Nevzdáváme to - nová burza bitcoinů

[lupex]

Jen ve zkratce:
útok na všechny známé zranitelnosti je na dobrém IPS/IDS odhalen během několika vteřin a zablokován. Pokud znám verze aplikací, uložím si je a čekám na 0Day exploit.
  Jak píší ostatní, bezpečnost se dá řešit pouze jako komplexní záležitost. Stejně jako to bude řešit útočník. To ssh si můžete otevřít jen vůči Vaší adrese, bannery změnit nebo falšovat, nasadit aplikační fw, validovat veškeré vstupy do aplikace ještě před tím než do té aplikace vstupují, šifrovat databáze a úložiště, o konfiguraci celého prostředí ani nemluvě.
  Prosím, dostaňte projekt do opravdové BETA fáze na dedik HW, tak jako to máte v plánu, vše si nastavte jak má být, pak si nechte provést kompletní bezpečnostní audit a profesionální penetrační testy, opravte veškeré chyba a potencionální díry a pak vypište odměnu za nalezení chyby veřejně.
 Po pár týdnech pak můžete uvažovat o pokusu o produkční provoz.

 Jinak tohle vlákno je ukázkou toho jak se to dělat nemá. Je to spíš smutné čtení.

[Reklama]

[Filip Jirsák]

Proč ten kód nepoužijete, když ho tam vidíte?

Prosím vás, hlavně nikdy nedělejte na zabezpečení něčeho fyzického. Pokud byste trval na tom, že bezpečnostní díru lze prokázat jedině tak, že se někomu opravdu podaří zastřelit strážného, mohli by to odnést nevinní lidé.

[Ondřej Novák]

Tyhle typy ochran bývají nejhorší.

Tak ja ted nevim. Prisel jste poprosit o radu, nebo nas presvedcovat o tom, ze tomu rozumite lip nez my?

Chtěl jsem přeskočit věci, na které mám vlastní názor

Co dál mi poradíte?.

Mate tam poradnej firewall? Urcite tam dejte iptables, ty jsou daleko bezpecnejsi nez PF.

V celku je mi jasné, že firewall v produkci musí být. Firewall mám i na svém domácím počítači, takže to jsem to považoval za samozřejmost

Taky by to urcite chtelo fail2ban. Potom

S tím moc nesouhlasím. To je dobrý nástroj na generování DDoS útoků, takže asi ne.

taky urcite zverejnete zdrojak, abyste predesli security by obscurity. Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.

To jsem chtěl, a vysmáli jste se mi

Jo a planujete honeypot? Ted nemyslim jako infrastrukturu, o te se samozrejme nebudeme bavit, to je jenom tresnicka. Ale dal bych tam honeypot aplikacni. Idealne integrovanej primo do te SQL databaze.

Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka

No a pak uz jenom ty infrastrukturni zalezitosti - server dat do DMZ, sifrovat disky, protoze to bude v racku, do kteryho muze kdokoli. no a taky urcite nezapomenout na disaster recovery - takze databazi replikovat nekam offsite. Coz bude problem, protoze server je v DMZ, ale da se to obejit VPNkou. S hardwarovymi tokeny samozrejme, bezpecnost je priorita.

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas. Problém s DMZ souhlas. VPNka musí mít někde otevřený port. Útočník může zjistit, kde má VPNka server a provést útok na něj, a když bude úspěšný, memusí to být na tom původním serveru ani znát.

[Pavel 'TIGER' Růžička]

Proč ten kód nepoužijete, když ho tam vidíte?

Prosím vás, hlavně nikdy nedělejte na zabezpečení něčeho fyzického. Pokud byste trval na tom, že bezpečnostní díru lze prokázat jedině tak, že se někomu opravdu podaří zastřelit strážného, mohli by to odnést nevinní lidé.

  No Ty jsi vůl (v dobrém!) 

[Lol Phirae]

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Co to, prosím? Jak nabootoval? Bez klíče to prostě NEnabootuje. Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že. Já fakt nevím, tady fakt nemá smysl ztrácet čas.

[Reklama]

[Ondřej Novák]

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Co to, prosím? Jak nabootoval? Bez klíče to prostě NEnabootuje. Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že. Já fakt nevím, tady fakt nemá smysl ztrácet čas.

A co ti brání ukrást to i s tím klíčem zasunutým?

Proto jsem třeba naprosto zásadně proti escrow bitcoinů. Když někdo zjistí, kolik je tam bitcoinů, tak to ukradne i údržba serverovny, příležitost dělá zloděje

[Lol Phirae]

A co ti brání ukrást to i s tím klíčem zasunutým?

NTV!!!!

Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že.

P.S. Pro další debilní dotaz typu "a to jako když to spadne, tak tam kvůli tomu pojedu a mezitím přijdeme o peníze?!" předem odpovídám: ANO, mistře Nováku, to zvednete zadel a pojedete. Nicméně mezitím služba dál poběží z jiného stroje v clusteru, takže nikdo nic nepozná.

[PavelH]

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Co to, prosím? Jak nabootoval? Bez klíče to prostě NEnabootuje. Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že. Já fakt nevím, tady fakt nemá smysl ztrácet čas.

No to je šou todleto. Samo litr, pokud tě někdo majzne po hlavě zrovna když tam ten klíč budeš dávat, je to v pytli.
A co ti brání ukrást to i s tím klíčem zasunutým?

