Kommentar: Apple må endre praksis før det er for sent

[NgZ]

Implementasjonen av Java kunne helt klart vært bedre. Flash tror jeg faktisk det er mulig å kun gi tilgang til en bestemt mappe som f.eks. kan ligge i tmpfs. For Java husker jeg jeg leste om sandboxing i forbindelse med planlagt funksjonalitet i OpenJDK (jre?) der det skulle være mulig å definere en egen mappe som tilgangen normalt begrenses til - klart, det begrenser jo ikke risikoen ved sikkerhetshull i OpenJDK, kun mot vanlig ondsinnede applets.

Endret 19. april 2012 av NgZ

[Bolson]

@effikan: Jeg er ikke uenig - men du har misforstått poenget (ellers så er du ikke oppdatert med hva som skjer i den kriminelle verden).

 

For det første skriver jeg at det som angripes i dag er "applikasjonslaget". I realiten er kjernen i alle OS i dag så sikker at de kriminelle nettverkene ikke bruker særlig med ressurser her (det er heller ikke økonomisk interessant). Derfor er OS langt mindre relevant enn det har vært - det relevante i dag er sikkerheten i applikasjoner. Malware-skapere er også i svært liten grad interessert i ødelegge filer etc - de er interessert i penger.

 

Sql-injection vil vi ha så lenge nettløsninger oppdateres og utvikles - da det alltid tas noen shortcuts i utvikling (tid, manglende kunnskap og økonomi). Samme gjelder de fleste andre problemene som disclosure, xss med mer. Selv i løsninger hvor vi de siste to-tre årene ikke har et eneste kjent "innbrudd" finner vi sikkerhetshull. Vi er bare heldige som finner de før de kriminelle.

 

Nei, Flashback har ingenting med manglende sikkerhet i Linux å gjøre, men det illusterer at sikkerhet er langt mer en sikkerhet i OS-et. Og det er applikasjonslaget og informasjonflyten som i større og større grad angripes. En konsekvens av at vi bruker mer og mer applikasjoner, flere plattformer og mer og mer utveksling av informasjon mellom ulike plattformer - alt med betydelige potensialer for sikkerhetshull. Ja, Java, Flash og Acrobat er de "applikasjonene" som er mest kjent for å ha hull, men det er i realiteten bare toppen av isfjellet.

 

Det å ta over systemet er ikke nødvendigvis interessant i det hele, når man faktisk kan oppnå den kriminelle aktiviteten uten å gjøre det. Å bruke sertifikater er heller ikke nødvendig - den mest avanserte "drive-by" malwaren den gjør faktisk skade uten at brukeren har oppdaget en eneste ting.

 

Etter min mening bør man jo før jo heller slutte å snakke om hvem som er sikrest av Linux, Windows eller OSX - i realiteten har de alle akseptabel sikkerhet (så lenge man er oppdatert). Noe jeg tror de fleste sikkerhetseksperter er enige i. Fokuset må legges på applikasjonlaget og informasjonsutveksling. Det er her angrepene kommer framover, fordi det er her den økonomiske gevinsten finnes. Og selv på den sikreste grunnmur - kan det bygges katastofale løsninger.

 

Og applikasjonlaget - f.eks er en WordPress installasjon er akkurat like usikker på Linux, Windows eller OSX.

 

PS! Jeg kjenner meget godt til sikkerhetsmekanismer i Linux - har ansvar/delansvar for langt flere Linuxmaskiner enn de fleste og samarbeider driftsmessig med folk som er helt på topp når det gjelder Linux og sikkerhet (dog er dette servere). I løpet av de siste to - tre årene har vi flyttet fokus fra overvåkning av servere (de overvåkes fremdeles), til massiv overvåkning og kontroll av applikasjonslaget (dvs selve de nettbaserte løsningene). Det er her vi ser angrepene kommer - på enkelte servere er kanskje 10 - 20 % av angrepene mot selve Linux (mest scriptkiddies regner vi med), mens 80 - 90 % er angrep mot webapplikasjonen. Hovedsaklig med hensikt å komme seg inn for å kunne gjøre følgende:

- hente ut informasjon

- legge inn "drive-by" kode

- legge inn kode som utnytter applikasjonens kommunikasjon mot Linux eller andre applikasjoner til å komme lengre inn i systemet.

