[Soci SLIP] binfmt_misc (pericolosissimo? utilissimo?)

[llcfree]

Aggiornamento. Il file register, per intendersi, quello che dice quali
programmi vengono eseguiti e come, non si legge in nessun modo
conosciuto da me (i.e., quelli da bash, incluso hexdump). Quando la
chiavetta viene montata in /proc/bla bla, il file compare come
scrivibile da root e basta (vedi sotto). Si lascia cambiare permissions
(vedi sotto), ma poi da' errore in lettura. 
 
Suggerimenti per guardarci dentro in qualche modo e capire cos'e'? Ormai
mi sono rassegnata a rimontare la chiavetta, tanto se qualcosa doveva
fare gia' l'ha fatto. Serve qualcosa a basso livello per "leggere".

Trovo il tutto particolarmente sgradevole, perche' la chiavetta mi e'
stata data da un amico per un problema con windows, io l'ho
tranquillamente messa in una macchina GNU/linux, sentendomi immune, e
ora mi ritrovo invece con una cosa che non capisco sotto GNU/linux e in
grado, forse, di creare eventuali problemi di sicurezza a GNU/linux.

Any idea?

Loredana

On Tue, 2012-03-27 at 22:09 +0200, llcfree wrote:
> Qualcuno sa cosa sia binfmt? Scoperto perche' mi hanno dato una
> chiavetta usb con problemi non meglio identificati con windows.
> 
> Una volta inserita, viene riconosciuta e montata come:
> 
> binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc
> (rw,noexec,nosuid,nodev)
> 
> I files che contiene la chiavetta hanno zero bytes, ma se uno ci guarda
> dentro non sono affatto vuoti:
> 
>   ls -l /proc/sys/fs/binfmt_misc/
> -rw-r--r-- 1 root root 0 Mar 27 08:42 cli
> -rw-r--r-- 1 root root 0 Mar 27 08:42 jar
> -rw-r--r-- 1 root root 0 Mar 27 08:42 python2.6
> --w------- 1 root root 0 Mar 27 08:42 register
> -rw-r--r-- 1 root root 0 Mar 27 08:42 status
> 
>   cat cli
> enabled
> interpreter /usr/share/binfmt-support/run-detectors
> flags:
> offset 0
> magic 4d5a
> 
>  cat jar
> enabled
> interpreter /usr/bin/jexec
> flags:
> offset 0
> magic 504b0304
> 
>   cat python2.6
> enabled
> interpreter /usr/bin/python2.6
> flags:
> offset 0
> magic d1f20d0a
> 
> ma cat register da' read error, anche dopo aver cambiato le file
> permissions per aggiongere quella in lettura
> 
>   cat status
> enabled
> 
> Leggendo qui:
> http://en.wikipedia.org/wiki/Binfmt_misc
> 
> e qui:
> http://git.kernel.org/gitweb.cgi?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob;f=Documentation/binfmt_misc.txt;hb=HEAD
> 
> si direbbe un qualcosa di molto utile e ancor piu' pericoloso:
> 
> This Kernel feature allows you to invoke almost (for restrictions see
> below) every program by simply typing its name in the shell.
> This includes for example compiled Java(TM), Python or Emacs programs.
> 
> "Questa caratteristica del kernel permette di richiamare praticamente
> qualsiasi programma semplicemente scrivendo il nome del programma in una
> shell. Questo include, per esempio, java compilato, python o programmi
> emacs."  
> 
> Quali interpreti siano richiamabili sta scritto con una sintassi
> speciale in questo file register che pero' non si legge con gli
> strumenti normali della bash. 
> 
> Ho tolto la chiavetta, che mi ricorda tanto un rootkit, e non ho
> intenzione di rimetterla. Ma vorrei saperne di piu'. 
> 
> Qualche idea? Questa cosa sembra potenzialmente molto utile. 
> 
> Posso fidarmi che sia stata montata davvero noexec, nosuid, nodev?
> 
> binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc
> (rw,noexec,nosuid,nodev)
> 
> O devo cominciare a preoccuparmi?
> 
> Loredana
> 
> _______________________________________________
> Soci mailing list
> Soci a mail.pinerolo.linux.it
> https://liszt.softwareliberopinerolo.org/vecchiamlsoci/