"Biztonság szempontjából mindegy, melyik operációs rendszert választjuk"

Flame

Sziasztok!

Nem sok cikken szoktam felhúzni magam, de a HWSW-n megjelent legutóbbi Kürtöt magasztaló cikk kiverte nálam a biztosítékot. Talán azért, mert a mostani csak csepp a tengerben; véleményem szerint kezd eluralkodni a piacon az a tendencia, hogy ismert, biztonságtechnikával foglalkozó cégek hihetetlenül demagóg cikkeket jelentetnek meg a sajtóban, diszkréten sugallva, hogy náluk hozzáértőbb emberek nem léteznek széles e világon, és hogy a vállalatok siessenek hozzájuk elkölteni az éves IT büdzsé lehetőség szerint nagyobb részét.

Az aktuális cikk: http://www.hwsw.hu/hirek/35608/jelszokezeles_patch_foltozas_windows_lm_ntlm_hash_unix_it_biztonsag_kurt_dolanszky.html

Nektek mi a véleményetek? Hogy lehet ilyet leírni, hogy "biztonsági szempontból mindegy, melyik operációs rendszert választjuk"?

  • 2072 megtekintés

( bastya_elvtars | 2008. 03. 23., v – 22:26 )

Szerintem teljesen igazuk van, olvasd végig a cikket.
It doesn't matter if you like my song as long as you can hear me sing

( eax | 2008. 03. 23., v – 22:53 )

"Hogy lehet ilyet leírni, hogy "biztonsági szempontból mindegy, melyik operációs rendszert választjuk"?""

Nekem nem sikerult a cikkben olyan nagy hulyesegeket felfedezni, az teny, hogy nagysagrendekkel valoszinubb, hogy a bena jelszavakon, vagy pl. egy bugos webapp-on keresztul torik fel a rendszert, mint hogy valami iszonyu trukkos 0day remote kernel-exploittal.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( saxus | 2008. 03. 24., h – 00:00 )

Basszus komolyan, muszáj minden cikkhez egy külön témát nyitni a hup-n, amiben nem éltetik a Linuxot vagy nem szidják porba a Windowst a faszba? (egyébként megjegyzi a cikk az LM hashek gyengeségét)

Nem tudom mi az, ami kiverte nálad a cikkben a biztosítékot, de sztem nagy igazság van benne: tökmindegy, hogy milyen rendszered van, ha balfasz az admin, aki karban tartja.

Szerinted mennyit ér az a publikusan elérhető Linux szerver, ahol az userek olvashatják a /root -t és a /etc/shadow -t? (Sajnos láttam ilyen szervert a suliban.) Haverom egyik linuxos gépét is megtörték egy éjszaka alatt, mindenféle exploit és egyéb csilivili nélkül. Gondolta, egyszerűsít a dolgán, és ameddig telepíti lesz egy darab a betű a root jelszó. Azóta már rájött, hogy nem volt jó ötlet.

De hozhatnám példának egy másik suliban, publikus terminálnak kirakott Windows 2000-s gépet, amin tényleg elég jól le volt korlátozva az user, épp "csak" annyi probléma volt vele, hogy NTFS helyett FAT32 -re volt telepítve, így meg fájl-jogosultság híján lehetett olvasni mindent.

Hülyeség nem rendszerfüggő, kár ezen kiakadni.

( kiuka | 2008. 03. 23., v – 23:50 )

+1 szerintem is baromság a bejegyzésed, én még csak azt se látom hol fényezi magát, hogy a király és mindent tud, tényeket írnak le, amik többé-kevésbé igazak is szerintem, mint előttem szóló is leírta nekem is volt már tapasztalatom ilyenekkel kapcsolatban..

( kz86 | 2008. 03. 24., h – 01:07 )

Szerintem semmi baj nincs a cikkben leírtakkal. Egy folyamatosan patchelt windows server 2003 erős jelszóval miért sebezhetőbb, mint egy linux?

