とにかくハッキングされているのはなぜですか？

この小さな記事のトピックは、私が目撃したハブに関する小さな議論に触発されました。 議論の参加者の1人はLinux OSの熱心な支持者であり、すべての一般ユーザーがLinuxに移行すると、すべてが傷つくだけで、ハッキングせず、データが盗まれないと主張しました。



この短いエッセイでは、理論的にハッキングされる方法を簡単な言語で説明しようとします。 複雑な用語を使用せずに管理します。一般ユーザー向けの記事では、OSのハッキングに関するカラフルな画像を提供し、上級ユーザー向けには、行間で技術情報を読みます。 すべてのOSのユーザー、特にこの作業に関与しているユーザーは、プロのウイルスはドキュメントに名前が変更された実行可能ファイルではないことを理解し、実行するように求めていると思います。 また、常にマクロをブロックすると、攻撃者がシステムでコードを実行するのを防ぐことができません。



ご存知のように、私が学校に戻ってそのような議論に最後に参加したのは、9-10年生でした。 それから私はWindowsの熱烈なファンであり、私の友人はLinuxを使用していました。しばらくしてLinuxの開発を始めました。そして、すべてが変わり、Linuxのファンになり、誰もがそれに切り替えるキャンペーンを公開しました。 私はこれを、対戦相手がこの脈の中でこのようなトピックについて議論しようとしているという事実に導かれているのです。 私は両方のOSを自分で使用しており、そのようなホリバーの支持者ではありません。LinuxDebianサーバーがあり、Windows 8 PCでこのテキストを書きます。次に、Linuxについて多くの否定的なことがありますが、狂信的な信念とは関係ありません。どのOSを使用するかは問題ではないことを客観的に伝え、説得したいだけです。誰もがハッキングできます。



Windowsはどのように穴でいっぱいですか...

... Windowsは何年もの間漏れやすいものですが、Linuxはどれほど安全なのでしょうか。 Linuxのファンに質問し、アンチウイルスを持っている場合、答えは笑い声だけになります。 議論は、Linuxは専門家によって作成され、すべてがデフォルトで保護されているということです。 ここでは、Ubuntu用の愛犬を植えています。そのデータについて心配することはできません。 できます...さようなら。



一般に、無限とは、宇宙と愚か者の2つのことです。 宇宙についてはすべて明らかですが、後者についてはどうですか？ さまざまなWindowsユーザーに、ウイルス対策保護なしでは作業できないことを説明する方法を次に示します。 しかし、国内のメガSZIの作成者に、アクセスマトリックスによるハッキングから保護することは不可能であり、ハッキングは常にではないことをどのように説明できますか？



あなたのセキュリティは理論的にのみ良く見えます。 あなたが同じUbuntuユーザー（私のお気に入りのディストリビューションの1つ）であるとします。このOSをお気に入りの犬BobのPCにインストールします。 その後、多くの人が次のように言います-ボブへのmyDocument.docxメッセージを受信した場合、それが実行可能ファイルであることが判明し、指示に従ってそれを起動しても、何も起こりません-結局、ほとんどのアクションにはルートパスワードが必要です。 本気ですか？ 小学校の侵略から身を守っていますか？ または、結局のところ、犯罪者のギャングのメンバーである攻撃者から、大規模な資金の流れを制御し、兄弟に略奪するだけですか？



国内の無名のSZIの代表者および多くの情報セキュリティ教科書の著者の皆様、「言葉はマクロの実行を禁止し、そのプロセスはディスクへの書き込みとレジストリの操作を禁止し、システムは100％保護されています」そう思う？



整然としましょう

むかしむかし、Linuxがまだ初期段階にあったとき、そのユーザーはほとんどが専門家でした。 しかし、時間の経過とともに、単純なユーザーにとって便利な分布が現れ、主婦ユーザーの数が増え始めました。 そして、主婦は何をしますか？ そうです、彼はインターネットで支払いをし、お金が飛んでくるところならどこでも、無料で自分の財政を修正したい別のスカムの群れへの蜂のように。 主婦の90％がWindowsを使用しています-そして、このOS用にウイルスが開発されており、主婦の少なくとも20-30％だけがLinuxに移行します。その後、マルウェアの開発のための大きな資金がすぐに流入します。 また、ウイルス対策企業からのレポートでは、このようなプログラムの数は遅いが増加していることが示されています。



ボブに戻りましょう。彼の安全性を心配しない理由は1つだけです。彼のOSでのトロイの木馬の開発は採算が取れません。 そして、ここにあります-経済的に不利な、攻撃者の可能な収入はコストよりも少なくなります。 これがいつまで続くかは大きな疑問です。



しかし、技術的には、ボブがハッキングされてデータが失われる可能性はありますか？ ボブのセキュリティ趣味が、誰も彼を必要とせず、彼のOSのウイルスがまだ書かれていないという場合、これはロシアのルーレットのゲームです。



アリス

ボブの友人であるアリスは、ボブのアカウントにはきちんとしたコインがあり、キーはピノキオのPCにあることを知っていて、ピノキオと一緒に2つを見つけることにしました。 彼らがこれに必要なもの：小さなスタートアップ資本、ピノキオの直接の手、そして少しの勇気。







アリスは、ボブがUbuntu 14 LTSを使用していることを知っています。 ボブはどのようにプロセスをハッキングしますか？ 彼は、ほとんどのユーザーと同様に、アリスが添付ファイル付きのファイルをメールで送信すると信じています。ファイルは実行するよう求められます。PCの分野の専門家であると考えているため、ファイルを開始しないので、もちろんデータは安全です！



ペドロのムノゴドヴォクカ

その後、アリスは名前のない広範囲に及ぶリソースにアクセスし、Pedroからボブのお気に入りのブラウザーの脆弱性を購入します。 Pedroは、アリスに脆弱性に関する技術情報を提供するだけでなく、Pinocchio（アリスの共犯者）を起動するための例を送信します。

アリスが受け取る脆弱性は、Google Chromeのゼロデイ脆弱性です。 たとえば、最近発見されたCVE-2015-1233またはCVE-2014-3177、CVE-2014-3176、CVE-2013-6658の穴と、まだ閉じられておらず、限られたサークルでのみ知られている穴の数は大きな問題です。



脆弱性の説明からわかるように、Aliceはプロセスのコンテキストでコードを実行でき、WindowsだけでなくLinuxおよびMac OSでも動作します。 脆弱性はランダムに例として取り上げられます。



アクション

Pinocchioはスクリプトを作成し、そこにシェルコードを書き込みます。これは、ターゲットシステムであるBobのPCで実行する必要があります。 これを行うには、彼は何らかの形でリンクを渡す必要があります。 メールAliceとPinocchioの最初のオプションはすぐに却下されます-Bobは慎重なユーザーであり、メールからのリンクを開きません。 その後、彼らは少し即興することにしました。 彼らはボブが普通の人であり、妄想に苦しんでいないことを知っています...オーケー、要するに、それはポイントではありません、簡単にするために、ボブはちょうどリンクをたどりました-アリスは説得しました。



ボブがブラウザのプロセスのコンテキストでリンクにアクセスした後、Pinocchioを作成する小さなコードが実行されました。これは、ウイルスの本体をダウンロードして実行するわずかなコマンドです。 しかし、どうでしょう。 ボブは、アリスが自分の写真を見せているだけで、ファイルがディスクにダウンロードされておらず、警告も、ルートからのパスワードの入力も求められていないことを確信しています。



特権を増やします

ピノキオの開発がボブのプロセッサで最初の指示を実行し始めた後、次は何をすべきかという疑問が生じました。 ボブの理論では、たとえ感染が発生しても、彼は何者にもならず、ボブはrootに複雑なパスワードを設定し、突然彼はそれを一切入力しません。



ピノキオとアリスはそのような質問を予見し、事前に決定しました。 同じPedroは、カーネルバージョン3.17および3.14の最新の脆弱性（CVE-2014-9322、CVE-2014-3153）のように、Linuxカーネルにいくつかのゼロデイ脆弱性があることを伝えました。



脆弱性の説明を読んだ後、Pinocchioは、ボブOSカーネルのコンテキストでコードを実行できることを認識しました。 そして、彼が必要とするのは、悪意のあるアプリケーションがこれらの新しい穴を利用して、ring-0でコードを実行することだけです。



何も疑っていないボブはアリスの写真を調べていますが、ピノキオのコードはすでに彼のシステムの広がりに深刻に侵入しており、アンチウイルス（単に存在しない）も他のものも侵入メッセージを表示することはできません。 ピノキオはそこで止まらないことに決めたので、彼は続けた。 信頼できるコードのみが実行されることになっているボブのOSの最下位レベルになると、ピノキオはOSの起動を担当するファイルの検索を開始しました。 Pinocchioのソフトウェアがこのファイルを見つけるとすぐに、ボブのPCが再起動したときにPinocchioコードが実行され続けるように修正します。



ルートキット

それで、ピノキオとアリスは、Linuxを実行しているボブのPCにアクセスできましたが、どうやって彼らの存在を隠すことができますか？ ボブはバカではなく、5分ごとにOSシステムファイルの整合性をチェックします。 このため、ピノキオは、ボブのPCメモリにロードされるオペレーティングシステム自体のコードを書き換えることに決めましたが、それはどのようにですか？ 結局、Windowsで同じアクションを実行すると、1つの小さなシステムコンポーネントがこれを検出し、PCを強制的に再起動します。



ボブは彼の安全性を心配していません-結局、攻撃者のコードがカーネルで実行されても、最新バージョンのLinuxカーネルでは、システムメモリ領域は書き込み保護されています。 PinocchioがRAMのOSコードを上書きしようとしても、プロセッサはエラーを出し、PCは再起動します。



その後、ピノキオは、ボブのPCにあるプロセッサのドキュメントを開き、調査を開始しました...彼は、プロセッサのアーキテクチャがボブx86であることを知っていますが、それは何を提供しますか？ 結局のところ、カーネル内の必要なページには書き込み保護があります。 その後、ピノキオはレジスタcr0に注目しました。これは、プロセッサが動作するデータが保存される小さなメモリブロックです。 そして、16番目のビットをゼロに設定し、必要なカーネルメソッドをすぐに上書きして、すぐにレジスタを復元するとどうなりますか-ピノキオは考えました。 このビットをゼロにリセットすると、書き込み保護が一時的に無効になることが判明したため、彼はそうしました。



したがって、ピノキオはボブのOSを完全に制御し、脆弱性を見つけて修正しましたが、ボブのOSにこの方法で侵入したプログラムコードは見つかりませんでした。 毎分の整合性制御は、システム内の単一のファイルが変更されていないことを示します-Pinocchioプログラムは、読み取り時にそれを単純に置き換えます。 新しいプロセスはありません-悪意のあるプロセスは単純に隠されており、別のOSにそのような技術を長い間発見しているソリューションがある場合、これはBobのOSには当てはまりません。



一般的に、結論として、アリスとピノキオはボブに哀れみを抱き、すべてのファイルを削除しました。 まあまあ、真剣に、何かに対してそれほど狂信的に自信を持ってはいけません。 私は問題の本質を技術的な用語なしで、軽い形で述べようとしました。 Pinocchioのアドバイスはウイルスを増やすことではないので、Pedramを公開して未公開の脆弱性をすべて公開し、それらを修正してください。ボブはひげを生やしたノームをあまり信用せず、左のリンクをクリックして自分の頭で考えないでください そして、あなたが好きなOSを使用してください！ 安全なものは絶対にありません。 みんな元気になればと思います）



PS興味深いのであれば、夏に近い最新バージョンのLinuxカーネルでのカーネル関数のインターセプトに関するCの例を含む短い記事を書くことができます。