The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Злоумышленники блокировали работу закрытой рассылки с обсужд..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от opennews (ok) on 04-Мрт-11, 20:43 
Взлом (http://permalink.gmane.org/gmane.comp.security.oss.general/4350) инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec (http://en.wikipedia.org/wiki/Vendor-sec), наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Не исключено, что на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать "0-day" эксплоиты, поражающие уязвимости, о существовании которых никто не догадывался.


После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй р...

URL: http://permalink.gmane.org/gmane.comp.security.oss.general/4350
Новость: http://www.opennet.ru/opennews/art.shtml?num=29797

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от Eugeni Dodonov (ok) on 04-Мрт-11, 20:43 
V-s уже давно не используется для открытого обсуждения уязвимостей, как раз из-за возможностей таких вот ситуаций.. В основном там пишут что-то в духе "мы нашли уязвимость в XX, те вендоры которым нужны детали напишите нам, через 2 недели мы эти уязвимости пофиксим и обнародуем все детали" в последние годы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от Аноним (??) on 04-Мрт-11, 20:47 
Если знать что в такой-то программе/подсистеме точно есть дыра, даже имея поверхностное описание, выявить детали уже дело техники.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +3 +/
Сообщение от Аноним (??) on 04-Мрт-11, 20:48 
в ядре linux последней версии есть уязвимость, которую можно использовать удаленно. найдите, пожалуйста.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от Аноним (??) on 04-Мрт-11, 21:18 
> в ядре linux последней версии есть уязвимость, которую можно использовать удаленно. найдите, пожалуйста.

Без проблем, зная дату отправки предупреждения можно глянуть в Git-e список близких по времени коммитов, обычно разработчики ядра _вначале_ молча правят, а потом информируют кого следует.  Текст комментария обычно пишут расплывчатый, но при желании понять можно, тем более что скорее всего напишут не "в ядре linux последней версии есть уязвимость", а "в такой-то подсистеме ядра есть уязвимость".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +2 +/
Сообщение от tamerlan311 email on 04-Мрт-11, 23:14 
Найденная уязвимость может сидеть там годами и не обязательно будет результатом свежей регрессии.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +1 +/
Сообщение от Аноним (??) on 05-Мрт-11, 00:45 
> Найденная уязвимость может сидеть там годами и не обязательно будет результатом свежей
> регрессии.

Не важно сколько сидит ошибка в ядре, её с большой долей вероятности сначала поправят, а потом сразу или немного погодя уведомят вендоров. Имея приблизительное описание проблемы и проанализировав список последних исправлений можно достаточно сильно сузить круг и определить связанный с правкой уязвимости коммит.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

4. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +5 +/
Сообщение от User294 (ok) on 04-Мрт-11, 20:59 
Security through obscurity не работает. Когда это уже до ВСЕХ дойдет, блин?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от Аноним (??) on 04-Мрт-11, 21:06 
Ну, прогресс всетаки очевиден, так что, рано или поздно дойдет)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +1 +/
Сообщение от Аноним (??) on 04-Мрт-11, 21:28 
как самокритично выразились о Linux kernel.
Почему ребята выпускающие типа stable версии ядра - рекомендуют обновиться, без всяких коментарией и раскрывания информации о присуствующих там уязвимостях?
Типа кому надо попытайтесь по логу комитов понять..
Вот точно что Security through obscurity
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  –1 +/
Сообщение от Frank email(ok) on 04-Мрт-11, 21:32 
а тебе подавай готовые эксплойты?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +1 +/
Сообщение от solardiz (ok) on 04-Мрт-11, 21:42 
Да, Linux kernel критикуют именно за security through obscurity, выражающуюся в виде недостаточной информации об исправленных уязвимостях, при том что исправляли их быстро, без эмбарго.

vendor-sec в этом смысле противоположность - там было эмбарго, но зато при публикации информации она публиковалась полная, без замалчиваний.

Вероятно, здесь (на OpenNet) не все осознают, что vendor-sec и security@k.o - разные вещи. Поэтому примеры с ядром тут не очень в тему.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +2 +/
Сообщение от pavlinux (ok) on 05-Мрт-11, 02:24 
> рекомендуют обновиться, без всяких коментарией и раскрывания информации о присуствующих там уязвимостях?

Панимаишь ли аноним, находят не уязвимости, а ошибки,
и лишь одно из применений - это уязвимости.
Вот нашли разименование нулевого указателя, и чё, обязаны
тебе эксплойт соорудить и показать как пользоваться?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от анон on 05-Мрт-11, 06:38 
> Вот нашли разименование нулевого указателя, и чё, обязаны
> тебе эксплойт соорудить и показать как пользоваться?

Походу, от линуксячьей политики больше всего страдают скрипт-киддисы. Как же, дыра ещё где-то существует, а сплойта нет, ой вей! =)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от User294 (ok) on 06-Мрт-11, 01:24 
> где-то существует, а сплойта нет, ой вей! =)

Как будто в остальных системах ситуация другая :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

24. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от анон on 05-Мрт-11, 06:35 
>как самокритично выразились о Linux kernel.

А при чём здесь оно? Security through obscurity - предполагает сокрытие информации _вместо_ закрытия дыр, а в линаксе их все-таки сначала закрывают.

