Краснопанда выжила из ума? Или кто?)

[trs]

Что было сделано:

1. Установка образа ROSA.FRESH.KDE.R6.13926.b.x86_64.iso на виртуальную машину.
2. Обновление системы.
4. Установлены пакеты c исходниками ядра.
5. Запущена firefox. Просмотр рекламы "Новых вкладок" и про "Включить отправку отчёта". И их отключение.
7. Набрано в Яндексе пара слов и посещено несколько страниц (см. историю)
8. Перезагрузка системы.
9. Firefox предлагает восстановить сессию, соглашаемся.

Результат:
Помимо явно посещенных страниц наблюдаем предложение скачать очевидную пакость.
Опция "предлагаемые сайты" при этом оказалась включена.

Довольно странное совпадение.

firefox предлагает.png (15.17 КБ) 26239 просмотров

[Barmalei]

Ни разу такого не было. А все им и не отследить. И через поиск по моему не пашет.

А это что? 4. Установлены пакеты c исходниками ядра.

[Алзим]

А что за сайт с которого устанавливался флеш-плеер и зачем он нужен, если всё должно быть на оф.сайте или уже есть в РОСА?

[Barmalei]

У меня чето нет такой панели как у него.

[Алзим]

У меня чето нет такой панели как у него.

Есть. Нажмите на «Журнал».

[Barmalei]

У меня чето нет такой панели как у него.

Есть. Нажмите на «Журнал».

А я и не знал.

[trs]

Это не флеш-плеер. Троян какой-то. На Virustotal есть выявления. Да и по сайту (см. URL, а так же версию "плеера") совершенно очевидно должно быть, что качать, точнее запускать это - не следует. Каким образом firefox перешел по тому адресу - пока не вполне понятно.

[Barmalei]

Это не флеш-плеер. Троян какой-то. На Virustotal есть выявления. Да и по сайту (см. URL, а так же версию "плеера") совершенно очевидно должно быть, что качать, точнее запускать это - не следует. Каким образом firefox перешел по тому адресу - пока не вполне понятно.

Все просто. Ты как то попал на фишинговый сайт по моему.
Через поиск куда угодно можно влететь. Часто при поиске в Гугл картинках, при нажатии на картинку влетаешь на такие сайты.

[Алзим]

Каким образом firefox перешел по тому адресу - пока не вполне понятно.

Скорее всего через редирект.

[trs]

как то попал на фишинговый сайт по моему.

Так точно. Вопрос - "как". Установка свежая. Все посещенные сайты должны быть отображены в "Журнале".

Через поиск куда угодно можно влететь. Часто при поиске в Гугл картинках, при нажатии на картинку влетаешь на такие сайты.

В журнале всего 2 ссылки на поисковик (Яндекс) причем redir всего одна, на сайт, который должен быть чистым.

[Алзим]

Не важно как вы попали на левый сайт — это прекрасно умеют делать веб-мастера. Важно, что на этом сайте смогли изменить настройки вашего браузера.

[trs]

Так какой сайт левый? В истории их, если не ошибаюсь, всего 5, перед помойкой.

[Barmalei]

Так какой сайт левый? В истории их, если не ошибаюсь, всего 5, перед помойкой.

Яндекс и отправил вас туда. jsredir

[Алзим]

Так какой сайт левый? В истории их, если не ошибаюсь, всего 5, перед помойкой.

Любой, в котором может оказаться вредоносный код.

Яндекс и отправил вас туда. jsredir

Яндекс тут не причём. Он всех редиректит так для своих целей.
Про Гугл не помню, но и он по-моему делает тоже самое.

[Barmalei]

Так какой сайт левый? В истории их, если не ошибаюсь, всего 5, перед помойкой.

Любой, в котором может оказаться вредоносный код.

Яндекс и отправил вас туда. jsredir

Яндекс тут не причём. Он всех редиректит так для своих целей.
Про Гугл не помню, но и он по-моему делает тоже самое.

Я же писал что в поиске может быть любой вредоносный сайт. Попадая туда и понеслось.

[Алзим]

Я же писал что в поиске может быть любой вредоносный сайт. Попадая туда и понеслось.

Конечно, в поиск может попасть любой сайт.
Но, Яндекс в этом смысле почище. Его антивируска почаще заходит на сайты, которые есть в поиске.
Но, даже Яндекс или Гугл если найдут вредонос, то такой сайт не выкидывается из поиска, а выдаётся предупреждение пользователям, что на данном сайте обнаружен вредоносный код.

[Delles]

Кажется, я нашел ответ на свой вопрос.

[trs]

Яндекс и отправил вас туда. jsredir

Яндекс тут не причём. Он всех редиректит так для своих целей.

Согласен, вероятно, Яндекс ни при чём. Редирект был всего один - по ссылке из выдачи поиска, сайт видно в журнале, сразу выше строкой.

Про Гугл не помню, но и он по-моему делает тоже самое.

Гула в журнале (истории браузера) нет.
Но, поскольку в Rosa используется systemd, есть отличная от нуля вероятность, что так пошалил его DNS.

[Алзим]

так пошалил его DNS.

DNS — это всего-лишь сервер, который сообщает IP-адреса доменных имён.
А вот владелец доменного имени может установить себе любой IP-адрес. Но, обычно, вебмастера для таких целей используют простые редиректы.
Только, не стоит винить всех вебмастеров огульно. Нередко, вебмастера могут быть и особо не виноваты. Попытки взломов сайтов идут постоянно. Даже самые малоизвестные и непосещаемые сайты пытаются взломать ежедневно. Миллиарды (если не больше) ботов круглосуточно работают в сети, чтобы ломать защиту сайтов и нередко своей цели добиваются.

[trs]

DNS — это всего-лишь сервер, который сообщает IP-адреса доменных имён.

Верно.
Кроме того, в отличие от иных гипотетических вариантов атаки (заражение хоста, где крутилась виртуальная машина; заражение образа с Rosa; с поисковика и последующих сайтов)
- DNS сервер не знает, что в интернет выходят с Linux.
Это может объясньть тот факт, что был предложен троян для иной ОС.

Как он это делает? См. "подмена DNS".

Только, не стоит винить всех вебмастеров огульно. Нередко, вебмастера могут быть и особо не виноваты. Попытки взломов сайтов идут постоянно. Даже самые малоизвестные и непосещаемые сайты пытаются взломать ежедневно. Миллиарды (если не больше) ботов круглосуточно работают в сети, чтобы ломать защиту сайтов и нередко своей цели добиваются.

Я про сайты писал лишь, что они отображены в истории. Если принять, что ссылку подсунули оттуда - то крайний получается github. Есть ли смысл распространять столь очевидных троянов, когда можно намудрить в огромном количестве исходников?

[Алзим]

Вирусняк был на сайте. Вот и всё.
А как он туда попал, это другое дело.

Повторяю ещё раз написанное выше. Проблема не в том как вирус попал на сайт (это проблема безопасности вебмастеров), а как этот вирус смог изменить настройки вашего браузера (это уже проблема безопасности пользователей).

[trs]

Допустим, заражен github. И как вирус смог изменить настройки firefox, если он не загрузился? И более важно - с какой целью он это будет делать?

[Barmalei]

Допустим, заражен github. И как вирус смог изменить настройки firefox, если он не загрузился? И более важно - с какой целью он это будет делать?

Все сработало на сайтах, а не на компе. На Вынь это видно сразу.
Для проверки полный бы адрес редиректа Яши.

[Алзим]

Для проверки полный бы адрес редиректа Яши.

У Яши такие адреса долго не хранятся. Можно будет увидеть, если по этому адресу перейти, что-то типа ссылка устарела.

[trs]

Для проверки чего? Куда привёл редирект - видно в журнале. Браузер сохраняет адреса посещённых страниц последовательно (в порядке очереди, как они были открыты).

[Barmalei]

Для проверки чего? Куда привёл редирект - видно в журнале. Браузер сохраняет адреса посещённых страниц последовательно (в порядке очереди, как они были открыты).

На все 7 сайтов? На какой и когда кидало то? Нам то не понять по журналу.

[trs]

Если по редиректу с поисковика перешли на сайт, можно даже понять, какие ключевые слова были использованы.

Порядок там такой:
1. Страница Роса index.html
- настроки FIrefox
2. https://www.mozilla.org/ru/firefox/tiles/
3. Яндекс (следом ридерект)
4. zfsonlinux.org (2 страницы)
5. github.com
6. Появилась новая страница с предложением скачать троян (после перезагрузки ОС и восстановления сессии браузера).

Но вопрос "что проверять" остался без ответа.

[Delles]

У меня была такая история: я установил в vb pcbsd и оттуда прямиком зашел Огнелисом на сайт kapchits.narod.ru (чтобы проверить, проигрывается ли флеш-ролик). Огнелис мне стал показывать какие-то хулиганские видео на весь экран. Никаких редиректов ни от Яши, ни от Гоши не было даже близко, и всё установленное было очень свежим. Правда, заход на тот же сайт Хромиумом (из того же vb и той же pcbsd и с той же целью) никакого хулиганства на экран не выдал. Из чего pcbsd собирала Огнелиса, я, разумеется, не в курсе. Неприятно впечатлившись, я вычистил из vb pcbsd, так что не смогу выше описанное повторить (устанавливать всё по-новой не подвигнусь).

Мне вообще интересно, насколько vb изолирует гостевую систему от системы-хозяйки. Если в системе, которая установлена в vb, орудует троян, может ли он перебраться в систему-хозяйку?

[trs]

Из чего pcbsd собирала Огнелиса, я, разумеется, не в курсе.

pcbsd — крайний? А остальные ни при чём, потому что про них не известно, так что ли?
Можно найти хоть какие то подробности:

Напомним, что в 2012 году компания Mozilla отказалась от участия в развитии почтового клиента Thunderbird, но продолжила выделение ресурсов на его сопровождение. С тех пор новшества Thunderbird разрабатываются исключительно силами сообщества, но инженеры Mozilla продолжают сборку релизов, адаптацию новых выпусков браузерного движка и устранение уязвимостей.
… не исключено, что Mozilla даёт понять, что данной компании следует взять на себя работу по сопровождению проекта.

и прочитать между строк: финансовые проблемы. Появляется мотив?
Нужно подчеркнуть, что говоря "Mozilla", я имею ввиду всех имеющих отношение к проекту, включая предоставляющих железо для хостинга, каналы интернета, и охранников в офисах.

Мне вообще интересно, насколько vb изолирует гостевую систему от системы-хозяйки. Если в системе, которая установлена в vb, орудует троян, может ли он перебраться в систему-хозяйку?

Прежде всего, нужно понимать:
1. Запугивание — это оружие.
2. Информация о безопасности — повод для спекуляций и торга.
3. Атаки — как палка — о двух концах. То есть вполне может быть использована против атакующего.

[Delles]

pcbsd — крайний?

Так совпало в моем случае. К pcbsd я утратил интерес, и эта история стала триггером для ее удаления из vb.

Вообще же говоря, мне Огнелис совершенно не нравится. Во-первых, раздражает то, что он не умеет соединять сирийские и арабские буквы, как умеют все программы, которыми я пользуюсь, включая Хромиум; во-вторых, бесконечные истерики с уязвимостями: то от flash, то от shockwave, то еще от чего-то. Не удивлюсь, если выяснится, что это он в очередной раз уязвился и пропустил какое-то дерьмо и в моем случае, и в Вашем. Но доискиваться в том эпизоде с pcbsd у меня не было достаточной мотивации, а в Линуксе у меня Огнелис выполняет только задачу скачивания мальтийского ролика.

Информация о безопасности

Наличие общих папок и буфера побуждает думать, что изолированности систем посредством vb практически нет. Безопасность в основном создается и разрушается действиями юзера/админа. Так что инструменты обеспечения безопасности интересны. Читаю man chattr ツ

[trs]

думать, что изолированности систем посредством vb практически нет.

Вот это и есть мой 1й пункт выше. Цель достигнута, больше заняться что ли нечем? Ну можно тогда почитать какого-нибудь Криса Касперски, зря что ль он такими письменами выторговал O1.

С другой стороны, есть те, кто этих зловредов намеренно ловит. В качестве ловушек (honeypot) используют в том числе и виртуальные машины. Потому часть троянов это проверяет и попросту не будет там выполнять свои функции, для них такая маскировка суть вопрос выживания.

[Delles]

Не будем забывать, что оба случая предполагаемого бешенства красной панды имели место в виртуальной среде:

«Имейте в виду, что ни одна операционная система, запущенная в виртуальной среде не будет столь же безопасна, как та же операционная система, запущенная на настоящем железе. Виртуальная среда не вполне воспроизводит настоящее железо. Эмулируемые процессоры имеют свои новые и интересные баги, контроллеры сетевого интерфейса имеют особые ошибки и т.д.»

источник

[trs]

Под эмуляцией обычно понимают выполнение машинного кода (скомпилированных программ), предназначенного для какой-то другой процессорной архитектуры. Даже "Wine Is Not an Emulator", поскольку напрямую запускает exe-шники.

[Zeffanyx]

Не будем забывать, что оба случая предполагаемого бешенства красной панды имели место в виртуальной среде:
ни одна операционная система, запущенная в виртуальной среде не будет столь же безопасна, как та же операционная система, запущенная на настоящем железе.

Автор тут явно путает безопасность с надёжностью. Использование виртуалок - наоборот, шаг к большей безопасности. Whonix тому пример...

[Delles]

Автор тут явно путает безопасность с надёжностью. Использование виртуалок - наоборот, шаг к большей безопасности. Whonix тому пример...

По сравнению с Whonix, то, о чем он пишет в данном контексте, — несравненно более простой случай. Он лишь утверждает, что установка системы в vb повышает число потенциальных уязвимостей, т.к. ОС оказывается в зависимости от vb, т.е. добавляются еще и возможные уязвимости самого vb. Это начало книги, где он рассуждает о том, как опробовать систему. О виртуализации как принципе (как в Whonix) там речь не идет. Разведение безопасности и надежности в таком контексте не актуально, потому что речь идет о возможном запуске чего-то несанкционированного, что равно опасно и для надежности, и для (личной) безопасности.