Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Wiele razy zdarzyło mi się przeczytać, że OpenBSD to ponoć najbezpieczniejszy system oraz że ma minimalną bazę kodu, co ma wpływać na jego bezpieczeństwo. Ciekawi mnie jak bezpieczeństwo OpenBSD wypada w porównaniu z innymi systemami z rodziny BSD, konkretnie mam na myśli FreeBSD, NetBSD i HardenedBSD oraz z takim chociażby shardenowanym dżentusiem, Archem, Slackware, Debianem, RHEL-em czy jakimkolwiek innym shardenowanym Linuxem. Weźmy przykład takiego FreeBSD - na nim jeśli chodzi o konteneryzację są jaile, jeśli chodzi o MAC to FreeBSD ma swój wbudowany podczas gdy w Linuxie macie multum tego - SELinux, RBAC, Apparmor, Firejail, Docker, LXC itd. Chciałbym, abyście rozważyli dwa przypadki:
1) desktop - załóżmy że taki system ma nam służyć głównie do programowania, administracji serwerami, pentestów i czego dusza zapragnie,
2) serwer - stronka w czymkolwiek (np. PHP, Python, Ruby), serwer poczty, bouncer IRC, LDAP, VPN etc.
Czy domyślne aplikacje w OpenBSD, tzn. OpenNTPd, httpd, OpenSMTPd są bezpieczniejsze od tlsdate, nginx, postfix oraz dovecot?
Offline
OpenBSD może być najbezpieczniejszy ale nie musi taki być.
System jest tylko tak bezpieczny, jak jego administrator kumaty.
Skoro się pytasz, to znaczy że słabo znasz ten system, i to jest sendo zagrożenia.
Offline
[quote=Jacekalex]Skoro się pytasz, to znaczy że słabo znasz ten system, i to jest sendo zagrożenia.[/quote]
W skrócie, nie :)
Offline
Jeżeli chodzi o bezpieczeństwo to bardzo dobrą opinie ma właśnie Debian, jest odpowiednio popularny w przeciwieństwie do OpenBSD, przez cały okres istnienia dystrybucji nie było żadnych poważniejszych zagrożeń bezpieczeństwa.
A tak poza tym to Jacekalex ma 100% racji.
Offline
Bezpieczeństwo debiana nie odbiega zbytnio od bezpieczeństwa windowsa. xD
[quote=loms]... Debian... przez cały okres istnienia dystrybucji nie było żadnych poważniejszych zagrożeń bezpieczeństwa.[/quote]
Nie było? xD
Ostatnio edytowany przez morfik (2019-01-13 18:01:21)
Offline
[quote=morfik]Bezpieczeństwo debiana nie odbiega zbytnio od bezpieczeństwa windowsa. xD[/quote]
Teraz to pojechałeś na maksa.
[quote=morfik][quote=loms]... Debian... przez cały okres istnienia dystrybucji nie było żadnych poważniejszych zagrożeń bezpieczeństwa.[/quote]
Nie było? xD[/quote]
Nie chodzi mi o dziury w oprogramowaniu (a łatki na te w porównaniu do Windowsa są wydawane bardzo szybko) a na przykład o podmiany pakietów na zmodyfikowane szpiegujące.
Ostatnio edytowany przez loms (2019-01-13 19:43:44)
Offline
[quote=loms][quote=morfik]Bezpieczeństwo debiana nie odbiega zbytnio od bezpieczeństwa windowsa. xD[/quote]
Teraz to pojechałeś na maksa.[/quote]
A coś bardziej konkretnie? xD
[quote=loms]Nie chodzi mi o dziury w oprogramowaniu (a łatki na te w porównaniu do Windowsa są wydawane bardzo szybko) a na przykład o podmiany pakietów na zmodyfikowane szpiegujące.[/quote]
Poczytaj o tym:
Luciano Bello discovered that the [b]random number generator[/b] in [b]Debian[/b]'s openssl package is predictable. This is caused by [b]an incorrect Debian-specific change[/b] to the openssl package (CVE-2008-0166). As a result, c[b]ryptographic key material may be guessable[/b].
-- https://www.debian.org/security/2008/dsa-1571[/quote]
Wszystkie klucze trzeba było unieważnić przez te zabawy w poprawianie gości od szyfrowania:[b]This is a Debian-specific vulnerability [/b]which does not affect other operating systems which are not based on Debian. However, other systems can be indirectly affected if weak keys are imported into them.
