一つの質問プライバシーに焦点を当てたVirtualBoxラッパーであるHiddenVMが、最近GitHubページで提供されました。オープナーは、ローカルキャッシュ内のファイルが外部IPに送信されることを示すと主張する内容を投稿しました。
dmesgを使用すると、その背後で何をしているかを見ることができます。私はいくつかのメッセージから2つのメッセージを選択しました。
audit: type=1400 audit(1651914430.711:1128): apparmor="DENIED" operation="open" profile="torbrowser_firefox" name="/home/amnesia/.cache/thumbnails/large/3678dc849747c84908498dd948db8f71.png" pid=10995 comm="pool-firefox" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000 Dropped outbound packet: IN= OUT=wlan0 SRC=i removed the adress DST=i removed the adress LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=762031 PROTO=ICMPv6 TYPE=133 CODE=0 UID=0 GID=0
だから私のキャッシュから特定のアドレスにファイルを送信しているようです。たとえば、設定を変更する必要があるスクリプトがキャッシュファイルを開いてどこかに送信するのはなぜですか?
最初のステートメントでは、どのコマンドを使用したかを明記しておらず、追加の詳細も提供しませんでした。
これら2つのメッセージは、ファイルがローカルコンピュータから外部IPに転送されていることを示していますか?
答え1
GitHub問題の問題の説明は次のとおりです。
私が気づいたのは次のとおりです。仮想マシンを起動しようとすると、次のエラーが発生します。 VirtualBox Linuxカーネルドライバがロードされていないか、正しく設定されていません。実行してリセットしてみてください。
'/sbin/vboxconfig'
ルートとして。
試してみましたが、一部の権限の問題により動作しません。私は失敗し、dmesgを使って理由を見つけるように言いました。 dmesgを使用すると、その背後で何をしているかを見ることができます。私はいくつかのメッセージから2つのメッセージを選択しました。
そして、ログメッセージは次のようになります。
監査: タイプ=1400 監査(1651914430.711:1128): apparmor="deny" action="open" profile="torbrowser_firefox" name="/home/amnesia/.cache/thumbnails/large/3678dc84974 10995通信="poolfirefox" リクエスト_マスク="r" 拒否_マスク="r" fsuid=1000 ouid=1000
このメッセージは、AppArmorがユーザーID 1000で実行されるプロセス10995によってpool-firefox
ローカルファイルマネージャのサムネイルキャッシュへの読み取りアクセスをブロックすることによって生成されます。
ここでは、このメッセージが何らかの方法でルートとして実行されるようにリンクされていることを示す内容は表示されません/sbin/vboxconfig
。おそらく、ユーザーは(何らかの理由で)Firefoxファイルダイアログを開き、ダイアログライブラリは画像のサムネイルを探していますが、ライブラリはWebブラウザの一部として実装されているため、AppArmorルールはプライバシーに焦点を当てたディストリビューションがアクセスをブロックすることです。 (ブラウザを介してローカルサムネイルキャッシュが漏洩する可能性を防ぐため)
ドロップされたアウトバウンドパケット:IN = OUT = wlan0 SRC = i削除されたアドレスDST = i削除されたアドレスLEN = 48 TC = 0 HOPLIMIT = 255 FLOWLBL = 762031 PROTO = ICMPv6 TYPE = 133 CODE = 0 UID = 0 GID = 0
ICMPv6 タイプ 133 はルータ要求パケットです。つまり、システムはwlan0
WiFiネットワークのIPv6ルータに独自の通知を要求しながらパケットを送信しています。
これは、IPv6 自動設定の一般的な機能の一部であり、UID=0
パケットがルートレベルのプロセスによって生成されたことを示します。通常、これらのパケットはマルチキャスト方式で送信されます。リンク - ローカル「すべてのルーター」IPv6マルチキャストアドレスしたがってDST=
、アドレスがそうでない場合はff02::2
使用異常を示し、ICMPv6メッセージを秘密データ漏洩チャネルとして使用できることを示します。
ただし、ブロックとパブリックのiptablesフィルタを削除せずに、これらの洗練された攻撃(カスタムICMPv6メッセージを作成するには既に特権アクセスが必要です)を実行することは一貫性がなく、これがユーザーの誤解である可能性があることを強く示唆しています。
私を見なかったどの元のジョブ、最初のログメッセージ、および/または2番目のログメッセージ間の因果関係の証拠。
これは一般的な論理エラーに近いです。 「イベントYはイベントXの後に発生したため、イベントYはイベントXによって発生したに違いありません。」「事実以降、したがって事実以降」)
この場合、ユーザーはログメッセージが完全に実行されたコマンドによって引き起こされたと仮定します/sbin/vboxconfig
が、実際にはシステムで同時に他の多くのプロセスが発生し、すべてdmesg
報告されます。