Root-console nach 70Sek. Enter drücken? Stimmt das??

Smalltalk
Antworten
ArneB
Beiträge: 14
Registriert: 10.04.2016 14:06:44

Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von ArneB » 18.11.2016 16:31:52

Hallo Leute,

vor einigen Tagen, erreichte mich per Conrad-E-Mail Titel TeckTicker die kurze Meldung jemand hätte herausgefunden dass bei Debian, Ubuntu, Fedora, und Derivate eine Sicherheits-Lücke bestünde.

Konkret hiess es dass Hacker im Terminal "nur" 70 Sekunden die Entertaste gedrückt zu halten bräuchten, um an die root-shell zu gelangen. Der Fehler soll in einer default- Configuratiuons-Datei sein.

Als Quelle wurde heise.de angegeben. Die URL ist wie folgt: http://www.heise.de/newsticker/meldung/ ... 66574.html

Als Grund (ich habe es noch nicht vollständig gelesen) steht da was von Lücke in Cryptsetup. Ich sollte evtl. Erst ein mal den Rest lesen wüsste aber jetzt schon gerne, wass davon zu halten ist.

Ich wüsste gerne ob da was dran ist, um ggf. Nach haken zu können, muss aber wie gesagt die E-Mail wiederfinden.

Habe es eben wieder gefunden

Ach ja, googeln werde ich jetzt gleich erst ein mal auch versuchen.

Gruß Arne.

ThomasChr
Beiträge: 9
Registriert: 09.09.2016 11:10:49
Lizenz eigener Beiträge: MIT Lizenz
Kontaktdaten:

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von ThomasChr » 18.11.2016 16:43:34

Hallo arne,

da geht es drum eine root Shell auf einem mit cryptsetup verschlüsseltem System zu bekommen.
An die (verschlüsselten) Daten kommt man teotzdem ned ran.

Ist letzendlich unschön aber halb so wild...

Thomas

Tunix
Beiträge: 447
Registriert: 05.04.2002 12:50:26

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von Tunix » 18.11.2016 17:05:29

Nur Schlagworte lesen und gleich Panik schieben ist keine gute Strategie. Es gibt einfachere Möglichkeiten an eine Root-Shell zu bekommen, da reicht schon eine Live-CD oder bootbarer USB-Stick. Auch wenn der Grub nicht per Passwort gesichert ist (und meistens ist er das nicht), kann man einfach die Kernelparameter editieren und als Init-System /bin/bash o.ä. festlegen. Ärgerlich ist das eher bei Kiosksystemen, bei denen der Bootloader in der Regel abgesichert und diverse Anschlüsse sowie Laufwerke verbarrikadiert sind. Damit kommt man zwar nicht an die verschlüsselten Daten, aber man kann z.B. die Platte überschreiben oder die initiale RAM-Disk so modifizieren, dass sie das Passwort mitschneidet und später petzt.

tl;dr: Die Bedrohungslage für Linux-Heimanwender ist die gleiche geblieben.

ArneB
Beiträge: 14
Registriert: 10.04.2016 14:06:44

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von ArneB » 18.11.2016 17:31:48

Okay, das mit dem gleich in Panik verfallen war nicht gut, das sehe ein. Ich bin mir auch nicht bewusst ob ich überhaupt verschlüsselt habe (ich glaube nicht). Ein Test den ich offline an meinem PC durchgeführt habe, (tty1[alt+Strg+F1]) hat nichts derartiges gezeigt. Da ich eben noch schnell etwas einkaufen musste, konnte ich nach dem lesen jedoch nicht mehr googeln. Das was ich gelesen habe nach dem ich das Thema eröffnet habe, hat mich jedoch nur zum Teil beruhigt. Es Scheint dem nach nicht bei Leuten die cryptsetup nicht verwenden vor zu kommen, oder habe ich da etwas falsch verstanden?

Wie dem auch sei, ich google dennoch ein wenig, um Klarheit zu erlangen. Eventuell läuft es darauf hinaus, dass ich um einige Programme einen Bogen mache.

Dann noch eine Frage am Rande, mir ist auch noch ein Artikel über den Weg gelaufen, der - wovon ich auch im Forum etwas gesehen zu haben meine - gstreamer als unsicher bezeichnete. Gibt es da schon nähere Infos?
- Ach da google ich im Anschluss am besten auch noch mal.

Dennoch, danke schon mal für die Antworten.

Am besten ich bleibe dann mal etwas cooler und besonnener.

Gruß Arne.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von eggy » 18.11.2016 18:21:14

Wie die Vorredner schon ausgeführt haben, in fast allen Fällen ändert die Lücke nichts. Entweder konnte man schon vorher an die Daten ran (unverschlüsselt->Live CD/UsbStick) dann ändert sich nichts. Oder man kam wegen der Verschlüsselung nicht ran, dann gehts jetzt auch noch nicht, die Daten sind weiterhin verschlüsselt. Zugriff hast du jetzt auf nen minimal-System, was aber keinen Zugriff auf die verschlüsselten Daten hat (was dann geht, ist z.B. nen Keylogger zu installieren - aber das ging meist aber auch schon vorher durch Booten von CD/Usb). Also für den Normalanwender weiterhin "Kein Grund zur Panik".

Auch zu dem gstreamer-Fall gibts nen Artikel bei Heise: http://www.heise.de/newsticker/meldung/ ... 89774.html
das entsprechende Update bei Debian sollte das hier gewesen sein: https://www.debian.org/security/2016/dsa-3717

ArneB
Beiträge: 14
Registriert: 10.04.2016 14:06:44

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von ArneB » 18.11.2016 18:28:52

Ah Okay, danke eggy,

Wie ich inzwischen herausfand (durch googeln) war das wirklich "nur" verschlüsselte Systeme betroffen sind. Da ich mir wie oben beschrieben keiner Verschlüsselung bewusst bin, also fürs erste Entwarnung bei der 70Sek. Enter Frage. Das andere sehe ich mir gleich an.

Gruß Arne.

Radfahrer

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von Radfahrer » 18.11.2016 18:57:49

ArneB hat geschrieben:Ich bin mir auch nicht bewusst ob ich überhaupt verschlüsselt habe (ich glaube nicht).
Ääääääh???
Also ich habe noch nie davon gehört, dass jemand "unbewwusst" seine Platte verschlüsselt hat. :wink:

Liffi
Beiträge: 2306
Registriert: 02.10.2004 01:33:05

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von Liffi » 19.11.2016 07:12:29

Radfahrer hat geschrieben:
ArneB hat geschrieben:Ich bin mir auch nicht bewusst ob ich überhaupt verschlüsselt habe (ich glaube nicht).
Ääääääh???
Also ich habe noch nie davon gehört, dass jemand "unbewwusst" seine Platte verschlüsselt hat. :wink:
Das passiert unter anderen Betriebssystemen schon mal. Z.B. unterm Mac. Da gibt man auch nur insgesamt ein Passwort ein. Da würde ich vermuten, dass einige nicht wissen, dass sie verschlüsseln.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von spiralnebelverdreher » 19.11.2016 10:57:22

ThomasChr hat geschrieben:Hallo arne,

da geht es drum eine root Shell auf einem mit cryptsetup verschlüsseltem System zu bekommen.
An die (verschlüsselten) Daten kommt man teotzdem ned ran.

Ist letzendlich unschön aber halb so wild...

Thomas
Halb so wild würde ich diese. Lücke nicht nennen, im Gegenteil.
Wenn jemand root Zugriff hat, kann er zwar die verschlüsselten Daten in diesem Moment nicht lesen. Er kann aber einen ssh Zugang über schlüsselpaare installieren und kann dann später, wenn der legitime Nutzer sein System benutzt und die verschlüsselten Partitionen aufgeschlossen und gemountet hat, per SSH Session auf die Daten zugreifen. Das root oder NutzerPasswort muss er dabei nicht kennen, da er sich ja mittels Schlüssel authentifizieren konnte.

