Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: blb 08. 07. 2015, 18:13:19
-
"Monitor linux devices by implanting the Agent" Tohle stojí na nějakém tom feature listu :D od těch hackerů. Jedná se teda o nějakou aplikaci, kterou tam musí někdo předem nainstalovat (např. něco udělám a pčr mi dá ve vazbě notebook :D). Nebo se tam ta aplikace dá dostat komokoliv, kdo je v síti, popřípadě na netu, když má veřejnou IP?
-
Meli k dispozici minimalne jeden zero day, takze rhybarenim dostat podezreleho na svou stranku nebo ho presvedcit k otevreni nejake prilohy.
-
Měli exploit na Flash a nejspíš i na Firefox a Chromium. Pak tě buď nalákají na jejich stránku kde ten exploit je nebo ti takovou stránku podvrhnou třeba místo root.cz když spolupracují s tvým ISP nebo jsi na nezabezpečené wifi.
-
A nebo oscanuje bezici sluzby a pokud je nejaky bug v bezici (serverove) sluzbe, kterou nemas zaplatovanou, tak jedine jeste tak.
Ale jinak - na Linuxu muzes byt v klidu ;-)
-
Ale jinak - na Linuxu muzes byt v klidu ;-)
Nemůže. Je to o trochu lepší než Windows, ale furt je to hrůza.
-
Nejlépe tak že někdo od nich bude patřit mezi vývojáře nějaké nepostradatelné části kernelu.
-
Z toho mala co sem si zatim o tom pocet, defakto vse bylo zalozeny na blbosti uzivatele.
=> nekdo, kdo vedome dela neco, co vi ze by nemel, nebude nejspis tak blbej, aby jim na to skocil.
-
Ale jinak - na Linuxu muzes byt v klidu ;-)
Nemůže. Je to o trochu lepší než Windows, ale furt je to hrůza.
Prestan strasit az zvelicovat, jses trapnej... :(
-
Ale jinak - na Linuxu muzes byt v klidu ;-)
Nemůže. Je to o trochu lepší než Windows, ale furt je to hrůza.
Prestan strasit az zvelicovat, jses trapnej... :(
IMO to není zveličování.
Linux obsahuje velké množství kódu, jenž neprošel žádnou formální verifikací - mohou tam být tisíce chyb, kterých si nikdo nevšiml.
-
Co jsem si tak četl to jejich leaknutý KB a vyextrahovaný CZ data od Jendy, tak do linuxu se dostanou pouze přes nastrčený odkaz (a ještě k tomu Flash).
Tedy uživatel musí jít na konkrétní podstrčenou stránku (ve zprávách pro CZ radí jak to udělat a hlavně jak to nedělat), tam je nastrčený něco co se spustí v prohlížeči. Vzhledem k tomu, že prohlížeč může na uživatelova data, tak může přečíst cokoliv.
I když cokoliv, v KB mají pouze seznam volání na skype a historie v prohlížečích. Skype neznám, ale prohlížeče mají historii v sqlite souboru, takže na to stačí jeden select.
Jinak, tohle docela dobře ukazuje užitečnost rad, jako spouštět si prohlížeč pod jiným uživatelem (pro různé činnosti mít různé uživatele), aby se ten prohlížeč nedostal ke všem datům. A taky užitečnost věcí jako selinux apod.
-
Z toho mala co sem si zatim o tom pocet, defakto vse bylo zalozeny na blbosti uzivatele.
=> nekdo, kdo vedome dela neco, co vi ze by nemel, nebude nejspis tak blbej, aby jim na to skocil.
Opravdu myslis, ze kdejakej zlocinec ma aspon zakladni IT gramotnost?
Prestoze obcas prekrocim a dokonce vedome mimo obec "povolenou" rychlost tak to neznamena, ze jsem schopen si treba vymenit olej.
-
Z toho mala co sem si zatim o tom pocet, defakto vse bylo zalozeny na blbosti uzivatele.
=> nekdo, kdo vedome dela neco, co vi ze by nemel, nebude nejspis tak blbej, aby jim na to skocil.
