А что делать если люди фигню пишут? Разница в подходе к безопасности в win и nix кардинальна и обе концепции имеют право на жизнь. Люди просто не очень понимают разницу в подходах и смотрят со стороны винды, что неправильно.
Добавлено в 16:41
Цитата (awolfman @ 12.05.2016 - 16:36)
Цитата (bimb0 @ 12.05.2016 - 16:27)
По поводу безопасности иксов и зверинца под линух:
Сейчас многие дистрибутивы, в угоду пользователям, используют доступ через sudo от пароля пользователя.
Ну да, например убунта. И что? Может подскажите как выдернуть из /etc/shadow хеш пасса без рута? А так же как сбрутить, в лучшем случае, md5(Unix)? Тем более, что вы говорите про версию из коробки, а на предприятиях и в конторах коробочные версии без настройки не используют... P.S. md5(Unix) это md5 взятый тысячу раз...
Это сообщение отредактировал bimb0 - 12 мая 2016 г. в 16:46
Блин... да это официальный репозиций и они (госорганы) сами туда обновления необходимые и будут выкладывать. Естественно с задержкой, т.к. перелопатить много надо, но для работы тех-же самих органов будет нормально и некритично.
ну если сами госорганы будут выкладывать с задержкой, то думаю все вирусы будут крутиться у нас, пока через месяц другой не выпустят фикса) то есть у нас будет курортная зона в гос организациях для вирей)))
Вы меня извините, но в тех гос органах где я работал, ведомственная сеть изолирована от интернета. Для интернета отдельные компы стоят. Когда слышу что в очередной раз взломали пентагон, чета ржу.
И да, вирусы под линух нужно скомпилить, я думаю вряд ли это умеет простой пользователь, даже имея рута
sudo su -
ему никто не даст
Канешь не даст :))))
[user@localhost ~]$ sudo su- [sudo] password for user: user is not in the sudoers file. This incident will be reported. [user@localhost ~]$
Bashdoor (также англ. Shellshock[1]) — серия программных уязвимостей, обнаруженных в программе GNU Bash в сентябре 2014 года и открыто опубликованных 24 сентября[2]. Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов. Уязвимость позволяет атакующему исполнять произвольные команды, получив неправомерный доступ к компьютерным системам[3].
Уязвимости заключаются в том, что Bash вопреки задекларированным возможностям производит исполнение команд при получении некоторых нестандартных значений переменных окружения (environment)[1][4]. За несколько дней после публикации оригинальной уязвимости было обнаружено несколько сходных ошибок, что не позволило оперативно издать версию с исправлениями.
Изначальная ошибка была обнаружена Стефани Шазеля [1] (фр. Stéphane Chazelas) 12 сентября 2014 года[1], который предложил назвать её «bashdoor» (созвучно backdoor)[1]. Уязвимость получила в базе MITRE номер CVE-2014-6271 и оставалась неопубликованной (находилась под эмбарго) до 14 часов по UTC 24 сентября, ради того чтобы авторы программы, создатели дистрибутивов и иные заинтересованные организации успели принять необходимые меры[5].
Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее[6] и с тех пор оставалась необнаруженной среди общей публики и незадекларированной[4]. Группа авторов Bash затрудняется в определении точного времени внедрения ошибки из-за недостаточно подробной истории изменений (changelog)[1].
25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].
а вот повышение прав
Цитата
Повышение привилегий через setuid программы[править | править вики-текст] Программа с установленным битом Setuid может вызывать bash непосредственно, либо косвенно при использовании системных вызовов system(3), popen и других, не сбрасывая при этом переменные окружения. Атака Shellshock в таких случаях позволит локальному пользователю повысить собственные привилегии до владельца подобной setuid программы, часто вплоть до root (суперпользователя).
уязвимость заложенна предположительно в 1992 году, обнаружена только в 12 сентября 2014 года...
Цитата
Уязвимость оффлайн-систем[править | править вики-текст] Ошибка потенциально может достичь систем, не подключенных к сети Интернет, во время оффлайн обработки с помощью bash[42].