- sikkert andre ting og.

[NgZ]

Bolson: Enkelte OS (eller dsitro)-sentriske løsninger er jo gode å ha i den smmenhengen - SELinux er for eksempel kjekt å ha i den sammenhengen, når det gjelder både

- legge inn kode som utnytter applikasjonens kommunikasjon mot Linux eller andre applikasjoner til å komme lengre inn i systemet.

og

- hente ut informasjon (utover det som er tilgjengelig på netssiden)

 

Linux oppbygning med brukerrettigheter gjør det for eksempel langt mindre sannsynlig at webserveren kjøres som en bruker som også har tilgang til masse annet rart. Med jails i *BSD blir det enda bedre.

[Newton]

Forutsetningen for den forholdsvis store spredningen av Flashback var angrepspakker injisert i ca 4 millioner kompromitterte websider (i følge DrWeb) - et ganske skremmende tall synes jeg, også med tanke på hvilke andre "goodies" rettet mot andre sårbarheter og OS som kan ligge der, men som svært få ser ut til å bry seg om. Så da er det nok ikke viktig, og det har sikkert like mye/lite med sikkerhet i Linux å gjøre som sårbarheter i Java har med sikkerhet i OS X å gjøre.

Endret 19. april 2012 av Newton

[Bolson]

@NgZ:

Helt korrekt det - men her er det ikke store forskjeller på OS. Nyeste IIS på Windows Server er like rigid på brukerettigheter som *nix. Men SELinux og tilsvarende reduserer klart muligheten for å komme særlig langt ned i systemet.

 

Og som jeg kanskje har forklart dårlig - på mange systemer er ikke det særlig mye interessant informasjon på OS nivå. F.eks er de serverne jeg er med på å administrere (jeg administrere applikasjonlaget) skrellet ned til de minimale og kun tilgjengelige via SSH og http/https. Rootilgang er stengt om du ikke sitter på spesifikke IP-er.

 

Informasjonen ligger ofte på applikasjonsnivå - rett og slett fordi den skal være tilgjengelig for applikasjonen (eller kommuniseres fra applikasjonen).

 

Vi gjorde for morro skyld en test på hva som var mulig å få til i en webapplikasjon gjennom å gå gjennom et kjent sikkerhetshull. I denne applikasjonen ligger det en del script som gjør systemjobber i selve applikasjonen (ikke tilgang til OS-et). Scripta er i utgangspunktet godt sikra (de ligger ikke på webroot, og er umulig å nå direkte) - men for administrasjonen sin del må de være tilgjengelige for systembruker. Ved hjelp av dette klarte vi to ting. For det første klarte vi å sende all brukerinformasjon ut av systemet. Heldigvis har systemet standard bruk av salted hash på passord - men hva om dette manglet. I tillegg kan det jo være mye informasjon som ikke er kryptert - og allikevel ikke ønskelig at skal spredes. Det andre vi fikk til var at scripta hentet informasjon ekstern fra (f.eks små javascriptsnutter) og la det som skjult kode.

 

@Newton: For en gangs skyld er vi faktisk noenlunde på linje. Flashback viser klart at det store problemet er sikkerhet i applikasjonslaget - og ikke i selve OS-et (uansett om det er på en webserver eller på en Mac). At jeg mener at Apple var for trege med å oppdatere Java - det er en annen sak.

[efikkan]

Bolson: Poenget mitt har hele tiden vært at ingen løsninger er i dag usårbare, men det betyr ikke det samme som at sikkerheten er likeverdig i de ulike løsningene.

 

Du er helt sikkert enig i at sikkerhetshensyn for servere og for skrivebordsbrukere er to forskjellige ting.

