web-dev-qa-db-fra.com

Comment savoir si une boîte d'authentification est réelle ou fausse?

Par exemple, quelqu'un crée une fausse boîte de dialogue d'authentification pour obtenir mon mot de passe root. Comment savoir si c'est réel ou faux?

auth

28
user3683331

Donc, vous êtes [probablement] en train de regarder un message d'escalade de PolicyKit. Tous ceux qui n’ont pas l’un de ceux qui veulent jouer peuvent simplement courir pkexec echo (ou quelque chose comme ça) et ils auront quelque chose de similaire.

Comment pouvons-nous vérifier que c'est vraiment PolicyKit, pas une fenêtre de phishing personnalisée?

Vous pouvez obtenir des informations sur une fenêtre avec xprop et vous pouvez obtenir des informations sur les commandes avec ps alors combinons-les! Avant de continuer sur Steam, parce que nous sommes super paranoïaques, j'utilise des chemins complets au cas où quelqu'un aurait ajouté une copie piratée de l'une de ces commandes. Voici moi qui le lance sur ma boîte pkexec echo:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
 3989 ?        Sl     0:00 /usr/lib/kde4/libexec/polkit-kde-authentication-agent-1

Donc, autant que nous puissions en juger (notez que je suis un utilisateur de KDE), il s'agit d'une invite légitime. Il ne s'agit pas d'un script local, donc tant que quelque chose de mal n'a pas encore ancré le système (mais bon, pourquoi auraient-ils encore besoin de notre mot de passe?), Nous sommes probablement en sécurité.

Comment pouvons-nous dire ce qu'il va faire?

Dans le cas de gksu, kdesu et pkexec, les invites sont assez explicites sur ce qu'elles vont exécuter. Dans le cas des deux premiers, la commande ci-dessus vous indiquera ce qu'ils prévoient d'exécuter:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
10395 ?        Sl     0:00 /usr/lib/kde4/libexec/kdesu -u root -c /usr/sbin/synaptic

Dans le cas de PolicyKit, vous pouvez cliquer sur cet onglet de détails pour voir quelle autorisation il souhaite exécuter. Dans KDE, vous verrez également le PID de l'appelant qui peut être recherché (ps <PID>). Voici à quoi cela ressemble dans KDE:

KDE PolicyKit Prompt

Vous pouvez survoler l'action et obtenir la stratégie PolicyKit qu'il souhaite exécuter. Dans Ubuntu, la politique est affichée par défaut. Ces politiques peuvent être consultées. Celui ci-dessus provient de /usr/share/polkit-1/actions/org.kubuntu.qaptworker2.policy et d'un service spécifié dans /usr/share/dbus-1/system-services/org.kubuntu.qaptworker2.service. Vous pouvez voir ce qui se passe et par qui. Et ces services ne peuvent être ajoutés que par root. Par conséquent, à moins que vous ne soyez déjà enraciné, vous pouvez probablement leur faire confiance.

Mais ne faites pas aveuglément confiance à PolicyKit!

PolicyKit a ces règles et services afin que les actions select puissent être effectuées en tant que root sans avoir à exécuter tout le processus de cette manière. Vous devez cependant rester vigilant. Évidemment, si vous exécutez gnome-calculator et un org.freedesktop.policykit.exec Invite apparaît, quelque chose est louche.

Ce n’est peut-être rien d’autre que des recherches avant de saisir votre mot de passe. Après, il est trop tard.

Et même si tout est légitime, qui peut dire que de toute façon, aucun enregistreur de frappe ne vole tous vos mots de passe? Ou quelque chose qui dépasse $PATH ou qui a jeté quelque chose d'horrible dans votre ~/.bashrc qui donne l'impression que vous n'avez pas été piraté? Je suis assez sûr qu'avec suffisamment de concentration, vous pourriez contourner toutes les procédures de détection ci-dessus.

Dormez bien.

23
Oli