A Vírus Hiradó híre ... máshol is megjelent már?

- Softpedia nyomán -

Pingvin mondja Windows-nak, hogy nagyfejű.

A Softpedia portál tájékoztatása szerint egy eddig titokban tartott, súlyos biztonsági rést javítottak ki a szabad forráskódú Linux operációs rendszerben. A sebezhetőséget eredetileg Rafal Wojtczuk, a lengyel Invisible Things Lab kutatója azonosította: a lényeg a rendszermagban (kernelben) rejtőzik, de ártó szándékú kihasználására az X11 nevű grafikus felhasználói felületen keresztül van lehetőség.

A biztonsági rést a felfedezése óta eltelt két hónapban a veszélyessége miatt nem ismertették - segítségével ugyanis a hackerek bármely felhasználói módban futó programot manipulálhattak volna, hogy illetéktelenül maximális, ún. "root" jogosultságú rendszergazdává léptessék elő magukat és teljes mértékben uralmuk alá vonják a Linux számítógépeket.

Gyakorlati veszélyt jelenthet a hiba

Ez elég kellemetlen fejlemény, mivel az X-trükköt még a legjobban elkülönített, akár "sandbox" alá helyezett alkalmazások, például az Adobe PDF-olvasója segítségével is végre lehet hajtani. Adott esetben tehát megkerülhetővé válnak, hatástalannak bizonyulnak a Linux erőteljes biztonsági mechanizmusai - ami megmagyarázza, hogy az egyik vezető disztribúció-gyártó, a Red Hat Linux miért adott sürgős és súlyos minősítést az új sebezhetőségnek!

A Linux tervezésekor, feltehetően évekkel ezelőtt elkövetett bakit, amely a rendszermag 2.6-os kiadásában jelentkezett először, nemrég a 2.6.27.52, 2.6.32.19, 2.6.34.4 és 2.6.35.2 jelzésű karbantartó változatokban orvosolták, így az üzemeltetők mérsékelt erőfeszítéssel védetté, naprakésszé tehetik a gépeiket. A rendszergazdák számára ez ügyben a CVE-2010-2240 sorszámú bejegyzés szolgál részletes tájékoztatással.

Mélyebbre kell ásni az alapok javításához

Az eset különlegessége, hogy - ellentétben sok más hackeléssel - itt tulajdonképpen nem is szoftverhiba kihasználásáról van szó. A Linux rendszert programozók tudatosan döntöttek közös használatú memórialapok alkalmazása mellett, hogy gyorsan ki tudják szolgálni pl. a nagy grafikai teljesítményt igénylő alkalmazásokat. Innentől csak egy új szempontból vizsgálódó, virtualizációs lehetőségeket kereső kutatóra volt szükség, hogy feltűnjön a hibás döntésből eredő veszélyes rés.

Az igazán megnyugtató, végleges megoldás az lenne, ha az X.org grafikus felület többé nem szolgálhatna ugródeszkaként a hackereknek. Ehhez ki kell küszöbölni az X11 jelenleg még technikai okokból szükséges root jogú futtatását - az ügyes hackerek által manipulált alkalmazói programok ugyanis képesek lehetnek ártó kódot juttatni a rendszermagba a grafikus csatornán keresztül, ami feltöréshez vezethet.

Az ún. root-less, vagyis setuid root bejegyzés nélkül futtatható X grafikus felület egyes Linux szerver kiadásokban már most elérhető és nemsokára a személyes használatú Ubuntu változatban is megjelenik - amint megfelelően gyors, alternatív megoldással váltották ki a játékprogramok futtatásához is szükséges, de kockázatos közvetlen hardver-elérést.

Ennek az az előnyös mellékhatása is lenne, hogy megoldódna a teljes Linux különlegesen megerősített, ún. SE kivitelben történő futtatása - ezt az extra biztonsági funkciót eddig éppen a sok egyedi jogosultság igénylése miatt nem tudták kiterjeszteni az X grafikus környezetre.

A szubjektív tényezők szerepe sem elhanyagolható

Az X-baleset a szerencsés kifejlet ellenére sértheti a Linux-rajongók önérzetét. A szabad operációs rendszer olyan problémakör kapcsán került bajba, amellyel a nagy vetélytárs Windows fejlesztői már korábban találkoztak és részben meg is birkóztak. A grafikus felület bonyolultsága, a szuper joggokal történő futtatás veszélyei és az alkalmazói programok felhasználása közvetítőként a feltörések során - mind olyan kockázatok, amelyekkel a modern környezeteknek meg kell küzdeniük.

Az X-rést felfedező Invisible Things Lab - amely Joanna Rutkowska, az ismert "hacker-hercegnő" cége - éppen ezeknek a gondoknak elkerülésére fejleszt egy Qubes nevű, teljesen virtualizált operációs rendszert.

Az általuk közzétett Linux-sebezhetőség így elkerülhetetlenül a reklámkampányuk részévé is vált és a vélhető érdekütközés miatt máris kaptak hideget-meleget a kommentálóktól - bár a felelős hibakezeléssel kapcsolatos magatartásuk kifogástalan volt. Sokak szerint azonban a virtualizáció sem védhet egy igazán fontos veszély, az adatlopás ellen, így a Qubes ígéretei csak elterelik a figyelmet a valódi problémáról.