WordPress backdoored

Poklikaj one linkove na prvom postu ove teme, ovo nisu teorije zavjere već real thing :)



Srednjoškolci ne uče C. Osim toga, ovo je primjer lošeg backdooranja (najbolji lopovi su oni koje se nikad ne uhvati :). Onaj VMA mirroring propust bi otkrilo možda dvoznamenkast broj ljudi na planetu :)

Poanta je sljedeća - open source projekti se backdooraju, i tu i tamo neki loš pokušaj ispliva na površinu. Koliko ih ne ispliva, je pravo pitanje :)



Istina, no to neće funkcionirati ako je Perina mašina/SCM server haknut kao što je gore slučaj. Ali opet, nitko ne može sa sigurnošću tvrditi da integer overflow koji se u OpenSSH vukao godinama nije podmetnula neka "dobronamjerna" donacija koda američkih obavještanih službi :) Koliko god očiju open source komuna imade, nisu svi oni crpyto/security eksperti.



RTM Vista, za početak, nije backdoored :)



Metrika sigurnosti u stilu "manje koda -> manji attack surface -> sigurniji sw" je bila aktualna tamo negdje početkom 80-ih kad nije postojao Internet i kad su pisani oni velebni US DoD sigurnosni standardi na koje se nkrgovic tako zdužno poziva. Fundametnalno pogrešna premisa koju ona pretpostavlja jest, da će svi developeri statistički jednako producirati broj bugova per LoC, bez obzira na razvojni model. Bilo je to doba bez Slammera, buffer overflowa i mult-billion InfoSec industrije čiji je primarni spiritus movens korisnička/programerska nepažnja (da ne kažem glupost).

To je doba gotovo.

Sigurnost koda je prije svega proces, dio razvojnog ciklusa sw-a jer, kao što ti kažeš:



a te ljude treba educirati. Treba poboljšati security awareness kompilatora, krucijalnih gradivnih komponenti OS-a, treba developere naučiti da sigurnost nije magični štapić i da se dobrom inženjerskom praksom, slijedeći dobro utvrđenu metodologiju, većina klasa sigurnosnih ranjivosti može eliminirati u jako ranoj fazi.

Vista nema ni jedne jedine linije koda koja poziva dozlaboga nesigurne libc fje poput strcpy/strcat. Ili su automatski rutirane na sigurne ekvivalente, ili će se VS kompilator izrigati kad ih vidi.

Ne postoji silver bullet, ali pravilnom praksom koja funkcionira se može i reducirati manevarski prostor haxora jednom kad je sigurnosni propust identificiran (proaktivne zaštite), i reducirati numerički broj najćešćih klasa propusta. Uspoređujući broj advisorya RHEL vs WS2k3, IIS6 vs Apache, etc., svatko se može uvjeriti da to itekako funkcionira u praksi.

---

znači, svaki propust u FOS svetu je backdoor donated by agent smith, i na jedan otkriveni ide brdo i šesto neotkrivenih, dok su propusti u proprietary svetu samo posledica ljudske nesavršenosti (jer se ovakve stvari, i pored sve edukacije, dešavaju i najboljima), i svi su poznati?

pa dobro, moguć je i ovakav pogled na svet... ;o)

Ovdje mozemo da se slozimo da se sloziti necemo. Unixoidni svijet ima monolitni kernel kao manu, Windows monolitni bloatware koji svaka masina mora da vozi, htjeli-ne-htjeli, da "osisaju" cijelu pricu mogu samo probrani.

Ne znam na osnovu cega se moze tvrditi da je "smanjivanje povrsine" KAO JEDNA OD METODA za izgradnju sigurnog sistema, prestala da igra. Ja mislim da NIKAD nece prestati da igra. Nijesu svi u situaciji da rade sa monolitnim softverom kome je tesko ili nemoguce "smanjiti povrsinu" kontakta ELIMINACIJOM softverskih komponenti koje se ne koriste ili bez kojih se moze u kriticnoj aplikaciji.

Molim ne ubacuj me u 'Windows tabor', jer ja samo gledam stvari realno. Nisam osoba koja misli da je
sve MS-ovo sveto, čak i nemam ništa protiv Linuxa jer sam mu dao dosta godina svog života, ali je
vreme za nešto drugačije.

---

Izvinjavam se, fearless, ali stvarno.

Nijesam "pripadnost Windows taboru" nikad dozivljavao kao pezorativnu odrednicu, ne bih ovoliko vrijeme trosio da ispisem slajfne teksta da omalovazavam sagovornika.

Ne znam da li je Vista nesto novo, mislim da je to odluka svakog od nas. Meni (a i kojekome u industriji) licno je koncept virtuelizacije, tretiranje virtuelne masine kao svojevrsnog "jail"-a mnogo interesantnija alternativa za "smanjivanje povrsine" i podizanje genericke sigurnosti sistema, bilo da je sistem moja licna masina, ili nesto vece ili manje od toga.

Obratiti paznju na cinjenicu da je virtuelizacija kao koncept generalno razvjencana od tipa OS koji se koristi. Tu oko mene je dosta primjera gdje firme voze "Windows on Windows" u VmWare okruzenju, tezeci da odvoje aplikacije (e sa tim operativnim sistemom eliminacija njegovih komponenti nije bas zdrava, sve je to jedan veliki spageti ball) u posebne virtuelne masine i na taj nacin "smanje povrsinu". Procesorska snaga i disk prostor su veoma jeftini danas.

To nisam nigdje tvrdio. Vi pingvini zaista imate selektivan vid.



Monolitni kernel nije nikakva mana (ne znam kakve veze to ima sa sigurnosti uopće). I NT je monolitni kernel (strogo monolitni, ne hibridno-monolitni kako ga neki naivno nazivaju). Štoviše, čak i ako krucijalne OS komponente offloadaš u userland, sigurnosni propust u njima bi bio jednako opasan kao i kad bi se našao u kernel-modu.

Zamisli sigurnosni propust u memory manageru ili thread scheduleru koji se vrti u nezavisnom procesu u user-mode - na koji bi način on bio manje opasan od kernel-mode ekvivalenta? Sve što možeš jest, well, modificirati adresni prostor svih procesa preuzimanjem npr. page fault handlera, ili utjecati na redoslijed selektiranja threadova za izvršavanje, npr. sakrivajući svoj r00tkit proces. Bezopasno? Ma ne, uopće ;)

Windows nije "monolitni bloatware" već OS sa pomno organiziranim razinama apstrakcije (što se za *nixe ne bi moglo reći). Recimo POSIX layer dodan u Visti je potpuno transparentan u odnosu na win32 layer, jer jedan nema veze s drugim, pošto su oba rutirana preko native subsystema. Na *nixama se odvajkada koriste direktno sistemski pozivi zbog čega se npr. win32 može jedinu simulirati wrappanjem na sistemske pozive. Na windowsima nitko ne koristi syscalle, štoviše osim par njih nijedan nije ni dokumentiran u MSDN-u. Ti to zovi bloat, ja fino gradiranje apstrakcija zovem esencijom sw inženjerstva.

Isto slijedi i npr. za COM, win32->shlwapi etc. Za Vistu su čak dizajnirali specijalne programe (ekstenzije kompilatora) koji provjeravaju razinu apstrakcije na kojoj se nalaziš, i koje API-je pozivaš. Npr. da unutar konteksta koda sistemskog DLL-a ne koristiš high-level funkcije iz shella. Na taj način poboljšavaš modularnost koda i ne stvaraš nepotrebne ovisnosti, korištenjem API-ja na "need to know" bazi. Prava je šteta što se takvo stupnjevanje apstrakcije ne može danas ostvariti na razini programskih jezika (vjerojatno može u Lispu :)

Windowse dizajniraju iskusni profesionalci ne wannabe-hax0ri koji žele što prije iz bezbolnije trenutno riješiti problem. Richard Gabriel je loše strane idiotske *nix "more iz less" filozofije objasnio u nekolicini eseja, koga zanima evo dobra odskočna daska:

http://en.wikipedia.org/wiki/Worse_is_Better

http://en.wikipedia.org/wiki/Unix_philosophy
http://en.wikipedia.org/wiki/Unix_philosophy#Worse_is_better

http://www.elitesecurity.org/t29491-2#1441372
(zanemarite kontekst diskusije u gornjem odgovoru).

Recentna diskusija pthreads vs. win32 threads (bilo bi je fino revitalizirati ovdje na Advocacy :) na slashdotu je savršena potvrda toga: Ni jedan jedini pingvin koji je na /. komentirao ne shvaća na koji način unifikacija upravljanja resursima preko HANDLE-ova reducira broj API-ja, olakšava samo programiranje i proširenje funkcionalnosti. Sa SetKernelObjectSecurity() je prije 4-5 godina dodana podrška za postavljanje ACL-ova nad socketima (može jerbo taj API operira nad generičkim handleovima). UNIX pristup bi bio definiranje novog API-ja, odnosno nove podatkovne strukture acl_socket, te par novih apija za kreiranje/inicijalizaciju. I to bi obavezno prozvali "jednostavnijim načinom" :)



Nije prestala da igra ulogu, ali u kombinaciji SDL + proaktivne zaštite igra sve manju ulogu. Ti se glupi bugovi mogu otkloniti na razini dizajna i dobro-definiranim inženjerskim principima. Samo attack surface reduction kao strategija sigurnosti je besmislena - najbolji ti je primjer Mac OS X koji se, jednom kad je security researcherima dozlogrdila bahatost Appleovih PR majmuna i odvjetnika koje je na njih huškao, dobio po prstima: http://applefun.blogspot.com/ Ne tako davno bio je "sveta krava" maloumnih Appleovih apostola koji su vjerovali u Appleove nadri-programere toliko da i eksplicitno gašenje ProPolice-a nisu uzimalo kao ozbiljnu prijetnju sigurnosti OS-a. Opskurnost kao gradivni čimbenik ukupne sigurnosti je besmislen, jer samo problem otklanja na drugu domenu. Ti nisi siguran, već samo POTENCIJALNO siguran :)



Virtualiziraj pokretanje browsera u zasebnoj instanci OS-a na VM i dobio si što točno?

Jesu li ostali remotely exploitable bugovi? Jesu.

Može li se preko njih remotely instalirati malware koji radi identity theft i DoS? Može.

Rješava li uopće virtualizacija problem loše napisanog koda? Ne, samo ga prebacuje u drugu sferu.



LOL. Možeš mi navesti neke primjere aplikacije koje ima smisla "razdvajati" instalirajući ih pod različitim VM, pošto dobiješ veću "sigurnost i nezavisnot izvršavanja" u odnosu na scenarij instaliranja pod istim matičnim OS-em, i separacijom preko različitih accountova u kojima bi se izvodili?

---

Tacno, cynque. Ali, zar se sigurnost svih racunarskih sistema organizacije ne organizuje BAS TAKO, da se kriticne masine (i podaci) odvoje u posebne zone, gdje se stite jos jednim slojem provjere, ovaj put prema ostatku okruzenja te organizacije? Pa layer-ing je vjeciti motiv, valjda?

U virtuelnoj masini u kojoj koristis lose napisan browser ;) se ne drze tvoje poreske prijave.



Eh???

Pa svaku aplikaciju koja je dizajnirana da sa ostatkom svijeta komunicira preko mreznih protokola, cynique, ima smisla odvojiti na posebnu masinu ili strpati u virtuelnu masinu (naravno, ovo drugo igra samo ako je gubitak performansi zbog virtuelizacije prihvatljiv, ali ima ko moze, a ima i aplikacija sa kojima to ima smisla).

Ako nista drugo, softverski firewall moze da se podesi da "zacepi" drugaciji set portova, ako neko uradi backdoor servera nece pasti obje aplikacije vec jedna... itd.

Ta tehnika nema smisla ako je okruzenje na obje masine (ili virtuelne masine) apsolutno ekvivalentno (isti patchevi, isto setovanje mreznog okruzenja, itd. itd. itd.). Poenta je da onaj koji odrzava vise masina ima mogucnost da te razlicite masine tretira razlicito.