 

For en typisk skrivebordsbruker så er det selvsagt flere aspekter av sikkerhet, men det er ikke til å stikke under en stol at virus-problematikken(som utgjør en solid del av trusselen) er unik for Windows-plattformen i dag, og at du kan komme et stykke på veien mot et sikrere system ved å velge et bedre alternativ. Mange brukere er ikke som oss, og klarer ikke å skille mellom en tvilsom reklame og en melding fra operativsystemet, og ja en solid del av sikkerhets-problematikken skyldes det som befinner seg mellom TFT-filmen og stolputen.

 

Jeg er ikke enig i at sikkerhet i operativsystemet er mindre viktig i dag, tvert imot, nå som flere og flere tjenester i programlaget har sikkerhetsproblemer, så er det viktig at kjernen legger restriksjoner slik at minst mulig kan gå galt, så skal programmet(Java etc.) bygge sin sikkerhet i tillegg. Og der er det igjen en forskjell mellom tjenestene på ulike operativsystemer, f.eks. Windows er mindre restriktiv enn du kan konfigurere Linux til å være, og dette hjelper en del selv om det ikke eliminerer problemet for Linux.

 

Nok et viktig punkt er hvor enkelt det er å finne og knekke administratorpassordet, her stiller både Windows og OS X dårlig, som er kjedelig når du får kjørt noe tvilsomt på maskinen.

 

Edit:

SElinux og jails er et steg på veien, men det har vært flere problemer knyttet til delt /tmp

Endret 19. april 2012 av efikkan

[Del]

Etter min mening bør man jo før jo heller slutte å snakke om hvem som er sikrest av Linux, Windows eller OSX - i realiteten har de alle akseptabel sikkerhet (så lenge man er oppdatert).

Du har en selvmotsigelse, linuxbaserte systemer har vært og er typisk bedre på oppdateringer enn windows og OSX. Både når det gjelder distribusjonsform og responstid. Sikkerheten i Windows har blitt bedret rett og slett fordi det truet næringsgrunnlaget deres, linux har vært designet trygt fra dag en. Et enkelt eksempel er at filer som standard ikke er eksekverbare i linux. Det er ikke nødvendigvis brukervennlig, men det er tryggere enn å bare anta at en fil er kjørbar bare fordi den har exe i etternavnet (jada, vet at nyere windows krydrer det hele med are you really really sure dialoger).

 

Når det gjelder web-servere, så rammes linux av at mange av web-utviklerne sitter på en Mac, og ikke kan en dritt om linux. Kanskje vi skulle ha avkrevd førerkort før web-utviklere fikk legge ut servere på nett.

[airguard]

Her virker det mest som om Kaspersky er snurt over at han ikke får lov til å selge sikkerhetsprogramvare på iOS-plattformen. Å ha stålkontroll på hva som installeres på brukernes enhet betyr jo ikke at man ikke har noen måte å fjerne skadevare på hvis den blir installert, det betyr at skadevaren ikke blir installert til å begynne med. Det er ikke utenkelig at det er i denne retningen MacOS vil utvikle seg nå som Mac App Store har blitt lansert og knytter båndet for programvaredistribusjon mye sterkere mellom Apple og brukerne. Hvis Apple kan levere oppdateringer for flere typer programvare via AppStore (deriblant Java) så har de også muligheten for å sørge for at brukerene holder seg oppdaterte. Og herfra kan man få tak i annen programvare også, slik som i Linux pakkebrønner, og dermed få programvaren fra sikre kilder og slippe Windows-måten hvor programvare hentes fra mer eller mindre sikre kilder.

 

De har lov til det, og de selger ei pakke for mac, som kan lastes ned og prøves også. Men for all del litt oppmerksomhet om at mac også kan få virus ganger jo deres intresse hehe.

[Gjest Slettet-Z9Cy2AAy]

Det er nok slik at sikkerheten fortsatt sitter i hodet. Å ha klokkertro på at plattformen skal redde deg er som å tro at om bilen din får full poengpott i euro ncap-testen vil det nødvendigvis redde deg i en trafikkulykke.

