Heet van de naald: Gegijzelde computers... NIEUWS

[partyrabbit]

Nee, er is geen actie van de gebruiker nodig, een kwaadwillende gebruiker kan geheel zelfstandig via het lek in Samba je computer op afstand opdrachten laten uitvoeren.

Ik geloof er niets van.
Ik kan zelf niet eens iets serieus doen op mijn pc zonder ingeven van wachtwoord, laat staan een ander.
Daarnaast zijn mijn bestanden onbenaderbaar. Zelfs een andere gebruiker op de pc kan niets, zo goed zit het allemaal in elkaar.
En dan is er ook mijn router nog.

Dus al zou samba al lek zijn dan is mijn pc nog altijd veel moeilijker toegankelijk. En in beginsel blijft het hier dan al bij een gebruiker aangezien deze er diversen beperkte zijn en zonder root kan het systeem zelf al helemaal nooit aangetast worden (kom ik zelf niet eens bij zonder root).

Om nog even op jouw specifieke voorbeeld in te gaan. Dat is samba versie 3.5.0 die hier inmiddels allang geupdate is naar een versie ver boven 3.5 en dus gedicht.
En als het al zo zou zijn hebben we nog altijd de voordelen van open source, waarbij geen lekken bewust open gelaten of wat dan ook maar zeer snel gedicht worden.
Daarnaast, als het zo makkelijk zou zijn zou er allang gebruik van gemaakt worden en zouden wij er veel meer over moeten lezen en horen.

Ik geloof er niets van dat het zo simpel mogelijk zou zijn als jij het doet voorkomen.

[MKe]

Het is Samba sinds versie 3.5. En testcees heeft gelijk, het is een gedrocht van een protocol. Overigens is het nu gefixeerd, met al bij Windows overigens. Als al die bedrijven gewoon netjes hadden geüpdatet was er niets aan het handje geweest. Waar ik helemaal zuur vind is dat veel bedrijven dit zelfs niet hebben gedaan na de eerste waarschuwing in mei van wannacry. Ook in mijn bedrijf hebben de Windows jongens het pas afgelopen vrijdag gefixed. Ik hoef niet te zeggen dat dat bij het Linux deel van het netwerk al veel eerder het geval was 😎

[jvecht]

Ik geloof er niets van dat het zo simpel mogelijk zou zijn als jij het doet voorkomen.

Geloof MKe nou echt maar, partyrabbit! Ik kan je verzekeren dat hij heel goed weet waarover hij het heeft.

groet,

Just

[partyrabbit]

Geloof MKe nou echt maar, partyrabbit! Ik kan je verzekeren dat hij heel goed weet waarover hij het heeft.

Ik geloof MKe aanzienlijk. Mijn reactie was ook meer gericht aan andere angstzaaierij aan het linux adres.

Het is Samba sinds versie 3.5. En testcees heeft gelijk, het is een gedrocht van een protocol. Overigens is het nu gefixeerd, met al bij Windows overigens. Als al die bedrijven gewoon netjes hadden geüpdatet was er niets aan het handje geweest. Waar ik helemaal zuur vind is dat veel bedrijven dit zelfs niet hebben gedaan na de eerste waarschuwing in mei van wannacry. Ook in mijn bedrijf hebben de Windows jongens het pas afgelopen vrijdag gefixed. Ik hoef niet te zeggen dat dat bij het Linux deel van het netwerk al veel eerder het geval was 😎

ZZal best dat samba lek is/was maar dan nog is er zomaar nog niets geïnstalleerd onder linux. En om iets te kunnen zal een hacker toch eerst iets moeten zien te installeren. Of beperkt. Dat zei ik al duidelijk volgens mij.
Wat ik vooral niet geloof is dat het bij linux "ook zo simpel verkeerd" zou kunnen lopen.
Mits linux-veiligheid (en evt nog meer) in acht genomen wordt verstrekt samba nog steeds geen root rechten waardoor er nooit volledig tot het core systeem doorgedrongen kan worden (daar kan ik zelf niet eens in zonder wachtwoord).

