Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей

04.03.2011 20:20

Взлом инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec, наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Таким образом, как минимум уже полтора месяца на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать "0-day" эксплоиты, поражающие уязвимости, о существовании которых никто не догадывался.

После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере. По признанию администратора взломанного списка рассылки по компьютерной безопасности, программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.

Инцидент дал повод задуматься над целесообразностью поддержания закрытой рассылки vendor-sec. По мнению администратора рассылки, в настоящее время закрытые обсуждения уже не так эффективны в плане оперативного выпуска патчей, как было 5-10 лет назад, поэтому вероятно рассылка будет закрыта или реструктуризирована. Представитель компании Red Hat согласился с доводом, что последнее время разработчики программ напрямую уведомляют людей, отвечающих за безопасность дистрибутивов, или публикуют информацию в публичных рассылках. В 2008 году из 101 обсуждаемой в vendor-sec уязвимости о 32 (32%) сотрудникам Red Hat уже было известно из публичных источников (или стало известно в тот же день), в 2009 году это соотношение выглядело как 17 из 74-х (23%), а в 2010 - 22 из 51-й (43%).

Из других комментариев можно отметить предложение разбить рассылку на несколько тематических групп (Linux, BSD, экспертная оценка и т.п.), в каждой из которых обрабатывать только узкий круг проблем. При этом в закрытую рассылку предлагается отправлять данные об уязвимостях только средней степени опасности (отправка сообщения в рассылку производится свободно, но прочитать сообщения может только узкий круг лиц). Незначительные проблемы рекомендуется анонсировать в публичной рассылке, а уведомления об обнаружении критических проблем нужно отправлять каждому вендору напрямую (для этого можно сформировать список контактов). В качестве максимально допустимого периода неразглашения, отведенного на подготовку исправления, рекомендуется принять две недели.

исправить +15 +/–

Главная ссылка к новости (http://permalink.gmane.org/gma...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/29797-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Eugeni Dodonov (ok), 20:43, 04/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
V-s уже давно не используется для открытого обсуждения уязвимостей, как раз из-за возможностей таких вот ситуаций.. В основном там пишут что-то в духе "мы нашли уязвимость в XX, те вендоры которым нужны детали напишите нам, через 2 недели мы эти уязвимости пофиксим и обнародуем все детали" в последние годы.

2.2, Аноним (-), 20:47, 04/03/2011 [^] [^^] [^^^] [ответить]	+/–
Если знать что в такой-то программе/подсистеме точно есть дыра, даже имея поверхностное описание, выявить детали уже дело техники.

3.3, Аноним (-), 20:48, 04/03/2011 [^] [^^] [^^^] [ответить]	+3 +/–
в ядре linux последней версии есть уязвимость, которую можно использовать удаленно. найдите, пожалуйста.

4.6, Аноним (-), 21:18, 04/03/2011 [^] [^^] [^^^] [ответить]	+/–
> в ядре linux последней версии есть уязвимость, которую можно использовать удаленно. найдите, пожалуйста. Без проблем, зная дату отправки предупреждения можно глянуть в Git-e список близких по времени коммитов, обычно разработчики ядра _вначале_ молча правят, а потом информируют кого следует. Текст комментария обычно пишут расплывчатый, но при желании понять можно, тем более что скорее всего напишут не "в ядре linux последней версии есть уязвимость", а "в такой-то подсистеме ядра есть уязвимость".

5.18, tamerlan311 (?), 23:14, 04/03/2011 [^] [^^] [^^^] [ответить]	+2 +/–
Найденная уязвимость может сидеть там годами и не обязательно будет результатом свежей регрессии.

6.22, Аноним (-), 00:45, 05/03/2011 [^] [^^] [^^^] [ответить]

+1 +/–

> Найденная уязвимость может сидеть там годами и не обязательно будет результатом свежей
> регрессии.

Не важно сколько сидит ошибка в ядре, её с большой долей вероятности сначала поправят, а потом сразу или немного погодя уведомят вендоров. Имея приблизительное описание проблемы и проанализировав список последних исправлений можно достаточно сильно сузить круг и определить связанный с правкой уязвимости коммит.

1.4, User294 (ok), 20:59, 04/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Security through obscurity не работает. Когда это уже до ВСЕХ дойдет, блин?

2.5, Аноним (-), 21:06, 04/03/2011 [^] [^^] [^^^] [ответить]	+/–
Ну, прогресс всетаки очевиден, так что, рано или поздно дойдет)

2.7, Аноним (-), 21:28, 04/03/2011 [^] [^^] [^^^] [ответить]	+1 +/–
как самокритично выразились о Linux kernel. Почему ребята выпускающие типа stable версии ядра - рекомендуют обновиться, без всяких коментарией и раскрывания информации о присуствующих там уязвимостях? Типа кому надо попытайтесь по логу комитов понять.. Вот точно что Security through obscurity

3.8, Frank (ok), 21:32, 04/03/2011 [^] [^^] [^^^] [ответить]	–1 +/–
а тебе подавай готовые эксплойты?

3.11, solardiz (ok), 21:42, 04/03/2011 [^] [^^] [^^^] [ответить]

+1 +/–

Да, Linux kernel критикуют именно за security through obscurity, выражающуюся в виде недостаточной информации об исправленных уязвимостях, при том что исправляли их быстро, без эмбарго.

vendor-sec в этом смысле противоположность - там было эмбарго, но зато при публикации информации она публиковалась полная, без замалчиваний.

Вероятно, здесь (на OpenNet) не все осознают, что vendor-sec и security@k.o - разные вещи. Поэтому примеры с ядром тут не очень в тему.

3.23, pavlinux (ok), 02:24, 05/03/2011 [^] [^^] [^^^] [ответить]	+2 +/–
> рекомендуют обновиться, без всяких коментарией и раскрывания информации о присуствующих там уязвимостях? Панимаишь ли аноним, находят не уязвимости, а ошибки, и лишь одно из применений - это уязвимости. Вот нашли разименование нулевого указателя, и чё, обязаны тебе эксплойт соорудить и показать как пользоваться?

4.25, анон (?), 06:38, 05/03/2011 [^] [^^] [^^^] [ответить]	+/–
> Вот нашли разименование нулевого указателя, и чё, обязаны > тебе эксплойт соорудить и показать как пользоваться? Походу, от линуксячьей политики больше всего страдают скрипт-киддисы. Как же, дыра ещё где-то существует, а сплойта нет, ой вей! =)

5.29, User294 (ok), 01:24, 06/03/2011 [^] [^^] [^^^] [ответить]

+/–

> где-то существует, а сплойта нет, ой вей! =)

Как будто в остальных системах ситуация другая :)

3.24, анон (?), 06:35, 05/03/2011 [^] [^^] [^^^] [ответить]

+/–

>как самокритично выразились о Linux kernel.

А при чём здесь оно? Security through obscurity - предполагает сокрытие информации _вместо_ закрытия дыр, а в линаксе их все-таки сначала закрывают.

Да, пингвинятники грешны тем, что им лень каждый раз писать объяснение для каждой домохозяйки про каждую исправленную ошибку (а профессионалам услуги к.о. не требуются, они прекрасно умеют читать комментарии к коммитам и сишеый код).
Но мне не кажется, что это слишком уж большое преступление. Закрыть - закрыли, кому надо - понял, а хомячки могут и подождать комментариев от профи.

3.30, User294 (ok), 01:31, 06/03/2011 [^] [^^] [^^^] [ответить]	+/–
> Вот точно что Security through obscurity Есть некоторая разница между obscurity и превращением безопасности в шоу уровня "за стеклом" с троллями и скрипткиддями, имхо. Как по мне - должна быть информация о дырах/изменениях. Но это не значит что надо киддям 0day сполйт резко выдать, не дав возможность починить баг - нате, дескать, глушите! Сие будет как минимум провокация на преступление, а может и создание вредоносного софта.

2.9, solardiz (ok), 21:35, 04/03/2011 [^] [^^] [^^^] [ответить]

+2 +/–

Не "в защиту" и не "против", а просто информация:

Слова "security through obscurity" обычно/исторически носят несколько другое значение. В vendor-sec было не это.

То что то, что было в vendor-sec наконец "отказало", закономерно - это было ожидаемо всеми в vendor-sec же. И ни на какую obscurity там никто не полагался. Более правильное слово будет tradeoff - приходилось выбирать между недостатком взаимодействия vendor'ов и риском утечек до запланированной публикации.

Obscurity - это, например, если бы участники vendor-sec сначала выпускали обновленные пакеты и лишь затем, со значительной задержкой, сообщали бы об исправленных уязвимостях. Но так не делали. Наоборот, зная что security through obscurity не работает, старались выпустить всю информацию как можно более скоординированно - и пакеты и advisories одновременно.

