Взлом (http://permalink.gmane.org/gmane.comp.security.oss.general/4... инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec (http://en.wikipedia.org/wiki/Vendor-sec), наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Не исключено, что на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать "0-day" эксплоиты, поражающие уязвимости, о существовании которых никто не догадывался.
После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй р...URL: http://permalink.gmane.org/gmane.comp.security.oss.general/4350
Новость: http://www.opennet.me/opennews/art.shtml?num=29797
V-s уже давно не используется для открытого обсуждения уязвимостей, как раз из-за возможностей таких вот ситуаций.. В основном там пишут что-то в духе "мы нашли уязвимость в XX, те вендоры которым нужны детали напишите нам, через 2 недели мы эти уязвимости пофиксим и обнародуем все детали" в последние годы.
Если знать что в такой-то программе/подсистеме точно есть дыра, даже имея поверхностное описание, выявить детали уже дело техники.
в ядре linux последней версии есть уязвимость, которую можно использовать удаленно. найдите, пожалуйста.
> в ядре linux последней версии есть уязвимость, которую можно использовать удаленно. найдите, пожалуйста.Без проблем, зная дату отправки предупреждения можно глянуть в Git-e список близких по времени коммитов, обычно разработчики ядра _вначале_ молча правят, а потом информируют кого следует. Текст комментария обычно пишут расплывчатый, но при желании понять можно, тем более что скорее всего напишут не "в ядре linux последней версии есть уязвимость", а "в такой-то подсистеме ядра есть уязвимость".
Найденная уязвимость может сидеть там годами и не обязательно будет результатом свежей регрессии.
> Найденная уязвимость может сидеть там годами и не обязательно будет результатом свежей
> регрессии.Не важно сколько сидит ошибка в ядре, её с большой долей вероятности сначала поправят, а потом сразу или немного погодя уведомят вендоров. Имея приблизительное описание проблемы и проанализировав список последних исправлений можно достаточно сильно сузить круг и определить связанный с правкой уязвимости коммит.
Security through obscurity не работает. Когда это уже до ВСЕХ дойдет, блин?
Ну, прогресс всетаки очевиден, так что, рано или поздно дойдет)
как самокритично выразились о Linux kernel.
Почему ребята выпускающие типа stable версии ядра - рекомендуют обновиться, без всяких коментарией и раскрывания информации о присуствующих там уязвимостях?
Типа кому надо попытайтесь по логу комитов понять..
Вот точно что Security through obscurity
а тебе подавай готовые эксплойты?
Да, Linux kernel критикуют именно за security through obscurity, выражающуюся в виде недостаточной информации об исправленных уязвимостях, при том что исправляли их быстро, без эмбарго.vendor-sec в этом смысле противоположность - там было эмбарго, но зато при публикации информации она публиковалась полная, без замалчиваний.
Вероятно, здесь (на OpenNet) не все осознают, что vendor-sec и security@k.o - разные вещи. Поэтому примеры с ядром тут не очень в тему.
> рекомендуют обновиться, без всяких коментарией и раскрывания информации о присуствующих там уязвимостях?Панимаишь ли аноним, находят не уязвимости, а ошибки,
и лишь одно из применений - это уязвимости.
Вот нашли разименование нулевого указателя, и чё, обязаны
тебе эксплойт соорудить и показать как пользоваться?
> Вот нашли разименование нулевого указателя, и чё, обязаны
> тебе эксплойт соорудить и показать как пользоваться?Походу, от линуксячьей политики больше всего страдают скрипт-киддисы. Как же, дыра ещё где-то существует, а сплойта нет, ой вей! =)
> где-то существует, а сплойта нет, ой вей! =)Как будто в остальных системах ситуация другая :)
>как самокритично выразились о Linux kernel.А при чём здесь оно? Security through obscurity - предполагает сокрытие информации _вместо_ закрытия дыр, а в линаксе их все-таки сначала закрывают.
Да, пингвинятники грешны тем, что им лень каждый раз писать объяснение для каждой домохозяйки про каждую исправленную ошибку (а профессионалам услуги к.о. не требуются, они прекрасно умеют читать комментарии к коммитам и сишеый код).
Но мне не кажется, что это слишком уж большое преступление. Закрыть - закрыли, кому надо - понял, а хомячки могут и подождать комментариев от профи.