[Bolson]

@Del:

 

Nei, det er ingen selvmotsigelse. En oppdatert Windows 7, OSX eller hvilken som helst Linux distro kan alle regnes som relativt sikre. Jeg tror forskjellen er mer av akademisk interesse - og det er slik jeg i alle fall oppfatter svært mange sikkerhetseksperter. I dag vil jeg påstå at det heller ikke er særlig forskjell på oppdateringsregimene, dog har Linux fordelen av sentraliserte pakkebrønner.

 

Hva som i praksis er tryggest - det avhenger av en lang rekke andre faktorer.

 

Når det gjelder webservere er det ikke en mengde utviklere som setter opp sine egne servere, jeg kjenner faktisk svært få (blant en del 100 utviklere). Sikkerheten i selve webapplikasjonen er i minimal grad plattformavhengig - og jeg tror ikke det er noe som helst belegg for at valg av utviklingsplattform påvirker sikkerhet. I alle fall er noen av de mest sikre nettløsningene blant åpen kildekode i stor grad utviklet av Mac-brukere.

 

Her er det nok mere snakk om som 7rich påpeker at sikkerhet sitter i hode. Derfor er ikke problemet at webutviklere sitter på Mac, men at sikkerhetstankegang ofte er for dårlig hos utviklere. Jeg tror problemet hadde vært akkurat det samme uansett hvilken plattform de brukte. Ellers er det å bruke begrepet webutvikler svært unøyaktig, det er mange webutviklere som knapt rører kode som har sikkerhetsaspekt.

[Del]

Nei, det er ingen selvmotsigelse. En oppdatert Windows 7, OSX eller hvilken som helst Linux distro kan alle regnes som relativt sikre.

Vel, det er 600.000 mac'er som sier noe annet. Det samme gjelder windows, sikkerhetshull har en stygg tendens til å forbli åpne lenge. Jeg har også en følelse av at vi snakker forbi hverandre her. Hvis vi skiller mellom desktop og server blir det kanskje lettere å enes. Personlig føler jeg meg meget trygg på linux, men ikke på mac, og ihvertfall ikke på windows desktop. På server blir det veldig avhengig av bruk og oppsett, fullt mulig å ha en sikker windows server. Mac har ingen server, så ingenting å diskutere der.

Hva som i praksis er tryggest - det avhenger av en lang rekke andre faktorer.

i tillegg ja. Jeg er enig i at fokuset har beveget seg mer over til applikasjonslaget, men det tror jeg er mest fordi det der er griselett. Bare ta et kjent sikkerhetshull, og anta at de fleste ikke har patchet, bingo.

Når det gjelder webservere er det ikke en mengde utviklere som setter opp sine egne servere, jeg kjenner faktisk svært få (blant en del 100 utviklere).

Her tror jeg igjen vi snakker forbi hverandre. Den typiske web-utvikleren leier en server fra et hosting selskap og slenger over wordpress, drupal eller joomla med ftp med et bevisstløst forhold til oppdateringer, passord, ftp, ssh og rettigheter til mapper. Mange av dem liker godt å knote fra en Mac når de setter opp sidene.

 

Hvor mange av dem tror du bruker pakkesystemet i Debian for å sette opp wordpress eller drupal, for så å la apt ta seg av patching?

[tommyb]

tommyb:

 

Hvis sniffing eller scanning er et problem for din sikkerhet så har du ikke ordentlig sikkerhet. Security through obscurity is not security

 

Sniffing og scanning er ikke et problem i seg selv, men et tydelig symptom på at det finnes sikkerhetshull som ønskes utnyttet, og det har ingenting med obscurity å gjøre.

 

Altså: truslene eksisterer like mye som om det hadde vært på en annen platform. Det ble påstått at Linux er mindre utsatt enn OS/X. Det er ikke riktig.