а это насчет взлома систем без интернета...
Это сообщение отредактировал karbat - 12 мая 2016 г. в 17:16
Bashdoor (также англ. Shellshock[1]) — серия программных уязвимостей, обнаруженных в программе GNU Bash в сентябре 2014 года и открыто опубликованных 24 сентября[2]. Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов. Уязвимость позволяет атакующему исполнять произвольные команды, получив неправомерный доступ к компьютерным системам[3].
Уязвимости заключаются в том, что Bash вопреки задекларированным возможностям производит исполнение команд при получении некоторых нестандартных значений переменных окружения (environment)[1][4]. За несколько дней после публикации оригинальной уязвимости было обнаружено несколько сходных ошибок, что не позволило оперативно издать версию с исправлениями.
Изначальная ошибка была обнаружена Стефани Шазеля [1] (фр. Stéphane Chazelas) 12 сентября 2014 года[1], который предложил назвать её «bashdoor» (созвучно backdoor)[1]. Уязвимость получила в базе MITRE номер CVE-2014-6271 и оставалась неопубликованной (находилась под эмбарго) до 14 часов по UTC 24 сентября, ради того чтобы авторы программы, создатели дистрибутивов и иные заинтересованные организации успели принять необходимые меры[5].
Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее[6] и с тех пор оставалась необнаруженной среди общей публики и незадекларированной[4]. Группа авторов Bash затрудняется в определении точного времени внедрения ошибки из-за недостаточно подробной истории изменений (changelog)[1].
25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].
а вот повышение прав
Цитата
Повышение привилегий через setuid программы[править | править вики-текст] Программа с установленным битом Setuid может вызывать bash непосредственно, либо косвенно при использовании системных вызовов system(3), popen и других, не сбрасывая при этом переменные окружения. Атака Shellshock в таких случаях позволит локальному пользователю повысить собственные привилегии до владельца подобной setuid программы, часто вплоть до root (суперпользователя).
уязвимость заложенна предположительно в 1992 году, обнаружена только в 12 сентября 2014 года...
О боги, да какой криволапый админ даст юзверю доступ к башу? Обрабатывать через интерпретатор нефильтрованные данные - надо быть гением! Еще сплоитов, это не катит. Суидный бит может поставить только рут! Кстати, суидник это самый простой и палевный способ закрепления в системе, лучше бэкдорить сервисы типа ссш и т.д. Имхо, не зачет, автор, гугли еще! P.S. Хартблид не предлагать
Я не знаю как там гослинкус, но мне два месяца работы на обчном линуксе хватило. Вспоминаю как страшный сон. Ни дай бог дожить
Можно побольше конкретики? А то я вот давно снёс винду, сижу под линуксом, вроде всем доволен, а оказывается, и не подозреваю, что страшно мучаюсь. Просветите, умоляю!
вот читаю вас много-много. сначала пытался комментить, а потом забил. бля, ну каким нужно быть дубовым-то, а? выли что либра и ОО говно - нате WPS Office, ан нет - не подходит ВПС - *.odt не жрет... кричали что манагеры тупые, а когда на пальцах разъяснили, что все перепиливается в два счета стали голосить, что пингвин не вытягивает танки... только все устаканилось - вылезли починяльщики принтеров из частных типографий, мол не жрет линух принтера струйно-лазерные цветные. доводы о том, что давным давно cups уже является шаблоном для виндовых дров и интерфейсов не действуют. робкие мысли о том, что бюджетные, государственные и казенные предприятия из цветных бумаг печатают только деньги витают в воздухе и никем не могут быть приведены как аргумент о принципиально неверном подходе к рассмотрению *.NIX в виде основной системы на компьютерах и серверах госслужащих и бюджетников. еще меня умиляют теоретические линуксовассерманы. блеать! сказано же более опытными пользователями и админами, что юзер, загадивший систему говном, нещадно удаляется и создается новый с теми же самыми настройками и файлами (о великий бэкап) за полчаса. но нет же....! пытаются впесдюрить теорию под устоявшуюся практику... как человек, слегка связанный и с линуксами (перешел лет 10 назад, винда тупо для для прошивки телефона стоит) могу сказать, что найти вирус под линукс сложно и надо специально стараться, чтобы обойти защиты браузера, потом ввести root пароль для компиляции, а опосля ввести пароль root для установки вируса, который не сможет никуда ни отослать информацию ни зашифровать файл или каталог, потому что они УЖЕ зашифрованы, а порты заблаговременно закрыты по принципу "открыты только нужные". конечно и подшипник можно сломать, если положить его в специальный пресс, но только кто даст нагородить "пресс" для слома государственного компа под управлением ОС Linux?