It is strongly recommended that [b]all cryptographic key material[/b] which has been generated by OpenSSL versions starting with 0.9.8c-1 [b]on Debian[/b] systems [b]is recreated from scratch[/b][/quote]
Nie ma bezpiecznych systemów, są tylko bezpieczne usery. xDOstatnio edytowany przez morfik (2019-01-13 20:11:28)
Offline
Nawet takie niedopracowane Ubuntu ma Livepatcha od lat.
Offline
@morfik nie wiem po co wdawać się w dyskusje z loms, przecież wiadomo, że to zupełnie skrajne poziomy wiedzy :D
Offline
[quote=arecki]@morfik nie wiem po co wdawać się w dyskusje z loms, przecież wiadomo, że to zupełnie skrajne poziomy wiedzy :D[/quote]
Forum jest po to aby dyskutować i nie ma ludzi nieomylnych. To fakt ja nie pracuję w IT wiec raczej ciągle się czegoś uczę ale raczej na własne potrzeby. Nie pracuje w IT bo za takie pieniądze nie dam sobie szarpać nerwów i nie czuje się z tego powodu gorszy co chcesz mi uświadomić. Wracaj więc do swojej wymarzonej pracy i martw się jak i za co naprawić zepsutą pralkę.
Offline
Chodzi o popularne ostatnio ... "Nie znam się, ale się wypowiem" , parafrazując .... forum jest po to aby wymieniać się wiedzą, a Twoja jaka jest ... widać na obrazku.
Forum jest też po to aby wskazywać te braki w wiedzy, aby inni nie brali Twoje wypowiedzi za "prawdy objawione".
Osobiście, nie obrażę się jak ktoś mi wytknie braki w wiedzy, gdy czasem gdzieś pójdę "po bandzie" i napiszę coś czego nie jestem pewien.
Offline
Niewiedza swoją drogą ale już od lat wiadomo, że linux nie jest ani mniej ani bardziej bezpieczny w stosunku do swoich konkurencyjnych odpowiedników — i to i to tworzą ludzie, a ci mają bardzo ograniczone pole percepcji. xD
Czy w linux'ie w końcu zaimplementowali jakiś podstawowy filtr pakietów, czy dalej nie ma żadnego? Czy korzystasz z dystrybucyjnego jaja, czy zbudowałeś własne? Bo to dystrybucyjne otwiera szereg podatności, np. symbole jądra są znane, czego exploity bardzo szukają. Dalej masz np. kexec czy hibernacje, które to pozwalają podmienić kernel — można wyłączyć to fakt (jeśli się wie gdzie i jak), a co jeśli ktoś korzysta z hibernacji, tak jak ja? (psstt, szyfrowanie...) xD
Dalej idąc, dziurawe/zbędne moduły, z których nie korzystasz, bo nie masz odpowiedniego sprzętu, albo możliwość ładowania modułów jak popadnie i to bez żadnej weryfikacji — wszystkie bugi na tym poziomie sprawiają, że cały syf leci wprost do kernela i jak tam się już znajdzie, to już niczym tego nie posprzątasz, a niestety by dystrybucja działała jako tako, to tego typu rzeczy muszą być na porządku dziennym, bo jak sobie wyobrażasz skonfigurowanie FW albo kernela, tak by działał na każdym sprzęcie z osobna i był jeszcze przy tym odpowiednio zabezpieczony? Dlatego masz kernel który działa na każdym sprzęcie i otwiera przy tym szereg podatności dla systemu, w który działa.
Jest też np. [url=https://patchwork.kernel.org/patch/9773791/]TPE[/url] i on już zajebiście poprawia bezpieczeństwo systemu, przynajmniej gdyby działał, bo coś mojego systemu to on nie lubi. xD No i wracamy tym samym do zwykłego usera, który musi sam sobie wszystko ogarnąć by mieć w miarę bezpieczny system, przynajmniej bezpieczniejszy niż mają inni ale dalej ktoś ci w upstreamie może buga zasadzić i się dowiesz o nim po paru latach, a jedyne co ci powiedzą, to "no sorry stary". xD
Offline
Piszesz o tej całej podatności mając na uwadze, że ktoś ma dostęp do systemu w postaci konta, co jest podstawowym i poważnym błędem w polityce bezpieczeństwa.
Przedstaw mi schemat ataku na Debiana biorąc pod uwagę, że komputer z nim znajduje się za prostym routerem, który pracuje jako sprzętowy firewall.
W Windowsie schemat jest prosty, wykorzystuje się licencjonowane oprogramowanie, który otwiera backdoor w systemie.
Offline
Ty zdajesz sobie sprawę, że masz w systemie zainstalowane coś co się nazywa przeglądarka internetowa? Jest to ogromna porcja kodu, pełna całej masy najróżniejszych błędów, która ma dostęp do praktycznie całego twojego systemu (nawet jeśli uważasz, że cześć plików jest RO lub przeglądarka nie ma do nich dostępu) i jest w stanie wykonywać dowolny kod po tym jak przejdziesz na trefną stronę, obchodzą przy tym wszelkie restrykcje FW (bo to ty zainicjowałeś połączenie). Mam dalej strzelać co może ci taki uruchomiony kod za sprawą przeglądarki zrobić, czy już się poddajesz? xD
Tu masz na pobudzenie wyobraźni:
https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
Offline
Nie wchodzę na przypadkowe strony, taką mam politykę bezpieczeństwa. Nawet jak szukam czegoś w Google to wchodzę tylko na wyniki, które są najwyżej.
Wysil się bardziej i podaj mi schemat skutecznego ataku na mnie z Debianem jak na Ciebie z Windowsem już podałem.
Offline
Od nastu miesięcy na tym forum iluś niezindoktrynowanych użytkowników regularnie pisze, że jakość Debiana się obniża. Morfik sam pisał, że jak coś zgłaszał to opiekun z QA to zamiast rozwiązać problem to wywalił paczkę.
A propos przeglądarek jak ktoś korzysta z DNS Cloudflare to można testować
https://www.cloudflare.com/ssl/encrypted-sni/
https://censorship.repair/page4.html
Offline
[quote=loms]Nie wchodzę na przypadkowe strony, taką mam politykę bezpieczeństwa. Nawet jak szukam czegoś w Google to wchodzę tylko na wyniki, które są najwyżej.[/quote]
Wyniki najwyżej w google... widać, że nie czytasz niebezpiecznika, tam już była cała masa historii, że te pierwsze linki w wynikach były trefne za sprawą różnych zabiegów...
[quote=loms]Wysil się bardziej i podaj mi schemat skutecznego ataku na mnie z Debianem[/quote]
Już ci podałem, atak niezależny od systemu z wykorzystaniem tego narzędzia, z którym każdy z nas się praktycznie nie rozstaje... i nie mówię tu bynajmniej o żadnym ogranie. xD
[quote=loms]...jak na Ciebie z Windowsem już podałem.[/quote]
Ty mi nic nie podałeś za wyjątkiem jakiegoś ogólnego stwierdzenia, którego rozwinięcie jest znane chyba jedyne tobie. xD
Jeśli jednak chcesz, bym cię rozstrzelał, to idę po karabin — DNS, słyszałeś o czymś takim? A wiesz, że te twoje pierwsze wyniki w google zanim na nie zostaniesz odesłany, to trzeba pierw wykonać szereg zapytań DNS o adresy IP? A wiesz, że obecnie te zapytania nie są w żaden sposób chronione i nie były przez dekady? Dopiero teraz powoli zaczyna się coś w tej kwestii zmieniać jak [url=https://en.wikipedia.org/wiki/DNS_over_TLS]DNS-over-TLS[/url], którego implementacje ma zamiar google przeporwadzić na swoich publicznych DNS, tych 8.8.8.8 i 8.8.4.4 . Póki co jeśli sam nie dbasz o zabezpieczenie zapytań DNS, to można cię bez problemu przekierować na dowolny adres i zrobić z twoim kompem dosłownie wszystko i tu już można praktycznie zamknąć temat podawania "skutecznych ataków na ciebie z Debianem". :]
@ciastek1981 , to działa lub nie działa, zależy od opiekuna/deva. Ja ostatnio się bawię w znajdywanie bugów w AppArmor i nftables, no i co chwila jakieś ciekawe kwiatki wychodzą. Część już poprawili, inne nie, a inne debugują i się zastanawiają WTF. xD O tu przykład z netfiltera:
https://marc.info/?l=netfilter&m=154716139906192&w=2
Offline
Podałeś przykład z przeglądarką i jest on słaby bo na mnie on nie działa.
To, że jak się nie pisze o tym w internecie i na niebezpieczniku (tak na marginesie to jest jedna ze stron, której nie odwiedzam właśnie ze względów bezpieczeństwa, a jeżeli tam wchodzisz to sam nie rozumiesz podstawowych zasad bezpiecznego przeglądania stron) to nie znaczy, że tego nie ma.
Oryginale i licencjonowane oprogramowanie może posiadać tyle furtki i nie piszę tutaj, że posiada bo źródła tej informacji podać nie mogę.
Co do ataku na DNS to korzystam tylko z DNSów Google, więc tutaj też proszę o schemat ataku.
Ostatnio edytowany przez loms (2019-01-13 22:35:30)
Offline
[quote=loms]Podałeś przykład z przeglądarką i jest on słaby bo na mnie on nie działa.[/quote]
Nie działa? Używanie zbugowanego oprogramowania, tak skomplikowanego przy tym, że nawet jego twórcy nie są w stanie dostrzec w nim błędów, nie jest zbytnio zalecane przez politykę bezpieczeństwa, zwłaszcza, że teraz te przeglądarki żądają CAP_SYS_ADMIN, [url=http://man7.org/linux/man-pages/man7/capabilities.7.html]tu możesz poczytać co to jest[/url].
[quote=loms]To, że jak się nie pisze o tym w internecie i na niebezpieczniku (tak na marginesie to jest jedna ze stron, której nie odwiedzam właśnie ze względów bezpieczeństwa, a jeżeli tam wchodzisz to sam nie rozumiesz podstawowych zasad bezpiecznego przeglądania stron) to nie znaczy, że tego nie ma.[/quote]
A czy mógłbyś mi te "podstawowe zasad bezpiecznego przeglądania stron" przedstawić i wytłumaczyć co robię źle? xD
[quote=loms]Oryginale i licencjonowane oprogramowanie może posiadać tyle furtki[/quote]
Jak i każde inne oprogramowanie może je posiadać. [url=https://nakedsecurity.sophos.com/2018/03/20/nine-years-on-firefoxs-master-password-is-still-insecure/]O tu przykład z FF[/url] (ale się na niego uwziąłem xD). W skrócie liczba iteracji hasła to 1, a powinno być kilkadziesiąt/kilkaset tyś. Oczywiście nie wspominając już o przejściu na Argon2. Bez tego zabezpieczenia, hasełka można złamać z parę minut... Dlatego ja już zrezygnowałem z trzymania haseł w FF, i podpiąłem sobie keepassxc, który wie co to Argon2: https://keepassxc.org/
[quote=loms]i nie piszę tutaj, że posiada bo źródła tej informacji podać nie mogę.[/quote]
Czyli nie posiada? xD
[quote=loms]Co do ataku na DNS to korzystam tylko z DNSów Google, więc tutaj też proszę o schemat ataku.[/quote]
Czytasz ze zrozumieniem co ja tu piszę, czy nie bardzo?
Offline
Czytam ze zrozumieniem co piszesz, przedstawiasz mi teorię i używasz sformułowania "to można cię bez problemu przekierować na dowolny adres", pytam się w jaki sposób. Proszę o konkretny schemat ataku na mnie z uwzględnieniem, że korzystam z DNSów Google.
Co do samego niebezpiecznika to jeżeli ktoś gdziekolwiek coś podkłada to właśnie jest to te miejsce.
Trzymanie haseł w FF to też skrajna głupota.
Co do źródła informacji są to dane wywiadowcze.
Wracając do sedna proszę o schemat ataku na mnie mając na uwadze wszystko co o sobie napisałem. Nie ma takiego schematu tutaj Cię uprzedzę.
Offline
można i nawet bezpiecznie korzystać z DNSów rozwiąznywanych przez [b]Tor Exit Node[/b]
pod warunkiem że się po stronie klienta kontroluje poprawność certyfikatu
a już w ogóle najbezpieczniej wchodzić przez domeny [b].onion[/b] (jeżeli serwis je udostępnia)
bo wtedy nie trzeba nawet ufać CA - adres od razu pełni funkcje fingerpirntu klucza
publicznego
Offline
[quote=loms]Czytam ze zrozumieniem co piszesz, przedstawiasz mi teorię i używasz sformułowania "to można cię bez problemu przekierować na dowolny adres", pytam się w jaki sposób.[/quote]
Można ci albo podmienić plik /etc/resolv.conf , albo przekierować zapytania słane na port 53 na dowolny adres na zaporze sieciowej, np.
-p udp -m udp --dport 53 -j DNAT --to-destination ...
i se możesz używać 8.8.8.8. Jeśli pójdzie ci zapytanie na 8.8.8.8:53 , to adres docelowy tego pakietu zostanie przepisany na to co se ktoś ustali w regule zapory i tyle masz z używania góglowskiego DNS... Tak się zajebiście infekuje routery domowe (przynajmniej w podobny sposób) i wtedy wszystkie kompy w sieci mają podmienione rekordy DNS, bo zapytania trafiają do trefnego serwera DNS...
Ty nie korzystasz z serwrów DNS gógla, ty tylko wysyłasz do nich zapytania, a to co się z tymi zapytaniami będzie działo po drodze, czyli na każdym hop'ie w sieci, to już zależy od twojego ISP, jego ISP, itp... i mogą ci dowolnie te zapytania DNS przerabiać, wstrzykiwać reklamy i inne gówna. Np. mój ISP wstrzykiwał komunikaty o nie zapłaceniu rachunku, wtedy po otwieraniu przeglądarki wymuszone było przeczytanie komunikatu o uregulowaniu płatności. Albo Aero2 wymusza przekierowanie domeny by wpisać kod Captcha... Naprawdę, to nie stanowi wyzwania w dzisiejszych czasach, by ci DNS przekierować i to jeszcze bez twojej wiedzy. To co jednak łączy te wszystkie rzeczy, to brak zabezpieczenia protokołu DNS. Odkąd ja szyfruje zaptyania DNS, to nawet Aero2 mi nie działa bo muszę ręcznie odwiedzić domenę, bo inaczej to mnie nie przekieruje jak wpisze w pasku adresu dug.net.pl. Już rozumiesz zagrożenie czy dalej nic? xD
[quote=loms]Trzymanie haseł w FF to też skrajna głupota.[/quote]
A czemuż to?
Offline
Trzymanie haseł w FireFox to potencjalne źródło ich wycieku, tak jak wiesz nie są w żaden sposób szyfrowane, tutaj schematu ataku Ci nie podam bo go nie znam, to jest mój domysł.
Schemat skutecznego ataku to jest opis krok po kroku co mi zrobisz, żeby mnie skutecznie zaatakować. Cały czas piszesz wszystko co ma sens jednak nie podajesz konkretnego rozwiązania. Co do DNSów to router mam nie od operatora tylko swój, starego poczciwego TP-Linka, nie zwiększam nawet prędkości internetu z 50 megabit żeby go nie wymieniać.
Czy można wstrzykiwać coś skutecznie w pakiety na ich drodze z serwera do klienta poddałbym raczej w wątpliwość. Korzystam z Vectry i tam dostęp do całej infrastruktury jest dosyć dobrze chroniony.
Offline
Nie interesuje mnie „wyższość świąt wielkanocnych nad bożym narodzeniem”, krótko nie interesują mnie wasze poglądy o systemach. Nie interesuje mnie co było źle i jest naprawione, bez teorii, nie piszcie ogólników. Jestem za to zainteresowany tymi stronami i exploitami, które zrobią mi kuku przez przeglądarkę, na zaktualizowanym i domyślnie zainstalowanym Debianie, domyślnie bez modyfikacji. Niech mi chociaż zmieni DNS-y. Nawet zamienię na router z dziurawym starym oprogramowaniem, oczywiście bez usług dostępnych z internetu. Proszę o adresy i czekam.
Offline
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00007 | SET NAMES latin2 |
0.00172 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.13.220' WHERE u.id=1 |
0.00075 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.147.13.220', 1732208146) |
0.00056 | SELECT * FROM punbb_online WHERE logged<1732207846 |
0.00070 | SELECT topic_id FROM punbb_posts WHERE id=322634 |
0.00008 | SELECT id FROM punbb_posts WHERE topic_id=30801 ORDER BY posted |
0.00074 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30801 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00244 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30801 ORDER BY p.id LIMIT 0,25 |
0.00091 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30801 |
Total query time: 0.00818 s |