 

 

 

Hvis du virkelig stoler på at obscurity, eller hemmelighold ikke har noe med sikkerhet å gjøre, spør jeg deg om du ville vært troende til å offentliggjøre passordene dine her, og kredittkortinformasjonen også. Inntil du er villig til å gjøre det, er jeg ikke villig til å gå med på en så bastand påstand som du spiller av automatisk.

 

Obscurity er ingen sikkerhetsstrategi men har definitivt en bonusverdi. Catchfrasen er en forenkling som skal minne deg på at du skal ta sikkerhet alvorlig og ikke tro at du kan lure deg unna med enkle løsninger. Men noen ganger trenger man likevel å passe på hva man lar folk få finne ut av.

[efikkan]

tommyb:

 

Hvis sniffing eller scanning er et problem for din sikkerhet så har du ikke ordentlig sikkerhet. Security through obscurity is not security

 

Sniffing og scanning er ikke et problem i seg selv, men et tydelig symptom på at det finnes sikkerhetshull som ønskes utnyttet, og det har ingenting med obscurity å gjøre.

 

Altså: truslene eksisterer like mye som om det hadde vært på en annen platform. Det ble påstått at Linux er mindre utsatt enn OS/X. Det er ikke riktig.

 

 

 

Hvis du virkelig stoler på at obscurity, eller hemmelighold ikke har noe med sikkerhet å gjøre, spør jeg deg om du ville vært troende til å offentliggjøre passordene dine her, og kredittkortinformasjonen også. Inntil du er villig til å gjøre det, er jeg ikke villig til å gå med på en så bastand påstand som du spiller av automatisk.

 

Obscurity er ingen sikkerhetsstrategi men har definitivt en bonusverdi. Catchfrasen er en forenkling som skal minne deg på at du skal ta sikkerhet alvorlig og ikke tro at du kan lure deg unna med enkle løsninger. Men noen ganger trenger man likevel å passe på hva man lar folk få finne ut av.

Det trenger ikke være snakk om direkte sikkerhetshull, men heller uoppdaterte løsninger eller obskure løsninger. Det er vanligere enn du tror at det brukes matematisk svake krypteringsalgoritmer som kun virker så lenge noen ikke gjenkjenner den, jeg tror satellittelefon var det siste eksemplet jeg hørte om av det slag. Men mer vanlig er at gamle versjoner av SSL eller kanskje til og med telnet brukes på en "hemmelig" port. Løsninger som faller innenfor denne kategorien er rett og slett ikke gode.

 

Den saken der må du forklare. Min ståsted er og har alltid vært at sikkerhet må være uavhengig av obskuritet, og et godt passord er ikke obskuritet, men at eventuell obskuritet er en bonus er det ingen tvil om. Grunnen til at jeg kommenterte det var at du trekte frem problematikken og jeg vil gjerne vite hva du sikter til.

Endret 19. april 2012 av efikkan

[adder1972]

Bare tøv fra mannen som tjener hundrevis av millioner på Microsofts feil!

[tommyb]

Jeg er enig.Sikkerhet skal være uavhengig av obscurity.

 

Vi baserer heller ikke vår sikkerhet på obscurity, men samtidig ser vi verdien i å f.eks. flytte kjente verktøy bort fra adresser der bots leter etter dem, ikke som eneste tiltak, men i tilfelle det en dag kommer et kjent sikkerhetshull som ikke får en patch i tide, og i tilfelle brannmurreglene som skal forhindre dem å nå fram en dag blir overskrevet ved et uhell. For et faktum er at selv om folk forsøker å gjøre sikkerhet "the right way", så oppstår det fra tid til tid sikkerhetshull i mer eller mindre all programvare.

[Odin47]

Langt de fleste databrukere bruker en eller annen windows, det er der det er mest å hente for hackere. Hvorfor hacke seg inn på systemer der det nesten ikke er noe å hente? Macerne har jo brukt alle sparepengene sine på å gifte seg med Apple.

