欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Subgraph操作系统绝非你想象的那么安全

来源:本站整理 作者:佚名 时间:2019-01-10 TAG: 我要投稿


Subgraph操作系统是目前第一款为GNU/Linux桌面安全而打造的操作系统,Subgraph OS可以帮助用户应对网络风险异常行为,并满足用户的安全需求,其防御措施主要是深度防御策略,来帮助用户抵御网络攻击。同时Subgraph操作系统集成了很多安全特性,包括:
1.使用OZ沙盒技术做了沙盒隔离;
2.集成了Tor浏览器以及OpenPGP邮件加密;
3.使用PaX/Grsecurity进行了内核加固;
4.使用GNOME3桌面环境等;
Subgraph OS运行的硬件需求:
1.64位机(酷睿2或以上);
2.2GB的内存(4GB推荐);
3.至少20G的硬盘空间;
下载时需要下载三个文件:镜像文件、shasum、GPG操作-签名验证。
Subgraph发布了用户手册“Subgraph OS Handbook”,大家可以在GitHub上找到其代码。我们制作了一个假的网站链接,下载这个git仓库,压缩成zip文件。不过在现实攻击环境下,攻击者可能会使用不同的诱饵,也许攻击者会向受害者发送一些含有恶意程序的文件,但关键是受害者要从网站下载这些诱饵文件,或者受害者从他们的电子邮件中下载这些诱饵文件,然后打开它们。虽然Subgraph操作系统,其核心内核和OZ沙盒技术都可以防止恶意文件攻击用户的计算机,但在这种情况下,却起不到保护作用。
我们已向Subgraph开发人员汇报了我们发现的漏洞,并提出在发布这篇文章之前给他们时间来解决问题。但得到的答案很令人惊讶,Subgraph的开发人员说这个漏洞存在并没有什么令人惊讶的,他们表示目前Subgraph操作系统仍然是alpha,而且他们不建议人们使用它。
从下面的下载图中就可以看到alpha的影子:

这很有趣,因为Subgraph的官网上似乎并没有包含这个警告,而是只列举了Subgraph令人惊艳的安全功能的列表。
截止我们发稿时,这个问题还没有得到解决,Subgraph操作系统仍然是Alpha,不过在一般情况下,它仍比许多目前发行的其他Linux版更安全,不过,我们刚刚所描述的那漏洞也适用于Tails,Debian,Ubuntu,Fedora,Arch等(除了Qubes之外)。Qubes是由著名的波兰美女黑客Joanna Rutkowska发布的一个基于Xen和Linux的开源操作系统。Qubes充分利用了虚拟化技术(基于安全虚拟机Xen),所有用户应用程序都运行在AppVM(基于Linux的轻量级虚拟机)中,彼此隔离。而联网代码使用 IOMMU/VT-d放在一个非特权虚拟机中,在特权域 (dom0) 中没有任何联网代码。许多系统级组件放在沙盒中,以避免互相影响。
OZ沙盒技术的工作原理
OZ系统是通过把Linux的桌面程序运行在隔离的安全沙盒中来保护程序的安全,从而避免攻击者可以轻易的利用应用程序的漏洞进一步攻击系统。
任何大型复杂的桌面程序都无法保证完全没有安全漏洞的存在,只要软件可以处理不可信的或者恶意的数据,那么这个程序可能就会成为攻击者的目标。
连接到网络服务中的应用通过网络协议从网络中获取数据,无意间就很可能暴露在恶意数据中。
比如以下3类应用就很容易暴露在恶意数据中:
1.浏览器
2.邮件客户端
3.即时通讯软件
即使一款应用从不连接网络,只要它处理了来自不可信源的数据,就有可能被攻击,例如:
1.文档阅读器
2.视频播放软件
3.文件管理软件
在一个系统中,尤其是单用户系统,应用被破坏是一个极大的问题。如果攻击者想要监视一个目标并且获取到他的数据,进一步获取到目标终端的用户权限,这些漏洞足够达到这样的目的。而通过这些,攻击者将能够获取到数据,获取到登录其他系统的证书以及本地加密密钥,而如果是一个现代化的操作系统和外围硬件中,那么情况就更可怕了。
Subgraph带有22个应用程序的沙盒,例如Tor Browser,OnionShare,Evince(inux命令模式下查看pdf文件需要借助evince命令),GNOME眼睛(图像查看器),Icedove(电子邮件客户端)和VLC(媒体播放器)。如果大家运行的程序没有使用OZ沙盒技术,如Nautilus,内置文件管理器,或任何不属于22个程序中的任何一个,那么恶意攻击者就将运行unsandboxed,访问所有用户数据。
如果用户打开利用Evince命令执行恶意的PDF,则OZ沙盒技术将限制攻击者即将执行的操作。因为OZ沙盒技术阻止了互联网接入,所以攻击者就不能进行远程操作。也就是说,OZ沙盒技术限制了Linux系统可以调用的能力,限制其对文件系统的访问。在正常的Linux计算机上,如果攻击者攻击Evince,他们可以访问系统的主目录中的所有用户数据,比如文档,电子邮件,PGP和SSH密钥等,但Evince 中的OZ沙盒技术则可以防止攻击者访问除了用户当前打开的文档之外的任何文档。
OZ沙盒技术看起来似乎无比安全,但我们还是发现一些信息泄漏。我们发现/ etc是可读的,因为OZ沙盒技术在文件系统的操作中会捆绑安装/bin/lib/lib64/usr/etc。
mount("/bin", "/srv/OZ/rootfs/bin", "", MS_BIND, "")
mount("", "/srv/OZ/rootfs/bin", "", MS_REMOUNT | MS_RDONLY)
// repeat for remaining directories
所以如果我们运行ls/etc/networkManager/system-connections,可以看到计算机保存的WiFi网络的列表,甚至在沙盒内也能看到。在允许互联网访问的OZ沙盒中,如Tor浏览器,这些信息可能会发送回攻击者,因为这些信息里也可能存在其他诱导性的数据。当我们向Subgraph的开发者报告这个问题时,Subgraph开发者表示他们已经注意到我们以前提交过的关于github的问题,他们表示他们正在考虑如何修复这个问题。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载