Bashdoor (также англ. Shellshock[1]) — серия программных уязвимостей, обнаруженных в программе GNU Bash в сентябре 2014 года и открыто опубликованных 24 сентября[2]. Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов. Уязвимость позволяет атакующему исполнять произвольные команды, получив неправомерный доступ к компьютерным системам[3].
Уязвимости заключаются в том, что Bash вопреки задекларированным возможностям производит исполнение команд при получении некоторых нестандартных значений переменных окружения (environment)[1][4]. За несколько дней после публикации оригинальной уязвимости было обнаружено несколько сходных ошибок, что не позволило оперативно издать версию с исправлениями.
Изначальная ошибка была обнаружена Стефани Шазеля [1] (фр. Stéphane Chazelas) 12 сентября 2014 года[1], который предложил назвать её «bashdoor» (созвучно backdoor)[1]. Уязвимость получила в базе MITRE номер CVE-2014-6271 и оставалась неопубликованной (находилась под эмбарго) до 14 часов по UTC 24 сентября, ради того чтобы авторы программы, создатели дистрибутивов и иные заинтересованные организации успели принять необходимые меры[5].
Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее[6] и с тех пор оставалась необнаруженной среди общей публики и незадекларированной[4]. Группа авторов Bash затрудняется в определении точного времени внедрения ошибки из-за недостаточно подробной истории изменений (changelog)[1].
25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].
а вот повышение прав
Цитата
Повышение привилегий через setuid программы[править | править вики-текст] Программа с установленным битом Setuid может вызывать bash непосредственно, либо косвенно при использовании системных вызовов system(3), popen и других, не сбрасывая при этом переменные окружения. Атака Shellshock в таких случаях позволит локальному пользователю повысить собственные привилегии до владельца подобной setuid программы, часто вплоть до root (суперпользователя).
уязвимость заложенна предположительно в 1992 году, обнаружена только в 12 сентября 2014 года...
Цитата
Уязвимость оффлайн-систем[править | править вики-текст] Ошибка потенциально может достичь систем, не подключенных к сети Интернет, во время оффлайн обработки с помощью bash[42].
а это насчет взлома систем без интернета...
Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня. Последний вывод через sudo (если ты понимаешь о чем речь)
intruder ~ $ bash --help GNU bash, версия 4.3.11(1)-release-(x86_64-pc-linux-gnu) Использование: bash [длинные опции а-ля `GNU'] [опции] ... bash [длинные опции а-ля `GNU'] [опции] файл_со_скриптом... Длинные опции в стеле GNU: --debug --dеbuggеr --dump-po-strings --dump-strings --help --init-file --login --noediting --noprofile --norc --posix --rcfile --restricted --verbose --version Опции оболочки: -ilrsD or -c command or -O shopt_option (invocation only) -abefhkmnptuvxBCHP или опция -o Напишите `bash -c "help set"' для получения информации об опциях оболочки. Напишите `bash -c ' для получения информации о встроенных командах оболочки. Используйте команду `bashbug' для сообщений об ошибках. intruder ~ $ env X="() { :;} ; echo busted" bash -c "echo stuff" stuff intruder ~ $ sudo env X="() { :;} ; echo busted" bash -c "echo stuff" [sudo] password for intruder: stuff intruder ~ $
Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.
