Příspěvky

346

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 13:11:22 »

Chybi ti tam spousta veci, treba tohle:  poslu ti na server pres internet spoofovanej paket, kterej ti zpusobi na serveru ARP poisoning. Pomoci toho ti pak povrhnu falesnej DNS server a misto ze spravnyho blockchainu budes tahat data o probehnuvsim transakcich z myho podvrhnutyho serveru, kde bude oznacena jako probehnuvsi transakce, ktera ve skutecnosti neprobehla. Jasne, je tam jeste problem s certifikatama u ssl, ale to vyresim tak, ze tu falesnou domenu na falesnym DNS serveru budu mit podepsanou pomoci DNSSec.

Přijde mi to dost nereálné. Máš k tomu nějaký materiály ohledně paketu, který způsobí ARP poisoning? Ten se snad dá dělat jen na lokální síti ne?

347

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 13:05:49 »

1) vsechny volani SQL by musely jit pres prepared statements. To je nutnost. A neexistuje zadny relevantni duvod proc prepared statements nepouzivat. To ze musite napsat o 2 radky navic neni zadny duvod. Vysledkem by bylo snizeni rizika SQL injection temer na nulu.

Osobní názor
 - jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
 - v zásadě jen řeši obrovskou neschopnost programátorů ošetřit si apostrov (a mysql programátorů ten správný apostrof v tom textu najít)

Ale nemám s tím problém, používám vlastní API, které umí obojí.

348

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 13:03:22 »

1)...
2)...
3)...

Ale tohle je všechno jasný. Neznáte princip opatrnosti? I když uděláte všechna opatření, je nutné předpokládat, že nebudou 100% úspěšná

349

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 12:44:24 »

No jasne, ale tady nejde o koncovy firewall. Hlavne to chce zamerit se na forward pravidla. To je u serveru nejdulezitejsi. A prave proto jsou lepsi iptables, protoze tam je forward samostatny chain. Urcite nezapomente zahazovat invalid packety! To je z hlediska bezpecnosti serveru zasadni a hodne lidi na to zapomina.

No vzhledem k tomu, že s tím nemám zkušenosti (používám většinou už hotové firewally) tak to nechám na nějakého odborníka, doufejme, že to nebude nějaký čtvrtý instalater

To jsem chtěl, a vysmáli jste se mi

O zverejneni jednoho faktoru zatim nepadlo slovo. To urcite udelejte! Ale nesmite nastavit heslo na 1234, to by bylo moc napadny.

To patřilo k tomu open-source

Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka

Jo, to je fajn, ale chce to fakt na urovni SQL. Banan je naprd, chce to trigger, kterej mu pak predhodi nejakou falesnou view. Ale se stejnym pristupovym heslem, jinak by mu vypadla session.

Tady si nejsem jist. SQL je podle mě zranitelnější, než vlastni skript. do MySQL se dostanu přes SQL  injection snázeji. Ale trigger by ano..  určitě šel. Ono to funguje tak, že ten člověk tam vidí, že má víc peněz než měl a všechny statistiky funguji, může si vypsat příkaz... ale nic se mu nezobchoduje. Nevzniknou žádné závazky.

Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas.

No to se prave pak kombinuje s tim honeypotem - puvodni stroj nechas bezet, nechas utocnika rejdit nad puvodni databazi a on vubec netusi, ze site uz davno jede nekde uplne jinde z repliky. Akorat je tam teda ten problem s DMZ, no. Ale tak kdyz o tom vite, tak neco vymyslite. Mne se nejvic libi reseni takovy, ze se to cely postavi nad GFS2, cimzpadem vlastne ty dva stroje bezi nad jednim blokovym zarizenim, takze pak je daleko jednodussi udelat to odstrihnuti repliky od honeypotu, protoze je tam vlastne sdilenej filesystem.

No a nemůže se potom stát, že když jsou ty systémy propojené, že se může kompromitace rozšířit z jednoho na druhý?

Jinak já si myslím, že nejlepší zabezpečení by bylo, kdyby vůbec na tom stroji žádné peníze nebyly, kdyby prostě byly jinde. Třeba vícefrontové ověřování transakcí.  Co jsou reálné hrozby?

- získání kontroly nad strojem? OK, to je asi to nejhorší, ale také nejtěžší
- získání nekrytých peněz - očekávám, že většina lidí se bude chtít nabourat do účetního systému (zabezpečení aplikace)
- přepsání adresy peněženek - aby prodávající poslal bitcoiny na peněženku útočníka (zabezpečení aplikace)
- kompromitace stránky na straně oběti - to jsou různé XSS a podobně
- nastrčení cizího účtu - přihlášení prodávajícího k cizímu účtu a donutit ho udělat transakci.