Да, пингвинятники грешны тем, что им лень каждый раз писать объяснение для каждой домохозяйки про каждую исправленную ошибку (а профессионалам услуги к.о. не требуются, они прекрасно умеют читать комментарии к коммитам и сишеый код).
Но мне не кажется, что это слишком уж большое преступление. Закрыть - закрыли, кому надо - понял, а хомячки могут и подождать комментариев от профи.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от User294 (ok) on 06-Мрт-11, 01:31 
> Вот точно что Security through obscurity

Есть некоторая разница между obscurity и превращением безопасности в шоу уровня "за стеклом" с троллями и скрипткиддями, имхо. Как по мне - должна быть информация о дырах/изменениях. Но это не значит что надо киддям 0day сполйт резко выдать, не дав возможность починить баг - нате, дескать, глушите! Сие будет как минимум провокация на преступление, а может и создание вредоносного софта.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +2 +/
Сообщение от solardiz (ok) on 04-Мрт-11, 21:35 
Не "в защиту" и не "против", а просто информация:

Слова "security through obscurity" обычно/исторически носят несколько другое значение. В vendor-sec было не это.

То что то, что было в vendor-sec наконец "отказало", закономерно - это было ожидаемо всеми в vendor-sec же. И ни на какую obscurity там никто не полагался. Более правильное слово будет tradeoff - приходилось выбирать между недостатком взаимодействия vendor'ов и риском утечек до запланированной публикации.

Obscurity - это, например, если бы участники vendor-sec сначала выпускали обновленные пакеты и лишь затем, со значительной задержкой, сообщали бы об исправленных уязвимостях. Но так не делали. Наоборот, зная что security through obscurity не работает, старались выпустить всю информацию как можно более скоординированно - и пакеты и advisories одновременно.

P.S. Если вдруг кого-то здесь интересует именно моя позиция, я ее изложил здесь: http://www.openwall.com/lists/oss-security/2011/03/03/15

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +1 +/
Сообщение от AHAHAC (ok) on 04-Мрт-11, 22:28 
99% утечки информации это внутренние нарушители. И то, что там,
в этой рассылке, не водилась стая оборотней в галстуках гарантии
не даст никто. Кроме тех же оборотней. Нашёл дыру - или молчи и
сам исправляй, либо рассказывай всем.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от User294 (ok) on 06-Мрт-11, 01:37 
> в этой рассылке, не водилась стая оборотней в галстуках

Вот именно, как эти ДАртаньяны определили что в их среде нет пи...сов? Судя по тому как "пи...сы" оттянулись с хакингом серваков с ДАртаньянами - может быть они там уже несколько лет 0-day выгребали, им наскучило и они решили наконец показать ДАртаньянам где на самом деле таким ДАртаньянам место.  

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

10. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от А. Н. Оним on 04-Мрт-11, 21:37 
>После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере.

Интересно, а если бы "злоумышленники" обошлись без столь радикальных приёмов, то администрация рассылки продолжала бы молчать?

>По признанию администратора ... программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.

Тот самый сапожник, который без сапог?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +3 +/
Сообщение от solardiz (ok) on 04-Мрт-11, 21:49 
> Интересно, а если бы "злоумышленники" обошлись без столь радикальных приёмов, то администрация
> рассылки продолжала бы молчать?

Нет. Администрация опубликовала информацию о взломе в открытый список oss-security _до_ того как "злоумышленники" применили радикальный прием. Именно публикация привела к такому приему.

> Тот самый сапожник, который без сапог?

Да, но сапожник, который и не утверждал о наличии у него сапог...  Т.е. участники vendor-sec знали, что сервер администрируется "как придется", и ограничивали свое использование этого ресурса соответственно.

Поэтому я бы не стал упрекать "сапожника-добровольца". Ребята помогали сообществу. А основной риск утечек всё равно был не с сервера, а от самих участников - исходя из их количества.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

27. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от А. Н. Оним on 05-Мрт-11, 13:44 
>Администрация опубликовала информацию о взломе в открытый список oss-security _до_ того как "злоумышленники" применили радикальный прием. Именно публикация привела к такому приему.

Тогда другое дело (ИМХО, это следовало отразить в тексте новости).

>Да, но сапожник, который и не утверждал о наличии у него сапог...  Т.е. участники vendor-sec знали, что сервер администрируется "как придется", и ограничивали свое использование этого ресурса соответственно.
>Поэтому я бы не стал упрекать "сапожника-добровольца". Ребята помогали сообществу. А основной риск утечек всё равно был не с сервера, а от самих участников - исходя из их количества.

Я никого не упрекаю :). Помогали - спасибо, молодцы; просто как-то непривычно видеть вместе словосочетания "закрытый список рассылки" + "security" + "администрировали как придётся".

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +2 +/
Сообщение от crypt (??) on 04-Мрт-11, 22:03 
Success story. Повторно взломали и снесли рассылку - молодцы, спасибо санитарам леса.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +2 +/
Сообщение от mmm62 on 04-Мрт-11, 22:46 
что-бы получить всякии новейшие эксплоиты необходимо
выставить компьютер в инет с открытым 22 портом и пользователем test и паролем test.

занимательно, потом разбирая .bash_history много нового узнаеш...
:(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  –1 +/
Сообщение от iZEN (ok) on 05-Мрт-11, 19:50 
tcsh?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от User294 (ok) on 06-Мрт-11, 01:40 
> занимательно, потом разбирая .bash_history много нового узнаеш... :(

О, прям хоть виртуалочку специально для хакеров запускай, для изучения их действий :).Что-то типа системы Джоанны Рутковской доделанной до honeypot :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от Аноним (??) on 05-Мрт-11, 08:23 
а если у меня sh ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Злоумышленники блокировали работу закрытой рассылки с обсужд..."  +/
Сообщение от Онаним on 06-Мрт-11, 03:00 
> Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей ... наглядно демонстрирует ущербность практики скрытого устранения уязвимостей.

Тогда не "злоумышленники", а "доброжелатели" :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру