Vali Dragnuta scria la data de 14 Ianuarie 2006:
>
> >(2) In ciuda aparentelor, contul tau e cel mai putin expus. Cineva
> > care sparge o masina obtine mai intai un shell cu UID-ul unuia
> > din daemon-ii locali (nobody, www, ceva de tipul asta), apoi
> > ataca direct root-ul, nu contul tau. Tu nu rulezi daemon-i cu
> > privilegiile tale, nici nu browse-zi, nu citesti mail, nu rulezi X
> > etc. pe server, firewall etc. Nu folosesti contul ala decat pentru
> > administrare. Daca faci altfel nu ai inteles propriul model de
> > securitate.
> >
> Ceea ce spui tu este adevarat, insa nu pe in intregime
> corect (complet ar fi mai bine spus).
> Asta pentru ca se tinde din ce in ce mai mult
> la migrarea atacurilor de dinspre
> servicii/daemoni diversi catre user prin intermediul
> bugurilor din browsere, clienti de irc si/sau messenger,
> prin intermediul bugurilor in diverse biblioteci
> grafice folosite de mai sus numitele aplicatii etc.
... Motiv pentru care:
> > nici nu browse-zi, nu citesti mail, nu rulezi X etc. pe server,
> > firewall etc. Nu folosesti contul ala decat pentru administrare.
> > Daca faci altfel nu ai inteles propriul model de securitate.
> Ca atare un eventual atac reusit pe aceasta cale duce direct catre
> compromiterea unui cont cu (mult) mai mare potential decit nobody sau
> www.
Care e modelul de atac din exemplul tau?
> Deocamdata insa genul asta de atacuri sint targetate mai mult
> catre windows (as putea chiar sa spun ca mare parte din malwareul
> care misuna pe winternet in momentul de fata se datoreaza probabil
> exploatarii nu a unor servicii buggy ci a diverselor aplicatii
> client ale userilor (in special email,IM si browser, ca prin aceste
> aplicatii este cel mai usor sa ademenesti userii catre locatii
> nesanatoase)). Si asta chiar si in cazul in care userii respectivi nu
> navigheaza/lucreaza ca admin.
Ce spun eu este ca user-ii nu trebuie sa navigheze, citeasca mail
etc. de pe un server, firewall etc., punct. Nici ca admin, nici
altfel. Atat timp cat dintr-un cont nu interactionezi direct cu lumea
exterioara, nu esti vulnerabil decat la atacuri locale. Si cum pe un
server, firewall sau o alta masina din aceeasi clasa (pentru ca despre
asta discutam) nu ai in mod normal decat conturi administrative, un
atacator nu poate obtine un shell decat cu UID-ul unuia din daemon-ii
care asculta pe retea. (Adevarat, exista si modele de atac remote mult
mai complicate. In cadrul informal al acestei discutii, voi spune doar
ca pentru intimpinarea acestor tipuri de atacuri, security-by-obscurity
joaca in general un rol important.)
Ce spui tu este adevarat pentru workstation-uri. Acolo intr-adevar
exista user-i care navigheaza etc. etc. si care sunt vulnerabili la
atacuri remote prin simplul fapt ca interactioneaza direct cu date din
surse neverificate. Din aceasta cauza workstation-urile sunt mult mai
greu de securizat, si tot din aceasta cauza server-ele, firewall-urile
etc. nu trebuie sa acorde workstation-urilor mai multa "incredere" decat
masinilor din afara retelei locale. Tot din asta se vede si rolul
egress filters. Dar asta este o cu totul alta directie de discutie.
> La urma urmei scopul compromiterii unui sistem nu trebuie neaparat
> sa fie acela de a avea root ci de a folosi acel sistem pentru a avea
> acces la niste date, pentru a lansa alte atacuri, pentru a trimite
> spam etc. Si pentru asta nici nu trebuie sa compromiti tot sistemul ci
> doar un user.
Adevarat.
> Recapitulind :
> - Este din ce in ce mai "trendy" sa ataci userii si accounturile lor
> in locul serviciilor => ce ai spus tu despre obtinerea mai intii a
> unui...nobody nu mai este atit de adevarat.
> - Se pot face mai multe lucruri din accountul tau decit din nobody.
> - S-ar putea chiar ca ipoteticul atacator (uman sau automat/bot/virus)
> sa nici nu aiba nevoie de mai multe privilegii pentru a fura niste
> date la care ai acces, pentru a instala un spam relay sau de ce nu un
> irc bot :)
De acord, cu distinctia de mai sus. Ce spui tu e adevarat pentru
workstation-uri. Dar discutia nu de la asta pornise.
> - Nu neg utilitatea sudo, insa nici nu mi-as pune in joc
> pielea bazindu-ma pe _doar_ restricted user + sudo
Defineste te rog contextul. "Doar" comparativ cu ce?
> - Faptul ca genul asta de atacuri este mai raspindit pe windows nu
> inseamna ca fenomenul nu este la fel de posibil si in lumea altor
> sisteme de operare.
FWIW, prima data am intalnit acest tip de atac acum 9 ani, pe o
masina DEC ruland OSF/1 2.0. Masina avea un procesor Alpha, pe 64
biti, big endian, cu protectie hardware impotriva stack overflow; pe
scurt, ceva cat se poate de diferit de un PC. Totusi cineva reusise sa
instaleze pe ea un robot IRC, in contul unui user obisnuit, folosindu-se
de un bug dintr-un client FTP. Iar atacul se baza pe un heap overflow,
mult timp inainte ca tehnica respectiva sa fie descrisa in articolul din
Phrack. Pentru mine acela a fost momentul unei reevaluari din temelii a
conceptiei pe care o aveam despre securitate...
Salutari,
Liviu Daia
--
Dr. Liviu Daia http://www.imar.ro/~daia
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
