Een usb-stick wordt bij Ubuntu 10.04.1 inderdaad onder /media aangekoppeld, maar met gebruikersrechten, geen rootrechten.
$ ls -l /media
drwx------ 2 bloom bloom 8192 1970-01-01 01:00 CORSAIR
Zoals je ziet heeft alleen de huidige ingelogde gebruiker toegang tot de stick. Om software of scripts op die stick te doen uitvoeren is één stap al genomen: de uitvoerbaarheidsvlag staat immers aan.
Dat maakt in dit geval niet zoveel uit, aangezien er een lek in de thumbnailer gebruikt wordt.
Er wordt dus geen los scriptbestand uitgevoerd.
Maar een programma dat van hieruit gestart wordt, heeft dus geen rootrechten en kan dus niets veranderen aan de onderliggende Linux-configuratie. Het zou nautuurlijk wel de inhoud van de homedirectory van de ingelogde gebruiker kunnen wissen of overschrijven, dat wel. Maar iedere verstandige Linux-gebruiker neemt uiteraard een back-up van zijn homedirecotry en kan zoiets dus eenvoudig herstellen, nietwaar?
Klopt
Het artikel wekte in elk geval de indruk alsof op deze manier spyware in Linux geïnstalleerd kon worden en dat is dus gewoon niet waar.
Als er via dat lek code uitgevoerd wordt die mijn mail doorzoekt op passwords, dan noem ik dat spyware.
En dat kan, want mijn gebruiker heeft recht om de mail te lezen
Het is ook nog mogelijk dat alle tekstbestanden die ik kan lezen naar een bepaald adres gemaild worden, om maar wat te noemen.
En je kan via de autostart-functie van Gnome (of KDE, dat maakt geen bal uit) een keylogger uit laten voeren bij het inloggen.
Als een script op een usb-stick gestart wordt en iets aan het systeem wil wijzigen, zal automatisch een dialoogvenster verschijnen met het verzoek voor een beheerderwachtwoord. Ik mag hopen dat geen enkele Linux-gebruiker zo stom is dat in te tikken als het verschijnt zodra hij een usb-stick inplugt.
Zie het keyloggerverhaal hierboven. Even de updates installeren en de aanvaller heeft je wachtwoord te pakken.
Al zit daar nog wel een beveiliging tussen, maar met wat gepuzzel kom je daar misschien ook wel omheen.
Gebruik je toevallig hetzelfde wachtwoord om in te loggen op je systeem als voor je mail, dan ben je de pineut.
En voor scripts of software die informatie uit /home/gebruiker naar buiten wil verzenden: dat kan natuurlijk. Configureer dus je systeem zo, dat software op usb-opslagmedia of cd/dvd's niet automatisch gestart mag worden. En kijk verder altijd al na van wie scripts of software afkomstig is vooraleer je dat start!
Het gaat niet om een script, het gaat om een lek in de thumbnailer.
Zodra je een stick inplugt, opent Nautilus met een scherm waar de inhoud van die stick in staat. Vervolgens gaat Nautilus daar voorbeeldweergaven van maken. En tijdens dat proces maakt de aanvaller misbruik van een lek in de tools die de voorbeeldweergaven maakt. Via dat lek kan willekeurige code uitgevoerd worden.
@Seysayux: het lek in de dvi-parser is enkele weken geleden al gedicht. Maar er zullen vast wel meer lekken te vinden zijn in die of andere parsers.