sracka mi prijde jako príliš expresivní výraz, ale systém, kde dochází k vecem jako CVE-2008-0166, CVE-2006-0062, CVE-2011-2690, jenom za poslední rok se v nejpoužívanejších prohlížecích našlo nekolik chyb typu remote code execution, heartbleed, shellshock, CVE-2015-1038 (a mohl bych pokracovat) proste v porádku není a alespon já kvuli tomu „nemužu být v klidu“.
Já jsem bohužel ve stavu, kdy nesmím ani naznačovat. Ale existují mnohem vetší problémy, než ta sada CVE, kterou jsi popsal.
Jeden příklad za všechny je MD5. Ta funkce se neměla používat už v době, kdy byla považována za bezpečnou. Před deseti lety byla prolomena. To měl být její totální konec. I kdyby nebyla prolomena, tak v průběhu let se rychlost výpočetní techniky zvýšila natolik, že dneska by stejně byla považována za slabou. Tedy máš tři faktory: zákaz pro message digest, prolomenost, slabost. Přesto dodneška vycházejí články a návody s touto funkcí jako neproniknutelnou obranou proti všemu.
HeartBleed. Jasně, udělalo se velké halo, admini měli během pár hodin / dnů zazáplatované openssl a co se stalo potom? Výměna klíčů? No u některých ano. Udělala se rychlá výměna klíču, vystavily se nové certifikáty. Jenže co nastalo potom? Při renew se opět použili staré CSR uložené u autorit, tedy s klíči, které byly vystaveny možnosti úniku pomocí heartbleedu. A to ani nemluvím o tom, že někteří se vzpamatovali až pár měsíců poté.
Jisté instituce loni (nevím, kdo to rozpoutal, jestli to bylo nařízení z vrchu nebo odkud) začali omezovat OUTPUT. Takže servery dodavatelů se najednou nemohli připojit jednak na zdroje externích dat (na což se přišlo už po několika týdnech) a také na updatovací servery. Tedy hodně serverů, které předtím byly trochu updatované jsou najednou úplně bez updatů. Do toho si připočtěte politiku některých úřadů, tedy nulová tolerance k výpadkům, nebude se rebootovat do nového jádra, nebudou se restartovat služby. Tohle všechno (nemožnost stáhnout updaty a hlavně nemožnost je provést u některých úřadů vedlo k naprosté absenci jakéhokoliv zabezpečení serverů.
Takže nějaké CVE dráždí možná tak pár adminů, kteří si během minut / hodin provedou upgrade vlastních projektů, ale min. v české státní správě to bude trvat možná dalších 10 let, než se ty staré servery nahradí. Protože efektivně se brání jakýmkoliv pracem na serverech, tak se prostě update neprovádějí.
Tedy útočníka vůbec nemusejí zajímat nějaké aktuální chyby, klidně si může vybrat sqlinjection, před kterými se varovalo už tak možná před 15 lety.
25 Odpovědí
6797 Zhlédnutí