Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: DDR55 - 13.08.16 - klo:10.33
-
http://www.tivi.fi/Kaikki_uutiset/linux-ytimesta-loytyi-vuosia-vanha-paha-haavoittuvuus-korjausta-ei-ole-olemassa-6573289
linuxissa on haavoittuvuus jolla voidaan vakoilla muiden netti liikennettä. ongemaa ei voi korjata mutta uutisen mukaan sitä voi rajoittaa muuttamalla linuxin ytimen parametria tcp_challenge_ack_limit.
Miten teen tämän muutoksen? käytän tästä lähtien windowssia varmuuden vuoksi siihen asti että korjaus tulee koneeseen. milloinkohan korjaus tulee? eihän tarkkaa aikaa voi tietä mutta onko kyse päivistä vai kuukausista?
-
Tällä tapaa:
https://ubuntuforums.org/showthread.php?t=2333384
-
Linuxin käytön lopettaminen omalla koneella on ehkä vähän ylireagointia, koska:
1. Hyökkäys on toki teoriassa mahdollinen, mutta käytännössä aika hankala toteuttaa. Kotikäyttäjät tuskin on toistaiseksi kovin suuressa vaarassa.
2. Ne "tärkeät" salatut https yhteydet on turvassa.
3. Linuxia pyörittäviin nettipalvelimiin et voi kuitenkaan vaikuttaa, vaikka käyttäisit windowsia.
4. Haavoittuvuuden voi käytännössä torjua kasvattamalla tuon challenge_ack_limitin kokoa (katso linkki edellisessä vastauksessa)
Haavoittuvuus on korjattu ainakin kernelin versiossa 4.7 (joissain jakeluissa jo käytössä).
-
http://www.tivi.fi/Kaikki_uutiset/linux-ytimesta-loytyi-vuosia-vanha-paha-haavoittuvuus-korjausta-ei-ole-olemassa-6573289
linuxissa on haavoittuvuus jolla voidaan vakoilla muiden netti liikennettä. ongemaa ei voi korjata mutta uutisen mukaan sitä voi rajoittaa muuttamalla linuxin ytimen parametria tcp_challenge_ack_limit.
Miten teen tämän muutoksen? käytän tästä lähtien windowssia varmuuden vuoksi siihen asti että korjaus tulee koneeseen. milloinkohan korjaus tulee? eihän tarkkaa aikaa voi tietä mutta onko kyse päivistä vai kuukausista?
Et ilmeisesti ymmärrä lukemaasi? Olet altis tuolle epätodennäköiselle hyökkäykselle vaikka käyttäisit mitä käyttistä, jos palvelimessa on Linux, jossa bugia ei ole korjattu. Missään tärkeissä palveluissa, jotka käyttää salausta (https) tuon hyödyntäminen ei edes onnistu.
-
Tällä tapaa:
https://ubuntuforums.org/showthread.php?t=2333384
täältä löytyi rajoitus käskyt, kiitos linkistä
sudo echo "net.ipv4/tcp_challenge_ack_limit = 999999999" >> /etc/sysctl.conf
sudo sysctl -p
tämä rajoitus ei ole kai täysi korjaus? Käytän varmuudeksi nettipankkia windows konella siihen asti että ubuntuun tulee korjaus paketti :'(
-
Tällä tapaa:
https://ubuntuforums.org/showthread.php?t=2333384
täältä löytyi rajoitus käskyt, kiitos linkistä
sudo echo "net.ipv4/tcp_challenge_ack_limit = 999999999" >> /etc/sysctl.conf
sudo sysctl -p
tämä rajoitus ei ole kai täysi korjaus? Käytän varmuudeksi nettipankkia windows konella siihen asti että ubuntuun tulee korjaus paketti :'(
Pankit käyttää salattua https yhteyttä, johon ei pääse väliin.
-
Ei vahinko tule kello kaulassa. Näin sanoo vanha sananlaskukin. Eli ei voi olla liian varovainen nettipankin kanssa
-
Ei vahinko tule kello kaulassa. Näin sanoo vanha sananlaskukin. Eli ei voi olla liian varovainen nettipankin kanssa
Mitenkäs sitten uskallat käyttää sitä nettipankkia windowsillakaan?
Ihan kummassa vaan voi yhä olla joku piilossa oleva haavoittuvuus, joka mahdollistaa kaappauksen. Tämä nyt todettu linuxin haavoittuvuus ei sitä tee, joten käyttöjärjestelmän vaihtamisessa pankkikäyttöä varten ei ole mitään logiikkaa takana.
-
ei minun tarvitse vaihtaa käyttöjärjestelmää koska minulla on toisessa koneessa windows 10 ja voin käyttää nettipankkia sillä koneella.
on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia
-
on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia
Mutta kun se asia on niin, ettei kummassakaan ole todettua haavoittuvuutta, joka vaikuttaisi nettipankkiyhteyksiin (https).
Ja se, mitä järjestelmää käytät, ei vaikuta mitenkään siihen mitä järjestelmää nettipankkisi käyttää.
-
löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta
-
Eiköhän Windowsissa ole monia takaportteja liian uteliaita jenkkiviranomaisia varten?
-
Tuolla ddr:lle lisää kauhisteltavaa:
http://www.ubuntu.com/usn/
;D
-
ei minun tarvitse vaihtaa käyttöjärjestelmää koska minulla on toisessa koneessa windows 10 ja voin käyttää nettipankkia sillä koneella.
on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia
Kuten itse sanoit, jos windowsissa ei ole haavoittuvuutta.
Avoimen lähdekoodin käyttöjärjestelmän hyödyt ovatkin siinä, että virheet löydetään ja havannoidaan - usein myös reagoidaan pian. Windowsissa asia näin ei ole, siellähän voi olla pinnan alla vaikka mitä, mitkä pysyvät näennäisesti piilossa ja mitä asiaan perehtyneet varmasti osaavat hyödyntää tietoturvarikoksissa ennen kuin asia tulee ilmi.
Täysin aukotonta systeemiä lienee hyvin vaikea ellei mahdotonta tehdä. Sen takia näitä haavoittuvuuksia aina ilmenee aika ajoin. Varminta olisi vain olla käyttämättä koko nettiä.
-
löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta
Sen sijaan, että luet raflaavia nettiartikkeleita, lue mieluummin vaikka se alkuperäinen tutkimus-pdf (linkki löytyy myös linkittämästäsi artikkelista) (1)
Ei tuolla haavoittuvuudella pääse https-yhteyksien väliin, näin ainakin alkuperäistä tutkimusta tekemässä ollut Yue Cao kertoi kernel-patchin postilistalla (2), katkaista yhteyden toki voi.
Normikäyttäjien on turha paniikkihötkyillä asian kanssa, haavoittuvuus on joka tapauksessa korjattu mainline kernelissä jo heinäkuun alkupuolella, kyllä se korjaus sieltä tippuu. Jos ei ymmärrä, miten haavoittuvuus toimii, niin turhia hötkyilemällä vaan tuhlaa omaa aikaansa.
(1) http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
(2) https://www.mail-archive.com/netdev@vger.kernel.org/msg119274.html
-
SSL suojaa vain jos SSL on suojattu. Kuka muistaa vielä että vain vastikään SSL2/3 on bannattu selainten toimesta ?
https://jve.linuxwall.info/blog/index.php?post/TLS_Survey
ja
http://disablessl3.com/
Tai saahan SSL3:sen käyttöön jos on tarvis POODLE:n tyylisille hyökkäyksille.
Milloin tosiaankin käyttäjien turvallisuus on myös käyttäjien asia ? En todellakaan ymmärrä miksei selaimiin ole kehitetty GPG tyylisiä julksien ja salaisen avaimen vaihtoon liittyviä turvallisuustekniikoita. :P
-
SSL suojaa vain jos SSL on suojattu.
Sinänsä ihan totta, mutta tämähän koskee ihan kaikkea ssl/tsl liikennettä ihan riippumatta tästä haavoittuvuudesta tai asiakkaan käyttöjärjestelmästä. Jos nettipankki käyttää vanhentunutta protokollaa (mitä se ei taatusti tee), ei yhteys ole turvattu (ei sen kompromisointiin tätä haavoittuvuutta tarvita).
En todellakaan ymmärrä miksei selaimiin ole kehitetty GPG tyylisiä julksien ja salaisen avaimen vaihtoon liittyviä turvallisuustekniikoita.
Nyt en täysin ymmärrä mitä tarkoitat, ssl/tls salaushan nimenomaan käyttää julkisen/salaisen avaimen tekniikkaa (sessio-avaimen luontiin).
-
?
Transport Layer Security pre-shared key ciphersuites (TLS-PSK) is a set of cryptographic protocols that provide secure communication based on pre-shared keys (PSKs). These pre-shared keys are symmetric keys shared in advance among the communicating parties.
Siis GPG/PGP tukeutuu ja perustuu asymmetriseen avainten hallintaan.
-
Transport Layer Security pre-shared key ciphersuites (TLS-PSK) is a set of cryptographic protocols that provide secure communication based on pre-shared keys (PSKs). These pre-shared keys are symmetric keys shared in advance among the communicating parties.
Siis GPG/PGP tukeutuu ja perustuu asymmetriseen avainten hallintaan.
ssl/tls protokolla käyttää sekä asymmetristä avainta (identifiointiin ja symmetrisen avaimen luontiin/jakoon) että sessio-kohtaista ("kertakäyttöistä") symmetristä avainta (varsinaiseen datasiirtoon). Pääasiallinen syy miksi näin tehdään on suorituskyky, asymmetrinen salaus on suhteellisen hidasta. Symmetristen avainten pääasiallinen ongelmahan on se, kuinka molemmat osapuolet voivat turvallisesti jakaa avaimen ilman että muut saavat sen selville. ssl/tls ratkaisee ongelman käyttämällä tässä vaiheessa asymmetristä salausta (eli käytössä on tavallaan molempien salaustapojen hyvät puolet).
https://www.digicert.com/ssl-cryptography.htm
https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake
-
Niin, nämä julkiset avaimet on allekirjoitettu root avaimilla jotka on yksityisten firmojen hallussa. Nämä löytyvät jokaisen käyttäjän koneelta. Nämä avaimet ei ole KÄYTTÄJÄN julkisia avaimia.
Toki tiedän että sillä kuuluisalla Pihtiputaan mummulla menee lusikat sekaisin jos pitäisi näitä miettiä ja hallita GPG avaimia.
-
Niin, nämä julkiset avaimet on allekirjoitettu root avaimilla jotka on yksityisten firmojen hallussa. Nämä löytyvät jokaisen käyttäjän koneelta. Nämä avaimet ei ole KÄYTTÄJÄN julkisia avaimia.
Juu, mutta ihan samalla tavalla pitäisi käyttäjänkin avainten olla jonkin "luotetun" tahon allekirjoittamia, jotta niitä voitaisiin pitää luotettavina. Eli ei asiakkaan avainten käyttö serveriavainten sijaan mitään tosiasiallista etua tässä suhteessa toisi (mitään teoreettista estettä tällaiselle ei tietenkään olisi).
Eikä asiakkaan avainta käyttämällä voida kuitenkaan molemminsuuntaista liikennettä salata, se toinen puoli jäisi edelleen serveriavainten (tai symmetrisen avaimen jaon ) varaan.
Ja nämä "yksityiset firmat" (certificate authorities) eivät siis tiedä sertifikaatin salattua/yksityistä avainta, vaan ainoastaan allekirjoituksellaan "todistavat" sertifikaatin kuuluvan tietylle taholle (sertifikaatin julkisella avaimella tehtyä salausta ne eivät siis pysty purkamaan)(1). Ja yleensähän sen serverin autentikointi "protokollan sisällä" on paljon tärkeämpää kuin asiakkaan.
Yleensä myös palvelimien ylläpitäjillä on myös paremmat resurssit ja tietotaitoa avainten turvalliseen ylläpitoon kuin mediaanikotikäyttäjällä. En toki väitä etteikö tuo asiantuntevalta käyttäjältä onnistuisi, en vain näe mitä etua tuo nykytilanteeseen toisi.
EDIT: SSL/TLS:n Symmetrinen salaus (kun avain voidaan asymmetrisesti salattuna turvallisesti jakaa) on käytännössä yhtä turvallinen kuin kokonaan asymmetrinenkin salaus (mutta nopeampi). Avaimet on riittävän vahvoja, ettei niitä voi reaaliajassa laskennallisesti murtaa, ja jos joku valtiollinen taho omaa riittävästi laskentatehoa, jotta ne saa murrettua jossain järjellisessä ajassa, murtaminen on käytännössä hyödytöntä sessio-avaimen lyhytikäisyyden vuoksi. Toki salauksen voi murtaa jonkun protokollan tai salausalgoritmin haavoittuvuuden/heikkouden/takaportin kautta (ja tästä syystähän sekä protokollia että algoritmejä kehitetään ja muokataan jatkuvasti), mutta tämä koskee ihan samalla lailla asymmetristä kuin symmetristäkin salausta (eli se asymmetrinen salaus ei ole tässä suhteessa turvallisempi).
(1) https://blog.digicert.com/where-is-your-private-key/
-
löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta
If you are using the Internet, there are the possibilities that you are open to attack. Eli tuon mukaan on ihan sama kumpaa käytät linuxia tai windowssia olet yhtä pahassa lirissä.