Gepubliceerd: Donderdag 30 juli 2009
Vlak voor de nu lopende Black Hat-conferentie hebben hackers de servers gekraakt van bekende security-onderzoekers als Dan Kaminsky, Kevin Mitnick en Julie Tinnes.
Toon volledig artikel
Niets nieuws onder de zon. Een engels gezegde:
"The shoemaker’s kids walk barefoot" (vrij vertaald: "De kinderen van een schoenmaker lopen op blote voeten") wordt vaak aangehaald om te illustreren dat ‘experts’ hun zaakjes vaak zelf niet op orde hebben.
Het geen maar weer eens bewezen is.
Het houd echter niet in dat het slechte experts zijn.
Je mag toch aannemen dat een security expert gebruik maakt van het onbreekbare Linux of BSD als ik de beweringen hier zo hoor.
Los van de social enginering waar vrijwel geen kruid tegen gewassen is (behalve het bewustzijn dat je daarvoor moet opletten), staat er ook nogal wat over slechte configuatie ( out of the box perfect aldus de "deskundigen" hier) en en gebrekkige updates ( onmogleijk met een moderne Linux distro)
Kortom.. hoe zit dat?
minaars slaan reeds toe, ik zie liever antwoorden!
Op zich heb je wel gelijk, maar als je die wachtwoorden ziet dan doet de rest er al niet meer toe.
Erg jammer want met een goede distro, een extra security layer zoals SELinux, sterke wachtwoorden en een beetje gezond verstand kan je een machine redelijk dicht krijgen. Beveiliging begint met jezelf!
De basis:
- Geen overbodige services draaien
- DROP policy firewall draaien
- Services die extern benaderbaar zijn in een jail stoppen
- Een trust relatie opzetten tussen je webserver user en je database (dus geen wachtwoorden).
- SSH op een niet standaard poort gooien (persoonlijke voorkeur).
Dan ben je al een heel end, maar zelfs dan moet je alle security berichten bijhouden, patchen, en ids checks doen ed.
Je bent nooit 100% veilig, dat is waarom unix beheer ook een full-time baan is, net als windows beheer.
De 'experts' moeten het hebben van software waar het afspeelt, hoe wil je Windows gaten/lekken onderzoeken op Linux/Apple machines, hoe wil je Linux/Apple problemen zoeken die er (nagenoeg) (nog) niet zijn?
Neen deze moeten wel op Windows/MS software draaien om überhaupt iets te kunnen vinden/onderzoeken. SED toch, het is eigenlijk gewoon logisch. ;-)
Jij wat zegt is juist niet logisch. In 2008 zijn anders genoeg lekken gevonden in Linux (meer dan voor Windows XP).
Zie de volgende link:
http://www.itprofessional.be/news.cfm?id=97970
(Meeste lekken ontdekt in Mac OS X en Linux)
Een paar zaken vallen op:
Apple staat 2x in de lijst met een totaal van 28,6%
Windows staat 5 keer in de lijst met een totaal van 24,1%
Linux staat er maar 1 keer in met 10,9%
Daardoor lijkt het lijstje opeens toch weer anders nietwaar? ;)
Verder mis ik in jouw verhaaltje classificaties over de ernst van de gevonden kwetsbaarheden in de diverse osen. Als het lukt om OS1 twee keer vast te laten lopen en het lukt om OS2 één keer volledig over te nemen en te gebruiken in een botnet, dan is is os1 misschien het meest kwetsbaar met 2 lekken, maar qua ernst is os2 weer duidelijk de winnaar.
En tenslotte is dat lijstje een rip uit een rapport van 106 pagina's. Stel je eens voor op hoeveel manieren je zo'n klein brokje informatie uit zijn verband kan trekken door het hele rapport weg te laten.
Voor de mensen die er zin in hebben, het hele rapport is hier te vinden.
Windows staat 5 keer in de lijst met een totaal van 24,1%
En dat zijn de lekken die voor de buitenwereld bekend zijn. Wat er bij MS al bekend is staat niet in die lijst maar kan potentieel gevaarlijk zijn.
Ik zie op:
www-935.ibm.com...nual-report.pdf
op pagina 40 dat ongeacht welke Windows-kernel je ook neemt, het Percentage altijd lager is dan 6%. Voor de Linux-kernel is het bijna 11%, dus 2x zoveel.
Doorgaans zul je maar 1 OS (danwel 1 type OS) op een station installeren. Als dat OS een Windows-kernel heeft, is dat dus blijkbaar veiliger.
Het optellen van die percentages die bij de verschillende Windows-versie horen, is volgens mij niet eerlijk omdat je altijd maar 1 versie kiest. Eerlijk is eerlijk...
Hmm, nu heb ik persoonlijk niet vaak Windows XP servers gezien bij een bedrijf. En alle verschillende Linux kernels worden zo te zien wel ongezien op één hoop geveegd. Dus waarom de Linux kernel als één geteld wordt, maar dat het bij de diversen Windowsen niet zou mogen ontgaat me.
Daarbij mijn punt was niet zo zeer om aan te tonen dat Windows meer of minder fouten heeft. Het punt was dat je aan de hand van die paar cijfers niets zinnigs kan zeggen. Statistiek is bij uitstek geschikt om datgene aan te tonen wat je graag wil aantonen.
Ik denk niet dat de insteek van het rapport was om datgene aan te tonen wat die paar media, die het hebben overgenomen, ervan proberen te maken.
Ik gok dat deze experts zelf hun BSD boxjes in elkaar gehacked hebben. Toen dat perfect draaide zijn ze de interesse verloren en is het patchen en bijhouden er een beetje half bij in geschoten.
Dan kom je uiteindelijk denk ik wel op het beschreven punt uit.
Dat is ook één van de redenen waarom ik niet zelf compileer en truc om zaken werkend te krijgen op mijn Linux machines. Als je dat doet, ben je ook zelf verantwoordelijk voor het onderhoud.
Dat vond ik nu juist het voordeel van Linux/BSD. Een distro met een centrale repo waardoor al je software bijgehouden wordt. Dus geen gerommel met websites waar je updates moet gaan downloaden.
Totdat de repo gehacked wordt natuurlijk.
Het probleem van een goede configuratie is dat het bijna niet te testen is, hoe weet je zeker dat je niet ergens overheen kijkt? Of dat een bepaalde combinatie toch een probleem oplevert? Je kunt een 'best effort' doen, maar zekerheid heb je niet. Zekerheid heb je pas als je gehacked wordt, dan weet je dat het niet helemaal goed zat.
Totdat de repo gehacked wordt natuurlijk.
Tja, dan staat alles op losse schroeven. Maar datzelfde risico loop je met Windows update en alle losse update programmaatjes van al die verschillende softwarebouwers. Het aantal mogelijke aanvalsvectoren is in een niet repository gebaseerd systeem naar mijn mening veel groter.
Het probleem van een goede configuratie is dat het bijna niet te testen is
Dat klopt, maar door een standaard configuratie te gebruiken die door veel meer mensen getest en gebruikt wordt, is de kans dat de fouten gevonden worden wel een stuk groter.
Op een zelfbouw BSDtje moet je het testen allemaal zelf doen. Dat kan heel veilig zijn als je genoeg tijd en kennis hebt. Maar het is dan wel één tegen een comunity.
De kunst is volgens mij om een gouden mix te vinden tussen standaard en toch gemêleerd genoeg om de nadelen van een monocultuur te mijden.
Een zelfbouw-BSD'tje zul je in een professionele omgeving ook niet tegenkomen. De BSD's hebben met hun ports collectie een keurig pakketbeheer aan boord. Toen ik voor de allereerste keer een FreeBSD-installatie deed, heb ik inderdaad wel de fout gemaakt om alles zelf te knutselen en dat ging dan ook faliekant mis. Een professional doet dat niet, zeker niet in een hosting-omgeving waar de zaak open en bloot aan het net hangt. Daarbij kan ik je vertellen dat de defaults zoals die met FreeBSD en de bijbehorende ports meekomen erg goed in elkaar zitten. Ik wens iedereen veel sterkte die te hacken, zeker remote.
Een zelfbouw-BSD'tje zul je in een professionele omgeving ook niet tegenkomen.
Dan ga je er van uit dat deze security experts hun eigen servers per definitie professioneel opzetten. Ik denk dat dat hier niet aan de orde is. :)
SED. zei op Donderdag 30 Juli 2009 12:03
Je mag toch aannemen dat een security expert gebruik maakt van het onbreekbare Linux of BSD als ik de beweringen hier zo hoor.
Los van de social enginering waar vrijwel geen kruid tegen gewassen is (behalve het bewustzijn dat je daarvoor moet opletten), staat er ook nogal wat over slechte configuatie ( out of the box perfect aldus de "deskundigen" hier) en en gebrekkige updates ( onmogleijk met een moderne Linux distro)
Kortom.. hoe zit dat?
minaars slaan reeds toe, ik zie liever antwoorden!
Dit is 1 van de zeer zeldzame gelegenheden dat ik op een dergelijk "berichtje" reageer:
U wilt nu gaan beweren dat uw PC - ongetwijfeld een ms-(on)gevalletje - default veiliger is of zou zijn dan een goed en deskundig configurated Open_BSD of SeLinux -system ??? Yeah, right...!!!
Ga u eerst eens (bv. net als ik gedurende zo'n 35 jaren) in echte ICT (dat is dus wel heel iets anders dan slechts op "OK" klikken op een ms-(wan)product) verdiepen voordat u opnieuw dergelijke B.S. uitspraken gaat doen.
U produceert hier - net als uw bekende maar liever ongenoemde collega arstro-turfer - slechts FUD/flame-bait/trolls. You better get a real life !
Dit keer reageer ik hier nog op, maar verder maak ik er geen enkele ASCII-character meer aan vuil.
U wilt nu gaan beweren dat uw PC - ongetwijfeld een ms-(on)gevalletje - default veiliger is of zou zijn dan een goed en deskundig configurated Open_BSD of SeLinux -system ??? Yeah, right...!!!
Ik beweer hier niks, ik mhaal aan dat de door security experts geïnstalleerde Linux en BSD ( zie document) kennelijk NIET veilig zijn.
aangezien dat volgens sommigen nhier ( een zekere tonbewoner niet uitgesloten) vrijwel onmogelijk is, roept dit toch vragen op.
Dus je mag best de aandacht afleiden naar Windows maar daar gaat het dit keer niet over!
Die vragen heb ik getracht te beantwoorden. Helaas ga je dat uit de weg. Sterker nog, je negeert het teneinde de onzin nog een keer te kunnen herhalen. Jammer.
Nogmaals, een slecht onderhouden BSD bak is onveilig. Niks verbazingwekkend aan. Dat geven de hackers ook aan:
Zijn servers waren een idiote combinatie van half geupdatete rommel, half weggehaalde rommel, half geïnstalleerde rommel, half geconfigureerde rommel.
Er staat duidelijk niet "idioot os" of iets degelijks.
Configuratie out of the box kan prima zijn, maar als je vervolgens slecht update en configureert dan valt de beveiliging vanzelf een keer om.
Dus wie produceert hier dan FUD?
Lijkt me duidelijk in dit geval: SED.
Je moet natuurlijk wel beide reacties lezen. Hij probeert te suggereren dat een verkloot os zo één op één vergeleken kan worden met een goed geconfigureerd os.
Natuurlijk stelt hij dat zo, in de hoop heftige reacties los te weken. Helaas zijn er mensen die daar op in gaan. Dat ze daarbij Microsoft software aanhalen is niet zo gek, gezien de voorkeur van SED.
En die badgasten willen nu ook onze Mac's en GNU/Linux boxjes gaan *kuch* beveiligen.... tegen ?
La-mu-nie-lachu !
Die badgasten gebruikten zelf Linux en BSD boxjes.. lee shet document maar eens.
Dus een door een expert geinstalleerde Linux en BSD installatie wordt moeitloos door een hacker gekraakt.
Dat blijft vragen oproepen en daar komt maar geen antwoord op.
Ik zie wat wilde fantasietjes over slecht geconfigureerde boxjes die natuurlijk vergeten zijn. ( dat zal zeker na zijn eerste hack voor Mitnick niet opgaan!) onzinnige verklaring dus.
Mitnick tweede keer
Allereerst komt in het lijvige hackdocument Kevin Mitnick aan de beurt. Mitnick. Mitnick was eerder dit jaar al een keer gehackt.
Vervolgens worden mij woorden in de mond gelegd in een poging de aandacht af te leiden. Daar ga ik niet op in. Ik vergelijk niks met Windows en heb daar ook geen behoefte aan.
De bewezen problemen hier zitten in Linux en BSD door experts geinstalleerd en onderhouden. Dat is dermate lastig blijkbaar dat er fikse fouten gemaakt worden. Of dat komt door de default instellingen of door aanpassingen die verkeerd uitpakten is interessant. Het is dus kennelijk erg lastig die doos goed dicht te houden en dat is pas een groot probleem.
Als zelfs experts voor eigen al eens eerder gehackte installaties daar geen zekerheid over kunnen bieden, hoe geschikt is het dan voor JmdP als desktop.
Dat blijft vragen oproepen en daar komt maar geen antwoord op.
Wil je ophouden met dat irritante gelieg? Ik heb je nu twee keer geantwoord, je wil alleen het antwoord niet horen. In plaats daarvan ga je gewoon weer ergens anders onrust veroorzaken.
Het is dodelijk voor een discussie als iemand weerlegde feiten blijft herhalen, met als enig doel de discussie te verpesten.
Sorry, maar dit irriteert.
Dus jij wilt zeggen dat er geen enkel gat/lek in een Linux-distributie zit? Dat is toch hopenlijk geen serieus bedoelde comment.
Ook hier, waar zijn daar de sporen van? Tuurlijk zijn ze er, alleen het misbruik lijkt onmogelijk. Terwijl er voor WIN al vele misbruiken zijn. En ook hier geld dat wanneer en als het voorkomt er ook oplossingen zijn.
Pardon?? Probeer je nu te zeggen dat een linux doos niet gehacked kan worden? Of begrijp ik je nu verkeerd?
Waar lees je dat? Geen enkel systeem is waterdicht, het is gewoon hoe kwalijk is het probleem, en hoe goed en snel zijn de oplossingen. De weegschaal in deze hangt nog steeds ruim verkeerd aan de MS kant.
Natuurlijk zitten er gaten en lekken in een Linux distributie. Ik krijg met enige regelmaat patches uitgeleverd. Voor software, maar ook voor de kernel.
Maar gaten en lekken worden pas echt een probleem als ze misbruikt (kunnen) worden. Daar wacht ik nu al jaren op. Virusscanner in de aanslag... Firewall tot de hoogste temperatuur opgestookt... RSS feedreader geprogrammeerd om alarm te slaan op de combinatie Linux en Virus... En er gebeurt maar niets. :)
Zelfs al hebben ze een goed punt met de 'inbraken', het slaat nergens op om die mensen moedwillig te benadelen door passwords en privé gegevens open en bloot het net op te knallen. Dat is leedvermaak, zinloos gewelddadig en aggressief. Heel erg kinderachtig, en verre van wat de hackermentaliteit behoort te zijn (en is, voor zover ik die ken). De nette manier zou zijn geweest om de betrokkenen te waarschuwen, en daarna de inbraken te publiceren, maar nooit vermengd met hele IRC-logs of shadow/password/bashhistory files. Echt, geen enkel respect voor deze daders. En ook allesbehalve bang voor ze, want de truukjes die ze gebruikt hebben zijn vrij simpel en achterhaald.
Is het julie ook opgevallen dat al die security experts unix achtige OSsen gebruiken?
Zou sed daar een verklaring voor hebben?
Piekhaar wel, hij gaat ervan uit dat ze bewust onveilige systemen gebruiken om zo kwetsbaarheden aan het licht te brengen ;)
( zie reactie boven)
Dat lijkt me ook logisch, vooral als je als bait je persoonlijke gegevens gebruikt... ;)
Belangrijker is de vaststelling dat ze met die veilige OS sen net zo onveilig zijn als welk slecht geconfigureerd OS dan ook.. en dat blijft vragen oproepen waar maar geen antwoord op komt.
D enige wat kinderlijke verklaring is een rommelig theorietje over nonchalance en dergelijke, maar daar kom je in dit geval niet mee weg. Het zijn erkende experts die reeds eerder gehacked zijn, dus die ervaring hebben met het verschijnsel. Dan mag je aannemen dat ze alle normale voorzorgsmaatregelen getroffen hebben en dat blijkt niet voldoende.
Minstens zo opvallend is dat een stukje over ""W7 gehacked"" ( en dan gaat het om de activatie) meer reacties krijgt dan een gapend Linux en BSD configuratie of veiligheidsprobleem. Dat zegt veel over de fans hier maar ook over hun naiviteit op sommige gebieden.
D enige wat kinderlijke verklaring is een rommelig theorietje over nonchalance en dergelijke, maar daar kom je in dit geval niet mee weg.
Tja, dat was dan ook alleen maar de theorie die de hackers zelf aanvoerden. Weet je noch, de herhalende groep van halve dit, halve dat, enz?
Waarom je dat blijf negeren, dat blijft vragen oproepen waar maar geen antwoord op komt.
Ik begrijp dat je liever blijft stoken, omdat je beseft dat je geen enkel argument hebt.
Je verhaal hangt van de drogredenen aan elkaar, maar dat weet je zelf ook best.
1. Het verkeerd bedienen van om het even welk product gaat je problemen opleveren, zo ook bij besturingssystemen.
2. De hackers zelf zeggen het al: deze personen hebben niet de normale voorzorgsmaatregelen genomen. Dat je dat vervolgens toch wenst aan te nemen om een bewering te staven, is een fraaie retorische streek om onder een echte onderbouwing uit te komen.
3. De kwalificatie "gapend Linux en BSD configuratie of veiligheidsprobleem" is voor jouw eigen rekening. Zelfs de hackers constateren dat niet. Wat zij aantonen is niet meer dan anecdotisch: een paar amateuristisch ingerichte servertjes. En zelfs dat ontkracht de expert-status van de slachtoffers niet per definitie. Er zijn meer dan genoeg bijzonder goede informatici met prof. dr. ir. voor hun naam, die het verschil tussen de linker en rechter muisknop bij wijze van spreken niet eens kennen. Neem wijlen prof. Edsger Dijkstra: nota bene winnaar van een Turing Award en een van de grondleggers van de informatica zoals wij die kennen.. had een hekel aan computers en was bijzonder verknocht aan zijn vulpen.
Wat voor verband je hoopt aan te tonen aan de hand van het aantal reacties op Webwereld ontgaat me volledig.
Ik begrijp dat het ineenstorten van een BSD server even wennen is.. Wat ik beweer en staaf met voorbeelden is dat een slecht geinstalleerde en geconfigureerde server ongeacht het OS altijd kwetsbaar is.
Daar werd tegenin geworpen dat Linux en BSD vrijwel niet slecht te configureren waren en dat fabeltje is nu wel grondig uit de wereld. Ik merk trouwens dat voor iemand die open staat voor fouten in Windows je opmerkelijk gedrag vertoond als he tom je favo systeem gaat. Je ontloopt de problemen en gaat ze bagatelliseren. Een slechte reactie ..
Wat de claims van de Hackers betreft..
Zijn servers waren een idiote combinatie van half geupdatete rommel, half weggehaalde rommel, half geïnstalleerde rommel, half geconfigureerde rommel."
"Het gebrek aan dingen die fatsoenlijk werkten, maakte het ons eigenlijk nog het moeilijkste. Maar Dan, dat ga je ons niet verkopen als een of andere geavanceerde verdediging. Je hebt ons genoeg gaten gegeven om doorheen te kruipen.”
Daar zit zekerr de suggestie in dat er een poging gedaan was alles grondig dicht te zetten. Dat blijkt niet zo te zijn ""er waren voldoende gaten om doorheen te kruipen""
Het eigenaardige is dat de enige verklaring die ik hier lees het gegeven zou zijn dat deze experts niet in staat zijn een Linux of BSD box fatsoenlijk te configureren. Ik zou dan graag illen weten wat ze verkeerd gedaan hadden om daarvan te leren. Ik zie nergens een antwoord waarom twee experts op dit terrein dermate domme fouten maken.
Die vraag blijft hier onbeantwoord maar daar ligt wel de oplossing van het probleem. Ik stel vast dat het echt stevig beveiligen van een Linux of BSD best nog wel bewerkelijk is en dus niet geschikt lijkt voor de gewone gebruiker. Zeker niet als er telkens de illusie in stand wordt gehouden dat je out of the box veilig bent en je geen aanvullende maatregelen hoeft te nemen. Een gevaarlijk advies derhalve.
Ik begrijp dat het ineenstorten van een BSD server even wennen is..
Sympathiek, maar ik heb het echt wel eens eerder zien gebeuren. Soms mijn fout, soms bewust, maar echt niet verwonderlijk ofzo.
Wat ik beweer en staaf met voorbeelden is dat een slecht geinstalleerde en geconfigureerde server ongeacht het OS altijd kwetsbaar is.
Dit bestrijd ik ook nergens omdat het zo verschrikkelijk voor de hand ligt. In een benzine-auto moet je ook geen diesel gooien.
Daar werd tegenin geworpen dat Linux en BSD vrijwel niet slecht te configureren waren
Ik neem geen verantwoordelijkheid voor uitspraken die ik niet gedaan heb.
Je ontloopt de problemen en gaat ze bagatelliseren.
Er moet wel eerst sprake zijn van een probleem voordat dit ontlopen of gebagatelliseerd kan worden.
Ik zie nergens een antwoord waarom twee experts op dit terrein dermate domme fouten maken.
Vraag het ze, of de hackers. Ik kan niet voor een ander spreken en ik heb ook de servers in kwestie niet gezien.
Ik stel vast dat het echt stevig beveiligen van een Linux of BSD best nog wel bewerkelijk is en dus niet geschikt lijkt voor de gewone gebruiker.
Een gewone gebruiker installeert en beheert dan ook geen servers, dat moet je wel even in ogenschouw nemen. Jan met de Pet zou ik ook niet willen opzadelen met Windows Server 2008. De grote drie BSD's zijn ook niet bedoeld als desktopsysteem voor gewone gebruikers maar zijn bewust ontwikkeld volgens een filosofie die gebruikelijk in UNIX: het systeem doet wat er gevraagd wordt, ook als dat heel dom is. Daarvoor moet je dus weten wat je doet, en dat is niet aan gewone gebruikers.
Doe je iets wat gewone gebruikers wel zouden doen, namelijk het (door een ander laten) installeren van een desktopversie van een OS (Ubuntu Desktop, PC-BSD) dan zijn die default-installs remote vrijwel niet hackbaar. En aangezien er nauwelijks worms of trojans voor zijn, is ook de kans op een drive-by veel kleiner dan op dat andere platform.
Er moet wel eerst sprake zijn van een probleem voordat dit ontlopen of gebagatelliseerd kan worden.
Het voledig hacken van Linux en BSD bij twee experts op dat gebie dis redelijk verontrustend of beter; zou dat moeten zijn. Probleem lijkt dat veel Linux en BSD gebruikers hetzelfde gedrag vertonen dat ooit uit een onderzoek naar rijgedrag bleek: 80% van de chauffeurs gaf aan beter te rijden dan gemiddeld.
Vraag het ze, of de hackers. Ik kan niet voor een ander spreken en ik heb ook de servers in kwestie niet gezien.
Ik lees hier een aantal opmerkingen van een dergleijek naieviteit dat je ze niet serieus kunt nemen. Die reacties menen wel een oorzaak gevonden te hebben en net zoals jij doet, hangen da rtop aan de uitspraken van de hackers. Ik laat zien dat die op zijn minst multi-interpretabel zijn en kies duidelijk voor een andere insteek.
Let wel, het is niet jan met de Pet die hier wat servers in elkaar sleutelt of onze zelfbenoemde lokale (ex) Ubuntu Guru, maar een erkende expert. Die dus heel goed weet wat hij moet doen en die reeds eerder gehacked is en dus weet dat hij een target is.
Ik geloof dus helemaal niets van die halve config en dergelijke tendentieuze opmerkingen.
En, bij afwezigheid van enige geldige verklaring, is er dus een serieus probleem.
Aangezien de security-experts zelf nog niets hebben toegelicht, is alles wat omtrent hun motieven gezegd wordt speculatief. Ik kan de staat van de servers ook niet beoordelen omdat ik de servers in kwestie niet gezien heb. De hackers hebben die wel gezien, en zeggen dat de zaak halfbakken in elkaar stak. Waarom dat zo was, kunnen alleen de slachtoffers vertellen. Zij doen dat niet, en dus kun je er geen gefundeerde aanname om doen afgezien van de keuze of je de hackers al dan niet gelooft.
Zelf ben ik geneigd de hackers te geloven wanneer zij zeggen dat de servers halfbakken in elkaar zaten. Simpelweg omdat ik zelf al jaren de betreffende OS'en aan het net heb hangen waarvan een aantal minstens net zo'n target zijn als deze experts. De talloze hackpogingen die ik dagelijks zie, zijn echter nog nooit geslaagd. Al jaren lang niet. Ben ik dan een betere expert dan de slachtoffers in dit artikel? Geen idee, waarschijnlijk niet, maar ik vertrouw liever op iets wat ik al jaren voor mijn eigen ogen goed zie gaan dan op een artikel zonder fatsoenlijk wederhoor.
Verder is het zeker niet ondenkbaar dat je op zeer hoog niveau specialist bent op security-gebied in de informatica, maar niet de praktische vaardigheid bezit om een server te installeren en beheren. Daar heb ik in een eerdere reactie een voorbeeld van gegeven.
Quootje van prof. Dijkstra hieromtrent dan:
"Computer science is no more about computers than astronomy is about telescopes."
Zelf ben ik geneigd de hackers te geloven wanneer zij zeggen dat de servers halfbakken in elkaar zaten.
Dat was me al duidelijk. Ikzelf heb wat meer vertrouwen in de desbetreffende slachtoffers en hun kunde. Dat het niet toereikend is moge duidelijk zijn. En daar zit nu net het probleem...
ps, een van de aanvals methoden:
We hacked Dan’s assets first through finding bugs and writing 0day
exploits dus o.a
en but several of the blogs attacked were running on WordPress and there were allusions to vulnerabilities in the software.
achter met updates dus.. geen PM?
Of nog onbekende expolits.. die worden vaak niet vrijgegeven omdat ze nog gebruikt kunnen worden.
Okee, Dan Kaminsky draait FreeBSD. Daar kan ik wat mee. Uit de hacklog:
FreeBSD 7.0-STABLE (GENERIC) #0: Mon Jul 28 18:18:06 PDT 2008
STABLE is een developmentversie met experimentele code, al doet de naam misschien anders vermoeden. In productie draai je RELEASE, niets anders. Dikke fout van Kaminsky.
Hij houdt een hele sloot history bij in een world-readable /root, wat erop duidt dat hij vaak als root werkt. Hele grote no-no, en je laat er sowieso geen history in achter. Bittorrent draaien op een server? Als ROOT!?!?
..en zo gaat die log vrolijk verder. Plus: hij gebruikt een simpel te raden wachtwoordenschema waarbij in het stuk van de hackers zelfs gezegd wordt dat Kaminsky hen een wachtwoord gegeven heeft.
In dat geval heb je het dus al over lokale exploits: je bent met onrechtmatig verkregen "toestemming" al binnen op het systeem en kunt daar je privileges escaleren, al is dat volgens de log al niet meer nodig want daar komen ze al binnen als root.. en dat kan helemaal niet als je de rootlogin niet toestaat in openssh. Mijn vermoeden? Die log is niet volledig of Kaminsky heeft alweer een kapitale fout gemaakt.
Wat werkelijk interessant is, en wat enige zwakte in het OS eventueel zou kunnen aantonen, ontbreekt: hoe zijn ze precies root geworden op die machine? Hebben ze daarvoor het OS misbruikt, of een niet bijgewerkte applicatie die erop draait of gewoon het password (dat uit 5 lowercase letters bestond) simpelweg geraden/geforceerd? En dan nog. Als het OS al is misbruikt, zit die bug dan ook in RELEASE?
Komt er dus op neer dat, als de hacklog betrouwbaar is, deze machine bar slecht was geconfigureerd, er slechte wachtwoorden in gebruik waren waarvan Kaminsky er volgens de hackers nota bene minstens eentje heeft vrijgegeven, en de eigenaar regelmatig dingen als root deed die sowieso al niet op een server thuis horen maar al helemaal niet als root. Tot zover de kundigheid van Kaminsky als serverbeheerder, wat niets zegt over zijn expertise op het gebied van DNS. Deze onkunde projecteren op het hele besturingssysteem doe je voor eigen rekening.
Zoals ik in mijn startpost al aangeef, social engineering is niet te vermijden daar kun je alleen bewustzijn voor ontwikkelen. Het weggeven van wachtwoorden op root niveau doe je niet, dus dat deel zal wel een gekleurde insteek hebben.
Vergeet niet dat het doel van de hack was de experts in diskrediet te brengen, dus in die zin moet je ook het bewijsmateriaal lezen van de hackers.
Verder haal ik hierboven twee stukken aan uit de black hat conferentie waar sprake is van zeroday en bugs die je verder maar negeert.
De conclusie is duidelijk een slecht geconfigureerd server.. en dat blijft een probleem. Daarmee zijn we weer terug op het uitgangspunt.
Dus: zero Day, Bugs, rommelige config en voila.. ene gehackte server. Wijkt dus in niets af van een willekeurig OS en er is geen enkele reden hier een voorkeur aan te verbindne. Het zou mooi zijn als een OS dit type fouten zoveel mogleijk voorkomt. daar zijn maatregelen voor de treffen zoals een ID systeem die soms een zero day kan voorkomen of een goede Scanner/beveiliger die op bekende fouten scant en deze voorkomt.
Het is dus altijd een scala aan maatregelen waarbij soms een overlap nuttig kan zijn.
Allen vertrouwen op je OS is en blijft gevaarlijk.
Het hele verhaal over gewone gebruikers, waar ik in eerste instantie aanstoot aan nam, laat je nu weer liggen. Serverbeheer is op elk OS een vak, stomweg omdat je bewust diensten naar buiten openzet en dat kun je dus verkeerd doen. Dat heb ik ook helemaal nergens bestreden.
Ben je een gewone desktopgebruiker, dan zijn de *NIX'en veiliger al is het alleen maar vanwege bovenstaande: ongevoelig voor de enorme massa aan W32-malware, en dat is volledig onafhankelijk van hoe goed je systeem is geconfigureerd. Buiten dat is het gecentraliseerde pakketbeheer met cryptografisch ondertekende pakketten veiliger dan lukraak een .exe downloaden. Die pakketen worden bovendien gecentraliseerd bijgewerkt aan de laatste stand der dingen zodat je hele systeem -ook alle applicaties- altijd actueel is. Dat zijn simpelweg de droge feiten waar je met de beste wil van de wereld niets op kunt afdingen.
Ik laat dan nog bewust de neiging van veel Windowsgebruikers om als admin te draaien buiten beschouwing, evenals het feit dat veel Windows-software admin-privileges wil hebben.
Tot slot nog eentje waarvan ik betwijfel of het onder Windows uberhaupt kan, maar dat weet ik niet zeker: mount /home, /var(/tmp) en /tmp nosuid,nosetgid,nodev,noexec en /usr readonly (is wat lastiger bij updates) en je moet een vrij slimme gebruiker hebben die er zelfs met lokale shelltoegang nog een speld tussen krijgt.
Ik laat dan nog bewust de neiging van veel Windowsgebruikers om als admin te draaien buiten beschouwing, evenals het feit dat veel Windows-software admin-privileges wil hebben.
Inmidels weet je da took erklende experts op freebsd gebeid die neigingen hebben ;)
Wat die gewone gebruiker betreft.. ik ben er nog steeds van overtuigd dat een goed ingerichte standaard Windows Vista of W7 omgeving voorzien van de normale beveiligingen beter is dan een out of the box Ubuntu. Daar blijven we dus van mening verschillen.
Dat PM prima kan werken bewijst Windows al jaren met zijn keurige updates via Windows update. Het blijft jammer dat initiatieven omdat breder te trekken nog niet van de gornd komen. Anderzijds zie je elk modern pakket dat zelf aan boord hebben. Echt een issue hoeft dat dus niet te zijn.
Ik ga eens verder met het lezen van Xforce anual report want daar staan opvallende uitkomsten in die mijn mening verder ondersteunen.
Inmidels weet je da took erklende experts op freebsd gebeid die neigingen hebben ;)
Hoezo is Kaminsky nu ineens een FreeBSD-expert? De man is security-onderzoeker met een focus op DNS. Dat maakt hem -voor de zoveelste keer- geen competent systeembeheerder.
Wat die gewone gebruiker betreft.. ik ben er nog steeds van overtuigd dat een goed ingerichte standaard Windows Vista of W7 omgeving voorzien van de normale beveiligingen beter is dan een out of the box Ubuntu. Daar blijven we dus van mening verschillen.
Appels met peren vergelijken.. nul onderbouwing voor de mening die je uit, nul weerlegging van een onomstotelijk feit m.b.t. malware-gevoeligheid op basis waarvan ik je mening in twijfel trek. Ik heb het een hele tijd geprobeerd maar blijkbaar ben je teveel gehecht aan doorzichtige retorische trucjes om een eerlijke discussie te kunnen voeren. Dag SED.
EOF
Kennelijk heb je veel moeite met een andere mening. Maar ook dat moet kunnen hier ;)
Misschien is je opgevallen dat Apples met Peren ( Pc) vergelijken, een van de bronnen van irritatie hier is.
Aangezien het advies hier is om een Linux zonder verder bescherming te gebruiken, dus out of the box (!) vergelijk ik het met een standaard installatie van Windows. Als je die vergelijking niet aan kan, dan begrijp ik je gebrek aan argumenten beter. (lees het rapport ook eens, voor meer feiten)
Dag typogeek.
Heerlijk de aanbidders van hun god linux, de tranen biggelen over mijn wangen, wat een draaikonterij :D
Het gaat over BSD. Ik vereer (volgens sommigen die dat graag zo zien) de duivel. Wel bij de les blijven he!
SED verzint zelf zijn argumenten en dicht die dan aan anderen toe. Vervolgens worden BSD fans geacht zich daar tegen te verdedigen.
Doen ze dat niet, dan wordt er fijntjes of gewezen dat er geen antwoorden komen. Doe je dat wel dan wordt er 'kinderlijk' geargumenteerd en/of 'gebagatelliseerd'.
Kortom, wat je ook doet, volgens SED verlies je de discussie.
Jij en ik weten dat zijn argumenten zijn gebaseerd op een berg snot. Ik stel voor dat we het daar bij laten.
Belangrijker is de vaststelling dat ze met die veilige OS sen net zo onveilig zijn als welk slecht geconfigureerd OS dan ook..
Toch blijken Mac's en Linux-computers jarenlang betrouwbaar te functioneren zonder virusscanner en dat zonder trager te worden en zonder lid te worden van een of meerdere botnets.
Tegen de tijd dat niet-windows systemen net zo snel/vaak besmet raken als windows-pc's kom je nog maar eens terug.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