En zoals ik al zei, dan is er eerst de router nog waar men voorbij zou moeten.

[Bloom]

DLL's en exe's kunnen werken onder Linux als Wine geïnstalleerd is.
Samba zou NOOIT via internet toegankelijk mogen zijn en dus kan een aanvaller ook niets via smbd misbruiken via het internet.

[MKe]

Jullie hebben allemaal gelijk. Onveiligheid is net als met vliegtuig crashes. Het is een keten van problemen die uiteindelijk onder bepaalde omstandigheden resulteren in een 'attack surface' voor de aanvaller. Elk lek is er een maar hoeft op zich niet altijd een probleem te vormen. In bepaalde omstandigheden echter wel.

Het volgende is meer als voorbeeld, dus beschouw het als hypothetisch: Dat SAMBA niet naar buiten toe moet open staan geldt ook voor Windows, dus dat maakt Linux op zich niet veiliger. Bij windows kan dit lek uitgebuit worden door programma's te starten die uit dll en exe bestaan. Deze kunnen inderdaad niet op Linux gestart worden, mits je geen Wine hebt geinstalleerd. Ik geloof dat Pjotr ook ergens heeft geschreven dat je Wine moet vermijden als je kunt, en daar heeft hij een zeer goed punt. Een ander probleem kan zijn dat je in hetzelfde netwerk zit als Windows machines (waarom zou je anders SAMBA gebruiken, NFS is meer native voor Linux machines). Dan kan de besmetting van het netwerk via die Windows machine gaan waarna je Linux machine alsnog kwetsbaar is geworden via die SAMBA lek. De kansen hierop zijn natuurlijk voor bedrijven veel hoger dan voor individuele huishoudens.

Natuurlijk is dit allemaal geen real-live situatie. Het is meer als demonstratie dat alles uiteindelijk kan leiden tot een kwetsbare situatie, ook soms dingen buiten je eigen macht om. Hackers zijn gespecialiseerd in het vinden van dit soort situaties en het uitbuiten ervan. Voor de beheerders is het zaak om de kans op een kwetsbare situatie zo klein mogelijk te maken. Zoals je ziet is de keten om Linux kwetsbaar te maken voor de huidige randsomware beduidend langer en ingewikkelder dan voor Windows. Dus Linux is idd een stuk minder kwetsbaar en de kans dat wij als Linux gebruikers getroffen worden is zo goed als 0. Maar elk schakeltje dat weer gedicht wordt is er weer een en maakt maakt de kwetsbaarheid weer een stukje minder. Totdat er weer nieuwe kwetsbaarheden gevonden worden natuurlijk. Daarom is het belangrijk om je veiligheidsupdates goed bij te houden en geen software te gebruiken dat niet meer onderhouden wordt.

[testcees]

ZZal best dat samba lek is/was maar dan nog is er zomaar nog niets geïnstalleerd onder linux. En om iets te kunnen zal een hacker toch eerst iets moeten zien te installeren.

Dat is eenvoudig (vandaar dat dit lek ook de classificatie High heeft gekregen). In de Proof-Of-Concept staat nu 1 onschuldige programmaregel:

printf("hello from cve-2017-7494 poc! \n");

Met weinig programmeerkennis verander je deze regel(s) in “wis bestanden”, “versleutel bestanden”, "infecteer andere computers via samba", “download (wget) en start een backdoor” enz.
Probeer de Proof-Of-Concept anders zelf eens uit op een virtuele machine.
@MKe: Hiervoor is geen Wine nodig als het specifiek voor Linux wordt geprogrammeerd maar in 99% is de payload gericht op Windows.
@MKe: Of Wine automagisch de code van de smbd oppakt betwijfel ik, zo niet is er geen risico door de installatie van wine (ik wil niemand bang maken).

Mits linux-veiligheid (en evt nog meer) in acht genomen wordt verstrekt samba nog steeds geen root rechten waardoor er nooit volledig tot het core systeem doorgedrongen kan worden (daar kan ik zelf niet eens in zonder wachtwoord).

Wel, als je samba (“bestanden delen”) actief hebt kan je zien dat het proces smbd onder root draait:

Code: [Selecteer]

ps -ef | grep smbd
De malafide opdracht (de payload in de Proof-Of-Concept) krijgt deze root-rechten ook en kan dus bij alle bestanden, van alle gebruikers en systeembestanden (zonder sudo-wachtwoord).

En zoals ik al zei, dan is er eerst de router nog waar men voorbij zou moeten.

Klopt (tenzij je samba bewust open hebt gezet of met een laptop onderweg met wifi verbind).
Maar als als eenmaal een computer is besmet kan het eenvoudig via het interne (samba) netwerk verspreiden en hele bedrijven “platleggen”. Daarom is het ook een (opgeklopt) nieuwsbericht (“Heet van de naald”). Het heeft ook niets met het besturingssysteem te maken, zowel Windows smb als Linux Samba zijn (waren) lek.
Uiteraard was de kwaadaardige payload gericht op het veel gebruikte Windows om het nieuws te kunnen halen.

[partyrabbit]

@MKe
Dan nog heeft linux veel meer barrieres voor er iets mis gaat.
Waar bij het minste lekje al meteen dll's en exe's systeembreed uitgevoerd kunnen worden, is een deb of commando zomaar nog niet uitgevoerd.

of met een laptop onderweg met wifi verbind).
Maar als als eenmaal een computer is besmet kan het eenvoudig via het interne (samba) netwerk verspreiden 

Klein detail.
Wifispots onderweg hebben allemaal bestanden delen uit staan (vaak genoeg getest  )
Onmogelijk zo te verspreiden. Geen reden tot angst.

Dat is eenvoudig (vandaar dat dit lek ook de classificatie High heeft gekregen). In de Proof-Of-Concept staat nu 1 onschuldige programmaregel:

printf("hello from cve-2017-7494 poc! \n");

Met weinig programmeerkennis verander je deze regel(s) in

Goh, dat is dan ook 1 keer. Aangetoond, en niet eens practisch uitgebuit en snel gedicht.
Moet dat mij nu meteen bang maken??
Hoeveel wél succesvolle besmettingen en aanvallen zijn er ondertussen op 'die andere' geweest? Kansberekening, risicoanalyse.

Een commando of deb moet eerst nog maar eens ongemerkt (systeembreed!) uithevoerd kunnen worden. En dan is hier de hindernis er nog dat er diverse beperkte gebruikers zijn.
En zelfs dan nog is de community er nog. Zo'n lek bestaat nooit zo lang. Op zulke fouten wordt veel sneller gereageerd.
Targetkans klein want niet efficient. Technisch veel moeilijker. Risico nihil. Geen reden voor angst.
"Het kan wel....". Ja, als ik de voordeur open zet en wachtwoorden op een briefje naast de pc leg kan mijn domme overbuurvrouw ook in mijn pc. Altijd zelf op blijven letten.

Ik roep dan ook nog steeds hard dat het bij linux bij lange na niet zo spannend is als men wil doen voorkomen.
Je kunt NIET zomaar een 1op1 vergelijkend "kan bij linux net zo makkelijk gebeuren" deponeren want dat is verre van reëel.


(Let wel, ik spreek vanuit mijn positie van een 100% non-raampjes pc, geupdate, en 100% repository software)

[partyrabbit]

Schiet me nog even binnen.
Jullie vergeten een belangrijk detail.

Leuk dat het via samba verder je systeem in zou(!) kunnen.
De eerste besmettingen komen nog altijd voor 99,9% via onmerkbare browser- en emailbesmetting en niet via samba. Dát is bij linux al schier onmogelijk. Terwijl dat ook nog zelden gepoogd wordt (sinds linux nog maar 1 aanval gehad, tegen ooit tot meermalen per week)

[MKe]

@Partyrabbit, inderdaad, dat linux meer barrieres heeft, ik geloof dat ik dat toch duidelijk maakte in mijn verhaal? Ik denk idd dat je niet bang hoeft te worden van al de verhalen. Ten eerste zijn voornamelijk bedrijven kwetsbaar en verder is nog steeds 99.#####% van de besmettingen op Windows gericht. De recente aanvallen zijn overigens inderdaad o.a. via Samba/Windows share, vanwege de gelekte informatie van de NSA. Dit ondanks de veiligheids updates van Windows die al in april beschikbaar waren, maar die veel bedrijven nog niet geinstalleerd hadden.

Een deb bestand is overigens niet nodig voor dit soort malware en zelfs installatie is niet echt nodig. Je zou gebruik kunnen maken gebruik maken van libraries en interpreters die al beschikbaar zijn op een machine, afhankelijk van je toepassing natuurlijk.

@testcees

Hiervoor is geen Wine nodig als het specifiek voor Linux wordt geprogrammeerd maar in 99% is de payload gericht op Windows.

ik verwees hierbij direkt naar (non)Petya en wannacry die wel degelijk voor Windows geschreven waren.

Of Wine automagisch de code van de smbd oppakt betwijfel ik, zo niet is er geen risico door de installatie van wine (ik wil niemand bang maken)

Ik wil ook nietmand bang maken. Maar om upberhaupt Windows specifieke code te kunnen uitvoeren op Linux heb je Wine of iets dergelijks nodig, anders werkt het zowiezo niet. Het wordt wat anders als je cross platform kunt schrijven natuurlijk, maar bij SMBA getargete software zou ik dat niet verwachten omdat dat eigelijk een MS protocol is.

[Ron]

Ik denk idd dat je niet bang hoeft te worden van al de verhalen.
Ten eerste zijn voornamelijk bedrijven kwetsbaar en verder is nog steeds 99.#####% van de besmettingen op Windows gericht.

En zit 99% van de thuis-computers achter een modem/router, waarbij directe toegang (poort forwarding) standaard is uitgeschakeld,

Ik wil ook niemand bang maken.

Een bash file is zonder rechten ook makkelijk op te starten, en dan is er veel mogelijk............

[testcees]

En als het al zo zou zijn hebben we nog altijd de voordelen van open source, waarbij geen lekken bewust open gelaten of wat dan ook maar zeer snel gedicht worden.

Dit lek is juist wel bewust open gelaten (lees: niet gemeld maar in gebruik bij o.a. de NSA) 

De recente aanvallen zijn overigens inderdaad o.a. via Samba/Windows share, vanwege de gelekte informatie van de NSA.

Regelmatig worden er lekken gedicht die al jaren bestaan.
Weet ook dat alleen de Linux kernel al bijna uit 20 miljoen regels code bestaat. https://www.linuxcounter.net/statistics/kernel
Wie gaat dit (even/regelmatig/vrijwillig) op lekken controleren? En dan is er nog veel (veel meer) niet-kernel open source code om te controleren zoals Firefox (>16 miljoen regels), samba, ssl, enz. enz. 

[MKe]

Testcees, datzelfde geldt ook voor Windows en die hebben een stuk minder reviewers.

[partyrabbit]

Een bash file is zonder rechten ook makkelijk op te starten, en dan is er veel mogelijk............

Maar niet door een derde. Niet door een hacker.
Die bash zul je dan toch zelf moeten activeren. En bij een bash commando worden ook voor belangrijke zaken wachtwoorden gevraagd (toch?).

Regelmatig worden er lekken gedicht die al jaren bestaan.

Hoeveel daarvan is linux lekken? Windows lekken ja.

Wie gaat dit (even/regelmatig/vrijwillig) op lekken controleren? En dan is er nog veel (veel meer) niet-kernel open source code om te controleren zoals Firefox (>16 miljoen regels), samba, ssl, enz. enz. 

Dat wordt gecontroleerd. En als er onverhoopt iets toch door komt wordt dat meestal vrij snel ontdekt en door de linux communitie verguisd en verbannen.
Ik denk vele mensen wereldwijd. 100.000? 1.000.000? Zelf ken ik al 1 iemand persoonlijk die al vele jaren met en binnen linux programmeerd en meteen ook controleerd. En zo zijn er velen.
Dé kracht van de linux community en het open karakter van linux.

@Partyrabbit, inderdaad, dat linux meer barrieres heeft, ik geloof dat ik dat toch duidelijk maakte in mijn verhaal?

Maar om upberhaupt Windows specifieke code te kunnen uitvoeren op Linux heb je Wine of iets dergelijks nodig, anders werkt het zowiezo niet.

Dat was voor mij ook allemaal duidelijk. Ik heb ook al bevestigd dat ik jou zeker niet in twijfel trek en zeer serieus neem.
Maar blijkbaar is het niet voor iedereen duidelijk blijkens uit dat die wel door blijven gaan gaan met angstig gedoe over irrelevante gevaren.

Ik denk idd dat je niet bang hoeft te worden van al de verhalen. 
(...)
Ik wil ook nietmand bang maken.

Ik ben ook niet bang en mij maak je ook niet zomaar bang. 
Wel vind ik het erg jammer dat sommigen maar door blijven hameren op gevaren en angsten die geheel niet relevant zijn.
Linux is de meest veilige os die er maar is.

En dan lees je hier de laatste tijd regelmatig kritiek over "offtopic" onderwerpen. Alsof dit eindeloos door zoeken naar onwaarschijnlijke gevaren nou allemaal zo ontopic is. 

Ja natuurlijk kan het. Als je je bestanden deelt, computers open zet en internettoegang daarheen opent in je router kun je besmet raken ja.

"Het kan wel....". Ja, als ik de voordeur open zet en wachtwoorden op een briefje naast de pc leg kan mijn domme overbuurvrouw ook in mijn pc.

Je kunt ook sterven met linux. Zo gevaarlijk kan het zijn. Er is ooit iemand geweest die stierf aan een hartaanval achter zijn windows pc. En dat kan zomaar ook achter een linux pc gebeuren.

[Tom]

Het thema word nu toch wat afgezaagd en onnodig in de lengte gerekt gelijk of geen gelijk .

[maasnet]

Het thema woord nu toch wat afgezaagd en onnodig in de lengte gerekt gelijk of geen gelijk .

+1

Allemaal hypothetisch geneuzel

[rico70]

Klopt, gewoon een slotje erop

[partyrabbit]

Allemaal hypothetisch geneuzel

+1
Dat zeg ik heel de tijd al.

[jvecht]

Ik ben het er mee eens. Slot erop!

Leuke discussie geweest maar nu stoppen maar.

groet,

Just

[MKe]

Tja, voor ons op het werk is het geen hypothetische geneuzel. Wij zijn ook regelmatig doelgericht doelwit van o.a. de Chinese overheid en kunnen niet achterover leunen met de gedachte, ik gebruik Linux dus ik ben veilig.  Maar ik kan me voorstellen dat het dat voor privé computer gebruikers wel is.

[partyrabbit]

Voor mij zit daar in elk geval het wezenlijke verschil.
Werk. Netwerk met ext. toegang. Win werkstations met data op server.
Hier. Privegebruik. Meestal gesloten router. Linux desktops.
Maar ik heb geen enkel probleem met dit interessante onderwerp over veiligheidsaspecten en de werking van dit soort bedreigingen. Daar is niets hypothetisch aan.