Cak i na obicnoj (workstation) masini ima smisla odrzavati vise okruzenja, jer je vjerovatnoca da oba okruzenja padnu istovremeno smanjena. Ja na kucnoj masini drzim posebnu VmWare masinu kojom se kopcam na posao. Okruzenje je "spartansko", nema NISTA sto nije apsolutno neophodno da postoji, kad sam u tom okruzenju potpuno zavisim od infrastrukture mog poslodavca (kad se VPN digne, mrezu vidim kroz njihovu infrastrukturu).

jedno pitanjce... kako opet ova tema dosla do vista vs. linux?
wordpress koliko ja znam moze da se pokrene i na visti i na linuxu.. tako da to nije linux-specific program
koliko sam ja razumeo je vista desktop 'distribucija' windowsa... znaci ako je usporedimo sa desktop linuxom, nema sendmail, openssh i sl. veze.
zasto bi uopste desktop pc trebao da ima otvorene bilokoje portove? i p2p radi sasvim ok sa svim zatvorenim portovima

---

Ja sam bio ubijeđen da je raspravka "sigurnost jedne mašine" vs. "sigurnost skupa virtuelnih mašina" i da linux uopste spominjan nije.

Kako je odlutala? Valjda zato što nema diskutanata koji će ovo naše skretanje sa teme ignorisati i loptu vratiti na početne pozicije svojom interesantnom porukom koja se bavi originalnom temom.



Zato što postoje servisi (i za workstation) koji ne mogu da trče ako se ne otvori port. "Dijeljenjem", tojest virtuelizacijom, je često moguće izolovati te servise u posebne virtuelne (ili stvarne, ko to sebi može da priušti) mašine gdje je samo jedna od njih ranjiva zbog tog otvorenog porta.

Neinteraktivne server-side aplikacije da. Photoshop, Word i IE ne.[/quote]



Točno to i govorim - virtualizacija je dobra kao potencijalno rješenje za smanjenje štete već haknutog servera, ne kao sredstvo zaštite protv haxora. Proaktivne zaštite i SDL su za takve stvari, a o njima cijelo vrijeme pričam. Možeš najšupljiviju moguću aplikaciju izolirati u virtualnoj mašini, ali to je neće učiniti ništa sigurnijom (baš kao i već-spomenuto offloadanje dijelova kernela u userland u slučaju mikrokernela).

Virtualizacija je samo jedan od načina ostvarenja Principa namanje privilegije, i dade se relativno bezbolno emulirati korištenjem odvojenih accountova sa fino podešenim ACL-ovima + runas (ili koristiti programčiće tipa WinJail koji točno to automatski rade).

Još bolje od toga je koristiti nešto tipa ShadowSurfer koji instalira kernel-mode filesystem filter driver koji bilježi sav I/O od trenutka pokretanja browsera, i revertira SVE izmjene na disku nakon gašenja browsera na početno stanje. Radi copy-on-write kloniranje u virtualno stanje računala, rekli bi Schemeovci poziva call-with-current-continuation...zovi kako hoćeš, efekt je isti kao pokretanjem pod virtualnom mašinom samo puno brže i učinkovitije :)

---

I Photoshop i Word (ne IE!!) mogu da se koriste u okruzenju koje je POTPUNO IZOLOVANO od mreze, cynique. Pravljenje virtuelne masine kojoj, jednim klikom misa, ukljucujes mrezu samo kad treba da uradis update (na primjer), a koja vecinu vremena radi otkopcana od mreze ima smisla.

I sigurniji je nacin izvrsavanja (sigurniji, ne 100% siguran).



Grijesis, cynique. Hoce.

Virtuelizacijom ne postises samo replikaciju dva okruzenja (dvije masine sa recimo istim, mada ne mora, operativnim sistemom). Sigurnost je veca nego kod jedne masine, ne zato sto su interni (softverski, OS) mehanizmi sad odjednom drugaciji, vec sto se dodaje NOVI nivo izolacije i zastite. Taj novi nivo izolacije je mreza. Ruteri i ine spravice iz tog domena mogu da se postave da tretiraju dvije virtuelne masine kao dva odvojena entiteta, dvije odvojene MAC adrese cak na L2 nivou, da ostatak ne spominjemo.