( synapse | 2008. 03. 24., h – 04:21 )

szanalmas. lm hash tores nagyonnagyonnagyon lejart tema. Megneznem azert, hogy 15 karakteres a-zA-Z0-9 plusz speckarakteres jelszot hany szazmilliard ev alatt tor fel, ha mondjuk md5-tel crypteled, vagy megjobb blowfish-el :)

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

MD5, aha.. Viszonylag olcsón, egyszerű mezei x86-os vasakból össze lehet hozni egy olyan gépparkot, ami az MD5 hasheket egész emberi idő alatt feltörné. Ha elegendő disket (mondjuk néhányszáz TB) veszel, akkor már a brute force is kilőve egész komoly tartományokra.

Egyszer legeneráltattam az [a-zA-Z0-9]{5} tartományt, 1333-s thunderbirddel megvolt kb. egy éjszaka alatt. Nemhogy a néhányszáz, de a néhány év is túlzás az MD5-nél. (Arról nem is beszélve, hogy komoly problémák vannak vele).

Ha már valami komolyabb helyre kell, akkor már minimum SHA256 vagy SHA512. Már az SHA1-hez is egész jó rainbow táblák vannak neten.

Az LM hash-l meg az a gond, hogy sajnos még mindig használják sok helyen (visszafele kompatibilitás pro és kontra).

A postban, amire válaszoltam, hash törést említett. Az MD5 esetén százmillió éves törésidőről beszéni szvsz nevetséges, mikor egy-egy nagyobb botnettel belátható időn belül meg lehet törni komoly jelszavakat is.

Abban igazad van, hogy a tipikus "12345" jellegű jelszavakat teljesen mindegy, hogy milyen hash függvénnyel kódoljuk el, ha azok fognak elsőként bekerülni a különféle visszakereső-táblákba. Az ellen tényleg csak saltinggal lehet értelmesen védekezni.

(crypt() alatt most ugye egy hashelést (egyirányú hasz készítés) és nem titkosítást (kétirányú) értesz?)

Két okból nyújt védelmet: Egyrészt kissebb az esélye, hogy benne van egy rainbow táblában.

Vegyük mondjuk az MD5-t, elvileg 2^128 hash lehet, ami 3,40*10^38. De ebből mondjuk csak a [a-zA-Z0-9]{5-15} tartományt generálod le, (summa{i=5..15} 62^i) ~= 7.82*10^26. Ez már több nagyságrendel kissebb, mint a teljes ÉK-tartomány.

Viszont, ha készítesz egy olyan salting függvényt, ami kivezet ebből a részhalmazból (pl. minden betűt megnégyszerez), akkor - elvileg megvan az esély arra, hogy egyik hash se egyezzen. Ergo: generálhat mégegyg 7.82*10^26.-n nagyságrendű táblát, hogy visszakeressen.

De ezért szokták először a tipikus jelszavakra/szavakra/tipikus kombinációkra készíteni a táblákat, mert még ennyi is rengeteg. 1-2 éve olvastam, hogy az egyik online MD5 hash visszakereső elérte a néhánymillió kulcsot tartalmazó adatbázist és már emiatt veszélyesnek tartották.

Viszont a másik, sokkal triviálisabb ok, ami miatt védelmet tud nyújtani:

Vegyük mondjuk azt a saltolást, hogy mondjuk minden betű elé berak mégegy "a" betut.

Jön a jelszó: 1234, lesz belőle a1a2a3a4. Ennek a legyen X. Jön a csúnya gonosz cracker, lemirrorozza magának az users táblát. Látja van sok szép hash, gondolta végigereszti egy keresőtáblán. Tfh. az "a1a2a4a4" -t meg is találja. Szépen elnavigál a login formhoz, beírja az "a1a2a3a4" -t, átmegy a salt algoritmuson, amiből lesz "aaa1aaa2aaa3aaa4", ami legyen Y, ami elvileg kis eséllyel lesz X.

Persze, rosszul megválaszott saltolási módszer vagy, ha kiderül a saltolási eljárás (és az nem valami egyirányú), az nagymértékben megkönnyítheti a feltörést.

