В межсетевых экранах, основанных на развиваемой компанией Fortinet (https://en.wikipedia.org/wiki/Fortinet) платформе FortiGate OS, выявлен (http://seclists.org/fulldisclosure/2016/Jan/26) бэкдор, позволяющий получить доступ к устройству по SSH с предопределёнными параметрами аутентификации. При попытке входа под логином Fortimanager_Access выводится динамически генерируемая строка, на основе которой можно вычислить пароль, который формируется через цикличное применение хэша SHA1 к этой строке и ряду фиксированных ключевых фраз. Бэкдор присутствует в FortiGate OS начиная с версии 4.x и заканчивая 5.0.7. Известно, что проблема устранена в выпуске FortiGate OS 5.0.8 (http://docs.fortinet.com/d/fortios-5.0.8-release-notes), опубликованном (http://docs.fortinet.com/fortigate/release-information) ещё в августе 2014 года. Компания Fortinet пока никак не прокомментировала (http://blog.fortinet.com/) информацию о бэкдоре, но, судя-по всему, бэкдор использовался как инженерный вход для службы поддержки.URL: http://seclists.org/fulldisclosure/2016/Jan/26
Новость: http://www.opennet.me/opennews/art.shtml?num=43656
И сколько их еще таких инженерных входов ...
...для инженеров АНБ, ФБР
МВД, ФСБ, далее по списку...
в службах эрефии кто-то что-то знает о сетевых технологиях? Там сплошь родственники и силовики, когда нужно что-то технологичное, в дело идет аутсорсинг.
> когда нужно что-то технологичное, в дело идет в каталоге покопатинг, кого-нибудь вызыватинг и к выполнению задачи нагибатинг.Fixed
Эта новость обросла мхом ещё 3 года назад. Зачем раскопали? Попиарить решили, типа как у них всё хорошо теперь?
Надо было логин изменить на save_children, тогда бы вообще на закрыли т к используется явно для благих целей.
Юмор с цинизмом, видимо, выглядит выгодней обычного и добавляет к ЧСВ.
А судьи кто?
принято к сведению
Апологет и основатель Richard Stallman движения Open Source и набора ПО под общим названием GNU недавно посетил один из американских университетов. В своём выступлении там он пропагандировал использование "чистых" операционных систем (Ututo, Blag и gNewSense), призывал бойкотировать сотовые телефоны, в которых используется исключительно закрытое ПО, предлагал слушать аудио диски, а не музыку в формате mp3. Чтобы жить экономно, Ричард также советовал не покупать дома и автомобили и не заводить детей - "всё это слишком дорого, и вы убьёте большую часть своей жизни, зарабатывая на эти вещи".Так что логично назвать kill_childen
Любой родившийся умрёт. Следовательно завести ребёнка == убить его (только отложить смерть по времени). Единственный способ не убивать детей - это не заводить их. Все родители - это убийцы, прямые. Все кто в нашей вселенной заводит детей или дураки, или мрази.
>>позволяющий получить доступ к устройству по SSHто есть предполагается открытый наружу ssh на межсетевом экране для всех...
а что безопасники на такое говорят?
за что платят, то и говорят
ну такую тенденцию я понимаю..
просто открывать наружу ssh для всех как бы неразумно однозначно...
> ну такую тенденцию я понимаю..
> просто открывать наружу ssh для всех как бы неразумно однозначно...почему, нормально, всегда открыт, это-же ссш, он для этого и предназначен
> за что платят, то и говорятЛогика наемного убийцы.
Они и есть "безопасники". С их сайта (http://www.fortinet.com/aboutus/aboutus.html) "Fortinet is a global leader and innovator in Network Security."Вообщем, оно понятно, что если кто-то называет себя лидером и самым-самым, нужно бежать от его продуктов подальше.
Но дальше они становятся скромнее:
"Our mission is to deliver the most innovative, highest performing network security platform to secure and simplify your IT infrastructure"Заметьте, про защищённость здесь ничего нет. Типа самая инновационна и быстрая, но "самая защищённая" не пишут. Тему защищённости и уязвимостей в их платформе они мягко обходят. Т.е. в переводе с маркетингового языка платформа не самая тормозная и устаревшая, но уж точно насквозь дырявая и забэкдоренная :-)
6Для сравнения, Windows xp, который линуксня так любит сравнивать с последней убунтой, выпущен 14 лет назад
>>>позволяющий получить доступ к устройству по SSH
> то есть предполагается открытый наружу ssh на межсетевом экране для всех...
> а что безопасники на такое говорят?подумаешь ссш, он должен быть открыт.
а что безопастники говорят про вебсервер открытый наружу или почту?
Нельзя. Почту только сам себе посылать можешь через 127.0.0.1 loopback.
На фоне наплевательского отношения энтерпрайза к паролям SSH это полная ерунда.
> На фоне наплевательского отношения энтерпрайза к паролям SSH это полная ерунда.А что, вход по серту RSA в SSH еще не изобрели? И отключение входа по паролю тоже? в 2016м-то году?
Тут, говорят, через 0-day в firefox ключи RSA утаскивали оптом. Врут наверное.
А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые писечки! Азазаза!"
> А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят
> лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые
> писечки! Азазаза!"Боги интернетов, взываю к вам! Покарайте уже форумных криптографов!? И начнут сn^^ -- не отличающего бэкдор от криптографии.
По-моему он просто не в ту тему написал
> По-моему он просто не в ту тему написалМэйби. С др. стороны в той тебе, про которую Вы подумали(я - ванга) про "ff отменили блокировку sha1" форумные в основном про мифичеккое удобство всех пользователей и прикладывание линейки к аудитории пекутся (перелистал сейчас //кроме удалённых, то есть)... "Минобороны США использование SHA-1" тоже не... "Правительство Нидерландов за стойкое шифрование"...
А вот! Нашёл, в какую тему он "хотел": форумные криптографы угнездились и пометились в "Новая атака TLS 1.2, SSH и IKE/IPsec" http:/openforum/vsluhforumID3/106284.html#18 Там вся тема такая. Одно "но" - там бы он слился с антуражем, а тут :D -- поднялся над, взболомутил.
http://www.opennet.me/openforum/vsluhforumID3/106301.html#6