P.S. Если вдруг кого-то здесь интересует именно моя позиция, я ее изложил здесь: http://www.openwall.com/lists/oss-security/2011/03/03/15

3.16, AHAHAC (ok), 22:28, 04/03/2011 [^] [^^] [^^^] [ответить]	+1 +/–
99% утечки информации это внутренние нарушители. И то, что там, в этой рассылке, не водилась стая оборотней в галстуках гарантии не даст никто. Кроме тех же оборотней. Нашёл дыру - или молчи и сам исправляй, либо рассказывай всем.

4.31, User294 (ok), 01:37, 06/03/2011 [^] [^^] [^^^] [ответить]	+/–
> в этой рассылке, не водилась стая оборотней в галстуках Вот именно, как эти ДАртаньяны определили что в их среде нет пи...сов? Судя по тому как "пи...сы" оттянулись с хакингом серваков с ДАртаньянами - может быть они там уже несколько лет 0-day выгребали, им наскучило и они решили наконец показать ДАртаньянам где на самом деле таким ДАртаньянам место.

1.10, А. Н. Оним (?), 21:37, 04/03/2011 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере.

Интересно, а если бы "злоумышленники" обошлись без столь радикальных приёмов, то администрация рассылки продолжала бы молчать?

>По признанию администратора ... программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.

Тот самый сапожник, который без сапог?

2.12, solardiz (ok), 21:49, 04/03/2011 [^] [^^] [^^^] [ответить]

+3 +/–

> Интересно, а если бы "злоумышленники" обошлись без столь радикальных приёмов, то администрация
> рассылки продолжала бы молчать?

Нет. Администрация опубликовала информацию о взломе в открытый список oss-security _до_ того как "злоумышленники" применили радикальный прием. Именно публикация привела к такому приему.

> Тот самый сапожник, который без сапог?

Да, но сапожник, который и не утверждал о наличии у него сапог... Т.е. участники vendor-sec знали, что сервер администрируется "как придется", и ограничивали свое использование этого ресурса соответственно.

Поэтому я бы не стал упрекать "сапожника-добровольца". Ребята помогали сообществу. А основной риск утечек всё равно был не с сервера, а от самих участников - исходя из их количества.

3.27, А. Н. Оним (?), 13:44, 05/03/2011 [^] [^^] [^^^] [ответить]

+/–

>Администрация опубликовала информацию о взломе в открытый список oss-security _до_ того как "злоумышленники" применили радикальный прием. Именно публикация привела к такому приему.

Тогда другое дело (ИМХО, это следовало отразить в тексте новости).

>Да, но сапожник, который и не утверждал о наличии у него сапог... Т.е. участники vendor-sec знали, что сервер администрируется "как придется", и ограничивали свое использование этого ресурса соответственно.
>Поэтому я бы не стал упрекать "сапожника-добровольца". Ребята помогали сообществу. А основной риск утечек всё равно был не с сервера, а от самих участников - исходя из их количества.

Я никого не упрекаю :). Помогали - спасибо, молодцы; просто как-то непривычно видеть вместе словосочетания "закрытый список рассылки" + "security" + "администрировали как придётся".

1.13, crypt (??), 22:03, 04/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Success story. Повторно взломали и снесли рассылку - молодцы, спасибо санитарам леса.

1.17, mmm62 (?), 22:46, 04/03/2011 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

что-бы получить всякии новейшие эксплоиты необходимо
выставить компьютер в инет с открытым 22 портом и пользователем test и паролем test.

занимательно, потом разбирая .bash_history много нового узнаеш...
:(

2.28, iZEN (ok), 19:50, 05/03/2011 [^] [^^] [^^^] [ответить]	–1 +/–
tcsh?

2.32, User294 (ok), 01:40, 06/03/2011 [^] [^^] [^^^] [ответить]

+/–

> занимательно, потом разбирая .bash_history много нового узнаеш... :(

О, прям хоть виртуалочку специально для хакеров запускай, для изучения их действий :).Что-то типа системы Джоанны Рутковской доделанной до honeypot :)

1.26, Аноним (-), 08:23, 05/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а если у меня sh ?

1.33, Онаним (?), 03:00, 06/03/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей ... наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Тогда не "злоумышленники", а "доброжелатели" :-)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: