Włamanie na serwery Fedory – czas na podsumowanie

by żyło się lepiej najlepiej mieszać alkohol z krwią wlewając alkohol doustnie

Nie tylko nużącego – oni zrobili COŚ NIEZWYKLE TRUDNEGO

Ale dlaczego mieliby generowac klucze?

Wiele kluczy?

Ile tych kluczy bylo zeby az potrzebny byl skrypt?

Czy moze jednak chodzi o przepakowanie kazdej paczki z nowym podpisem wygenerowanym przy uzyciu nowego klucza prywatnego.

A potem rozeslaniem nowych paczek do wszystkich mirrorow (lub pobudzenie mirrorow do zassania nowych paczek)?

Zreszta pewnie mirrory tez weryfikuja poprawnosc paczek wiec musialy miec zaktualizowane certyfikaty ich zrodla.

Samo wygenerowanie kluczy to pikus. Wygenerowanie nowych podpisow takoz.

Ale redystrybucja nowych certyfikatow to juz inna bajka – tego automatycznie sie nie robi.

A jesli trzeba bylo zmienic jakiekolwiek certyfikaty CA a tym samym przeleciec sie po calym drzewie PKI to ja szczerze wspolczuje. Mrowcza robota :/

Do tego dojdzie jeszcze aktualizacja list odwolan certyfikatow (CRL) i mamy naprawde sporo mrowczej roboty dla administratorow.

A tak zapomniałem o obowiązkowym "DO KSIĄŻEK!" dla Squida. Nie wypowiadaj się o czymś o czym pojęcia nie masz.

I nadal nie widzę wyjaśnienia przez jaką lukę doszło do włamania? Czyżby kolejna kompromitacja i nie chcą się przyznać?

PS. Czemu linki nie działają? Autor wystraszył się swojej okropnej gramatyki? Tak to jest jak dzieciaki się zabierają za poważne sprawy.

A potrafisz sklecic choc jedno zdanie nie przesaczone agresja?

Albo uzupelnione choc odrobina analizy?

Jenym z problemow zapewnienia bezpieczenstwa poprzez oddzielenie sie od sieci jest koniecznosc wykozystania ludzi do recznego transferowania i weryfikowania danych przesylach do i z tak zabezpieczonego systemu.

W przypadku systemu podpisywania paczek mowimy o tysiacach (jesli nie dziesiatkach, ale nie wiem ile dokladnie) paczek, czesto roznych na rozne wspierane platformy.

Kazda taka paczka musialaby zostac przeslana do "systemu podpisujacego" a nastepnie z niego odebrana i przekazana do serwerow plikow. Wszystko recznie.

I za kazdym razem medium wykorzystane do przekazania danych musialoby byc dokladnie zweryfikowane.

I tak przy kazdej aktualizacji lub poprawce.

Ile ludzi musialoby byc w taki proces zaangazownych?

Mozliwe, ze firma komercyjna mialaby odpowiednie srodki do poswiecenia na taki poziom zabezpieczenia, ale projekt open source???

@fragger: Bardzo mozliwe, ze po prostu nie wiedza, jak doszlo do wlamania.

"W przypadku systemu podpisywania paczek mowimy o tysiacach (jesli nie dziesiatkach, ale nie wiem ile dokladnie) paczek, czesto roznych na rozne wspierane platformy."

fedora Fedora 9 – i386 enabled : 9897

koji Fedora 9 – i386 enabled : 10565

updates Fedora 9 – i386 enabled : 3365

(na końcu ilość paczek w repozytorium)

To tylko dla fedory 9 repozytoria koji, fedora-stable i fedora-updates, i tylko dla architektury i386. A przypominam że są jeszcze x86_64 i PPC, oraz oczwiście to samo dla F8 i Rawhide'a. Czyli krótko mówiąc dziesiątki tysięcy paczekw sumie do podpisania.

Pomine sam fakt, iż każda paczka (zarówno binarki jak i źródła) były weryfikowane pod względem integralności kodu, aby mieć pewność że w żadnej paczce nie znalazł się nieporządany w systemie kod.

Więc jeśli ktoś mówi że nie wykonali żmudnej i na prawdę trudnej roboty, jest dla mnie po prostu śmieszny.

"Jenym z problemow zapewnienia bezpieczenstwa poprzez oddzielenie sie od sieci jest koniecznosc wykozystania ludzi do recznego transferowania i weryfikowania danych przesylach do i z tak zabezpieczonego systemu."

Dokładnie. W skrócie mówiąc skopiować dane na dysk, podpiąć do zabezpieczonej maszyny odłączonej od sieci , zapuścić skrypt, wypiąć… albo odłączyć komputer od sieci zapuścić live cd, zrobić swoje i zrestartować. Wszystko można zrobić nie ruszając tyłka z jednego krzesła. Widzisz na czym polega magia? Komputer z kluczem nie jest podpięty do żadnej sieci i tym jakże wyrafinowanym sposobem nikt nie może wykraść klucza chyba że potrafi to zrobić po sieci energetycznej.

Myślę że do tego trzeba minimum 100 ludzi i kilka miesięcy planowania bo jeden człowiek nie jest w stanie obsłużyć 2 komputerów.

Brawo Squid za próbę bezsensownej obrony swojego stanowiska.

I rób sobie tak teraz z każdą paczką, które są budowane średnio co kilka minut, 24 h/dobę. Życzę powodzenia. Normalnie dostaniesz nobla za poświęcenie jak to zrobisz. Nie ruszając tyłka z jednego krzesła jak to sam napisałeś.

@fragger

Przenosisz teorie zabezpieczen systemow kontrolnych (np. system kontroli elektrowni) gdzie ilosc danych przetwarzanych z czujnikow (zrodel danych) wewnetrznych dla systemu jest znacznie wieksza niz ilosc danych zewnetrznych (zazwyczaj kontrolnych) do systemow przetwarzania masowego gdzie ilosc danych zewnetrznych jest znacznie wieksza od wewnetrznych.

Co ciekawe w tym drugim przypadku dane wewnetrzne to dane kontrolne (w omawianym przypadku klucze np. klucze kryptograficzne)

Pol biedy gdyby jeszcze dane do przetwarzania "naplywaly" grupami, ale w modelu rozproszonego tworzenia oprogramowania paczki tworzone są automatycznie, bez bezpośredniej kontroli człowieka.

W kazdym przypadku poziom zabezpieczen dobiera sie do szacowanego poziomu zagrozenia oraz do charakterystyki zabezpieczanych procesow.

Jakkolwiek oddzielenie od sieci jest silnym srodkiem zabezpieczenia (ale i tak czynnik ludzki pozostaje najwiekszym zagrozeniem) to nie zawsze jego stosowanie jest uzasadnione lub mozliwe.

W koncu mozna powiedziec, ze takiego samego poziomu zabezpieczen moglyby wymagac repozytoria kodu (po co zdobywac klucze jesli mozna podmienic kod?) albo systemy automatycznie kompilujace kod na rozne platformy?

A moze w ten sposob pozabezpieczac satelity komunikacyjne???

W przypadku maszyny "podpisujacej" wystarczajacym zabezpieczeniem kluczy byloby zastosowanie sprzetowych urzadzen kryptograficznych, przechowujacych klucze prywatne i oferujacych uslugi kryptograficzne bez ujawniania klucza prywatnego (chocby kryptograficzne smart cards).

Wtedy nawet jesliby udalo sie przechwycic passphrase wpisywane z klawiatury i wysylane do urzadzenia to mozna by bylo je wykorzystac tylko tak dlugo jak dlugo mialoby sie dostep do systemu z podlaczonym urzadzeniem.

Formalnie rzecz biorac nadal mozna by mowic o kompromitacji kluczy, ale z praktycznego punktu widzenia tylko w stosunku do "nielegalnie" podpisanych paczek, ktore mozna by po prostu usunac z sieci mirrorow. I tak uwazam to za bezpieczniejsze niz przebudowa calego PKI i redystrybucja certyfikatow.

PS. agresja jest oznaka niepewnosci, wiec skoro jestes tak pewien swojej wiedzy i doswiadczenia to dlaczego tak czesto to agresywnie podkreslasz?