ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>А если кто-то обновляется только с этого зеркала - то он ССЗБ.

То он:

а) не сможет обновиться.

б) список машин, которые стучались за обновлениями, бесполезен.

>Все ясно? За деталями - по ссылке.

По ссылке не смогли даже пустой фейковый пакет кому-нибудь подсунуть.

не поленился, сходил по всем ссылкам, но так и не увидел фразы, что OpenSUSE/Novell подвержены этой бредятине. По сути - таки да, но для версий OpenSUSE-10.2 и ранее. Любой Novell кладёт на подобные атаки и на всех тех, кто орёт об этом (о чём впрочем Авторы честно и рассказали в FAQ). речь по сути - именно о менеджерах пакетов как таковых, без "привязки" к конкретным дистрибутивам. если кто возьмётся и составит табличку что за дистр так лопухнулся с безопасностью своих обновлений - будет мило.

это всё ну очень уж похоже на проталкивание очередного велосипеда для управления пакетами...

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg). 2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы. 3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

==========================

Some APT repositories sign the root metadata to prevent tampering by an attacker. The signature prevents
an attacker who can not sign the root metadata from substituting arbitrary metadata. However, it does not
prevent an attacker from replaying old metadata. An attacker may, for example, capture the root metadata
from a date when a vulnerable package was released. At some time in the future, well after the package
has been patched, the attacker may replay his captured metadata, causing clients who request the package to
install the vulnerable version.

> > Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

> И мое подставное возглавляет этот список. Угу?

Ок. Я жду твоего подставного зеркала на mirrorlist у fedoraproject.org.

> так и не увидел фразы, что OpenSUSE/Novell подвержены этой бредятине.

Вероятно, потмоу что ее там нет. ))

> это всё ну очень уж похоже на проталкивание очередного велосипеда для управления пакетами...

Ага. На велосипед этот никто не сядет, но обдумать и усовершенствовать имеющуюся систему зеркалирования поможет.

>Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом. В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Нельзя.

Слабые у нас еще админы.

Вот смотри. Если ты не даешь обновить пакет, у тебя идет тут же нах подписанная мета (у тебя нет ключа). Что в итоге? В итоге сервер переключается на другое зеркало, где пакеты новые.

Если бы мета была неподписана, то машина запросила бы пакет и... и его бы не получила, после чего либо в следующий раз отправилась бы за свежей версией, либо по зависимостям вытянула бы его в другое время. Но мета подписана...

И вот ситуация сферического коня в вакууме - какой-то идиот вычищает у себя все официальные репозитории и ставить фейковый (с чего бы это). И мета неподписана... И сидит он за НАТом. Ну пойди, взломай его. Создай ботнет. Или у него есть сервис, но он отключен. И че?

Читайте спеки, они рулят.

> список машин, которые стучались за обновлениями, бесполезен.

Список айпишнечков с машинками, у которых имеется известная уязвимость и рабочий эксплоит на нее? Честным людям, конечно же бесполезен... )))

>не поленился, сходил по всем ссылкам, но так и не увидел фразы, что OpenSUSE/Novell подвержены этой бредятине

Я там ссылку дал выше. У suse все сделано на основе yum. Все подписано. Статья идет сразу нах.

> В итоге сервер переключается на другое зеркало, где пакеты новые. ... И сидит он за НАТом.

И компьютер выключен... Да, слабые у нас еще админы. По части логики. ))

>Список айпишнечков с машинками, у которых имеется известная уязвимость и рабочий эксплоит на нее? Честным людям, конечно же бесполезен... )))

Ты тупица, отвечай на мой ответ! :)

1. С чего ты взял, что все машины, которые к тебе стучатся, ползут обновлять данный пакет?

Вывод - ползут не все. Не найдя пакета, переключатся на зеркало и его выкачают. Нужен тебе список обновившихся машин? Не нужен.

2. Зачем тебе список машин за НАТом?

3. Зачем тебе список машин, у которых есть уязвимый пакет, но которые не используют данную службу?

4. Какова частота возникновения данных уязвимостей - проще говоря, сколько ждать будешь своего "списка"?

>И компьютер выключен... Да, слабые у нас еще админы. По части логики. ))

Я и говорю, слабые.

Управляй я отделом ИТ, не взял бы к себе ни одного админа из тех, кто не разобравшись как пытаются атаковать машины статьеписатели и не зная механизма обновления, кричит "пожар, пожар".

> Статья идет сразу нах.

