[Sa] Днешния пробив

Tocho Tochev tocho.tochev at gmail.com
Thu Feb 23 16:09:48 EET 2012


2012/2/20 Vasil Kolev <vasil at ludost.net>:
> И така, преди малко Емил (u6) освен, че показа на всички един дребен
> проблем със сигурността, е пипнал малко и по authorized_keys на хората и
> по директориите им.
>
> Интересно ми е мнението на всички това доколко е правилно и като цяло
> какво мислите по въпроса?

Като един от "засегнатите" съм благодарен на tie че ни е показал грешката.

Естествено съвсем в реда на нещата имаше и гняв, но той беше насочен към:
- мен  - прочетох man-а само на Xvfb и че бях убеден че такъв тип
software трябва да е конфигуриран deny by default, заради нещо което
съм правил на друга дистрибуция преди доста време
- към хората писали софтуера и документацията - не трябва default-а да
е безконтролен достъп, а ако е default поне е хубаво да има
предупреждение при пускане или на видимо място в man-a.

Сега доколко е ок да чете history-то и да си оставя "backdoor" това си
е въпрос на лична преценка.
Аз лично не бих го направил, защото на всички ни е ясно че щом е
влезнал там, значи при добро желание може да си извлече всякаква
информация - сертификати, пароли, да събира пароли от текущите и нови
процеси и т.н. От друга страна може би е имал за цел да открие някоя
опасна грешка на някой по-начинаещ - съхраняване на private ключове,
непроменена default паролата, преизползване на user парола за vnc,
останали неизтрити ключове в някоя директория, forward на ssh-agent-а,
ssh към home от phyllis, реакция при пробив и т.н.

Относно disclosure-а - това зависи от ситуацията. В нашия случай (в
условията на курс) според мен е приемливо да се прати направо на
списъка (макар screen-овете да бяха излишни). Но естествено е пълно
безобразие ако се добереш до root на marla.ludost.net да пишеш
директно на bg linux групата.

Аз, лично, в реални условия бих писал на хората лично (криптирайки
информацията и евентуално използвайки псевдоним ако смятам че има шанс
да са идиоти и да ме съдят), бих чакал няколко седмици+7*rand(0,1)
дена и ако не са реагирали (microsoft) бих обезобразил сайта и пуснал
свободно информацията (през псевдоним).

В условията на този курс ми се струва най-морално ако първо се пише на
човека отговорен за пробитата машина и после грешката се описва в
maillist-а/wiki-то. Естествено може да въведем и стимули за намиране
на грешки - отговорникът на пробитата машина да трябва да почерпи с
бира/боза/вафла/баничка човека който му я е показал.
(P.S. tie има една бира/боза/вафла/баничка от мен като се видим :) )

Като цяло - човек като открие проблем може да действа както си иска,
като си носи последиците (било то благодарствени думи - че е показал
проблема без да вдига шум; псувни - че е обезобразил сайта; или съд -
заради финансови загуби че е спрял service-а).

А сега да се върна на причината да реша да се изкажа по въпроса:
u1 at phyllis:~$ date
Thu Feb 23 15:53:46 EET 2012
u1 at phyllis:~$ ps aux | grep Xv
u9        1199  0.0  0.0  76804 24120 ?        S    Feb20   0:04 Xvfb
:9 -screen 9 1024x768x24 -nolisten tcp
u6        3888  0.3  0.0  76668 23976 pts/3    S    Feb21  10:42 Xvfb
:6 -screen scrn 1024x768x24
u1        4940  0.0  0.0   6264   604 pts/7    S+   15:53   0:00 grep Xv
vasil    14407  0.0  0.0  61060  8092 ?        S    Feb20   0:00 Xvfb
:30 -nolisten tcp
u2       20802  0.1  0.1  78224 25612 ?        S    Feb18   7:01 Xvfb
:2 -screen -schem 1024x768x24
u0       31435  0.2  0.0  68064 15456 pts/8    S    Feb19  12:12 Xvfb
:0 -screen scrn 1024x768x24
u1 at phyllis:~$ netstat -ln | grep 60 | grep '0 0.0.0.0'
tcp        0      0 0.0.0.0:6006            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6002            0.0.0.0:*               LISTEN

Никои от X-овете не върви с authentication, на някои си седят отворени
xterm-овете  - no comment...

Поздрави,
  Точо


More information about the Sa mailing list