Srovna jsem to v pořadí od nejtěžšího útoku po nejlehčí.

350

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 12:24:41 »

A co ti brání ukrást to i s tím klíčem zasunutým?

NTV!!!!

Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že.

P.S. Pro další debilní dotaz typu "a to jako když to spadne, tak tam kvůli tomu pojedu a mezitím přijdeme o peníze?!" předem odpovídám: ANO, mistře Nováku, to zvednete zadel a pojedete. Nicméně mezitím služba dál poběží z jiného stroje v clusteru, takže nikdo nic nepozná.

Takže nakonec svěříte ochranu serveru jednomu člověku do ruky. Super bezpečnost pane bezpečáku!

351

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 12:19:36 »

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Co to, prosím? Jak nabootoval? Bez klíče to prostě NEnabootuje. Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že. Já fakt nevím, tady fakt nemá smysl ztrácet čas.

A co ti brání ukrást to i s tím klíčem zasunutým?

Proto jsem třeba naprosto zásadně proti escrow bitcoinů. Když někdo zjistí, kolik je tam bitcoinů, tak to ukradne i údržba serverovny, příležitost dělá zloděje

352

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 12:11:45 »

Tyhle typy ochran bývají nejhorší.

Tak ja ted nevim. Prisel jste poprosit o radu, nebo nas presvedcovat o tom, ze tomu rozumite lip nez my?

Chtěl jsem přeskočit věci, na které mám vlastní názor

Co dál mi poradíte?.

Mate tam poradnej firewall? Urcite tam dejte iptables, ty jsou daleko bezpecnejsi nez PF.

V celku je mi jasné, že firewall v produkci musí být. Firewall mám i na svém domácím počítači, takže to jsem to považoval za samozřejmost

Taky by to urcite chtelo fail2ban. Potom

S tím moc nesouhlasím. To je dobrý nástroj na generování DDoS útoků, takže asi ne.

taky urcite zverejnete zdrojak, abyste predesli security by obscurity. Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.

To jsem chtěl, a vysmáli jste se mi

Jo a planujete honeypot? Ted nemyslim jako infrastrukturu, o te se samozrejme nebudeme bavit, to je jenom tresnicka. Ale dal bych tam honeypot aplikacni. Idealne integrovanej primo do te SQL databaze.

Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka

No a pak uz jenom ty infrastrukturni zalezitosti - server dat do DMZ, sifrovat disky, protoze to bude v racku, do kteryho muze kdokoli. no a taky urcite nezapomenout na disaster recovery - takze databazi replikovat nekam offsite. Coz bude problem, protoze server je v DMZ, ale da se to obejit VPNkou. S hardwarovymi tokeny samozrejme, bezpecnost je priorita.

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas. Problém s DMZ souhlas. VPNka musí mít někde otevřený port. Útočník může zjistit, kde má VPNka server a provést útok na něj, a když bude úspěšný, memusí to být na tom původním serveru ani znát.

353

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 12:00:43 »

To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.

Já se snad vojebnu. Mistře "bezpečáku", i na svém domácím routeru (a řadě dalších) mám SSH zabezpečeno tak, že přístup je povolen pouze z whitelistu IP adres. A pro případ, že je třeba přistupovat z předem neznámých IP, tak k tomu mi slouží VPN zabezpečená zaheslovaným certifikátem plus ověřením už. jména a hesla přes RADIUS. To vše předtím, než se vůbec dostanu k samotnému přihlašování klíčem přes SSH. Vy jste fakt sebevrazi, kdo vás ta to najal? 

A jak máte zabezpečenou tu VPN? Ta má přece taky někde otevřený port?

354

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 11:46:32 »

precist "Kod dveri: 1234", dvere jsou sice pancerove a zamrizovane, ale panty drzi pouze v drevenem ramu a mrize jsou prisroubovane

Proč ten kód nepoužijete, když ho tam vidíte?

Vidite prosim tu absurtidu? Rozumite ted tomu, ze Vam lide reknou, ze nejenze zjevne nerozumite bezpecnosti, ale jeste po nich chcete zcela nesmyslne testovat jedny konkretni dvere v dome, ve kterem nakonec nebudou.

Pokud Vam ani toto nedava smysl, prosim napiste mi to. Zatim totiz stale trochu doufam, ze pochopite co se Vam zde snazime sdelit (prestoze nekdy znacne nehezkym zpusobem). Pokud mi ale napisete, ze ani toto Vam smysl nedava, alespon budu moci v klidu ignorovat tuto debatu, protoze nepovede nikam.