Дружище, даже если допустить, что это свежайший 0-day, ну в какой конторе, у какого админа обычный юзер имеет доступ к шеллу? Зачем?
да зачем, вот только получилось так
Цитата
Векторы атаки[править | править вики-текст] В течение часа после публикации уязвимости Bash появились сообщения о взломе компьютерных систем с её помощью. 25 сентября были подтверждены различные атаки 'in the wild', начиная с простых DoS, заканчивая развёртыванием серверов command & control через зловредную систему «BASHLITE»[34][35]. Корпорация Kaspersky Labs сообщала, что некоторые из зараженных компьютеров начали атаку DDoS против трех целей[8]. 26 сентября был обнаружен ботнет «wopbot», составленный из серверов, зараженных через bashdoor, и используемый в DDoS против CDN Akamai Technologies и для сканирования сетей Министерства обороны США[7].
и так
Цитата
25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].
Heartbleed (CVE-2014-0160) — ошибка (переполнение буфера) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года.
На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, это составляло около 17 % защищённых веб-сайтов Интернета.[1]
Цитата
Ошибка была в TLS Heartbeat, несложном расширении TLS. TLS — протокол представления данных поверх TCP или UDP, рассчитанный, однако, только на непрерывный поток данных. Если же обмен данными состоит из запросов и ответов, появляется возможность определять какую-то информацию по активности связи, да и после длинного простоя надо будет заново устанавливать TLS-соединение. Чтобы справиться с проблемой, компьютеры «перебрасываются» туда-сюда пакетом случайной длины, и этим поддерживают связь в активном состоянии и «зашумляют» канал.[2]
Чтобы сложнее было отличить «сердцебиение» от полезного трафика, пошли на хитрость: пакет состоит из контрольной строки и ничего не значащего «хвоста». Компьютер должен вернуть сообщение, состоящее из такой же строки и своей порции «шума». Длина контрольной строки задаётся 16-битным целым числом.[2]. Если эта длина окажется больше, чем весь пакет, уязвимые версии OpenSSL читали память за пределами отведённого буфера[3] (RFC предписывает не отвечать на такие пакеты).
Heartbleed осуществляется отправкой некорректно сформированного Heartbeat-запроса, в котором реальный размер строки очень мал, а число, символизирующее длину передаваемой строки, очень велико. Так можно получить в ответ от сервера больше всего скрытой информации. Таким образом, у жертвы возможно за один запрос узнать до 64 килобайт памяти, которая была ранее использована OpenSSL.
Heartbeat-запрос выглядит так: «Верни мне слово тест, которое состоит из 4 букв», и получает ответ «тест». Heartbleed-запрос выглядит иначе: «Верни мне слово „тест“, которое состоит из 500 букв», и получает ответ, состоящий из слова «тест» и еще 496 символов, лежащих у жертвы в активной памяти. Несмотря на то, что злоумышленник имеет некоторый контроль над размером блока памяти, он никак не может управлять положением этого блока, и поэтому никак не может предвидеть его содержимое.
это все относительно того что в репозитории будет 100% чисто и не одной уязвимости)
Это сообщение отредактировал karbat - 12 мая 2016 г. в 19:29
Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.
Дружище, даже если допустить, что это свежайший 0-day, ну в какой конторе, у какого админа обычный юзер имеет доступ к шеллу? Зачем?
да зачем, вот только получилось так
Цитата
Векторы атаки[править | править вики-текст] В течение часа после публикации уязвимости Bash появились сообщения о взломе компьютерных систем с её помощью. 25 сентября были подтверждены различные атаки 'in the wild', начиная с простых DoS, заканчивая развёртыванием серверов command & control через зловредную систему «BASHLITE»[34][35]. Корпорация Kaspersky Labs сообщала, что некоторые из зараженных компьютеров начали атаку DDoS против трех целей[8]. 26 сентября был обнаружен ботнет «wopbot», составленный из серверов, зараженных через bashdoor, и используемый в DDoS против CDN Akamai Technologies и для сканирования сетей Министерства обороны США[7].
и так
Цитата
25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].
Heartbleed (CVE-2014-0160) — ошибка (переполнение буфера) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года.
На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, это составляло около 17 % защищённых веб-сайтов Интернета.[1]
Цитата
Ошибка была в TLS Heartbeat, несложном расширении TLS. TLS — протокол представления данных поверх TCP или UDP, рассчитанный, однако, только на непрерывный поток данных. Если же обмен данными состоит из запросов и ответов, появляется возможность определять какую-то информацию по активности связи, да и после длинного простоя надо будет заново устанавливать TLS-соединение. Чтобы справиться с проблемой, компьютеры «перебрасываются» туда-сюда пакетом случайной длины, и этим поддерживают связь в активном состоянии и «зашумляют» канал.[2]
Чтобы сложнее было отличить «сердцебиение» от полезного трафика, пошли на хитрость: пакет состоит из контрольной строки и ничего не значащего «хвоста». Компьютер должен вернуть сообщение, состоящее из такой же строки и своей порции «шума». Длина контрольной строки задаётся 16-битным целым числом.[2]. Если эта длина окажется больше, чем весь пакет, уязвимые версии OpenSSL читали память за пределами отведённого буфера[3] (RFC предписывает не отвечать на такие пакеты).
Heartbleed осуществляется отправкой некорректно сформированного Heartbeat-запроса, в котором реальный размер строки очень мал, а число, символизирующее длину передаваемой строки, очень велико. Так можно получить в ответ от сервера больше всего скрытой информации. Таким образом, у жертвы возможно за один запрос узнать до 64 килобайт памяти, которая была ранее использована OpenSSL.
Heartbeat-запрос выглядит так: «Верни мне слово тест, которое состоит из 4 букв», и получает ответ «тест». Heartbleed-запрос выглядит иначе: «Верни мне слово „тест“, которое состоит из 500 букв», и получает ответ, состоящий из слова «тест» и еще 496 символов, лежащих у жертвы в активной памяти. Несмотря на то, что злоумышленник имеет некоторый контроль над размером блока памяти, он никак не может управлять положением этого блока, и поэтому никак не может предвидеть его содержимое.
это все относительно того что в репозитории будет 100% чисто и не одной уязвимости)
Говорил же, хартблид не предлагать, это дыра не в лине, а в сторонней либе. Хартблид это как очередная дыра в адобовском флешплеере (до его активного выпиливания), к винде не оносится, но стоит у всех. По поводу дыры в баше - перепись некомпетентных админов, не более, выше указал причину. Поймите, за пару часов, я могу заFUDдить билд да той же древней пойзон иви с помощью оллидебагера, поднять сервак управления, приклеить уже чистого (FUD - Full UnDetectable) троянца к какой-нибудь пиратке, а лучше kmsactivator'у и поиметь гораздо больше ботов в перспективе, в том числе и серваков... Кстати, чтобы не быть голословным - видео, о том, как FUDят билды вирусов с помощью дебаггера.
Безопасность это очень относительная штука... И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...
Это сообщение отредактировал bimb0 - 12 мая 2016 г. в 19:59
Безопасность это очень относительная штука... И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...
согласен, а знаний для отдела безопасников хватит с запасом, они такими знаниями зачастую не блистают, больше за то что бы все доки были в порядке и все что опечатывается было опечатано), нормальных безопасников наблюдал только в Москве студенты, там их обучали как способам взлома так и способам защиты...
Безопасность это очень относительная штука... И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...
согласен, а знаний для отдела безопасников хватит с запасом, они такими знаниями зачастую не блистают, больше за то что бы все доки были в порядке и все что опечатывается было опечатано), нормальных безопасников наблюдал только в Москве студенты, там их обучали как способам взлома так и способам защиты...
Хз, взлому очень сложно обучить, это должно быть в крови. Настоящий хакер в первую очередь человек с крайне нестандартным мышлением, а уже потом технарь... P.S. Positive Technologies, привет вам Это сообщение отредактировал bimb0 - 12 мая 2016 г. в 19:58
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com