Maar wat mij vooral stoort is dat (vermeend ontbreken van) de veiligheid van linux te simpel vergeleken wordt met het eeuwig lekke doelwit win. Alleen al de noodzaak van een virusscanner zegt genoeg.
Linux is in de basis gewoon een grote veelvoud veiliger (redenen al veelvuldig vernoemd) en ik vind het not done om dat gelijk te gaan stellen aan een risicovolle situatie en daarmee onnodig onzekerheid en onrust (of zelfs angst) te veroorzaken onder ons.
Eindeloos zoeken naar schier onwaarschijnlijke mogelijkheden richting linux, dat noem ik hypothetisch geneuzel.

[vorsprungdurchbetrug]

Wij zijn ook regelmatig doelgericht doelwit van o.a. de Chinese overheid en kunnen niet achterover leunen met de gedachte, ik gebruik Linux dus ik ben veilig.

Is het niet mogelijk om de delen waar voor de o.a. Chinese overheid interessante interessante info staat, deze los te koppelen van het internet?
Er is een regering die al haar ministeries op deze manier met elkaar verbonden heeft, zonder gebruik te maken van het internet.
Puur voor spionage door andere overheden te voorkomen.

[Pjotr]

Maar wat mij vooral stoort is dat (vermeend ontbreken van) de veiligheid van linux te simpel vergeleken wordt met het eeuwig lekke doelwit win. Alleen al de noodzaak van een virusscanner zegt genoeg.
Linux is in de basis gewoon een grote veelvoud veiliger (redenen al veelvuldig vernoemd) en ik vind het not done om dat gelijk te gaan stellen aan een risicovolle situatie en daarmee onnodig onzekerheid en onrust (of zelfs angst) te veroorzaken onder ons.
Eindeloos zoeken naar schier onwaarschijnlijke mogelijkheden richting linux, dat noem ik hypothetisch geneuzel.

Mooi geformuleerd. Daar ben ik het helemaal mee eens. 

[Ron]

Alleen al de noodzaak van een virusscanner zegt genoeg.

Wat ik vaak te pas en te onpas ventileer is de stelling:
Hoe kan je een software fabrikant vertrouwen, wanneer er software van derden nodig is voor de beveiliging?
Meestal is het antwoord: "daar heb ik nooit bij stil gestaan".............

[MKe]

Tja, onze ervaring is: ongeacht welk OS, in vrijwel alle gevallen dat er bij ons schade is veroorzaakt door aanvallen was het lek de gebruiker. Gebruikers worden verleid door bedrieglijk betrouwbaar uitziende emails om een op eerste gezicht onschuldige handeling te verrichten. Dat is vrijwel altijd de oorzaak geweest dat er derden binnen zijn gekomen. En vergis je niet, dit zijn gerichte aanvallen. De aanvallers hebben een grondige kennis van het bedrijf en sturen op interne mail lijkende berichten met zelfs de juiste namen en de schrijfstijl van de betreffende auteur. Daar zou ik zelfs in kunnen trappen   In zo'n geval wordt zo'n lek in Samba ineens erg relevant.

Ik zie het anders dan partyrabbit. Naar mijn mening is het niet de bedoeling om Linux neer te zetten als onveilig. Naar mijn mening is ook Windows niet perse lek en onveilig (het 3rd party beveiliging argument is misleidend). Maar je moet de zwakheden die in beide systemen zitten grondig onderkennen om jezelf veilig te maken.

Linux is idd lastiger aan te vallen, maar dit gaat ook weer ten koste van het beheergemak en vooral de tijd die het kost. Een persoon kan maar één bepaald aantal uur op een dag werken, dus alles is een afweging.

Natuurlijk is dit alles niet heel relevant voor de thuisgebruiker. Ik heb in 30 jaar computeren, waarvan 8 jaar Linux nooit problemen thuis gehad, noch met Windows noch met Linux.