Back Orifice in Linux

Giorgos Keramidas keramida at ceid.upatras.gr
Thu Jun 24 04:50:01 EEST 2004 

On 2004-06-23 21:45, Karaoulis Marios <marios at lemnos.geo.auth.gr> wrote:
> Paidia, to firewall mou (Firestarter) painei sto out kapoio Back Orifice sto
> port 31337. Eida kapou sto Internet oti yparxei auto o "ios" KAI gia  Linux
> kai proteinei auth thn lhsh
> http://www.vsantivirus.com/16-03-02.htm
> (Kante prota translate thn selida).
> Dysthxos tetopia arxeio Xaccess den brisketai sto SuSE 9.1. Ti na kano?

Για όποιον προσπαθήσει να διαβάσει τι λέει η σελίδα, ορίστε το output
του babelfish για το σχετικό link:

|    1	VSantivirus no. 617 - Year 6 - Saturday 16 of March of 2002
|    2
|    3	A Back Orifice for Linux allows remote attacks
|    4	http://www.vsantivirus.com/16-03-02.htm
|    5
|    6	By VSAntivirus Writing
|    7	vsantivirus at videosoft.net.uy
|    8
|    9	An announcement of high given priority to know Friday, reveals
|   10	that a well-known fault like "Anonymous XDMCP", allows the
|   11	remote action of attackers in practically all the platforms
|   12	existing UNIX and Linux to the date.
|   13
|   14	Using a present commando in most of the UNIX packages (Linux),
|   15	well-known protocol UDP can be obtained by means of the use of a
|   16	little (the XDMCP, X Display Manager Protocol Control), an
|   17	identical remote console to the local session under X-Windows.
|   18
|   19	This is not something new. Nevertheless, recently everything has
|   20	become easier with the new desktop applications available in
|   21	UNIX and Linux.
|   22
|   23	The fault has been catalogued like an authentic "Back Orifice
|   24	for UNIX" (BO is a troyano well-known that affects platforms
|   25	Windows, and allows the total control of the attacked
|   26	computers).
|   27
|   28	The mitigante factor is that the attacker still must
|   29	autentificar itself, before being able to take the complete
|   30	control. But once obtained the passwords, this is "eaten bread".
|   31
|   32	After the authentication, the attacker can obtain the complete
|   33	control on the attacked remote machine.
|   34
|   35	This vulnerability has been proven in all the versions of Sun
|   36	Solaris and Linux Mandrake until at least the 8,1. But other
|   37	packages also could be vulnerable.
|   38
|   39	This fault is not new, and for a long time hackers has been
|   40	operated by few and perhaps some crackers (from 1999 or before).
|   41
|   42	The warning of the vulnerability was done the 1 of March of 2002
|   43	to the CERT, that noticed the salesmen of involved software and
|   44	the 15 of the same month were made public.
|   45
|   46	A utility of test has been released also that examines
|   47	vulnerability XDMCP and the traffic generated in the network by
|   48	this fault. Software of course, is gratuitous, and
|   49	paradoxicalally also it could be used maliciously to look for
|   50	vulnerable equipment, and after it, to obtain names of user and
|   51	passwords by means of other known methods, and finally to enter
|   52	those machines taking advantage of the fault here deciphers.
|   53
|   54	What it could more worry to the users, is that the fault is not
|   55	new, and therefore the personal or enterprise information, they
|   56	could be or having been in risk situation previously.
|   57
|   58	The precaution measures consist of deshabilitar the remote
|   59	connections and blocking all traffic in the ports used by
|   60	protocol XDMCP.
|   61
|   62	The solution is to process the patches of the different
|   63	companies as these implement them, and in the case from
|   64	companies, to apply security audits.
|   65
|   66	Vulnerable systems:
|   67
|   68	Linux Mandrake versions 8.0.
|   69	Solaris 2,6 (intel).
|   70	Solaris 2,6 Sparc, Solaris 7 Sparc and possibly 8
|   71
|   72	He is not vulnerable: RedHat 7.2
|   73
|   74	Platforms: Solaris/Linux/Unix
|   75
|   76	More information and detailed description of solutions:
|   77	www.procheckup.com/security_info/vuln_pr0208.html
|   78
|   79	(c) Video Soft - http://www.videosoft.net.uy
|   80	(c) VSAntivirus - http://www.vsantivirus.com

Μάριε, αυτό που περιγράφει το 'άρθρο' δεν είναι ένα vulnerability του
Linux σε κάποιο ιό, αλλά ένα πρόβλημα στις ρυθμίσεις του.  Το ότι αυτός
που έγραψε το συγκεκριμένο άρθρο δεν έχει ιδέα τι του γίνεται και γράφει
την πρώτη αρλούμπα που του κατεβαίνει είναι φανερό από τις χαζομάρες τις
οποίες γράφει, όπως π.χ.:

|    9  An announcement of high given priority to know Friday, reveals
|   10  that a well-known fault like "Anonymous XDMCP", allows the
|   11  remote action of attackers in practically all the platforms
|   12  existing UNIX and Linux to the date.