[Bolson]

@Del:

for å begynne bakerst - det du betegner som webutviklere har intet med webutviklere å gjøre. Og er du seriøs - så bruker du ikke repository på WordPress eller Drupal - det gjør du på helt andre måter etter å ha testet konflikter. Da har du siste versjon med alle patcher. Driver du seriøst og utvikler mer omfattende løsninger basert på WordPress, Drupal eller annet vil du med stor sannsynlighet knekke installasjonen om du bruker apt. I tillegg er det fleste sikkerhetshull i WordPress og Drupal i plugins, noe som ikke håndteres via apt. Bare i år er det kartlagt over 30 sikkerhetshull i plugins - noe som bare er toppen av isfjellet.

 

Og når det gjelder f.eks Ubuntu 10.04 LTS så har den ikke nyere versjon enn 2.9.3 av WordPress, så da må du enten backporte eller installere manuelt. Versjon 2.9.3 inneholder relativt mange upatcha sikkerhetshull. Dette er også et klart eksempel på at pakkebrønner faktisk ikke nødvendigvis betyr sikker programvare.

 

Og WordPress er et problem - rett og slett fordi den har gjort det for enkelt å sette opp nettsider uten kunnskap om sikkerhet etc. Men det er ikke et problem fordi mange "utviklere" sitter på Mac. Det samme hadde det vært om "utviklerne" hadde brukt Windows eller en Linux Desktop - at man bruker Linux på desktoppen er ikke det samme som at man kan sikkerhet. Dette er altså et kunnskaps- og rutineproblem - ikke et plattformproblem. I tillegg skyldes det ofte manglende vilje hos kunder til å betale for sikkerhet.

 

Ellers tror jeg ikke vi snakker forbi hverandre - vi er faktisk til en viss grad uenige. For 1 til 2 år siden hadde vi faktisk vært helt enige, men det jeg har lært de siste årene forteller meg at forskjellene er langt mer marginale enn tidligere.

Endret 20. april 2012 av Bolson

[Hans Erling]

Vet man hva man gjør får man ikke virus på noen av plattformene. Kjører selv W7 og har ikke noe virus program. Kjørte en scan med Malwarebytes for kanskje en uke siden og... ingenting.

[bOMS]

Vet man hva man gjør får man ikke virus på noen av plattformene. Kjører selv W7 og har ikke noe virus program. Kjørte en scan med Malwarebytes for kanskje en uke siden og... ingenting.

 

Er man forsiktig og bruker hodet så er det selvfølgelig vanskeligere å få malware. Men hadde en episode for noen år siden hvor vi jobbet på ett prosjekt og en minnepinne ble brukt til å dele noen arbeidsfiler og da holdt det med at en annen hadde virus som kopierte seg over på minnepinnen. Bruker #2 hadde ett utdatert virusprogram og fikk dette viruset når han kopierte filene, så virus kan man alltids få uansett. Dette ble jo i dette tilfellet oppdaget ganske fort da neste mann fikk opp en virusmelding og fikk sagt ifra, og bruker #1 og 2 måtte oppdatere sitt system og kvitte seg med viruset, men du skal sitte bra hermetisk lukket hvis du skal være helt trygg.

 

Ellers må jeg si det er en spennende diskusjon som noen har her av de som tydeligvis jobber med datasikkerhet, og kan legge til at jeg er en av de som ikke kan en ting om våre nettbaserte servertjenester. Får satse på at de vi leier kapasitet fra er mer oppegående og tar høyde for de feilene jeg eventuelt gjør.

[RamGuy]

Vet man hva man gjør får man ikke virus på noen av plattformene. Kjører selv W7 og har ikke noe virus program. Kjørte en scan med Malwarebytes for kanskje en uke siden og... ingenting.

 

Ignorante brukere er en av de største kildene til spredning av virus, det å leve å trua om at du aldri vil få virus så du ikke trenger beskyttelse er bare å lure seg selv. Dette syntes jeg nesten er verre en brukere med for lite kunnskap, de vet jo rett og slett ikke bedre.