"De ebből mondjuk csak a [a-zA-Z0-9]{5-15} tartományt generálod le"

Ez az 1. hiba: miert kellene kihagyni a spec. karaktereket? Bar az is igaz, hogy a legtobb jelszo belefer a fenti halmazba.

ha készítesz egy olyan salting függvényt,

Mondjuk egy atlag Linux disztirbuciora mennyire jellemzo ez a nem standard salt fv?

ha kiderül a saltolási eljárás

Ma az open source (es a reverz engineering) vilagaban ez az alap: eleve ki van derulve, nincs titkos algoritmus (security by obscurity)

ASK Me No Questions, I'll Tell You No Lies

"Mondjuk egy atlag Linux disztirbuciora mennyire jellemzo ez a nem standard salt fv?"

Gondolom annyira, amennyire belenyúlsz a saját rendszeredbe.

"Ma az open source (es a reverz engineering) vilagaban ez az alap: eleve ki van derulve, nincs titkos algoritmus (security by obscurity)"

Az igaz, de ha pl. olyan függvényt írsz, ami egyéb bemenő adatokkal is dolgozik legyen pl. md5("jelszo" + "valami fix bemenő adat"). Ha ezt az md5 hasht használod, akkor megintcsak lásd második pont az előző hsz-emben.

Ld. SSH. Eljárás ismert, viszont egyéni kulcsokkal dolgozik.

Orbitalis nagy baromsagot irsz.

Vegyunk mondjuk egy biztonsagosnak mondhato jelszot, ami 12 karakter. A karakterek: 24 kisalfa, 24 nagyalfa, 10 numberikus, 30 specialis karakter. Ez osszesen 24+24+10+30=88 karakter, ekkora a keyspace.

A hulye is latja, hogy 88^12 - en lehetoseg van, ez: 215671155821681003462656

nezzunk egy john -test -et pl.

Benchmarking: FreeBSD MD5 [32/32]... DONE
Raw: 5877 c/s real, 5877 c/s virtual

ez 5877 guess-t jelent egy masodperc alatt egy ilyen gepen, ket maggal ofkorsz:
model name : Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz

ugye egy ev az 365*24*60*60 = 31536000 masodperc

ezzel a geppel:
215671155821681003462656 / 31536000 * 5877 = 11636698124899 ev

egy milliard ilyen geppel:
215671155821681003462656 / 31536000 * 5877 * 1000000000 = 11 636 evig tart.

Ez azert eleg hosszu ido...

osszehasonlitaskeppen a blowfish 360 guess/sec-je:
215671155821681003462656 / 31536000 * 360 * 1000000000 = 189 969 ev

es egy sima lm hash a fenti konfiguracioval, masodpercre nezve:
64^7 = 4398046511104 (ugye nincs kisalfa es max 7 karakter)

ilyen toresi sebesseggel:
Benchmarking: NT LM DES [64/64 BS MMX]... DONE
Raw: 7211K c/s real, 7211K c/s virtual

4398046511104 / 7211000 * 1000000000 = 0,000609 masodperc

azert erzed a kulonbseget, nem?

Mellesleg egy 13 karakteres jelszo md5-ben ugyan ilyen keyspace-el, ugyanigy torve:

88^13 = 18979061712307928304713728

18979061712307928304713728 / 31536000 * 5877 * 1000000000 = 102 402 ev, majdnem a tizszerese :)

synapse

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

rainbow table secure (nem szotari) jelszavaknal es nemtrivialis kifejezeseknel nyilvan nem jatszik

teccettmarhallani az intelligenciarol csokolom?

synapse

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

Miért ne játszana? A rainbow table, hasonló a brute forcehoz. Egy vagy több nagyteljesítményű géppel legenerálják a jelszavakhoz kapcsolódó hash-eket és létrejön egy több gigás/több terás rainbow table. Ezt felmásolod a gépre és ott kikeresi, hogy a hashez milyen kifejezés tartozik. Csak brute forcenál annak a gépnek kell nagy teljesítményűnek lenni amiről futtatod a törő progit, rainbow table esetén meg annak amivel legenerálod.

A rainbow table-t el is kell TAROLNI ha hasznalni akarod, raadasul ugyan ugy ki kell generalni mint a bruteforce-nal. Szoval a rainbow table joval tobb eroforrast igenyel mint a paraszt bruteforce, ezert nem jatszik.

synapse

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

Milyen erőforrást? Proci kisebb kell neki és sokkal gyorsabban megvan az eredmény, a merevlemezen viszont sokkal többet foglal. De mennyibe is kerül pár 500 gigás vinyó? Aki komolyan gondolja annak nem pénz. De továbbra sem értem, hogy az értelmetlen jelszavak miért nem játszanak rainbow table esetén? Pl az "Ax67Iop"-t ugyanúgy legenerálja mint az "pussy"-t.

Nem azt mondtam hogy 100%-os megoldás, de igenis működik (nem is egyszer használtam már eredményesen), gyors, és ha még online is csinálod, akkor nem is a te gépeden fut a törés. Amúgy meg, ahogy az egyik nagy példaképem mondta: Ami egyesekkel és nullákkal van kódolva, az törhető. Erről ennyit. Csókolom. (De az OS-ektől kissé elkanyarodtunk...)

"...és álmodtad-e valaha azt, hogy valaki, akit szeretsz, eltávozik? s te zokogva ébredsz egy világra, honnan ő már rég elment, de te érzed a kínt - oly közel, mintha csak ma halt volna meg."

( gyunix | 2008. 03. 24., h – 06:52 )

Valóban legtöbbször a rendszergazdákban kereshető a hiba. Közvetve pedig a felhasználókban. Mikor átvettem a mostani szervereket az előzőz rendszergazdától a linux szervereket csak úgy hemzsegtek az egy karaktreres jelszavak. Amikora biztonsábi résekre felhívtam a vállalat vezetőjének a figyelmét nem figyeltek rám. Nem került bele pár hétbe és betörtek a rendszerbe. "Baromi nehéz lehetett"
Ezek után már komolyan vettek. Addig nem fogják fel amíg nincs baj.
Szerintem teljesen jogos a cikk.

Egyszer gyere el a mi cegunkhez legyel szives es meglatod, hogy van aki semmibol sem tanul.
-40 fok a "szerverszobaban".
-Windows 2000-es szerver sosincs lelockolva.
-Osszes hulye program kieresztve a netre, semmilyen tuzfalszabaly nincs, hogy milyen iranyokba figyeljenek csak.
-Egyszeru jelszavak mind webmail-nel, mind notes-ban, mind szervereken, mind minden loginban.
Es meg sorolhatnam. Volt mar olyan, hogy meghalt a raid5-os tomb, egyik itteni sracnak koszonhetjuk, hogy meg lett mentve, nem tanultak belole. Azota se akarnak kolteni ha esetleg kiesik egy vinyo a tombbol, backupra szinten nem akarnak olyan dolgokat amiket en megemlitenek. Arrol nem is beszelek, hogy az updatek is ott porosodhatnak, mert nem akarjak, hogy fellegyenek teve, mert minek. Na mind1, szoval en egy tech supportos vagyok, akire nem figyelnek mert minek. Biztonsag nalunk az emberek jofejsegen mulik kb.

"Egyszer gyere el a mi cegunkhez legyel szives es meglatod, hogy van aki semmibol sem tanul." -nálunk is :)
- 40 fok a szerverszobában (5 gép, 6000VA UPS, telfonalközpont, GSM terminál, stb...)
- Win2003 fájlmegosztásra, mert ezt supprtálja a külső cég (valószinü ez is gyenge jelszavakkal lesz)
- Gyenge jelszavak
- Backup szerver nem kell
- Nem kell tüzfalszabály és egyéb dolog, mert hogy néz már az ki hogy nem lehet pl. mp3-at letölteni a cégnél, esetleg nem lehet iwiwezni.
- Mert nézzem meg hogy másnál egy kis dobozos router is elég és minden jó, pedig windows-t használnak, és csak összedugdossák a cuccokat. (persze ahogy azt kimondta, kb. 1 hónapra rá feltörték az emlegetett gépeket, és elvitték a cégadatokat, majd elkezdték aláásni a céget)

A szerverszoba ahonnan nyillik ott van klíma, ott szokott lenni 18fok-ra állítva a klíma, persze már zörög kattog nyekereg...
A szerverszoba talán most elértem hogy legyen egy tetves klíma kb. 200e-ért. Pedig igy kinyirtak ezidőalatt egy klímát (kb. 100e), két vinyót adatokkal (a RAID szerintük elég, vagyis 1 bizonyos ember szerint) a SMART azt irja hogy ie.200-ban megkellett volna halnia a cuccnak. :) (Ennek is lesz egy kis ára amikor ujrahuzom)
Végülis mindenféle lomolással együtt most kétszer veszik meg a klímát, mert én hülye vagyok. És más jobban tudja hogy mit hogy kell csinálni.

( dii | 2008. 03. 24., h – 13:52 )

Hát ez a cikk nem nagy kaland. Tényleg jelszavakat kell beállítani rendszerekhez? Hihetetlen.
"jelszókezelési politikák" ez már így van magyarul? Csak kérdezem, mert a policy kifejezést így fordítani még nem láttam. Nekem kicsit fura.
"Dolánszky úgy véli, a szakmát eluraló averziókkal ellentétben egy hozzáértően üzemeltetett Windows-hálózat megfelelően biztonságos."
Ez azért cseppet erős. Nem a linuxfanboyság miatt, de mindegy. Jobb lett volna, ha megmaradnak annál, hogy minden rendszert lehet szarul üzemeltetni.

Miért lenne erős? Rengeteg helyen működik csak windows-os hálózat, még tűzfalnak sincs linux betéve, windows 2003 server meg xp kliensek. És mégsem törik fel. Én is linux párti vagyok, meg nálunk is csak linuxos szerverek vannak, de azért nem kéne ennyire lehúzni a windows server 2003-at.

"Biztonság szempontjából mindegy, melyik operációs rendszert választjuk"
Ebbe csak úgy lehet belekötni, hogy régi windowsok nem annyira biztonságosak mint a linuxok. De ha a mai kor operációs rendszereit nézzük akkor nincs olyan hatalmas különbség. Mindegyikbe vannak hibák és mindegyikbe vannak extra biztonsági szolgáltatások, amik máshol nincsenek.

"Hát ez a cikk nem nagy kaland. Tényleg jelszavakat kell beállítani rendszerekhez? Hihetetlen."

Tudod, a legtöbb cégnél a betöréshez kihasználható hibák triviálisak.
És a legtriviálisabb hibákat a rendszergazdák követik el. Ne tudd meg hány helyen használják jelszónak a "root123"-at....

( Husi | 2008. 03. 24., h – 14:08 )

ha nyitva hagyod a szerverszoba ajtaját és van boot media a szerveren akkor tényleg minden törhető.

(Egy cégnél letérdelt az évek óta futó serveren a psql. sajna nem tudták a root jelszót. vittem egy ubuntut, bootoltam róla, majd a hdd-t mountoltam passwd file root jelszó kiiktat, majd reboot. login root, jelszó nincs, a gép megtörve. psql megpofoz, root jelszó beállít, sárga cetlivel a gépházra ragaszt, ahogy illik, majd számlázás és balra el... )

---------------------------------------------------------------------
„Az Univerzum már elég nagy és öreg ahhoz, hogy egy fél óráig vigyázzon magára.”

off:

- Milyen rendszergazda vagy te, hogy server rootjelszónak a macskád nevét adod?
- Miért, mi bajod azzal, hogy klj5d%f87+js%!d87_3f7?

"...és álmodtad-e valaha azt, hogy valaki, akit szeretsz, eltávozik? s te zokogva ébredsz egy világra, honnan ő már rég elment, de te érzed a kínt - oly közel, mintha csak ma halt volna meg."