> Вот точно что Security through obscurityЕсть некоторая разница между obscurity и превращением безопасности в шоу уровня "за стеклом" с троллями и скрипткиддями, имхо. Как по мне - должна быть информация о дырах/изменениях. Но это не значит что надо киддям 0day сполйт резко выдать, не дав возможность починить баг - нате, дескать, глушите! Сие будет как минимум провокация на преступление, а может и создание вредоносного софта.
Не "в защиту" и не "против", а просто информация:Слова "security through obscurity" обычно/исторически носят несколько другое значение. В vendor-sec было не это.
То что то, что было в vendor-sec наконец "отказало", закономерно - это было ожидаемо всеми в vendor-sec же. И ни на какую obscurity там никто не полагался. Более правильное слово будет tradeoff - приходилось выбирать между недостатком взаимодействия vendor'ов и риском утечек до запланированной публикации.
Obscurity - это, например, если бы участники vendor-sec сначала выпускали обновленные пакеты и лишь затем, со значительной задержкой, сообщали бы об исправленных уязвимостях. Но так не делали. Наоборот, зная что security through obscurity не работает, старались выпустить всю информацию как можно более скоординированно - и пакеты и advisories одновременно.
P.S. Если вдруг кого-то здесь интересует именно моя позиция, я ее изложил здесь: http://www.openwall.com/lists/oss-security/2011/03/03/15
99% утечки информации это внутренние нарушители. И то, что там,
в этой рассылке, не водилась стая оборотней в галстуках гарантии
не даст никто. Кроме тех же оборотней. Нашёл дыру - или молчи и
сам исправляй, либо рассказывай всем.
> в этой рассылке, не водилась стая оборотней в галстукахВот именно, как эти ДАртаньяны определили что в их среде нет пи...сов? Судя по тому как "пи...сы" оттянулись с хакингом серваков с ДАртаньянами - может быть они там уже несколько лет 0-day выгребали, им наскучило и они решили наконец показать ДАртаньянам где на самом деле таким ДАртаньянам место.
>После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере.Интересно, а если бы "злоумышленники" обошлись без столь радикальных приёмов, то администрация рассылки продолжала бы молчать?
>По признанию администратора ... программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.
Тот самый сапожник, который без сапог?
> Интересно, а если бы "злоумышленники" обошлись без столь радикальных приёмов, то администрация
> рассылки продолжала бы молчать?Нет. Администрация опубликовала информацию о взломе в открытый список oss-security _до_ того как "злоумышленники" применили радикальный прием. Именно публикация привела к такому приему.
> Тот самый сапожник, который без сапог?
Да, но сапожник, который и не утверждал о наличии у него сапог... Т.е. участники vendor-sec знали, что сервер администрируется "как придется", и ограничивали свое использование этого ресурса соответственно.
Поэтому я бы не стал упрекать "сапожника-добровольца". Ребята помогали сообществу. А основной риск утечек всё равно был не с сервера, а от самих участников - исходя из их количества.
>Администрация опубликовала информацию о взломе в открытый список oss-security _до_ того как "злоумышленники" применили радикальный прием. Именно публикация привела к такому приему.Тогда другое дело (ИМХО, это следовало отразить в тексте новости).
>Да, но сапожник, который и не утверждал о наличии у него сапог... Т.е. участники vendor-sec знали, что сервер администрируется "как придется", и ограничивали свое использование этого ресурса соответственно.
>Поэтому я бы не стал упрекать "сапожника-добровольца". Ребята помогали сообществу. А основной риск утечек всё равно был не с сервера, а от самих участников - исходя из их количества.Я никого не упрекаю :). Помогали - спасибо, молодцы; просто как-то непривычно видеть вместе словосочетания "закрытый список рассылки" + "security" + "администрировали как придётся".
Success story. Повторно взломали и снесли рассылку - молодцы, спасибо санитарам леса.
что-бы получить всякии новейшие эксплоиты необходимо
выставить компьютер в инет с открытым 22 портом и пользователем test и паролем test.занимательно, потом разбирая .bash_history много нового узнаеш...
:(
tcsh?
> занимательно, потом разбирая .bash_history много нового узнаеш... :(О, прям хоть виртуалочку специально для хакеров запускай, для изучения их действий :).Что-то типа системы Джоанны Рутковской доделанной до honeypot :)
а если у меня sh ?
> Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей ... наглядно демонстрирует ущербность практики скрытого устранения уязвимостей.Тогда не "злоумышленники", а "доброжелатели" :-)