Трудности с английским? Я скопипастю ))

3.2.2 Endless Data Another attack is to return an endless stream of data to the client whenever files are requested (an attack described in other work [42]). This attack has an odd effect on YUM and APT. Surprisingly, when YUM is given a repomd.xml file of unlimited size, it exits silently after the filesystem is full with a 1 exit code — leaving the huge file on disk. Since no information is logged or printed about the error, this makes discovering the problem complicated (especially if YUM runs via auto-update).

>At some time in the future, well after the package has been patched, the attacker may replay his captured metadata, causing clients who request the package to install the vulnerable version.

Проблема в том, что версия уже установлена...

>3.2.2 Endless Data Another attack is to return an endless stream of data to the client whenever files are requested (an attack described in other work [42]). This attack has an odd effect on YUM and APT. Surprisingly, when YUM is given a repomd.xml file of unlimited size, it exits silently after the filesystem is full with a 1 exit code — leaving the huge file on disk. Since no information is logged or printed about the error, this makes discovering the problem complicated (especially if YUM runs via auto-update).

1. Yum какого дистрибутива?

2. Сколько дистрибутивов можно так обслужить?

3. Кто сказал, что человек пошел обновлять именно уязвимые пакеты, а не ставить нечто новое?

4. Будет вылетать, начнем разбираться. А что, кто-то ставить все на один раздел? По-моему, даже установщики по умолчанию так не делают.

Система будет жить. Гарантий того, что она уязвима или не обновилась раньше, нет. Т.е. искать, конечно, можно, но запалят.

> Управляй я отделом ИТ

Тебе это не светит, так как ты не понял, о чем кричат. Никто не кричит "пожар" (кроме дебилов с секьюритфокуса и прочих мк). Вежливо говорят тихим и спокойным голосом, что нынешние широко распространенные пакетные менеджеры - полный шлак с точки зрения элементарной безопасноти и имеют феерически тупые баги (см. пост выше). Вот на это ненавязчиво обращают внимание и предлагают некие принципы исправления имеющейся ситуации. Только и всего.

Почему куча народу на лоре вопит "бред", "я крут" и "мне все пох" - я хз. ))

И вдогонку - время жизни такого зеркала, прежде чем его уберут из списка?

>Вежливо говорят тихим и спокойным голосом, что нынешние широко распространенные пакетные менеджеры - полный шлак с точки зрения элементарной безопасноти и имеют феерически тупые баги (см. пост выше). Вот на это ненавязчиво обращают внимание и предлагают некие принципы исправления имеющейся ситуации. Только и всего.

Пока что не вижу ни одного ответа ни на мои реплики, ни на реплики r_.

Так что прежде чем заявлять тут как ты крут (да еще с таким ником), ты попробуй полностью объяснить все три механизма, учитывая данные комментарии, и не в сферическом пространстве, а в реальной жизни.

И потрудись найти доказательство того, что к этим горепрофи не только стучали, но они смогли хотя бы на своих машинах оставить уязвимые пакеты и как это им помогло.

>Может им еще и взломать надо было пару серверов?

Было бы неплохо. Хотя бы своих собственных в как демонстрацию своих размышлений.

>Если ты не в состоянии понять "пруф оф концепт" со слов, то не трать время.

Нет там пруф оф консепт - там нет списка требовния или достаточных условий к системам чтобы быть взломанной.

> 1. Yum какого дистрибутива?

Ты кого спрашиваешь? Меня? Я - хз, я юмом не пользуюсь.

> 2. Сколько дистрибутивов можно так обслужить?

Отгадай ))

> 3. Кто сказал, что человек пошел обновлять именно уязвимые пакеты, а не ставить нечто новое?

А кто сказал, что пошел именно человек? ))

> 4. Будет вылетать, начнем разбираться. А что, кто-то ставить все на один раздел? По-моему, даже установщики по умолчанию так не делают.

Конечно. Все установшики сразу же первым делом предлагают раздел для обновлений. Это сейчас модно - отдельный раздел для обновлений. Очень секьюрно и почти-что гламурно.

> Система будет жить.

И даже ее одмин скорее всего будет жить. Если, конечно, не мафиозные бабки на том сервере отмывал. )))

> Нет там пруф оф консепт - там нет списка требовния или достаточных условий к системам чтобы быть взломанной.

Технических данных там действительно маловато. Но как предотратить обновление системы автоматом описано достаточно внятно.

anonymous критикует ИТ-специалистов.

>3.2.2 Endless Data

Это атака типа zero day.

Если с зеркала ничего не будет качатся - это зеркало йдет нахрен задолго до того как случится zero-day. Сценарий абсолютно нереалистичный - установка систы м расчете на неизвестную уязвимость слежение за выходом и включение тормозилки в надежде что именно сейчас твоя цель придет обновлятся и не обновилась с другого зеркала которое было ему выбрано.

Короче конь в вакууме.

> Пока что не вижу ни одного ответа ни на мои реплики, ни на реплики r_

Обнови страничку.

> Так что прежде чем заявлять тут как ты крут

Пруфлинк? ))

>да еще с таким ником

Мой ник - это моя любимая часть дисскусии. Ты, я надеюсь, сам догадываешься, что говорит обращение к моему нику о позиции моего оппонента? )))

>опробуй полностью объяснить все три механизма

Скопипасть все пдф-нички? Не слишком ли брутально?

>И потрудись найти доказательство того, что к этим горепрофи не только стучали, но они смогли хотя бы на своих машинах оставить уязвимые пакеты и как это им помогло.

А должно было помочь?

>Но как предотратить обновление системы автоматом описано достаточно внятно.

ТАм описан совершенно фантастический сценарий коорый полностью зависит от настроек сделаных админом который сам себе враг. В случае обычного листинга миррора их сценарий не работает в принципе.

>> Нет там пруф оф консепт - там нет списка требовния или достаточных условий к системам чтобы быть взломанной.

вроде таки да... нонче туплю. щас полез на свои старые сервера (вспомнил, что кое-где ещё SuSE-8.2 стоит) - а пакеты-то подписывались ключами в SuSE хз с какого года! списки оф. репо постоянно публикуются/публиковались на офсайте. проверил по всему софту на наличие подписей официальными ключами - норм. как беллетристика статейка пойдёт, но без конкретных результатов - не более чем pulp fiction.

> И вдогонку - время жизни такого зеркала, прежде чем его уберут из списка?

Достаточное, чтобы собрать список жертв.

> Проблема в том, что версия уже установлена...

И ты "request the package to install the vulnerable version." Правильно - это проблема.

> Сценарий абсолютно нереалистичный - установка систы м расчете на неизвестную уязвимость слежение за выходом и включение тормозилки в надежде что именно сейчас твоя цель придет обновлятся и не обновилась с другого зеркала которое было ему выбрано.

При чем здесь цель? Откуда вообще взялась какая-то _конкретная цель_? Что за выдумки какие-то? "Неизвестные уязвимости" появляются статистически стабильно. Клиенты, обновляющиеся с зеркала - статистически стабильная величина. Совмещение двух статитсически стабильных факторов дает вполне предсказуемую величину.

> ТАм описан совершенно фантастический сценарий коорый полностью зависит от настроек сделаных админом который сам себе враг.

Вовсе нет. Половина, если не две трети инсталляций на машины выберут ближайшее зеркало на автомате официальной тулзой из дистрибутива. Остается только встать в список официальных зеркал и получить свою долю обращений.

>Клиенты, обновляющиеся с зеркала - статистически стабильная величина.

Клиенты получают метаданные с центрального сервера. Если нет - то через сутки или меньщше они получат метаданные с другого сервера - а то и немедленно. Яст после апдейта производит запрос на метаданные. Это значит что после того как клиент установил бажную версию он в течени иминуты найдет апдейт на другом зеркале и обновиться.

>Совмещение двух статитсически стабильных факторов дает вполне предсказуемую величину.

Да. Невероятно маленькую. Условная вероятность: клиент обновиться именно с этого зеркала * он не за натом * сервис у него запущен * он через минуту не заапдейтится * [он апдейтился именно с этого зеркала все время из-за зависимостей] = ?

Нисколько. Список можно использовать _максимум_ в течении нескольких минут.

Требование в квадратных скобках имеет такую незначительную вероятность что оно сводин всю условную вероятность к невозможному событию. Почему это важно? Потому что зависимости вулнерабельного софта тоже должны быть outdated. Стоит хоть одну зависимость обновить на другом зеркале - и все этот атакуемый пакет не подойдет по зависимостям. Чем больше зависимостей у атакуемого сервиса - те менее вероятно хоть комуто его подсунуть.

Подумай об этом.

Если они такие умные теоретики - ничто не мешало им предоставить список серверов с бажно версией апача например который они "задержат". Где список? По их словам это говновопрос. Ладно взлом - пусть хотябы покажут как они недали обновиться комуто.

> Яст после апдейта производит запрос на метаданные.

При чем тут яст? Откуда сразу взялся яст? Смотрим внимательно на статью:

With regard to dependency resolvers, on the desktop APT/APT-RPM (45.2%) is clearly the most popular, with YUM (6.2%), Portage (6.9%), and YaST (10.7%) all having significant market share [13]. For servers, YUM (52%) is the clear leader with APT (25%) also having strong market share [29]. Since APT/DPKG and YUM/RPM are the most popular package managers, their security is the most important. As a result this paper focuses on APT/DPKG and YUM/RPM.

> Невероятно маленькую. Условная вероятность: клиент обновиться именно с этого зеркала * он не за натом * сервис у него запущен * он через минуту не заапдейтится * [он апдейтился именно с этого зеркала все время из-за зависимостей] = ?

Последине две величины в случае с аптом убираем. Автоапдейт в большинстве случаев с серверами работает раз в сутки по крону. Если он обнавляет пакет с сервисом, то велична "сервис не запущен" практически равна единице. Если пакет очень популярен, мы получаем величину, почти равную количествую обращающихся за обновлением.

Действительно критичной величиной будет разница между дельтой смены серверов-источников обновлений и время взлома по известной нам уязвимости.

>выберут ближайшее зеркало

В случае yum, если ты поставил соответствующий плагин, то самое БЫСТРОЕ, что не означает ближайшее и не имеет отношения к списку.

> пусть хотябы покажут как они недали обновиться комуто.

Это не интересно даже школьнику. Нет, правда. Возьми две машины и проделай этот фокус в домашних условиях. Одна из машин может быть виртуальной.

>Ты кого спрашиваешь? Меня? Я - хз, я юмом не пользуюсь.

Но ты же согласен с авторами. Значит на чем-то твоя уверенность в их правоте должна базироваться.

>Отгадай ))

Не ответ.

>А кто сказал, что пошел именно человек? ))

Вот именно. Есть статистика сколько обновляется и сколько ставит?

>Конечно. Все установшики сразу же первым делом предлагают раздел для обновлений. Это сейчас модно - отдельный раздел для обновлений. Очень секьюрно и почти-что гламурно.

Он называется /var. Отдельно, кстати, делается /tmp. Посему, как ты понимаешь, загнобить систему не получится.

> самое БЫСТРОЕ, что не означает ближайшее

Бывают пространства отличные от географических. ))

>Технических данных там действительно маловато. Но как предотратить обновление системы автоматом описано достаточно внятно.

Можешь поднять сервак? Я даже его пропишу. И попробуем обновиться.

>Бывают пространства отличные от географических. ))

Именно.

>Скопипасть все пдф-нички? Не слишком ли брутально?

Схему в виде майнмаповской картинки осилишь?

Могу тебе сказать, что это очень просто сделать.

>И ты "request the package to install the vulnerable version." Правильно - это проблема.

Т.е. у меня в худшем случае запросится этот же пакет. Это значит, что я уже знаю, что его нужно обновлять. Это значит, что не найдя пакет, я поползу на другое зеркало. Это значит, что я обновлюсь и ты можешь выкинуть свой список в мусор.

Рисуй картинку.

>Неизвестные уязвимости" появляются статистически стабильно.

И вот статистику в студию на сервисы и их уязвимости. Даже ssl последняя не слишком поддавалась. А уж предыдущие уязвимости с "некими выставленными специально параметрами" еще больше сокращают список уязвимых машин.

>Нисколько. Список можно использовать _максимум_ в течении нескольких минут.

+1.

>Это не интересно даже школьнику. Нет, правда. Возьми две машины и проделай этот фокус в домашних условиях. Одна из машин может быть виртуальной.

Нам бы работу в поле. Мы же рассматриваем комплекс серверов и безопасность данного решения подразумевает существование комплекса серверов.

>а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

А если линус торвальдс с бодуна случайно зарелизит старое ядро? =) Паранойа :)

> Значит на чем-то твоя уверенность в их правоте должна базироваться.

Она базируется на изложенных ими аргументах. Сюрприз?

> Есть статистика сколько обновляется и сколько ставит?

Не актуальная. Наша аудитория - автоапдейты.

>Он называется /var. Отдельно, кстати, делается /tmp. Посему, как ты понимаешь, загнобить систему не получится.

Забыл добавить: "у тех, кто так сделал." Маленькая такая деталь.

>>Отгадай ))

>Не ответ.

Ну подумай сам, скольким клиентам можно выдавать инфу из /dev/null?

> Мы же рассматриваем комплекс серверов и безопасность данного решения подразумевает существование комплекса серверов.

Кто это "мы"? Какой еще комплекс серверов? Ты о чем?

> И вот статистику в студию на сервисы и их уязвимости.

Ну может ты сам погуглишь багтреки у сабжевых дистров? Или тебя надо за ручку по всему интернету водить?

> Можешь поднять сервак?

Нет. У меня нет белых айпи "на поиграться".

> ничто не мешало им предоставить список серверов с бажно версией апача например который они "задержат". Где список?

Слово "этика" совсем не знакомо?