Скрытые возможности Calculate Linux

В последнее время стал часто встречать публикации на тему “Заклейте камеру своего ноутбука”, в которых рассказывают, что на уровне ядра системы реализована возможность делать фотографии удаленно. Говорят, что при этом пользователь никак внешне не распознает, что его фотографируют (камера при этом не мигает, не светится). Также есть возможность делать скрины экрана и так далее. Конечно все эти публикации обносятся к закрытым ОС типа windows или ios. Про линукс системы ничего такого не пишут, но всетаки хочу спросить… Есть ли подобное в линукс вообще, а в часности в Calculate Linux? Если есть, то как это можно убрать/заблокировать?

Чтоб вам еще беспокойнее спалось, почитайте о Intel ME
Но я особо по этому поводу не беспокоюсь, я пользуюсь защитой “неуловимого Джо”

А если быть серьезным, то…
# Из коробки, если вы ничего дополнительного не включали, никто за вами в Linux-е следить не может
# Но это если вы сами ничего не включали, если вы установили и запустили какой-нибудь софт, с непонятной логикой работы (Skype, TeamViewer) из-под пользователя, имеющего доступ к камере/микрофону, то никто вам не сможет гарантировать, что эти приложения за вами не следят
# но и любое другое приложение, имеющее доступ к камере/микрофону, будучи взломаным, может обеспечить злоумшленнику доступ к соответсвующим ресурсам (а также к файловой системе и т.д.)
# более того, современные браузеры имеют АПИ (а также и flash уже давным давно), предоставляющие доступ веб-приложениям (по простомы - js-скриптам на странице) к вашим камере/микрофону. но при этом они спрашивают - разрешить ли этот доступ (хотя, кто сказал что в них нет уязвимости и нельзя заставвить браузер думать, что у страницы это разрешение есть)

теперь немного обрадую

  • насколько я помню, многие камеры позволяют управлять включением/выключением “лампочки”. Погуглим, вы сможете найти описание этого процесса, но хорошая новость в том, что для этого нужны права root-а
  • все приложения, запущенные из-под пользователя, имеют доступ к одним и тем же ресурсам. возмущает это не только вас, и уже давно изобретены механизмы, улучшающие положение
    • apparmor
    • selinux
      информации в инете о них полно, так что расписывать тут я их не буду

ну и, пожалуй, последнее
Если кто-то серьезный очень захочет вас взломать, и получить о вас какую-либо информацию, он это сделает несмотря на ту ОС, которой вы пользуетесь. Весь вопрос в цене вопроса (финансовой цене, технической, затратах времени)
Благо уязвимости регулярно находятся как в ОС и ПО, так и в прошивках железа

С другой стороны, если целенаправленно никто на ваши данные не охотится, то достаточно обычной осторожности:

  • не запускать неизвестного/мутного ПО
    а если и запускать, то в ограниченной песочнице (docker/lxc/lxd/vbox/vmwae к вашему распоряжению)
  • настроить доступ по ССШ по ключам (а где-то, может, вообще запретить)
  • закрыть все неиспользуемые порты фаерволом
  • мыть руки перед едой
  • не делать ничего такого, из-за чего вами могут заинтересоваться действительно серьезные дядьки
  • помнить, что некоторые вещи можно раздобыть совсем не “по-спортивному”, но тем не менее достаточно эффективно http://xkcd.ru/538/

Евгений Мартынов wrote:

В последнее время стал часто встречать публикации на тему “Заклейте камеру своего ноутбука”, в которых рассказывают, что на уровне ядра системы реализована возможность делать фотографии удаленно. Говорят, что при этом пользователь никак внешне не распознает, что его фотографируют (камера при этом не мигает, не светится).

Вы просто повторяете бред какого-то маркетолога. Windows - монолит, какой там уровень ядра?! Четкое разделение есть только в системах типа Linux, FreeBSD. А про них ничего такого не говорят.
Если вам хочется больше безопасности, то можно собрать и установить ядро без блобов, найдя исходники по этому линку: http://www.fsfla.org/ikiwiki/selibre/linux-libre/ . Чтобы исключить даже саму вероятность встроенных троянов.
Или отключить модуль ядра, отвечающий за веб камеру, при сборке ядра.

Михаил Гагауз wrote:

**** selinux

Вы это пробовали? Было бы интересно на вас посмотреть, когда вы обнаружите, что готовые правила ни отредактировать, ни посмотреть нельзя. :slight_smile: Их можно только использовать. SELinux - это кот в мешке, не надо это советовать. Это даже не говоря о крайне муторном процессе установке SELinux и соответствующего окружения.
Имеет смысл использовать AppArmor или Tomoyo.

ну и, пожалуй, последнее
Если кто-то серьезный очень захочет вас взломать, и получить о вас какую-либо информацию, он это сделает несмотря на ту ОС, которой вы пользуетесь. Весь вопрос в цене вопроса (финансовой цене, технической, затратах времени)
Благо уязвимости регулярно находятся как в ОС и ПО, так и в прошивках железа

Вы кого-то лично знаете, кого эти серьезные люди взломали? Это же байка. :slight_smile:

* selinux
Вы это пробовали?

