manipular el núcleo sí mismo? Porque el núcleo está todo sobre control, modificándose el núcleo, un atacante puede cambiar el sistema de una manera fundamental. Para aplicar cambios al núcleo, el atacante primero requiere privilegios del superuser en la máquina. Manipular el núcleo, el acceso del rai'z-nivel es necesario en las máquinas de UNIX, y el acceso del administrador o del sistema se requiere en los sistemas de Windows. Una vez que esté instalado, un nu'cleo-modo RootKit substituya o modifique los componentes del núcleo. Estas alteraciones pudieron hacer que todo en el sistema aparece funcionar perfectamente bien, pero el sistema operativo es realmente putrefacto a la base. El atacante puede cambiar el núcleo de modo que mienta sobre el estado de la máquina.

Por ejemplo, el administrador pudo funcionar un comando que miraba para ver si algunos procesos backdoor están funcionando. Este comando llama el núcleo para conseguir una lista de procesos corrientes. Alternativomente, un administrador pudo funcionar a un inspector de la integridad del archivo para ver si algunos archivos críticos en la máquina se han cambiado. El núcleo que engaña dice a administrador que no se haya alterado ningunos archivos; todo parece maravilloso.

Usando la manipulación del núcleo, los atacantes pueden alterar el núcleo de modo que oculte a fondo las actividades del atacante en la máquina. La mayoría del nu'cleo-modo RootKits incluye los tipos siguientes de subterfuge:

  • El ocultar del archivo y del directorio. La mayoría de los archivos y de los directorios de la piel de RootKits del nu'cleo-modo de usuarios y de administradores de sistema. Cuando se oculta un archivo, el núcleo mentirá a cualquier programa que venga buscando el archivo.

  • El ocultar de proceso. Ocultando un proceso usando un nu'cleo-modo RootKit, el atacante puede crear un backdoor invisible que no se pueda descubrir usando las herramientas de proceso del análisis.

  • El ocultar del puerto de la red. Por los puertos del TCP que escuchan que ocultan y del UDP de modo que los programas locales no puedan considerarlos, el mal individuo backdoor es incluso ma's stealthier.

  • El ocultar promiscuo del modo. El atacante no quisiera que un administrador detectara un succionador el funcionar en la caja en modo promiscuo, tan la mayoría de la mentira de RootKits del nu'cleo-modo sobre el estado promiscuo del interfaz de la red.

  • Cambio de dirección de la ejecución. Con esta característica de muchos el nu'cleo-modo RootKits, cuando un usuario o un administrador funciona un programa, el núcleo finge funcionar el programa solicitado. Sin embargo, el núcleo realmente substituye un diverso programa en una maniobra del cebo-y-interruptor. Los usuarios y los administradores de sistema piensan que están funcionando un programa, pero realmente que están ejecutando un cierto otro programa de elegir del atacante. Por ejemplo, en vez de confiar en las técnicas de RootKit del usuario-modo para substituir al demonio seguro de la cáscara (sshd) en una máquina de la víctima, por un nu'cleo-modo RootKit, un atacante puede apenas volver a dirigir la ejecución del sshd ejecutable a otra versión con un backdoor. El administrador puede incluso comprobar la integridad del archivo del sshd. Sin embargo, el archivo parecerá totalmente intacto, porque es intacto. Sin embargo, cuando un usuario o un administrador intenta ejecutar el archivo del sshd remotamente entrando, la versión backdoor será ejecutada, dando al mal individuo el acceso alejado a la máquina de la víctima.

  • Interceptación y control del dispositivo. Usando un nu'cleo-modo RootKit, un atacante puede interceptar o manipular los datos enviados a o desde cualquier dispositivo de hardware en la máquina. Por ejemplo, un mal individuo podría modificar el núcleo para registrar cualquier golpe de teclado mecanografiado en el sistema en un archivo local en la máquina, de tal modo poniendo un maderero muy cauteloso del golpe de teclado en ejecucio'n. Alternativomente, los atacantes han puesto las alteraciones del núcleo en ejecucio'n que las dejan espiar en las sesiones de terminal de los usuarios (equipos teleescritores), observando e igualar inyectar golpes de teclado, tan bien como las respuestas generadas por el sistema.

Piense de esto desde el punto de vista del atacante. Con un usuario-modo RootKit, el atacante tiene que romperse en la caja y modificar un manojo de programas para ocultar y para poner un backdoor en ejecucio'n. En un sistema de UNIX, el atacante pudo romperse adentro, comienza para arriba a oyente backdoor de la cáscara, y después utiliza una herramienta como URK para substituir el picosegundo, el ls, el netstat, y varios otros comandos. El atacante entonces tiene que funcionar la rutina del arreglo para fijar las fechas de la modificación y las longitudes del archivo de estos comandos a los valores apropiados. Entonces, la servidumbre continúa mientras que el atacante configura los varios componentes y backdoors que ocultan de URK. Después de que todo este trabajo fastidioso, el atacante todavía tenga que preocuparse de un administrador de sistema sospechoso que demuestra para arriba con un CD-ROM lleno de binaries estáticamente ligados, tales como herramientas estáticas de Stearns de la cuenta para Linux en www.stearns.org/staticiso, que no mentirá sobre el estado del sistema. Este el usuario-modo RootKits es muchos de trabajo, y no es muy cauteloso si los administradores traen sus propios programas sobre un CD.

Sin embargo, con un nu'cleo-modo RootKit, la ecuación entera cambia en el favor del atacante. En vez de modificar un manojo de programas individuales, el atacante modifica el núcleo subyacente ese estos programas que confía todo encendido. Para ocultar un archivo, el mal individuo no cambiará el ls, el hallazgo, el du, y otros comandos. En lugar, el atacante apenas modifica el núcleo de modo que mienta a cualquier comando o programa particular funcionado por el administrador que busca ese archivo. De esta manera, el nu'cleo-modo RootKits es más eficiente lejano para el atacante.

Con un nu'cleo-modo RootKit, los morphs del atacante el sistema de modo que los administradores y los usuarios estén en una prisión, pero incluso no la realizan. Usted puede ser que piense que usted está funcionando ciertos programas o que está mirando el estado de su máquina, pero usted no sabe que usted está viendo una fantasía inventada por el atacante y puesta en ejecucio'n con un nu'cleo-modo RootKit. Qué usted ve no es realmente su sistema operativo, sino solamente un mundo ideal diseñado para ocultarle de la verdad: la verdad que su sistema operativo es poseído realmente totalmente por el atacante. Sin estar uniforme enterado de su prisión, usted blithely va encendido a vivir su vida, manejando su sistema, e involuntariamente dejando los atacantes controlar todo.

¿Usted ha visto siempre la película la matriz? Si usted no tiene, tendré cuidado de no dar lejos ningunos interceptores aerodinámicos para esas pocas almas que todavía no han considerado la película o sus consecuencias. Para las que la han visto, la película proporciona algunas ilustraciones excelentes que la ayuda hace las ideas detrás del nu'cleo-modo RootKits más concretas. Usted sabe, alguna gente ha comparado la matriz a la última prueba de Rorschach. El mirar en e interpretar el significado del inkblot que es la matriz realmente revela su propia filosofía y worldview. Algunos ventiladores piensan que la película está sobre buddhism, cristianismo, Gnosticism, hinduism, Islam, o judaísmo. Otros piensan que es una gran película sobre artes marciales o armas de fuego. Pero estoy aquí decirle sobre cuáles es la matriz realmente todo: nu'cleo-modo RootKits.

En la película, algunos seres malvados bonitos manipulan a sus víctimas para atarlos con alambre en una simulación virtual de la realidad que parezca el mundo verdadero. Con sus cerebros ató con alambre en la matriz, las víctimas creen que son vidas normales vivas, pagando sus impuestos, yendo a la iglesia, y eliminando la basura de sus caseras. Sin embargo, las víctimas realmente están mintiendo en vainas por completo del goo rosado, totalmente inconsciente de sus circunstancias físicas verdaderas. La imagen virtual de la realidad de sus vidas es simplemente un espejismo, diseñado para esclavizar a las víctimas de modo que los seres malvados pudieran utilizar sus recursos. Con un nu'cleo-modo RootKit, usted piensa que usted está mirando su sistema verdadero, pero los atacantes han alterado el núcleo de modo que puedan utilizar sus recursos de sistema sin su conocimiento. Usted puede ser que no lo realice, pero, con un nu'cleo-modo RootKit, su computadora está viviendo una mentira. Su computadora es una matriz atacante-controlada y adentro unknowingly le atrapan.

Tenga presente que para cada uno de los conceptos y de los ataques discutimos para Linux y Windows, las ideas análogas se aplican a otros sistemas operativos. Dado las diferencias en las puestas en práctica del núcleo de las varias variantes de UNIX, necesitamos escoger un espécimen del mundo de UNIX para analizar más detalladamente. Nos centraremos en Linux como uno de los representantes más comunes de UNIX y UNIX-como sistemas operativos. Además de Linux, miraremos el núcleo de Windows debido a su despliegue extenso y el renombre como blanco para el nu'cleo-modo RootKits. Sin embargo, tenga presente que los conceptos similares de RootKit del nu'cleo-modo se han puesto en ejecucio'n para otros sistemas operativos, incluyendo Solaris FreeBSD y otros. Analizando los detalles de los ataques del núcleo contra Linux y Windows, no podemos entender solamente cómo trabajan detalladamente en las plataformas más populares, pero también conseguimos una vista de alto nivel de las técnicas similares que se utilizan contra otros sistemas.

esto es un artículo agregado por el Rafael Kwan


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions