ലിനക്സ്, യുണിക്സ് സെർവറുകൾക്കായുള്ള യൂട്ടിലിറ്റിയിൽ ബാക്ക്ഡോർ കണ്ടെത്തി

2019-ലെ DEF CON 2019 സുരക്ഷാ സമ്മേളനത്തിനിടെയാണു് വെബ്‌മിൻ എന്ന യുണിക്സ് വെബ് അധിഷ്ഠിത സോഫ്റ്റ്‍വെയറില്‍ 2018 ൽ മനഃപൂർവ്വം പ്ലാന്റ് ചെയ്ത ബാക്ക്ഡോർ ഗവേഷകർ കണ്ടെത്തിയതു്. ഗവേഷകർ പറയുന്നതനുസരിച്ച്, ബഗ് കണ്ടെത്തുന്നതിന് ഒരു വർഷം മുമ്പ് ഈ ജനപ്രിയ യൂട്ടിലിറ്റിയിൽ രഹസ്യ ബാക്ക്ഡോർ ഇംപ്ലാന്റ് ചെയ്തിരുന്നു.

വെബ്‌മിൻ എന്ന യുണിക്സ് വെബ് അധിഷ്ഠിത സോഫ്റ്റ്‍വെയറില്‍ 2018 ൽ മനഃപൂർവ്വം പ്ലാന്റ് ചെയ്ത ബാക്ക്ഡോർ ഗവേഷകർ കണ്ടെത്തി

സ്വതന്ത്ര ലൈസന്‍സിലുള്ള സോഫ്റ്റ്‍വെയറില്‍ ഇത്തരം മലീഷ്യസ് കോഡ് ഉണ്ടെങ്കില്‍ പ്രൊപ്രൈറ്ററി ലൈസന്‍സിലുള്ളവയുടെ കാര്യം എന്തായിരിക്കും എന്നു് ഊഹിക്കാന്‍ പോലും സാധ്യമല്ല.

ബാക്ക്ഡോർ ഉണ്ടെന്നറിയാവുന്ന ആർക്കും റൂട്ട് പെര്‍മിഷനില്‍ സിസ്റ്റം പ്രവർത്തിപ്പിക്കാനുള്ള കഴിവാണു് ഈ ബാക്‍ഡോര്‍ നൽകിക്കൊണ്ടിരുന്നതു്. അതായത് ആക്രമണകാരിക്ക് ടാർഗെറ്റ് ചെയ്‌ത എൻഡ്‌പോയിന്റിന്റെ നിയന്ത്രണം പൂര്‍ണ്ണമായി ഏറ്റെടുക്കാനാകും. വെബ്‌മിൻ രചയിതാവ് ജാമി കാമറൂൺ പറയുന്നതു പ്രകാരം വെബ്മിന്‍ 1.890 പതിപ്പിലായിരുന്നു ബാക്‍ഡോറിന്റെ ആരംഭം. തുടര്‍ന്നു വന്ന പതിപ്പുകളായ 1.900, 1.920 എന്നിവയിലും ഇതേ ബാക്ക്‌ഡോർ ഉണ്ടായിരുന്നു. അതായതു് അതുവരെ ഈ കോഡുകള്‍ ഒരു ഡവലപ്പര്‍മാരും കണ്ടെത്തിയില്ല. “ഇവയൊന്നും ആകസ്മികമായ ബഗുകളല്ല – മറിച്ച്, കരുതിക്കൂട്ടി വ്യക്തമായ ലക്ഷ്യത്തോടെയാണു് വെബ്‌മിൻ ബാക്‍ഡോറിന്റെ കോഡ് ഉള്‍പ്പെടുത്തി അവര്‍ പരിഷ്‌ക്കരിച്ചതു്,” കാമറൂൺ അഭിപ്രായപ്പെടുന്നു.

കാമറൂൺ പറയുന്നതനുസരിച്ച്, വെബ്‌മിൻ ഡെവലപ്‌മെന്റ് ബിൽഡ് സെർവർ 2018 ഏപ്രിലിലാണു് കോംപ്രമൈസ് ചെയ്യപ്പെട്ടതു്. password_change.cgi സ്‌ക്രിപ്റ്റിലേക്ക് ഒരു വള്‍നറബിലിറ്റി ചേർക്കുമ്പോൾ ഫയൽ ബാക്ക്ഡേറ്റ് ചെയ്തുകൊണ്ട് അത് ഒരു ഗിറ്റ് ഹബ് ചെക്ക്-ഇൻ” കോഡിലേക്ക് പഴയപടിയാക്കിക്കൊണ്ടു് സൂക്ഷ്മപരിശോധനയിൽ നിന്ന് രക്ഷപ്പെടുന്ന രീതിയാണു് ഇവിടെ ഉപയോഗിക്കപ്പെട്ടതു്. തുടർന്ന് 2018 ജൂലൈയിൽ “password_change.cgi” സ്‌ക്രിപ്റ്റിന്റെ വള്‍നറബിള്‍ പതിപ്പിന് പിന്നിലുള്ള മലീഷ്യസ് ഡെവലപ്പര്‍ ഫയൽ വീണ്ടും അപ്‌ഡേറ്റുചെയ്‌തു. ഇതേ മാറ്റത്തോടുകൂടിത്തന്നെയാണു് വെബ്‌മിൻ 1.900 എന്ന പതിപ്പും പുറത്തിറങ്ങിയതു്. കാലഹരണപ്പെട്ട പാസ്‌വേഡുകൾ പുതുക്കിയാൽ മാത്രമേ ഇത് ബാധിക്കാതിരിക്കുകയുള്ളൂ.

വെബ്‍മിന്‍ ലോഗോ

DEF CON 2019-ല്‍ വച്ചു് ഈ vulnerabilty ഉപയോഗപ്പെടുത്തുന്ന ഒരു ബഗ്ഗ് ഒരു ഗവേഷകൻ പ്രസിദ്ധപ്പെടുത്തിയപ്പോഴാണു് ഈ മലീഷ്യസ്‍ കോഡിനെപ്പറ്റി ലോകമറിഞ്ഞതു്. ഈ ഗവേഷണമാണ് 2018 ജൂലൈയിൽ വീണ്ടും ഇംപ്ലാന്റ് ചെയ്ത മലീഷ്യസ് കോഡിലേക്ക് വെളിച്ചം വീശിയത്. “ഇതിനു പ്രതിവിധിയായി മലീഷ്യസ് കോഡ് നീക്കംചെയ്യുകയും വെബ്‌മിൻ പതിപ്പ് 1.930 എല്ലാ ഉപയോക്താക്കൾക്കുമായി പുറത്തിറക്കുകയും ചെയ്തു,” കാമറൂൺ എഴുതി.

ഇംപ്ലാന്റ് ചെയ്ത മലീഷ്യസ് കോഡിന് പ്രതിവിധിയായി വെബ്‌മിൻ പുതിയ ലഘൂകരണ ശ്രമങ്ങൾ സ്വീകരിക്കുമെന്ന് കാമറൂൺ പറഞ്ഞു. കൂടാതെ ഇതുപോലുള്ള പ്രശ്നങ്ങള്‍ വരുത്തിയേക്കാവുന്ന എന്തെങ്കിലും മലീഷ്യസ് കോഡുകള്‍ വെബ്മിന്‍ കോഡ്ബേസില്‍ ഇനിയും അവശേഷിക്കുന്നുണ്ടോ എന്നു് സൂക്ഷ്മപരിശോധന നടത്തുന്നതിനായി കഴിഞ്ഞ വർഷം നടന്നിട്ടുള്ള എല്ലാ ഗിറ്റ് ഹബ് ചെക്കിനുകളും ഓഡിറ്റുചെയ്യാനും തീരുമാനിച്ചിട്ടുണ്ടെന്നു് അദ്ദേഹം പറഞ്ഞു.

ഹാർട്ട്ബ്ലീഡ്

ഓപ്പൺ സോഴ്സ് ക്രിപ്റ്റോഗ്രാഫി ലൈബ്രറി ആയ ഓപ്പൺ എസ്.എസ്.എല്ലിലെ ഒരു സോഫ്റ്റ്‌വേർ ബഗ് ആണ് ഹാർട്ട്ബ്ലീഡ്. ഈ ബഗ് ദുരുപയോഗം ചെയ്ത് ഒരു ആക്രമണകാരിക്ക് വേണമെങ്കിൽ ഹോസ്റ്റ് കമ്പ്യൂട്ടറിലെ വിവരങ്ങൾ കാണാനും സ്വകാര്യമായതോ, പ്രശ്നകാരിയായതോ ആയ വിവരങ്ങൾ എടുക്കാനും സാധിക്കും. ഈ ബഗ്ഗ് പക്ഷേ മനഃപൂര്‍വ്വം പ്ലാന്റ് ചെയ്യപ്പെട്ടതല്ല, ആരംഭം മുതലേ ഡവലപ്പര്‍മാരുടേയും സുരക്ഷാ ഓഡിറ്റര്‍മാരുടേയും കണ്ണില്‍പെടാതെ പോയ ഒരു സുരക്ഷാ പഴുതു മാത്രമായിരുന്നു ഇതു്. പക്ഷേ, അമേരിക്കൻ ദേശീയ സുരക്ഷാ ഏജൻസിയ്ക്ക് ഈ ബഗ്ഗിനെപ്പറ്റി നേരത്തേതന്നെ അറിയാമായിരുന്നു എന്നും, അത് സ്വന്തം നിലയ്ക്ക് മുതലെടുക്കാൻ വേണ്ടി അവരത് സ്വകാര്യമായി വെയ്ക്കുകയായിരുന്നു എന്നും പറയപ്പെടുന്നുണ്ട്. വളരെ പ്രധാനപ്പെട്ട കമ്പ്യൂട്ടര്‍ സുരക്ഷാ ഓപ്പണ്‍ സോഴ്സ്  പ്രൊജക്ടുകളില്‍ ചാര ഏജന്‍സികള്‍ നുഴഞ്ഞുകയറി കോഡുകള്‍ പരിഷ്കരിക്കാനുള്ള സാധ്യതയെപ്പറ്റി ഒരു ക്രിപ്റ്റോപാര്‍ട്ടി മീറ്റിംഗില്‍ വച്ചു് അതില്‍ പങ്കെടുത്ത ഒരംഗം ഉച്ചത്തില്‍ സംസാരിച്ചതു് ഇവിടെ അനുസ്മരിക്കുന്നു. ഇനിയുമെത്രയോ മര്‍മ്മ പ്രധാന സുരക്ഷാ സംവിധാനങ്ങളില്‍ എത്രയോ സുരക്ഷാപഴുതുകള്‍ ഇനിയും കണ്ടെത്തപ്പെടാതെ മറഞ്ഞിരിക്കുന്നു? അധികമൊന്നും പ്രചാരത്തിലില്ലാത്ത അത്രയൊന്നും ആക്ടീവ് ഡവലപ്പ്മെന്റ് നടക്കാത്ത ചില സോഫ്റ്റ്‍വെയറുകളുടെ കാര്യത്തിലും ഇങ്ങനെയുള്ള ഇംപ്ലാന്റഡ് ബഗ്ഗുകള്‍ ഉണ്ടാകാനുള്ള സാധ്യതയും തള്ളിക്കളയാനാവില്ല.

അതിനാല്‍ ഒരൊറ്റ മന്ത്രം മാത്രം ഒന്നും സുരക്ഷിതമാവണമെന്നില്ല. ആ മന്ത്രം ചൊല്ലിക്കൊണ്ടുവേണം എത്ര സുരക്ഷിതമെന്നവകാശപ്പെടുന്ന എന്തും ഉപയോഗിക്കാന്‍ !

Advertisements

ഗ്നു/ലിനക്സ് ആണെന്നു കരുതി സുരക്ഷയില്‍ അഹങ്കരിക്കേണ്ട

എയൂആറില്‍ മാല്‍വെയര്‍

ആര്‍ച്ച് യൂസര്‍ റെപ്പോസിറ്ററിയിലാണു് പുതിയ മാല്‍വെയര്‍ കണ്ടെത്തിയിരിക്കുന്നതു്. ചില ഉപയോഗപ്രദമായ സോഫ്റ്റ്‍വെയറുകള്‍ ചിലപ്പോള്‍ ആര്‍ച്ചിന്റെ അംഗീകൃത റെപ്പോസിറ്ററികളില്‍ ഉണ്ടായിക്കൊള്ളണമെന്നില്ല. എയൂആറില്‍ (ആര്‍ച്ച് യൂസര്‍ റെപ്പോസിറ്ററിയില്‍) അതുണ്ടാകുകയും ചെയ്യും. ഉദാഹരണമായി ഡെബിയനില്‍ ഞാന്‍ സ്ഥിരം ഉപയോഗിച്ചു കൊണ്ടിരുന്ന pdftk എന്ന പാക്കേജു് ആര്‍ച്ചിന്റെ പ്രധാന റെപ്പോസിറ്ററിയില്‍ ഉണ്ടായിരുന്നില്ല. അതിനു തത്തുല്യമായ മറ്റൊരു പാക്കേജ് കണ്ടെത്താന്‍ കഴിയാതെ വന്നപ്പോള്‍ നേരെ എയൂആറില്‍ നോക്കി. അതാ അവിടെയുണ്ട് ആ പാക്കേജു്. ഒന്നും നോക്കിയില്ല അപ്പോള്‍ത്തന്നെ അതങ്ങു് ഇന്‍സ്റ്റാള്‍ ചെയ്തു. അതുപോലെ തന്നെ ഇങ്ക്സ്കേപ്പില്‍ ചെയ്ത svg ഫയലുകള്‍ ഉപയോഗിച്ചു് അനിമേറ്റഡ് പ്രസന്റേഷന്‍ ചെയ്യാന്‍ കഴിയുന്ന sozi എന്ന പാക്കേജും എയൂആറില്‍ മാത്രമേയുള്ളൂ, ഇത്തരം ഒരുപാടു് പാക്കേജുകള്‍ക്കായി അനേകം ലിനക്സ് ഉപയോക്താക്കള്‍ എയൂആര്‍ പോലുള്ള യൂസര്‍ റെപ്പോസിറ്ററികള്‍ ഉപയോഗപ്പെടുത്തുന്നു.

എയൂആറില്‍ താഴെ പറയുന്ന പാക്കേജൂകളിലാണു് ഇപ്പോള്‍ മാല്‍വെയര്‍ കണ്ടെത്തിയിരിക്കുന്നതു്:

  1. acroread 9.5.5-8
  2. balz 1.20-3
  3. minergate 8.1

xeactor എന്നു നിക്ക്നെയിമുള്ള ട്രസ്റ്റഡ് യൂസര്‍ പ്രിവിലേജ് ഉള്ള ഒരു യൂസറാണു് ഇതില്‍ മാല്‍വെയര്‍ കടത്തിവിട്ടതു്. 2018 ജൂലൈ 8-നു് ഇതു കണ്ടെത്തിയതിനു് ഏതാനും മിനിട്ടുകള്‍ക്കുള്ളില്‍ യൂസറിനെ സസ്പെന്റ് ചെയ്യുകയും പാക്കേജ് പാച്ച് ചെയ്യുകയും ചെയ്തു. ഇതു സൂചിപ്പിക്കുന്നതു് ഡെബിയന്‍ ബാക്ക് പോര്‍ട്ട്സ്, എയൂആര്‍ തുടങ്ങിയ യൂസര്‍ റെപ്പോസിറ്ററികളും തേഡ് പാര്‍ട്ടി റെപ്പോസിറ്ററികളും ഉപയോഗിക്കുന്നതു് അത്ര സുരക്ഷിതമല്ല എന്നതാണു്. അഥവാ ഉപയോഗിക്കണമെങ്കില്‍ത്തന്നെ സൂക്ഷിച്ചു് ഉപയോഗിക്കുവാന്‍ ശ്രദ്ധിക്കുക. എയൂആറില്‍ മാല്‍വെയര്‍ കടത്തിവിട്ട xeactor എന്ന യൂസര്‍ ശേഖരിച്ച വിവരങ്ങള്‍ മെഷീന്‍ ഐഡി, uname -a എന്ന കമാന്റിന്റെ ഔട്ട്പുട്ട്, പാക്‍മാന്‍ വിവരങ്ങള്‍, systemctl list-units ഔട്ട്പുട്ട് എന്നിവയാണു്. താരതമ്യേന അത്ര മൂല്യമില്ലാത്ത ഈ വിവരങ്ങള്‍ എന്തിനാണിയാള്‍ ശേഖരിച്ചതെന്നു് ഇതുവരെ  സെക്യൂരിറ്റി വിദഗ്ദ്ധന്മാര്‍ക്കുപോലും മനസ്സിലായിട്ടില്ല.

എയൂആറില്‍ ട്രസ്റ്റഡ് യൂസര്‍ പ്രിവിലേജ് ഉള്ള ഒരു ഉപയോക്താവിനു് ഇത്തരമൊരു കുരുത്തക്കേടു് കാണിക്കാമെങ്കില്‍, സ്പൈയിംഗ് ഏജന്‍സികള്‍ക്കു് എന്തൊക്കെ കാണിക്കാന്‍ സാധിക്കില്ല? അതിനാല്‍ ജാഗ്രത പുലര്‍ത്തുക – നമ്മുടെ സുരക്ഷ നമ്മുടെ സ്വന്തം കരങ്ങളിലാണ്, തീക്കട്ടയില്‍ ഉറുമ്പരിക്കുന്ന കാലമാണിതെന്നു് ഓര്‍മ്മവയ്ക്കുക.

അവലംബം

https://sensorstechforum.com/arch-linux-aur-repository-found-contain-malware/

അവിശ്വസനീയമായ ചില തെറ്റിദ്ധാരണകള്‍ :-)

ചില തെറ്റിദ്ധാരണകളുണ്ടു്. ചിലരോടു് എത്ര തര്‍ക്കിച്ചാലൂം ചിലപ്പോള്‍ അവ സമ്മതിച്ചുതന്നെന്നിരിക്കില്ല. അവയില്‍ ചിലതു് താഴെ അക്കമിട്ടു കുറിക്കുന്നു. ഇനിയും വല്ലതും വിട്ടുപോയിട്ടുണ്ടെങ്കില്‍ കമന്റൂ.

  1. ഹാർഡ് ഡിസ്ക് ഇല്ലാതെ കമ്പ്യൂട്ടർ പ്രവർത്തിക്കില്ല
  2. എത്ര സൂക്ഷിച്ചു് ഉപയോഗിച്ചാലും എല്ലാ കമ്പ്യൂട്ടറുകളിലും വൈറസ്‌ കയറും
  3. ഹാക്കർ എന്നത് ഒരു നെഗറ്റീവ് വാക്കാണ്‌
  4. ലിനക്സ്‌ സാധാരണക്കാർക്ക് വേണ്ടിയുള്ളതല്ല
  5. ഫേസ്ബുക്ക്‌ നമ്മുടെ സുഹൃത്താണ്
  6. ഞാൻ ലിനക്സ്‌ ഉപയോഗിച്ചിട്ടില്ല
  7. ഫ്രീ വെയറും ഫ്രീ സോഫ്റ്റ്‌വെയറും ഒന്നാണ്

ഹാർഡ് ഡിസ്ക് ഇല്ലാതെ കമ്പ്യൂട്ടർ പ്രവർത്തിക്കില്ല

വെറും ഒരു ലൈവ് സീഡി മാത്രം ഉപയോഗിച്ച്  വേണമെങ്കിൽ കമ്പ്യൂട്ടർ പ്രവർത്തിപ്പിക്കാം. ഒരു നൂറുകണക്കിന് ലൈവ് ലിനക്സ്‌ ഡിസ്ട്രിബ്യൂഷനുകൾ ഓണ്‍ലൈനിൽ ലഭ്യമാണ്. ഇവയിൽ ഏതെങ്കിലും ഉപയോഗിച്ച് ഹാർഡ് ഡിസ്ക് ഊരി മാറ്റി ഒന്ന് നിങ്ങളുടെ കമ്പ്യൂട്ടർ പ്രവർത്തിപ്പിച്ചു നോക്കൂ.

എല്ലാ കമ്പ്യൂട്ടറുകളിലും വൈറസ്‌ കയറും

കമ്പ്യൂട്ടർ വൈറസ്‌ പ്രധാനമായും ടാർഗെറ്റ് ചെയ്യുന്നത് വിൻഡോസ്‌ കമ്പ്യൂട്ടറുകളെ ആണ്. എത്ര സുരക്ഷിതമായ ആന്റി വൈറസ് ഇന്‍സ്റ്റാള്‍ ചെയ്തിട്ടുണ്ടെങ്കിലൂം വിന്‍ഡോസില്‍ വൈറസ് കയറിയാല്‍ അത്ഭുതപ്പെടേണ്ട. പക്ഷേ സൂക്ഷിച്ചു് ഉപയോഗിച്ചാല്‍ ലിനക്സ്‌ / മാക് / യൂണിക്സ് സിസ്റ്റങ്ങളെ വൈറസ്‌ ആക്രമണം ബാധിക്കില്ല.

ഹാക്കർ എന്നത് ഒരു നെഗറ്റീവ് വാക്കാണ്‌

കമ്പ്യൂട്ടറിന്റെ പ്രവർത്തനങ്ങളെ കൂടുതൽ നന്നായി അറിയുന്ന ആൾ അഥവാ കമ്പ്യൂട്ടർ വിദഗ്ദ്ധൻ എന്നാണു് ഹാക്കർ എന്ന വാക്കിന്റെ പൊതുവിലുള്ള അർത്ഥം. അല്ലാതെ കമ്പ്യൂട്ടർ ശൃംഖല  തകർക്കുന്ന ആൾ എന്നല്ല.

ലിനക്സ്‌ സാധാരണക്കാർക്ക് വേണ്ടിയുള്ളതല്ല

1994 കാലഘട്ടത്തിൽ ലിനക്സ്‌ കേർണെൽ പ്രസിദ്ധീകരിച്ച ആദ്യ നാളുകളിൽ വിദഗ്ദ്ധർക്ക് മാത്രമേ ലിനക്സ്‌ ഉപയോഗിക്കാൻ കഴിഞ്ഞിരുന്നുള്ളൂ, എന്നാൽ ഇന്ന് ഏതൊരു സാധാരണക്കാരനും ഉപയോഗിക്കാൻ വിധം ഏറ്റവും യൂസർ ഫ്രണ്ട്ലി ആണ് ലിനക്സ്‌

ഫേസ്ബുക്ക്‌ നമ്മുടെ സുഹൃത്താണ്

ഫേസ്ബുക്ക്‌ നിങ്ങളുടെ സുഹൃത്തല്ല, അതൊരു നിരീക്ഷണക്യാമറയാണ്. അതു നിങ്ങളെ ചതിക്കവം. അതീവ ശ്രദ്ധയോടെ വളരെ സൂക്ഷിച്ചു മാത്രം ഉപയോഗിക്കുക.

ഞാൻ ലിനക്സ്‌ ഉപയോഗിച്ചിട്ടില്ല

ആയിരക്കണക്കിന് ഇന്റർനെറ്റ്‌ സർവറുകളിൽ ഉപയോഗിക്കുന്നത് ലിനക്സ്‌ അധിഷ്ഠിത പ്രവർത്തക സംവിധാനമാണ്. നിങ്ങൾ ഇന്റർനെറ്റ്‌ ഉപയോഗിക്കുന്നുണ്ടെങ്കിൽ ഈ സർവറുകളും ഉപയോഗിച്ചിട്ടുണ്ട്. അതു കൊണ്ടുതന്നെ അറിയാതെയാണെങ്കിലും നിങ്ങള്‍ അതുപയോഗിച്ചിട്ടുണ്ടു്. നിങ്ങൾ ആൻഡ്രോയ്ഡ് ഉപയോഗിക്കുന്നുണ്ടെങ്കിൽ നിങ്ങൾ ലിനക്സ്‌ ഉപയോഗിക്കുന്നുണ്ട്. കാരണം ആൻഡ്രോയ്ഡിനുള്ളിൽ ലിനക്സ്‌ കേർണെൽ ആണ് ഉള്ളത്.

ഫ്രീ വെയറും ഫ്രീ സോഫ്റ്റ്‌വെയറും ഒന്നാണ്

ഫ്രീ വെയറും ഫ്രീ സോഫ്റ്റ്‌വെയറും രണ്ടാണ്. ഫ്രീ വെയർ സോഴ്സ് കോഡ് നൽകാതെ സോഫ്റ്റ്‌വെയർ (ബൈനറി) മാത്രം നിങ്ങൾക്ക് സൗജന്യമായി നൽകുമ്പോൾ ഫ്രീ സോഫ്റ്റ്‌വെയർ സോഴ്സ് കോഡ് അടക്കം അതു നൽകുന്നു.