Habe vorhin auf einem Notebook mit verschlüsselter Home Partition diesen Fehler nicht beobachteten können. Wie in der Beschreibung des Fehlers angegeben muss die / Partition verschlüsselt sein, um diesen root Zugang zu erlangen.

owl102

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von owl102 » 19.11.2016 12:10:44

spiralnebelverdreher hat geschrieben:Halb so wild würde ich diese. Lücke nicht nennen, im Gegenteil.
Wenn jemand root Zugriff hat, kann er zwar die verschlüsselten Daten in diesem Moment nicht lesen. Er kann aber einen ssh Zugang über schlüsselpaare installieren
Und wie soll er einen ssh-Zugang über Schlüsselpaare installieren, wenn er lediglich Zugriff auf /boot hat? (/ ist ja verschlüsselt und noch geschlossen.)

Daher plediere ich ebenfalls für "halb so wild". Auch wenn es schon 100 Leute geschrieben haben, kann man es wohl nicht oft genug wiederholen: Wenn man physikalischen Zugang zum Rechner hat, dann kann man auch ein Live-System von USB booten, die Platte ausbauen usw. Der Effekt ist der gleiche. Dieses Problem betrifft nur Leute, die ihren Rechner regelrecht vernagelt haben, d.h. kein Boot via USB/PXE und BIOS-Passwort gesetzt und Grub-Passwort gesetzt usw.

Persönlich beobachte ich die jetzige Situation mit Verwunderung. Es gab hammerharte Linux-Lücken in der Vergangenheit (Heartbleet, Shellshock, Dirty COW, ...), und die CT hat sachlich darüber berichtet, zumindest war das mein persönlicher Eindruck. Nun haben wir zwei Popelprobleme und es wird aufgebauscht - dabei reicht es bei den beiden Problemen (dieses und jenes in gstreamer-plugins-bad) nicht einmal zu einem griffigen Namen, so unbedeutend sind sie im Vergleich.
Zuletzt geändert von owl102 am 19.11.2016 12:25:34, insgesamt 1-mal geändert.

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von Alternativende » 19.11.2016 12:23:53

Also ich habe den Bug selbst ausprobiert und er funktioniert :D.

Allerdings scheinen mir die zur Verfügung stehenden Programme in der Shell recht begrenzt zu sein, aber ich bin auch kein Hacker mit bösen Absichten oder Erfahrungen im Diebstahl etc..

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von spiralnebelverdreher » 19.11.2016 12:33:50

owl102 hat geschrieben:
spiralnebelverdreher hat geschrieben:Halb so wild würde ich diese Lücke nicht nennen, im Gegenteil.
Wenn jemand root Zugriff hat, kann er zwar die verschlüsselten Daten in diesem Moment nicht lesen. Er kann aber einen ssh Zugang über schlüsselpaare installieren
Und wie soll er einen ssh-Zugang über Schlüsselpaare installieren, wenn er lediglich Zugriff auf /boot hat? (/ ist ja verschlüsselt und noch geschlossen.)
Über den Weg, eine geänderte initramfs in die /boot Partition einzubringen, die Netzwerktreiber etc pp sowie einen ssh Server enthält. Der Weg ist hier skizziert: https://projectgus.com/2013/05/encrypte ... an-wheezy/. Braucht etwas Kenntnis und Vorbereitung, ist aber m.E. machbar. Tatsächlich ausprobiert habe ich es nicht.
Im real-life würde ich jetzt mit dir um eine Kiste guten Rotwein wetten, dass ich es hinbekomme den ssh Zugang zu installieren :wink:

DeletedUserReAsG

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von DeletedUserReAsG » 19.11.2016 13:19:21

Die Sache ist: derjenige muss an der Kiste sitzen. Und dann ist’s auch egal, ob er 70s die Entertaste im initrd-System drückt, oder den Kasten fix mit ’nem Livesystem bootet und einen Schlüssel hinterlegt. Selbst mit hinterlegtem Schlüssel ist’s dann genau solange ausnutzbar, wie sich das System im initrd-System befindet und auf die Passphraseeingabe wartet, sobald es weiterbootet, ist der vom Angreifer im initfs hinterlegte Schlüssel nutzlos.

Problematisch in dem Kontext sehe ich, dass die initrd und der Kernel und so Kram kompromittiert werden. Aber, wie gesagt, dazu braucht’s nicht diesen Bug, das geht auf andere Art genauso hübsch und möglicherweise schneller.

ArneB
Beiträge: 14
Registriert: 10.04.2016 14:06:44

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von ArneB » 19.11.2016 13:58:30

Aha, ja wenn der Hacker schon vor meinem Computer sitzen muss, bin ich in meinem 1 Personen Haushalt ja ganz gut da vor. Im übrigen habe ich eben mit einer alten "Live CD" (ich gebe zu da hatte ich nur aus einer älteren c't-Linux Ausgabe eine mit Ubuntu zur Hand) überprüft ob ich keine Verschlüsselung "drauf hatte", oder es einfach nur vergessen hatte: Die Verschlüsselung ist nicht aktiv. Sonst hätte ich ja wohl keine pdf auf der home partition öffnen können, wohl gemerkt per live-System.
Will sagen, dass es mich nicht sofort betrifft. :)

Wie die Sache mit den gstreamer-bad plugins aussieht will ich heute noch nach schauen, ob ich die installiert habe oder nicht.

Wie dem auch sei, von den Einschlägig als Viren und root-Kit Schleudern eingestuften Webseiten meine ich mich sowieso fern zu halten. Andern falls wäre ich ja schon in argen Schwierigkeiten oder?

Nichts desto trotz, ich hätte nicht geahnt, dass das Thema zu so einer Kontroversen führen würde.

Gruß Arne.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von spiralnebelverdreher » 19.11.2016 14:43:57

niemand hat geschrieben:Die Sache ist: derjenige muss an der Kiste sitzen. Und dann ist’s auch egal, ob er 70s die Entertaste im initrd-System drückt, oder den Kasten fix mit ’nem Livesystem bootet und einen Schlüssel hinterlegt. .
Der Bug räumt mir als Angreifer zwei mögliche Hindernisse aus dem Weg. Erstens mögliche BIOS Einstellungen, die booten von externen Medien ohne BIOS Passwort verhindern. Zweitens muss ich für die Manipulation der /Boot Partition keine physische Barriere überwinden. Damit sind Angriffe auch möglich wenn die Hardware nicht direkt zugänglich ist (Rechner steht in separaten Raum und ich bin über KVM Extender verbunden).
Es kommt immer auf die Bedrohungsszenarien an, ob dieser Bug eine Verringerung der Sicherheit darstellt. Für manche Nutzer (s.o.) ändert sich da nichts.

DeletedUserReAsG

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von DeletedUserReAsG » 19.11.2016 14:47:10

Zweitens muss ich für die Manipulation der /Boot Partition keine physische Barriere überwinden.
Dieses verstehe ich nicht: Ich gehe mal von meinem Setup aus: Kiste steht in einem RZ in $weitweg. Angreifer möchte nun von $woanders aus den Bug ausnutzen – aber er kommt doch gar nicht erst dahin, weil er den Schlüssel für den sshd im initrd-System nicht hat?

Edit: achso, ging um KVM-Zeugs und serielle Schnittstelle und so? Wenn Angreifer darauf Zugriff hat, ist’s eh schon ziemlich zu spät, finde ich.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Root-console nach 70Sek. Enter drücken? Stimmt das??

Beitrag von spiralnebelverdreher » 19.11.2016 14:57:21

niemand hat geschrieben:
Zweitens muss ich für die Manipulation der /Boot Partition keine physische Barriere überwinden.
Dieses verstehe ich nicht: Ich gehe mal von meinem Setup aus: Kiste steht in einem RZ in $weitweg. Angreifer möchte nun von $woanders aus den Bug ausnutzen – aber er kommt doch gar nicht erst dahin, weil er den Schlüssel für den sshd im initrd-System nicht hat?

Edit: achso, ging um KVM-Zeugs und serielle Schnittstelle und so? Wenn Angreifer darauf Zugriff hat, ist’s eh schon ziemlich zu spät, finde ich.
Genau. Dieser Bug untergräbt möglicherweise die einzige Sicherheitsbarriere in einem bestimmten Kontext. Ein Praktikant in der IT Abteilung kann damit seine Rechte deutlich ausweiten, der oft gefürchtete russische/amerikanische/chinesische Hacker hat nichts davon.

Antworten