Opravdu myslis, ze kdejakej zlocinec ma aspon zakladni IT gramotnost?
Prestoze obcas prekrocim a dokonce vedome mimo obec "povolenou" rychlost tak to neznamena, ze jsem schopen si treba vymenit olej.
Kdyz bude zlodej krast brambory sousedovi na poli, myslis ze si o tom povede evidenci v PC? A myslis ze mu kvuli tomu bude nekdo PC hackovat? Nebo si myslis, ze kdyz budu chtit nekomu dat/vzit uplatek, ze si o tom vedu evidenci v PC? Nebo myslis ze budu nekomu na seznam posilat maily na tema kolik kde ma zakopat, abych si to tam vyzved?
-
Ale jinak - na Linuxu muzes byt v klidu ;-)
Nemůže. Je to o trochu lepší než Windows, ale furt je to hrůza.
Prestan strasit az zvelicovat, jses trapnej... :(
Prosím projdi si třeba debian-security mailing.
-
Jinak, tohle docela dobře ukazuje užitečnost rad, jako spouštět si prohlížeč pod jiným uživatelem (pro různé činnosti mít různé uživatele), aby se ten prohlížeč nedostal ke všem datům. A taky užitečnost věcí jako selinux apod.
Ještě musíš nějak vyřešit třeba Xka. Já bych tomu moc nevěřil. Podle mě je cesta mít prohlížeč ve virtuálu. Znáš třeba QubesOS? Ten se mi docela líbí.
-
Kdyz bude zlodej krast brambory sousedovi na poli, myslis ze si o tom povede evidenci v PC? A myslis ze mu kvuli tomu bude nekdo PC hackovat? Nebo si myslis, ze kdyz budu chtit nekomu dat/vzit uplatek, ze si o tom vedu evidenci v PC? Nebo myslis ze budu nekomu na seznam posilat maily na tema kolik kde ma zakopat, abych si to tam vyzved?
ty asi ne, ja taky asi ne, ale dovedu si predstavit spoustu lidi kteri ano. treba takovej majitel autoservisu kterej bude tocit kradeny auta imho vubec netusi kolik breberek pro android je a ze cokoliv recene jinak nez z oci do oci za patricne zvukove kulisy je nebezpecne.
-
A taky asi netusi, ze zrovna tenhle mail od Tonyho z ulice vubec neposlal Tony a ze ty nahatiny na recky plazi mu prave tenhle bordel do kompu dostanou...
-
Ale jinak - na Linuxu muzes byt v klidu ;-)
Nemůže. Je to o trochu lepší než Windows, ale furt je to hrůza.
Prestan strasit az zvelicovat, jses trapnej... :(
Prosím projdi si třeba debian-security mailing.
Kdyz si tve "vyplody" cte nejaky zacatecnik, tak si asi hodi masli, pac window$$ je totalni sr*cka a Linux, dle tvych mouder, stejne tak, OMG :-|
-
Ale jinak - na Linuxu muzes byt v klidu ;-)
Nemůže. Je to o trochu lepší než Windows, ale furt je to hrůza.
Prestan strasit az zvelicovat, jses trapnej... :(
Prosím projdi si třeba debian-security mailing.
Kdyz si tve "vyplody" cte nejaky zacatecnik, tak si asi hodi masli, pac window$$ je totalni sr*cka a Linux, dle tvych mouder, stejne tak, OMG :-|
sračka mi přijde jako příliš expresivní výraz, ale systém, kde dochází k věcem jako CVE-2008-0166, CVE-2006-0062, CVE-2011-2690, jenom za poslední rok se v nejpoužívanějších prohlížečích našlo několik chyb typu remote code execution, heartbleed, shellshock, CVE-2015-1038 (a mohl bych pokračovat) prostě v pořádku není a alespoň já kvůli tomu „nemůžu být v klidu“.
-
(a to píšu jako člověk který používá Linux pracovně i mimopracovně jako jediný operační systém už osm let)
-
Nebo si myslis, ze kdyz budu chtit nekomu dat/vzit uplatek, ze si o tom vedu evidenci v PC?
I takoví jsou mezi námi: http://www.lidovky.cz/cele-dopoledne-snezim-jsem-totalne-down-zapsal-si-dbaly-do-diare-pw2-/zpravy-domov.aspx?c=A141003_165005_ln_domov_ogo
-
Navic by leckdo mohl dojit treba k falesnemu presvedceni "mam to zaheslovany truecryptem - jsem v klidu" a vubec mu nedojde, ze ty data odejdou v dobe kdy si komp sam zapne...
-
Navíc ten člověk ani nemusí na nic klikat, stačí znát jeho oblíbené stránky, kam normálně chodí a některou z nich nabourat. Pak se přes flash nebo jinou díru v prohlížeči dostaneme k jeho datům. Ten nabouraný server bude samozřejmě expoitovat jen jeho prohlížeč podle IP nebo nějaké jiné identifikace, nechceme na sebe zbytečně upozorňovat...
-
(a to píšu jako člověk který používá Linux pracovně i mimopracovně jako jediný operační systém už osm let)
Tak přestaň fňukat a nainstaluj si FreeBSD. A nebo si napišu svůj OS. Jistě bude naprosto bez chyb.
-
sracka mi prijde jako príliš expresivní výraz, ale systém, kde dochází k vecem jako CVE-2008-0166, CVE-2006-0062, CVE-2011-2690, jenom za poslední rok se v nejpoužívanejších prohlížecích našlo nekolik chyb typu remote code execution, heartbleed, shellshock, CVE-2015-1038 (a mohl bych pokracovat) proste v porádku není a alespon já kvuli tomu „nemužu být v klidu“.
Já jsem bohužel ve stavu, kdy nesmím ani naznačovat. Ale existují mnohem vetší problémy, než ta sada CVE, kterou jsi popsal.
Jeden příklad za všechny je MD5. Ta funkce se neměla používat už v době, kdy byla považována za bezpečnou. Před deseti lety byla prolomena. To měl být její totální konec. I kdyby nebyla prolomena, tak v průběhu let se rychlost výpočetní techniky zvýšila natolik, že dneska by stejně byla považována za slabou. Tedy máš tři faktory: zákaz pro message digest, prolomenost, slabost. Přesto dodneška vycházejí články a návody s touto funkcí jako neproniknutelnou obranou proti všemu.
HeartBleed. Jasně, udělalo se velké halo, admini měli během pár hodin / dnů zazáplatované openssl a co se stalo potom? Výměna klíčů? No u některých ano. Udělala se rychlá výměna klíču, vystavily se nové certifikáty. Jenže co nastalo potom? Při renew se opět použili staré CSR uložené u autorit, tedy s klíči, které byly vystaveny možnosti úniku pomocí heartbleedu. A to ani nemluvím o tom, že někteří se vzpamatovali až pár měsíců poté.
Jisté instituce loni (nevím, kdo to rozpoutal, jestli to bylo nařízení z vrchu nebo odkud) začali omezovat OUTPUT. Takže servery dodavatelů se najednou nemohli připojit jednak na zdroje externích dat (na což se přišlo už po několika týdnech) a také na updatovací servery. Tedy hodně serverů, které předtím byly trochu updatované jsou najednou úplně bez updatů. Do toho si připočtěte politiku některých úřadů, tedy nulová tolerance k výpadkům, nebude se rebootovat do nového jádra, nebudou se restartovat služby. Tohle všechno (nemožnost stáhnout updaty a hlavně nemožnost je provést u některých úřadů vedlo k naprosté absenci jakéhokoliv zabezpečení serverů.
Takže nějaké CVE dráždí možná tak pár adminů, kteří si během minut / hodin provedou upgrade vlastních projektů, ale min. v české státní správě to bude trvat možná dalších 10 let, než se ty staré servery nahradí. Protože efektivně se brání jakýmkoliv pracem na serverech, tak se prostě update neprovádějí.
Tedy útočníka vůbec nemusejí zajímat nějaké aktuální chyby, klidně si může vybrat sqlinjection, před kterými se varovalo už tak možná před 15 lety.
-
Tak přestaň fňukat a nainstaluj si FreeBSD.
Minimálně část těch chyb se týká i jeho.
A nebo si napišu svůj OS. Jistě bude naprosto bez chyb.
Bohužel nejsem geniální, takže i v mých programech je spousta chyb, a i kdybych byl, tak v jednom člověku OS vyvinout nejde (mimo experimenty obsahující kalkulačku a helloworld).
MD5
Ano, existují návody, jak to udělat blbě (stejně jako jsou návody na PHP které vysloveně lákají k tomu udělat tam SQL injection). Doufám ale, že zrovna v Linuxu si populární programy dávají trochu bacha a nepoužívají to (moc jsem to ale nezkoumal). Kupodivu jediný praktický útok s MD5 na který jsem narazil byl FLAME (falšování certifikátů pomocí kolize v MD5) a to je záležitost Windows.
HeartBleed
Ten mi, upřímně, zrovna přijde z těch věcí co jsem jmenoval jako ten menší problém - asi se přes něj dají přečíst klíče a hesla k webovým aplikacím (ha, další problém, místo používání bezpečné HTTP Digest se hesla píšou do pochybných HTML formulářů), ale není to okamžitý remote code execution.
instituce
Chápu a soucítím. Upřímně řečeno mi ještě není jasné proč už dávno všechny tyhle systémy nejsou vyhackované (resp. ne tak aby se na to přišlo), vypadá to jako práce pro prvňáka. Proč ještě funguje elektřina a voda když je každý rok na CCC nový exploit na SCADA systémy + konstatování že ten loňský ještě není opravený.
-
Ano, existují návody, jak to udělat blbě (stejně jako jsou návody na PHP které vysloveně lákají k tomu udělat tam SQL injection). Doufám ale, že zrovna v Linuxu si populární programy dávají trochu bacha a nepoužívají to (moc jsem to ale nezkoumal). Kupodivu jediný praktický útok s MD5 na který jsem narazil byl FLAME (falšování certifikátů pomocí kolize v MD5) a to je záležitost Windows.
No já jsem tím chtěl jen naznačit, že se o hromadě věcí hromadu let ví, a přesto se jednak stále používají a hlavně stále vycházejí nové články a knihy, ze kterých se učí noví programátoři. Z MD5 už mám pomalu kopřivku a používám to jako takového maskota všech těchto naprosto a všem známých problémů.
Tedy, že není nutné využívat crack na včera vyšlé CVE, klidně si lze v klidu napsat exploit na něco, o čem se ví už tak 15 let.
Ten mi, upřímně, zrovna přijde z těch věcí co jsem jmenoval jako ten menší problém - asi se přes něj dají přečíst klíče a hesla k webovým aplikacím (ha, další problém, místo používání bezpečné HTTP Digest se hesla píšou do pochybných HTML formulářů), ale není to okamžitý remote code execution.
Já jsem si ho nevybral ani tak proto, že by to byl největší problém, jako spíš pro ukázku, jak se řeší problém o velikosti "1/3 internetu". Udělá se velké haló, velké bububu a po měsíci se opět začnou používat původní klíče a všichni se tváří, že je vše ok. Takto se dělá lecos, místo skutečné opravy pouze fasáda, aby to vypadalo opraveně.
Chápu a soucítím. Upřímně řečeno mi ještě není jasné proč už dávno všechny tyhle systémy nejsou vyhackované (resp. ne tak aby se na to přišlo), vypadá to jako práce pro prvňáka.
Soucítit není třeba, kdybych to nechtěl dělat, tak to nedělám.
Proč ještě funguje elektřina a voda když je každý rok na CCC nový exploit na SCADA systémy + konstatování že ten loňský ještě není opravený.
Asi to nikomu za to nestojí. Možná jen zatím.