Ναι ΟΚ, το Unix και το Linux εδώ και καιρό επιτρέπουν (αν έτσι τα
ρυθμίσεις) να κάνει κάποιος remotely login μέσω XDMCP με γραφικό
περιβάλλον.  Αυτό δεν είναι "well-known fault", ούτε επιτρέπει σε
κανέναν να συνδεθεί στο τοπικό σου μηχάνημα αν:

    α.  Δεν έχεις ενεργοποιήσει το XDMCP, που δεν υπάρχει συνήθως λόγος
	να το ανοίξεις ακόμα κι αν τρέχεις το XDM ή κάποιο αντίστοιχο
	πρόγραμμα.  Συνήθως, αν δεν το ανοίξεις ρητά εσύ, δεν τρέχει καν
	το XDM!

    β.  Ακόμη κι αν τρέχεις XDM ο "attacker" πρέπει να έχει ένα valid
	username/password pair στο μηχάνημά σου.  Αν έχει αυτό όμως
	ποιος ασχολείται με XDM και παπαριές τώρα; Γιατί να μην κάνει
	SSH κατευθείαν στο PC σου και να σου χώσει ένα πανηγυρικό
	"rm -fr /" από μακριά;

|   19	This is not something new. Nevertheless, recently everything has
|   20	become easier with the new desktop applications available in
|   21	UNIX and Linux.

Ναι OK.  Τώρα μας περιγράφει ότι το XDMCP δεν είναι νέο πρωτόκολο που
βγήκε χτες.

Hint: το γεγονός ότι δεν είναι κάποιο νέο πρωτόκολο, συνήθως σημαίνει
ότι έχει δοκιμαστεί καιρό.  Ειδικά με το XDMCP που υπάρχουν κι ένα σωρό
εναλλακτικές υλοποιήσεις του, από το GDM και το KDM, από τα XFree86 και
τα X.org X11... είναι τουλάχιστον ύποπτο να προσπαθεί κάποιος να
παρουσιάσει το XDMCP ως "τρύπα".

|   23	The fault has been catalogued like an authentic "Back Orifice
|   24	for UNIX" (BO is a troyano well-known that affects platforms
|   25	Windows, and allows the total control of the attacked
|   26	computers).

"catalogued" από ποιόν;  Αυτός ο κάποιος ήξερε τι στο κακό έλεγε ή έτσι,
απλά έγραφε ότι παπαριά του κατέβει;

Το back orifice είναι συγκεκριμένο πρόγραμμα με συγκεκριμένη λειτουργία
και αυτή δεν έχει καμία σχέση με το XDMCP πρωτόκολο.  Γιατί να θέλει
κάποιος να συσχετίσει το BO με το XDMCP;  Μπορώ να σκεφτώ κάποιους
λόγους, αλλά δεν έχουν τόσο να κάνουν με τα ίδια τα πρωτόκολα όσο με τις
ιδέες που "θέλει να περάσει" αυτός ο κάποιος στον κόσμο.

|   28	The mitigante factor is that the attacker still must
|   29	autentificar itself, before being able to take the complete
|   30	control. But once obtained the passwords, this is "eaten bread".

Η λέξη "mitigate" χρησιμοποιείται από τους αγγλόφωνους με συγκεκριμένο
νόημα.

    mit·i·gate
    v. mit·i·gat·ed, mit·i·gat·ing, mit·i·gates

    (v.tr.) To moderate (a quality or condition) in force or intensity;
    alleviate. See Synonyms at relieve.

    (v.intr.) To become milder.

Το "mitigating factor" λοιπόν που περιγράφει παραπάνω δεν είναι κάτι που
"αλαφρώνει", που "περιορίζει" το πρόβλημα.  Κυρίως επειδή ΔΕΝ ΥΠΑΡΧΕΙ
πρόβλημα.

Πρόσεξε τι γράφει... "the attacker still must autentificar itself".

Αν κάποιος μπορεί να κάνει κανονικά authenticate όμως, τότε αυτόματα
παύει αυτό να θεωρείται "επίθεση ιού".  Όποιος δεν καταλαβαίνει γιατί,
ας μου στείλει προσωπικό email να του εξηγήσω γιατί είναι μαλακία να λες
ότι είναι virus attack το XDMCP *με* κανονικό authentication του user.

|   32	After the authentication, the attacker can obtain the complete
|   33	control on the attacked remote machine.