Sem toga, u igri je i potpuno otkopcavanje mreze aplikacijama koje mozes da koristis na masini koja nije vezana za mrezu, kako je to vec receno u ovoj poruci.

A evo veoma ogoljene logike oko virtuelizacije cak i kad se ne uzima u obzir efekat dodavanja mrezne izolacije:

Posmatras sistem A koji izvrsava dvije aplikacije, X i Y. Sistem A pada ako se hakne ili OS direktno, ili kroz aplikaciju X ili kroz aplikaciju Y. Skup ranjivosti koja dovodi do pada sistema je UNIJA skupova ranjivosti operativnog sistema samog, ranjivosti koje otkriva aplikacije X i ranjivosti koje otkriva aplikacija Y.

Sad to podijelis na dva sistema, B i C. Operativni sistem je isti, ali sistem B izvrsava samo aplikaciju X, sistem C samo aplikaciju Y. Skup ranjivosti koji obara OBA sistema je:
skup ranjivosti OS + PRESJEK skupova ranjivosti aplikacije X i aplikacije Y.

Nije isto. Vjerovatnoca da ce pasti i sistem B i sistem C je manja od vjerovatnoce da ce pasti sistem A.

Postaje frustrirajuće opetovano recitirati iste stvari.



Ne, neće. Ako imaš remotely exploitable vuln, on će ostati i remotely exploitable vuln čak i ako app pokreneš pod VM.

Virtualizacija može poslužiti kao mehanizam redukcije potencijalne količine štete koju nakon eksploatacije cracker može načiniti, ne kao proaktivna metoda zaštite. Kao takva, nije nikakva zamjena za proaktivne zaštite OS-a, SDL, enhancmente compilera i sl. već dokazane inženjerske prakse.

Stvari kao što su privilege separation (OpenSSH), token impersonation (NT ACL-ovi), te pokretanje pod odvojenim acc-ovima smanjenih privilegije su mehanizmi koji su se oduvijek koristili za redukciju prostora djelovanja potencijalno kompromitirane aplikacije, kao praktične implementacije Saltzerovog Principa najmanje privilegije iz 70-ih. Primarni raison d'etre pak virtualizacije jest bolja utilizacija računalnih resursa (multiprogramiranje, batch sustavi, timeshareing, multitasking...sljedeća jedinka koju treba u tom povijesnom nizu apstrahirati jest sam OS > virtualizacija).

Ti slobodno pokreći ICQ/IE/Skype/mIRC/P2P svaki pod zasebnim hypervisorom, nitko ti neće poreći da tvoj matični OS nije "sigurniji".

A to da su ti ICQ/Skype baza kontakata, IE cookies i IRC logovi individualno zaštićeniji, daleko je od istine.

---

Ne ponavljas se, cynique. Poceo si ovu diskusiju od malo drugacijih teza.

Sa ovom zadnjom porukom skoro potpuno mogu da se slozim (violent agreement :) ), sem tvojeg ignorisanja mreznog filtriranja koje je razlicito za razlicite virtuelne masine.

Za kraj: ja se ne bih oslonio samo na "savrsenost" Vistinih zastitnih mehanizama (ili bilo kog drugog OS-a) i mislim da ovakvo kombinovanje tehnika (jer je pitanje virtuelizacije iste te Viste samo pitanje resursa) nije pametno odbaciti. Ovo jeste stari i prezvakani motiv, "podizanje sigurnosti 'smanjenjem izlozene povrsine' sistema".

Koje se obavlja odvajkada prisutnim mehanizmima separacije privilegija, ne kidanjem različitih komponenti OS-a i virtualizacijom svake potencijalno šuplje aplikacije. Tvoja svrstavanje Viste u kategoriju "bloatware" (valjda po broju linija koda u odnosu na ogoljeni vmlinuz) bazirano na besmislenoj premisi "manje linija koda -> veća sigurnost" potpuno previđa mehanizme podešavanja granularnosti sigurnosnog konteksta procesa a koji se i više nego koriste.

Virtualizacija ne čini šuplju aplikaciju ništa sigurnijom, proaktivne zaštite čine, to je veeeeelika razlika :)

---