Nechápu co se mi snažíte sdělit. Já stále čekám aspoň nějaký výčet bezpečnostních rizik.

Bavme se trochu o zabezpečení obecně, ne o konkrétním serveru

- jde přečíst baner na server - pravděpodobně se někdo domnívá, že podle typu verze serveru se dá vybrat nějaký typ útoku a server kompromitovat. Já nevím, ale já jako hacker, pokud by tam nebyl banner, tak bych útočil na všechna možná zranitelnosti za poslední dobu známých. K tomu banner nepotřebuju. Je to jen taková ochrana pro dobrý pocit. Tyhle typy ochran bývají nejhorší. Člověk má pocit, že to má zabezpečený, a nic dalšího pro bezpečnost nedělá.
- otevřený port SSH - pravděpodobně se někdo domnívá, že když je tam otevřený port SSH, tak by se to dalo teoreticky hacknout. To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.
- co tam máme dál?
- ideální by bylo, aby na prvním stroji nebylo nic. Třeba jen balancer nebo proxy. Útočník se maximálně dostane do prázdného stroje. Co dál mi poradíte?.
- pravidelné bezpečnostní aktualizace...
- omezení přístupových práv do databází (aby aplikace nemohla měnit strukturu databází)

- můžeme nyní řešit bezpečnost nasazené aplikace?

355

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:44:49 »

Sice je to marné, ale – pokud je produkční prostředí zabezpečeno dobře a samotná aplikace špatně, není problém v přeceňování zabezpečení produkčního prostředí, ale v podceňování zabezpečení aplikace. Nasazením děravé aplikace do děravého prostředí se bezpečnostní problémy opravdu nevyřeší.

A jak si pomůžu, když nasadím děravou aplikaci do produkčně zabezpečeného prostředí? Je to naprosto k ničemu! První je zabezpečit aplikaci a o to tu celou dobu jde. Investovat prostředky do zabezpečení prostředí, když mám v aplikaci díry jak vrata (ačkoliv to já nevím, to se právě snažím zjistit) je vyhazování peněz oknem

356

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:37:42 »

Kód: [Vybrat]

  wget -S -O - -q http://www.root.cz > /dev/null

  HTTP/1.1 200 OK
  Date: Fri, 29 Nov 2013 09:36:40 GMT
  Server: Apache/2.2.16 (Debian) PHP/5.4.19-1~dotdeb.0
  X-Powered-By: Nette Framework

357

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:23:41 »

- chybí třešnička

OMG!

Komu není rady, tomu není pomoci.

Přesně tak, přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky. dopadl přesně tak jak dopadl. Proto nemohu tyhle rady poslechnout, sorry.

358

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:22:38 »

Tedy já nevím, ale na to demo se podle mne nedá ani přihlásit, tedy myslím demonstračně.
Možná by taky nebylo od věci, pokud by to šlo já jsem na tohle proti ostatním LAMA, pokud by nefungovalo Ctrl+U.

Už to jde.

359

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 29. 11. 2013, 10:17:28 »

Ve vašem pojetí zabezpečení, které jsem já nazval „bezpečnost tam nakonec nějak přilepíme“. Podle mne to žádné zabezpečení není, protože skutečné zabezpečení se nedá dělat tak, že vezmete hotový systém a ten na závěr zabezpečíte. To pak totiž nemůže skončit jinak, než mříží na dveřích a otevřeným oknem ve sklepě.

Asi tak
- toto je demo dortu
- chybí třešnička
- bude až ve finální verzi
- fuuuuuuuuuuuuuuuu ten dort není vůbec hezký a ani ho nebudu ochutnávat

360

O serveru Root.cz / Forum: Přístup odepřen

« kdy: 29. 11. 2013, 10:13:43 »

Chtěl bych poprosit místního správce, aby něco udělal s forem. Neustále mě to odhlašuje. Někdy napíšu příspěvek a ztratím jej po tom, co to napíše "přístup odepřen". Někdy se mi ho podaří skopírovat a po přihlášení ho znova vlepit jako odpověď. Když zaškrtnu trvale přihlášen, tak mě to stejně nakonec odhlásí. Nebo mi to pořád dokola píše, že vypršelo sezení, zkuste to odeslat znovu.

V IE9 a v Opere Mini se nepřihlásím vůbec.

Jinak teď jedu z Firefoxu a mám IPv6