[LUG.ro] Una puerta trasera casi criminal

Wed, 10 Dec 2003 15:08:37 -0300

Hola Horacio: mis dos neuronas deben estar en otra, porque no entiendo todo
el alcance de lo que decis...

Pregunto: se dijo que el problema había sido con Debian, y no con toda la
distro, sino con un "ataque" contra tres servidores... creo...

Otra: el programa llega, y debe ser compilado ¿en la máquina? de qué manera?
o es algo que ya viene inserto en el kernell y se activa de alguna forma? Y
solo en los 2.4. n < 23?

Crea el shell root pero como señalas, aparece visible para el operador... y
lo hace durante la conexión, sino no tendría sentido, pero entonces tengo
que compilar algo durante la conexión... o estoy crackeando mi sistema y
violando mi propia seguridad (porque encima lo veo mientras lo hago)?

No trabajo con ningún servidor de internet en red local, por tanto la única
posibilidad de que algo así pasara es que deje bajando un archivo muuuuy
grande y me vaya a comer... entiendo que el problema es con los servidores,
que pueden estar desatendidos en algún momento... o cuando quiero bajar una
película, o un cd completo...

Pero la duda es corrosiva, y si bien puede de alguna manera, aguijonear para
que uno no peque de idiota, también puede ser paralizante, e inhibir al
pobre diablo que había visto hasta ahora a Linux como un sistema seguro.
Como sugerís, mete miedo... y una cosa peor: miles de pequeños "aprendices
de hacker" que no pasaron de la "h", van a querer probar el programa que
puede destruir al sistema "más seguro del mundo" y hacer percha más de un
buen programa instalado. Vuelta después a la era MS DOS y subsecuentes, "muy
lindo, mejor que el que vos tenés", pero necesita que un técnico te lo
limpie y depure cada tres meses... con lo que se terminó cualquier intento
de uso masivo de linux... o por lo menos, de las distribuciones que no te
aseguren mantenimiento post venta... otra vez atados al propietario, siervos
al fin de un esclavo liberado...

POdrían entonces explicarme mejor (no piensen en clases magistrales, sino
más bien en el abuelito que descubrió hace mucho que existían las
computadoras de aquella época, al jugar una tarjetita perforada del prode).
Saludos. Mario
-----Mensaje original-----
De: lugro-admin@lugro.org.ar [mailto:lugro-admin@lugro.org.ar]En nombre
de Horacio Castellini
Enviado el: miércoles, 10 de diciembre de 2003 10:16
Para: Usuarios Linux Rosario
CC: Lugro Chachara
Asunto: [LUG.ro] Una puerta trasera casi criminal

Hola:
	Como me picó la curiosidad estuve ensallanado el programa que
levanta la puerta trasera de cualquier kernel 2.4.xxx pues lo probé con un
monton de kernels desde el 2.4.2 hasta el 2.4.21, y en todos crea un
shell-root, sea la distro que sea, pero con diferentes matices en mi
máquina

Linux clara 2.4.18-1-686 #3 Sun Aug 10 09:13:53 EST 2003 i686 unknown

el programa en assembler compilano con nmap NO la rebuea como dice... pero
si me crea el shell-root aunque es demasiado escandaloso porque no hay
forma de ocultarlo ya que sale como proceso sh en el top y aparece en el
/var/log/auth.log con lo cual el hacker debería ser

1) Rápido para no ser detectado por algún auditor
2) Borrar todas sus huellas

Ahora bien en este kernel

Linux ifir 2.4.18-1-k7 #3 Sat Nov 29 10:23:13 EST 2003 i686 unknown

que usa un K7 y no un i686 fíjense lo que sale

hcaste@ifir:~$ ./a.out
[-] Unable to change page protection: Bad address
[-] Unable to exit, entering neverending loop.

[1]+  Stopped                 ./a.out

Con lo cuál no lo afecta... Y sé que no fue parcheado...

Por otro lado en el server EVA de la fceia

Linux eva 2.4.22 #1 jue dic 4 14:13:28 ART 2003 i686 unknown

tiene una protección que evita que un usuario ordinário ejecute un shell
root y también fracasó...

 /bin/sh: bad interpreter: Permission denied

Además por la fecha debo pensar que ya fué parcheado...

En este kernel compilado en el 2001 tiene la falla desde hace 2 años!!!

Linux dec70.lpmi.uhp-nancy.fr 2.4.13 #4 mar nov 6 16:35:22 EST 2001 i686

Pues:
Según Seba esta puerta trasera fue puesta intensionalmente para cuestionar
las medidas de seguridad. Pero no solo afecta a debian sino a todos los
kernel 2.4.xxx anteriores al *.23 y a todas las máquinas que lo usan y
están huerfanas de administradores minusiosos...

Si uno hace caso a una hipótesis paranoide pensaría que fue colocado
adrede para ridiculisar Linux, pues cualquier hacker se puede loguear en
las miles de máquinas conectadas con ADSL de usuarios nobeles RedHat,
Mandrake, etc... y hacer estragos con lo cual crearía un rumor en contra
de linux de dificil contención.

No sé dejo plateada ls intriga....

_______________________________________________
Lugro mailing list
Lugro@lugro.org.ar
http://www.lugro.org.ar/mailman/listinfo/lugro