Και με TELNET μπορεί.  Και με RSH.  Και με SSH.

ΟΚ, και...;  Τι έγινε μ' αυτό δηλαδή;

|   35	This vulnerability has been proven in all the versions of Sun
|   36	Solaris and Linux Mandrake until at least the 8,1. But other
|   37	packages also could be vulnerable.

Όλοι αυτοί υποστηρίζουν XDMCP!  Σώπα ρε... σοβαρά;  Εγώ σου λέω ότι ΟΛΑ
τα σοβαρά UNIX που έχουν  X11 υποστηρίζουν XDMCP.

|   39	This fault is not new, and for a long time hackers has been
|   40	operated by few and perhaps some crackers (from 1999 or before).

Όποιος άφηνε ανοιχτό το XDMCP του ας πρόσεχε, είναι το καλύτερο που
μπορούμε να πούμε.  Το Internet έχει πάψει εδώ και χρόνια να είναι η
φιλική γειτονιά που ήξεραν οι πέντε φίλοι που έφτιαξαν το ARPAnet.

Το να είναι κανείς εύπιστος και να εμπιστεύεται το σύμπαν είναι συνήθεια
που οι UNIX users την έχουν κόψει πολύ πριν το 2002 που βγήκε αυτό το
κίβδηλο "virus alert".

|   42	The warning of the vulnerability was done the 1 of March of 2002
|   43	to the CERT, that noticed the salesmen of involved software and
|   44	the 15 of the same month were made public.

Κι επιτέλους φαίνεται ότι περιγράφει αυτό εδώ:

	http://www.kb.cert.org/vuls/id/634847

Αυτό είναι ένα από τα πολλά προβλήματα που έχουν εμφανιστεί κατά καιρούς
σε προγράμματα που τρέχουν σε UNIX.  Παραδόξως, ενώ πολλά από αυτά
χρησιμοποιούνται για να αποκτήσει ο κόσμος πρόσβαση σε μηχανήματα
τρίτων, δεν υπάρχει (ακόμη) κάποιος ιός για Linux που να κάνει αυτό που
γίνεται τόσες φορές τη βδομάδα στα Windows.  Ίσως όχι τόσο επειδή αυτό
δε γίνεται, αλλά επειδή αυτοί που ασχολούνται με Linux έχουν καλύτερα
πράγματα να κάνουν για να περάσει η ώρα τους :P

|   54	What it could more worry to the users, is that the fault is not
|   55	new, and therefore the personal or enterprise information, they
|   56	could be or having been in risk situation previously.

Όπως ακριβώς και με κάθε πρόβλημα που έχει ανακοινωθεί ποτέ ως σήμερα.
Το κακό είναι ότι το συγκεκριμένο πρόβλημα δεν είναι "ιός", παρόλο που ο
συγγραφέας του άρθρου μόνο που δε βγήκε στο καμπαναριό να φωνάξει όπως
οι μουεζίνηδες: "ΤΟΝ ΒΡΗΚΑ, ΤΟΝ ΒΡΗΚΑ! ΣΑΣ ΛΕΩ ΤΟΝ ΒΡΗΚΑ! ΚΑΙ ΕΙΝΑΙ
ΙΟΣ!".

|   58	The precaution measures consist of deshabilitar the remote
|   59	connections and blocking all traffic in the ports used by
|   60	protocol XDMCP.

Η καλύτερη λύση είναι να μην τρέχεις services που δεν ξέρεις γιατί τα
τρέχεις, που είναι κακορυθμισμένα, που... που.. ένα σωρό πράγματα.

|   66	Vulnerable systems:
|   67
|   68	Linux Mandrake versions 8.0.
|   69	Solaris 2,6 (intel).
|   70	Solaris 2,6 Sparc, Solaris 7 Sparc and possibly 8
|   71
|   72	He is not vulnerable: RedHat 7.2
|   73
|   74	Platforms: Solaris/Linux/Unix

Μέχρι κι αυτό λάθος είναι, αν πιστέψουμε το CERT.

Άντε, καληνύχτα μας.

> Y.G. Kai nomiza oti to Linux den kinduneei apo ious....

Αν είναι καλά ρυθμισμένο και δεν τρέχεις ένα κάρο παπαριές που δεν
ξέρεις γιατί τρέχουν και τι κάνουν, φυσικά και δεν κινδυνεύει.

Τι σε κάνει να πιστεύεις το αντίθετο;

- Γιώργος

More information about the Linux-greek-users mailing list