Proto jsem třeba naprosto zásadně proti escrow bitcoinů. Když někdo zjistí, kolik je tam bitcoinů, tak to ukradne i údržba serverovny, příležitost dělá zloděje

[Ondřej Novák]

A co ti brání ukrást to i s tím klíčem zasunutým?

NTV!!!!

Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že.

P.S. Pro další debilní dotaz typu "a to jako když to spadne, tak tam kvůli tomu pojedu a mezitím přijdeme o peníze?!" předem odpovídám: ANO, mistře Nováku, to zvednete zadel a pojedete. Nicméně mezitím služba dál poběží z jiného stroje v clusteru, takže nikdo nic nepozná.

Takže nakonec svěříte ochranu serveru jednomu člověku do ruky. Super bezpečnost pane bezpečáku!

[Lol Phirae]

No to je šou todleto. Samo litr, pokud tě někdo majzne po hlavě zrovna když tam ten klíč budeš dávat, je to v pytli.

Občas by bylo dobré před tím majznutím po hlavě ještě zauvažovat, zda ten klíč k funkčnosti nevyžaduje PIN/heslo. 

[Mirek Prýmek]

V celku je mi jasné, že firewall v produkci musí být. Firewall mám i na svém domácím počítači, takže to jsem to považoval za samozřejmost

No jasne, ale tady nejde o koncovy firewall. Hlavne to chce zamerit se na forward pravidla. To je u serveru nejdulezitejsi. A prave proto jsou lepsi iptables, protoze tam je forward samostatny chain. Urcite nezapomente zahazovat invalid packety! To je z hlediska bezpecnosti serveru zasadni a hodne lidi na to zapomina.

Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.

To jsem chtěl, a vysmáli jste se mi
[/quote]
O zverejneni jednoho faktoru zatim nepadlo slovo. To urcite udelejte! Ale nesmite nastavit heslo na 1234, to by bylo moc napadny.

Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka

Jo, to je fajn, ale chce to fakt na urovni SQL. Banan je naprd, chce to trigger, kterej mu pak predhodi nejakou falesnou view. Ale se stejnym pristupovym heslem, jinak by mu vypadla session.

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Jasne. To se resi tak, ze se tam nekde skryte do toho chasis da neviditelne generator bileho sumu. Pak ty signaly nezanalyzuje i kdyby se na hlavu postavil. Pohledej tyhle vecicky na Deal Extream, neni to zas tak drahy.

Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas.

No to se prave pak kombinuje s tim honeypotem - puvodni stroj nechas bezet, nechas utocnika rejdit nad puvodni databazi a on vubec netusi, ze site uz davno jede nekde uplne jinde z repliky. Akorat je tam teda ten problem s DMZ, no. Ale tak kdyz o tom vite, tak neco vymyslite. Mne se nejvic libi reseni takovy, ze se to cely postavi nad GFS2, cimzpadem vlastne ty dva stroje bezi nad jednim blokovym zarizenim, takze pak je daleko jednodussi udelat to odstrihnuti repliky od honeypotu, protoze je tam vlastne sdilenej filesystem.

Útočník může zjistit, kde má VPNka server a provést útok na něj, a když bude úspěšný, memusí to být na tom původním serveru ani znát.

To nee! Na to se prave pouzije to GFS - kdyz je vlastne jakoby virtualni spolecnej filesystem, tak se na nem da otevrit normalni unixovej socket a VPNka pak bezi pres nej. Takze zadnej otevrenej port tam pak neni.

[PavelH]

No to je šou todleto. Samo litr, pokud tě někdo majzne po hlavě zrovna když tam ten klíč budeš dávat, je to v pytli.

Občas by bylo dobré před tím majznutím po hlavě ještě zauvažovat, zda ten klíč k funkčnosti nevyžaduje PIN/heslo. 

Neblbni, Ondra tam bude mít i nátlakový heslo který zničí celou serverovnu i s hajzlbábou.

[JSH]

Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka

Mně asi klepne. On tam má pastičku, ale vykecá to a navíc i poradí, kde ji hledat.

[Lol Phirae]

Takže nakonec svěříte ochranu serveru jednomu člověku do ruky. Super bezpečnost pane bezpečáku!

Jak jsem již napsal o příspěvek výše, ten klíč může chtít PIN/heslo. Dokonce, pokud z toho chcete mít extra vopruz s nočním vstáváním, tak každý může mít jen část toho PINu nebo hesla a můžete se tam sejít třeba ve třech a pak hodit švédskou trojku pod klimoškou.

Hele, Nováku. On to Rumajz vystih úplně přesně - tobě bych fakt nesvěřil ani tu žumpu. 

[belzebub]

Sice vidim, ze se nepoucite, ale aspon k tomuto mam co rici:

Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.

Ano. Problem to je, proto se musi resit, zejmena pokud planujete mit server umisteny ve verejnem hostingu. Nesifrovana partition je pak naprosta nutnost. MUSITE pocitat s nejhorsim. Jde o PENIZE.

Reseni existuji, ale nejsou levna a ani jednoducha.
Napr. jedno muze byt hw klic, ze ktereho se nactou sifrovaci klice pri bootu serveru, a pote fyzicky vytahne a odnese, zatimco ovladac zaruci (snazi se zarucit) aby sifrovaci klice zustaly pouze v pameti.
To ovsem predpoklada velmi spolehlivy HW (hotswap komponenty, dva zdroje, atd.), a vyreseni fyzickeho pristupu k serveru (coz neni tak strasne - tam kde jsem toto reseni zazil byly za 4 roky pouze 2 restarty - ovsem i tam to bylo v "nasi" serverovne).