On Thu, 24 Mar 2016, Sebastian Biały wrote:

> On 2016-03-24 08:47, Rafal Jankowski wrote:
>> OMG, Ty pamiętasz wogóle na co odpisujesz? Przecież byłą mowa o "próbach
>> wstawienia backdorów do jądra".
>
> Wstawić backdor do jadra można kompilując sterownik z roota, grzebiąc po
> /dev/proc, podpinając firewire z mapowaniem ram itd. Nie dotyczy tylko kodu
> źrodolowego, jest cała masa innych metod. Z najnowszych to przezywanie kodu w
> pamięci karty gfx między restartami lub chowanie się w UEFI.

Chyba Cię jednak pamięć zawodzi bo mowa była o próbach wstawienia backdora
do jądra z których żadna nie odniosła skutku (według ogólnej wiedzy,
której prawdziwość czy raczej pewność parę osób kwestionowało). Czyli jest
raczej oczywiste, że chodziło o kod źródłowy. To o czym piszesz to
zupełnie co innego, ale jak chcesz sobie dryfować na takie tematy to sobie
dryfuj.

>
>> Czyli jak rozumiem przemycenia ich w
>> kodzie pomimo wszelkich code review jakie muszą przejść zanim zostaną
>> zaakceptowane.
>
> Robie code review *ogromnej* aplikacji od wielu lat jako normalna czynność
> związaną z wykonywanym zawodem. Daje Ci gwarancje że jesli chce mieć zle
> zamiary to przejdę i code review bo milion oczu nie oznacza milikon razy
> dokładniej. Co prawda zdarzają się przykłady pozytywne (i przypadkowo
> odkryte):
>
> https://freedom-to-tinker.com/blog/felten/the-linux-
backdoor-attempt-of-2003/
>
> Ale od tamtego czasu kernel jest znacznie większy a część kodu wychodzi poza
> kontrolę (sterowniki kart graficznych). Przeoczenie takiej linijki obecnie
> jest trywialne. I niepotrzebne. Niekt nie potrzebuje trojanów w trybie
> kernela. Do okradzenia usera z kasy wystarczy dowolna dziura na poziomie
> usera i czasami dodatkowa eskalacja do roota jeśli chcesz zrobić jakieś
> porządne ransomware. Masz roota, masz pamięć pod kontrolą
> -> trojany w jądrze są zbędne.

Jest pewna grupa osób, którym były one potrzebne dlatego próbowali je tam
umieścić. Zresztą nie tylko w jądrze w SSLu i paru innych powszechnie
stosowanych kawałkach softu również.

>
>> A nawet jeśli zrozumiałeś to inaczej to co ma Twoje pytanie "jak ma się
>> ten malware do tego jądra dostać" do mojej odpowiedzi na Twoje pytanie
>> "po co malware w jądrze". Po co i jak to chyba dwie różne sprawy.
>
> Być może. Niestety zmartwie Cie: żadko ktore malware zajmuje się pierdołami
> typu lamanie roota. Do wykradzenia pieniędzy wystarczy byle gówno napisane
> przez imbecyla w VisualBasicu w postaci exe w mailu. W temacie problemów z
> tego watku kernel mode jest nieistotny.

Specjalnie mnie nie zmartwiłeś. Malware w jądrze to taki remote desktop.
Możesz go użyć do wykonania przelewu albo czytania nieswojej poczty.
Zależy co kto lubi.