Como saber se uma caixa de autenticação é real ou falsa?

28

Por exemplo, alguém cria uma caixa de diálogo de autenticação falsa para obter minha senha de root. Como saber se é real ou falso?

auth

user3683331
fonte

Respostas:

23

Então você [provavelmente] está olhando para um prompt de escalação do PolicyKit lá. Qualquer pessoa que não queira jogar pode simplesmente correr pkexec echo(ou algo parecido) e obter algo parecido.

Como podemos verificar se realmente é o PolicyKit, não uma janela de phishing personalizada?

Bem, você pode obter informações sobre uma janela xprope informações de comando, psentão vamos combiná-las! Antes de continuarmos, porque estamos sendo super paranóicos aqui, estou usando caminhos completos, caso alguém tenha adicionado uma cópia hackeada local de qualquer um desses comandos. Aqui está eu executando-o na minha pkexec echocaixa:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
 3989 ?        Sl     0:00 /usr/lib/kde4/libexec/polkit-kde-authentication-agent-1

Então, tanto quanto podemos dizer (note que eu sou um usuário do KDE), este é um prompt legítimo. Ele não está executando algum script local, desde que algo ruim ainda não tenha enraizado o sistema (mas ei, por que eles precisariam da nossa senha novamente?), Provavelmente estamos seguros.

Como podemos saber o que isso vai fazer?

No caso de gksu, kdesue pkexecos prompts são bastante explícitos sobre o que eles serão executados. No caso dos dois primeiros, o comando acima dirá o que eles estão planejando executar:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
10395 ?        Sl     0:00 /usr/lib/kde4/libexec/kdesu -u root -c /usr/sbin/synaptic

No caso do PolicyKit, você pode clicar nessa guia de detalhes e verá qual permissão ele deseja executar. No KDE, você também verá o PID do chamador, que pode ser consultado ( ps <PID>). Aqui está o que parece no KDE:

Prompt do KDE PolicyKit

Você pode passar o mouse sobre a ação e obter a política PolicyKit que deseja executar. No Ubuntu, a política é mostrada por padrão. Essas políticas podem ser consultadas. O item acima vem /usr/share/polkit-1/actions/org.kubuntu.qaptworker2.policye um serviço especificado em /usr/share/dbus-1/system-services/org.kubuntu.qaptworker2.service. Você pode ver o que está sendo administrado e por quem. E esses serviços só podem ser adicionados pelo root novamente, a menos que você já tenha sido enraizado, provavelmente poderá confiar neles.

Mas não confie cegamente no PolicyKit!

O PolicyKit possui essas regras e serviços, portanto, ações selecionadas podem ser executadas como raiz sem precisar executar todo o processo dessa maneira. Você precisa estar vigilante. Obviamente, se você estiver executando gnome-calculatore um org.freedesktop.policykit.execprompt aparecer, algo está errado.

Pode ser apenas investigar antes de inserir sua senha. Depois é tarde demais.

E mesmo que tudo seja legítimo, quem pode dizer que você não tem um keylogger roubando todas as suas senhas? Ou algo que substitui $PATHou que jogou algo horrível no seu ~/.bashrcque está fazendo parecer que você não foi hackeado? Tenho certeza de que, com concentração suficiente, você poderá contornar todos os procedimentos de detecção acima.

Dorma bem.

Oli
fonte
Softwares como o tripwirepodem ajudar a verificar a autenticidade de um arquivo, mas devem ser instalados muito cedo.
Usuário registrado