Sicurezza degli strumenti di decompressione

4

Quanto è sicuro decomprimere i file non attendibili con unrar-free? Con decomprimere? Sto usando debian jessie. Quali passi possono essere presi per ridurre al minimo la minaccia durante l'estrazione del contenuto del file?

    
posta Aryeh Leib Taurog 10.11.2015 - 12:23
fonte

3 risposte

9

How safe is it to decompress untrusted files

Basta guardare CVE per decomprimere troverai diverse possibili esecuzioni di codice, modificando le autorizzazioni dei file esistenti, sovrascrivendo file arbitrari al di fuori della directory corrente ....

La lista CVE per unrar è più breve ma include anche l'esecuzione del codice.

What steps can be taken to minimize the threat while extracting the file's contents?

Qualsiasi tipo di separazione dei privilegi e sandboxing, ovvero macchine virtuali, ambiente chroot o contenitori, ... E naturalmente hanno le ultime patch.

In realtà non c'è nulla di speciale nel decomprimere e annullare: dovresti fare la stessa cura con qualsiasi tipo di file potenzialmente dannosi (che include almeno tutto con origine sospetta).

    
risposta data 10.11.2015 - 18:19
fonte
1

Il payload dannoso contenuto in un file deve essere eseguito in modo che possa essere utilizzato. Il semplice deposito di un file su un filesystem non rappresenta un rischio, a condizione che:

  • non vi è alcuna azione attivata automaticamente una volta scoperto un file di un determinato tipo. Questo di solito è fatto da interfacce grafiche che vogliono essere intelligenti e, ad esempio, generare miniature
  • il file zip non è creato in modo tale che, ad esempio, creerà directory ricorsive finché non si esauriranno gli inode (o altre risorse)

Se hai dubbi usa una macchina virtuale usa e getta senza una GUI che verrà istantanea dopo l'installazione e verrà eseguita da quella istantanea per le operazioni sensibili.

    
risposta data 10.11.2015 - 12:49
fonte
1

Suggerisco di guardare la dimensione e il contenuto dei file. A volte, nel giugno 2015, il mio posto di lavoro in cui lavoro come IT è stato colpito da cryptoware. Sono stato incaricato di scoprire da dove viene e cosa ha provocato.

Dopo alcune ore l'ho rintracciato in un unico allegato zip su un'email. Era poco meno di 300 byte. Facendo doppio clic sull'e-mail, si inserisce il codice nel programma integrato di zip di Windows, che scarica la crittografia e la installa dalla directory temporanea dell'utente. Questa era una macchina Windows XP. Ho rimosso i privilegi di esecuzione dalle cartelle temporanee e ho risolto il problema. Qualche giorno fa abbiamo ricevuto un altro regalo nella mail, ma questa volta è stato errato perché non poteva essere eseguito.

Devo dire che la maggior parte se non tutti i criptoware e altri piccoli fastidiosi stanno prendendo di mira esclusivamente Windows. Se stai usando Linux, probabilmente stai bene. Per prima cosa isola il file. Sono d'accordo con Steffen Ullrich su questo punto.

Da una nota a margine, non ci siamo arresi al terrorismo. Abbiamo ripristinato i file effettuati dal backup. Conserva sempre un buon set di backup.

    
risposta data 22.12.2015 - 18:43
fonte

Leggi altre domande sui tag