да

Было бы интересно на вас посмотреть, когда вы обнаружите, что готовые правила ни отредактировать, ни посмотреть нельзя. :slight_smile: Их можно только использовать.

да что вы говорите? обычно невозможность посмотреть правила в selinux решается гуглингом.
говорят, вообще универсальный метод решения проблем, насчет “универсальный” - не знаю, но то, что помогает решить вопросы, связанные с SELinux - факт

SELinux - это кот в мешке…

вы не любите кошек? вы просто не умеете их готовить

Это даже не говоря о крайне муторном процессе установке SELinux и соответствующего окружения.

нечто подобное я слышу время от времени от виндо-юзеров по поводу linux-ов. практически слово в слово

что касается selinux-а, так уж вышло, что с selinux-ом я работаю на машинах с centos. там проблем с установкой и настройкой не возникало. ни разу.
на gentoo selinux настраивал лишь раз. по туториалу (из sgate3). разницы с обычной установкой gentoo не заметил.
на Calculate Linux с ним, наверняка, будет немного сложнее - надо будет подружить профиль кальки и selinux-а

кстати, AppArmor на кальке заводится с полпинка.

… не надо это советовать…

перечитайте внимательно мой ответ, “советую” я “банальную осторожность”. но и обойти вниманием эти два инструмента (selinx, apparmor) я посчитал неправильным.

Михаил Гагауз wrote:

да что вы говорите? обычно невозможность посмотреть правила в selinux решается гуглингом.

Оно, оно. Вы только гуглили на эту тему. Если бы вы действительно пробовали, то знали бы, что просмотр правил решается с помощью файла dismod, который получается после специальной сборки части пакета checkpolicy. Файл dismod выдает результат, который хоть и неудобно смотреть, но все же кое-как можно. А редактированию этот результат и вовсе едва-ли поддается. То есть, толку от подобного просмотра практически никакого. Вам придется все переписывать.

нечто подобное я слышу время от времени от виндо-юзеров по поводу linux-ов. практически слово в слово

Слушать не надо, надо попробовать. Тогда вы очень быстро поймете о чем идет речь.

что касается selinux-а, так уж вышло, что с selinux-ом я работаю на машинах с centos. там проблем с установкой и настройкой не возникало. ни разу.

Очевидно, что вы не работаете, вы там просто используете готовые правила. Учитывая, что SELinux в Centos из коробки, там вообще ничего делать не надо. Нечем хвастаться.

но и обойти вниманием эти два инструмента (selinx, apparmor) я посчитал неправильным.

И чем они могут помешать тому-же Skype, если тот захочет снимать скриншоты? Практически ничем, так как если вы не откроете Skype доступ в определенные каталоги, то он просто не будет работать. А если откроете, то ничего не помешает ему складывать скриншоты в эти открытые каталоги. Я даже не слишком понимаю, зачем вы вообще это советовали.

Очевидно, что вы не работаете, вы там просто используете готовые правила. Учитывая, что SELinux в Centos из коробки, там вообще ничего делать не надо. Нечем хвастаться.

ну конечно, вам виднее что я делал а что нет. тут даже спорить не о чем

но и обойти вниманием эти два инструмента (selinx, apparmor) я посчитал неправильным.
И чем они могут помешать тому-же Skype, если тот захочет снимать скриншоты? Практически ничем, так как если вы не откроете Skype доступ в определенные каталоги, то он просто не будет работать.

в огороде бузина, а в Киеве дядька
топикстартер спрашивал насчет “заклеивания камеры”, я описал основные возможные проблемы и возможности их обойти
из вашего-же ответа наиболее ценны следующие слова

Вы просто повторяете бред какого-то маркетолога.

все остальные ваши слова - попытка доказать что selinux плохой (а не вы его не осилили), вы д’Артаньян, а все окружающие абсолютно ничего не понимают в безопасности

dont_do_so.jpg

Михаил Гагауз wrote:

в огороде бузина, а в Киеве дядька
топикстартер спрашивал насчет “заклеивания камеры”, я описал основные возможные проблемы и возможности их обойти

Топикастер открытым текстом спрашивал о том, как ограничить возможность несанкционированного использование веб камеры. И вы предложили ему использовать системы мандатного контроля доступа, которые как раз в этом вопросе особо не помогут. Вы с больной головы на здоровую не валите. :slight_smile:

все остальные ваши слова - попытка доказать что selinux плохой (а не вы его не осилили), вы д’Артаньян, а все окружающие абсолютно ничего не понимают в безопасности

Моих слов про SELinux было ровно 5 предложений. Это вы в дальнейшем тему попытались раскрыть. :slight_smile: Что до доказательств, то достаточно пару раз это попробовать, а не погуглить. :slight_smile: