CNN: 'Hackerek' áldozatául esnek a szuperszámítógép óriások

Cracker, Black Hat

Az alcím lehetne az is, hogy ``Miért érdemes a HUP-ot olvasni?''

(A főszereplők: do_brk(), mremap(), sadmind, Solaris kernel modulok, Solaris passwd sebezhetőség, John the Ripper, SuckIT)

A CNN Technology rovatában jelent meg egy cikk arról, hogy ``hackerek'' törtek be a múlt héten a nagy szuperszámítógépeket üzemeltető felhasználók rendszereibe. A híroldal szerint összehangolt ``cyberattack''-ról van szó.A cikkben elolvashatjuk, hogy támadás érte a Stanford Egyetem, a San Diego Supercomputer Center rendszereit, de nem kímélték a Illinois Egyetem National Center for Supercomputing Applications részlegét és a TeraGrid-et (kormány által alapított kutatás, amelynek célja, hogy összekapcsoljon több szuperszámítógépet) sem.

Ez volt az általános rizsa. A részletes technikai elemzés azt mutatja, hogy a támadók a Linux és Solaris rendszerekben található hibákat kihasználva szereztek irányítást a rendszerek felett. Érdekes elemzés, érdemes elolvasni.

A cikk számos olyan dologról tesz említést, amely a HUP-on is olvasható volt az elmúlt hónapokban:

  • SuckIT - chkrootkit - tegyünk többet rendszerünk egészségéért
  • chkrootkit - chkrootkit - tegyünk többet rendszerünk egészségéért
  • Rootkit Hunter - Rootkit Hunter (1.0.4)
  • do_brk() exploit - CAN-2003-0961: privilégium szint emelés (helyi root)
  • mremap() exploit - Bővebben a 2.2, 2.4, 2.6 kerneleket érintő hibáról
  • Solaris passwd sebezhetőség - SAID: 57454 - Biztonsági hiba a passwd(1)-ben (helyi root)

    • ( stx | 2004. 04. 16., p – 09:07 )

    Leborulunk elotted trey, te Elso szent HUP.admin lattad elore a vegzetuket!:-)))

    ( crown v | 2004. 04. 16., p – 10:47 )

    Elkepzelem, ahogy a felduhodott, nyaladzo hackerek vasbunkokkal, kihegyezett kaszakkal betornek az egyetemekre, es szetverik a szuperkompjutereket... ( Persze, az kevesbe lenne latvanyos, hogy par pattanasos, porbafingo kiskolyok egy par kozkezen forgo scriptel kihasznalja a papa szelessavu internetet, hogy kesobb elmondhassa csendesen, alneven egy irc csatornan, hogy o volt kiskorban a nagy hakker) hogy pusztulni ki az ilyen

    ( antiemes | 2004. 04. 16., p – 11:20 )

    Hi!

    Nem igaz, hogy meg mindig mindenki rosszul hasznalja a hacker/cracker szavakat. A masik meg, hogy nem igaz, hogy egy ilyen nagy rendszert igy elhanyagolnak. En pl. altalaban rogton uj kernelt forgatok egy ilyen exploit utan, pedig az enyem nem egy 'eles' rendszer.

    By(t)e

    TBS::Antiemes

    Gondolj bele, hogy egy nagy egyetemnél ahol sok professzor-tudós-akárki használja a szuperszámítógépet és olyan számolásokat végeznek amelyek az ilyen gépeken is több napig tart nem néznék túl jó szemmel, hogy a rendszergazda mindenkit kitessékel. :)

    Persze megoldás mindenre lehet, pl. a reboot nélküli kernel csere vagy a folyamatos kernel bug hotfix modul telepítgetése. (bizony, do_mremap()-ra is jött ki olyan kernel modul, amivel megakadályozható a hiba kihasználása).

    Viszont gyakran ezt sem merik bevállalni a rendszergazdák, mert ha valami nem jól sül el és ugrik jópár száz/ezer ember munkája akkor hatalmas seggberugást kapnak...

    A tanszék vezetőt, a dékánt és az emberek jó részét nem érdekli a security...

    Egyik ismerősöm műszaki igazgató az egyik cégnél és tudja meg érti miért lenne fontos, hogy mindenhova más jelszót használjon, de nem tud annyi kódot megjegyezni, mert voltak már problémái abból, hogy elfelejtette, ezért marad mindenhova ugyanaz az 5 betűs (csupa kisbetűs) jelszava és kész. Nem érdekli már, ez van... oldja meg a rendszergazda.

    "Ezek ilyenek"

    És ha a professzor-tudós-akárki otthonról is a kutatásán akar dolgozni? Vagy elutazik valahova előadást tartani arról a munkájáról amit a szuperszámítógépen futtat? Esetleg nem azért utazott el, de a távolban van ideje és szeretne dolgozni a munkáján? Azt mondod neki, hogy én vagyok a rendszergazda és én márpedig nem engedem, hogy távolról dolgozzon, mert nem biztonságos! :-))

    A VPN-nel komoly gáz, hogy csak a közvetítő közeget védi, a végpontot nem. Nem biztos, hogy értelmes helyeken a fontosabb rendszereket szívesen teszik VPN-en elérhetővé olyan számítógépről, ami egyébként az Interneten lóg. Nem a VPN-t kell megtörni, hanem a végponton lógó, gyakran védtelen windowst/linuxot/bsd-t/stb, és máris megkerültél minden védelmet.

    ezeknek a ``szuperszamitogepeknek'' a jo resze klaszter, van ahol tobb szaz gepet kapcsolnak ossze. meg akkor sem kis munka mindegyiken upgrade-elni, ha ezek a gepek hw-ileg ugyanazok (pl a jelenlegi masodik vagy harmadik legnagyobb egy OS X klaszter, 1100 geppel. mondjuk OS X alatt azert nem ekkora problema a frissites hala a software update-nek:)

    Tokeletes biztonsag nincs. Viszont egy szervernek az a feladata, hogy kiszolgaljon (szinte barmi aron).

    A VPN nem olyan rossz dolog. Nyilvan a VPN szervert vedeni kell mas iranyu tamadasoktol is. Bar normalis szervereknel altalaban kulonvalasztjak a funkciokat. Ertem ez alatt, hogy VPN szerverre nem tesznek lokal accountot (igy helyi root exploittal nehez feltorni), sem szolgaltatast. Az csak a lamer helyeken szokas, hogy un. salata szervereket csinalnak (mindent bele szerver, rajta web, mail, egyik laba a neten, masik laba a helyi filekiszolgalo, lokalba fut rajta megy egy kis bitchx, meg eggrop is, aztan csodalkoznak, hogy felkurjak).

    VPN helyett otthonrol lehet dolgozni sima analog vagy ISDN behivassal is, de ugyebar ahol a sebesseg fontos ott ezek nem jonnek szoba. VPN alatt meg nem csak szo szoros ertelmeben vett szervert lehet gondolni, hanem mondjuk celgepet is. Abban is lehet bug, de azok kozul a komolyabbakat be lehet allitani auto update-re (azonnal frissiti a firmware-t a netrol ha van uj), es minimalis a downtime ezeknel.

    ( zg | 2004. 04. 16., p – 15:26 )

    En nem vagyok egy jo C programozo, igazan icipici utility binarisokon kivul semmit sem irtam C-ben. Ellenben Java nyelven programozom mar kb. 4 eve. A nemzetkozi cegnel ahol dolgozom van egy eleg nagy letszamu QA csapat, akik tesztelnek, de mi is eleg nagy szamban irunk unit teszteket a szoftverekhez.



    A kerdesem az, hogy ezek ellen az exploitok ellen nem lehet unit teszteket irni? Mert ha lehet, es az OSDL-nel lenne egy QA team, ami minden release elott mondjuk egy hetet tesztelne, akkor megelozheto lenne a baj.



    Kerem hogy ha vki tudja mi az _igazi_ teszteles es jo C designer magyarazza mar el, hogy hogy is van ez a linux kernellel.

    Koszi,
    Zoli