Kirjoittaja Aihe: Ohjelmistojen tietoturvariskeistä  (Luettu 140292 kertaa)

avanti

  • Käyttäjä
  • Viestejä: 454
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #40 : 30.08.12 - klo:23.57 »
Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.
---8<---
P.S. Kerro ihmeessä mistä sait koneeseesi "turvallisen Javan", kun sitä ei ainakaan muiden tietojen mukaan ole olemassa? Teitkö itse patchin? Mistä tiedät että siinä ei ole muita reikiä?

En ole niin väittänytkään, että olisin saanut turvallisen Javan. Enkä tiedä onko turvallista ohjelmaa olemassakaan. Oikeastaan voisi sanoa, että olen ottanut harkitun riskin. Olen saanut käsityksen, että Java 6 olisi vielä reikäisempi, joten seiska-versio olis pienempi riski. Toisaalta en pidä surffaamisesta, enkä ota vastaan roskapostiakaan.

ML
Matti Lamminen itäiseltä Vantaalta.
Intel NUC i5 prosessorilla.
Ubuntu 22.04.1 LTS

avanti

  • Käyttäjä
  • Viestejä: 454
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #41 : 31.08.12 - klo:00.01 »
Java taas loistaa olemassaolollaan: Cert-Fi Java 7

Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.

Tuossa oli mainittu vain testatut versiot, eli Cert-Fin kaverit eivät ole vielä siirtyneet uusimpaan, jossa lienee sama versio Javasta. Tosin jos käytät OpenJDK:ta ja sen kaverina IcedTea:a niin ilmeisesti sillä yhdistelmällä et nettiselaimen kautta saa tunkeutujia. Silti suosittelen ottamaan sen väliaikaisesti pois käytöstä ihan varmuuden vuoksi, jos Javalle ei ole muuta käyttöä. Eiköhän sieltä korjaus kohtapuolin tipu.

Koetin kyllä poistaa 7-version, jolloin 6-versio asentui, ja kun poistin 6-version niin 7-versio asentui automaattisesti. En oikein jaksa tällaisten teoreettisten asioiden (kannaltani) kanssa.

ML
Matti Lamminen itäiseltä Vantaalta.
Intel NUC i5 prosessorilla.
Ubuntu 22.04.1 LTS

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #42 : 01.09.12 - klo:12.16 »
avanti:n vastauksessa on aivan selkeä pointtinsa.

Edellä on hyvin revitelty auki kaikenlaisia mahdollisuuksia sille miten järjestelmään pääsee tunkeutumaan ja mitä teoreettisia tietoturvariskejä on olemassa. Nämä pohdinnat ovat lähinnä tietotekniikan ammattilaisille ja sikäli sopivat tähänkin ketjuun.

Yksilöä koskevissa turvallisuustarkasteluissa ei kuitenkaan lähdetä mistään absoluuttisesta tilanteesta vaan lähdetään riskienhallinnasta jossa todennäköisyyksillä on selkeä roolinsa. Esimerkiksi jos pelätään lentomatkailua, niin arkikielessäkin esitetään tämä irrationaalisena pelkotilana, koska todennäköisyys turmaan on niin pieni ja lentomatkailu on muihin vaihtoehtoihin nähden niin turvallista.

Silloin kun puhutaan tuotteen turvallisuudesta arkikielessä, niin yleensä puhutaan suhteellisesta turvallisuudesta johonkin muuhun nähden. Esimerkiksi aina on puhuttu "turvallisista autoista", jo vuosikymmeniä, vaikka niiden absoluuttinen turvallisuus on parantunut huimasti. Jokainen kuitenkin ymmärtää, että auto ei ole turvallinen kaikissa tilanteissa.

Jos et ole opetellut ajamaan ja ajat maantienopeudella kalliota päin, niin aina käy huonosti (=vastaa esim. törkeän huonoa taitoa käyttää tietokonetta).

Jos joudut pysähtymään moottoritielle ja 60 tonnin rekka tulee takaa päälle, niin aina käy erittäin huonosti riippumatta auton turvavarusteista (=vastaa erittäin huonoa tuuria WEBissä asioidessa).

Vaikka autossa on kaikki modernit turvavarusteet, mutta määräaikaishuollossa eivät ole tarkistaneet jarruputkien kiinnitystä ja siitä johtuen putket katkeavat ajossa, saattaa liikenteessä käydä erittäin huonosti (= vastaa sitä, että järjestelmän turvapäivityksistä ei ole ollenkaan huolehdittu).

Vaikka autossa on ABS-jarrut, mutta jos jään päällä on lunta, niin jarrutusmatka voi olla erittäin pitkä juuri ABS:n takia ja huonosti käy jos ajat vaikkapa kuorma-auton lavan alle (= vastaa sitä, että eivät tietokoneenkaan turvaohjelmat, kuten virustutkat, ole täydellisiä, kannattaisi ymmärtää turvajärjestelmien rajoitukset).


Näin siis voi käydä autolla joka on nykymittapuun ja arkikielen mukaan erittäin turvallinen.

Vastaavasti Linux-järjestelmässä kannattaa: osata käyttää jotta itse ei tee mitään järjestöntä (kalastelu, web-huijaukset), pitää huolta järjestelmästä (turvapäivitykset), parantaa omaa "tuuriaan" (kannattaa hetki harkita mitä WEBissä yleensäkään tekee ja millä koneella tekee), ymmärtää turvajärjestelmien rajoitukset ja olla riittävän varovainen jos itse asentaa ohjelmia, jotka toimivat aktiivisesti ulkomaailmaan päin (serveri-softat, etäyhteydet jms).

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #43 : 01.09.12 - klo:17.00 »
Nyt Java on turvallinen, eikus... ;)

http://www.theregister.co.uk/2012/08/31/critical_flaw_found_in_patched_java/

Tää on just tätä.

Juu, hyviä nuo auto esimerkit. Jossain toisessa paikassa oli todettu, että on ihan turhaa palkata pari henkivartijaa ja kuvitella olevansa turvassa, jos koko saattue tuhotaan ilmaiskulla. Näitähän on sattunut.

Turvaluokituksia on monenlaisia. Vaikka turvallisuus olisi kunnossa, pitää silti panostaa jatkuvaan tason ylläpitoon ja tiedusteluun jotta uhkiin osataan varautua.  Olisi kiva tietää millaisia juttuja mm. Facebookin, Googlen ja Paypalin tietoturva-osastoilla tulee päivittäin ilmi. Puhumattakaan sitten jostain pankeista, pörsseistä ja sotilas-järjestelmistä. Voipi tulla aika mielenkiintoisia havaintoja. Kuten kaikki varsin hyvin tiedämme, se on varmasti promillen murto-osa joka pääsee uutisiin asti. Melkoisen varmaa, että uusia ongelmia ilmenee joka päivä ja jotain tosi mehevää viikoittain.

Jotkut tietoturva-asiantuntija jotka ovat oikeasti näistä ajantasalla, ovat sanoneet että turvallista järjestelmää ei ole, eikä tule. Monikerroksiset turvajärjestelmät sitten (toivottavasti) paljastavat, että joku toinen järjestelmä vuotaa ja sitä kautta saadaan taas yksi reikä tukittua. Mutta siis näiden ongelmien tukkiminen on aivan jatkuva prosessi.

Mitä ilmeisimmin pankit ja pörssit jne. tahot eivät uutisoi ongelmiaan, koska niitä aivan varmasti on, mutta ei vaan näy mediassa.

2-mieli-FI-poliisi

  • Vieras
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #44 : 01.09.12 - klo:21.27 »
Mitäköhän tämä uutinen käytännössä tarkoittaa?

Ubuntu 12.10 Adds Encrypted Installation.
http://news.softpedia.com/news/Ubuntu-12-10-Adds-Encrypted-Installation-289430.shtml

Kaippa tuokin on entistä turvallisempi, mutta paha on mennä sanomaan kun en ole flunssan vuoksi saanut viikkoon edes maitopurkkia auki googlettamatta ensin kuvaohjetta.

Pieni askel ihmiskunnalle, mutta Atlantin ylilento pingviinille.  ::)
Pieni asken pingviinille, mutta Mars lento ihmiskunnalle.   ;D
« Viimeksi muokattu: 01.09.12 - klo:21.33 kirjoittanut 2-mieli-FI-poliisi »

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #45 : 01.09.12 - klo:21.39 »
Mitäköhän tämä uutinen käytännössä tarkoittaa?

"Keep in mind though, that any files outside the Ubuntu installation will not be encrypted."

Selviää hemmetin huonosti tuosta tekstistä mistä on kyse. Oletan kuitenkin, että tuo tarkoittaa bootti / käyttöjärjestelmä partition "full disk encryptionia". Mutta tämä ei perustu tietoon, vaan puhtaaseen oletukseen siitä mikä olisi järkevää.

Hyötynä mm se, että koneen järjestelmää voi muokata, koska kyrptaus tuo samalla validoinnin datalle.  On olemassa iso riski, että jos koneessa on mm. true crypt volumeja, niin koneeseen salaamattomalle osiolle tehdään muutoksia mm, key-logger / crypto-key-capture softa tms. Jonka jälkeen salattujen osioiden purkaminen on lasten leikkiä. Näin voidaan siis jättää kone odottamaan sitä, että käyttäjä paljastaa salausavaimen. Salaamalla järjestelmätiedostot ja bootti, voidaan tehdä tuo hyvin olennaisesti vaikeammaksi. Vaikka monia muita triviaaleja konsteja jää jäljelle, kuten mm. pöytäkoneen tapauksessa yksinkertainen usb-loggeri.

Koskas olet viimeksi tarkistanut onko koneen takana sellaista? Sitten kun olet mennyt avaamaan salatut partitiot hakevat vaan sinut ja koneen talteen, eikä tarvii enää kysellä ikäviä kysymyksiä salausavaimista kun ne on niillä jo olemassa.

Hmm? Onko TrueCyptiin olemassa mitään TOTP autentikointia? Voiko edes toimia? Pitänee miettiä ja Googlata lisää jossain vaiheessa. Toki erillinen avain voi olla, mutta onko mahdollista olla vaihtuvaa 2FA autentikointia.

Tässä muuten juuri tänään lueskelin: http://www.solidpass.com/authentication-methods/sign-what-you-see.html <- Noilla on vihdoinkin ratkaisu jossa data allekirjoitetaan ja samalla käyttäjä myös varmistuu datasta ennen sen allekirjoittamista. Useimmat 2FA ratkaisut kun eivät auta yhtään mitään MitM tilanteissa.


Jallu59

  • Käyttäjä
  • Viestejä: 3430
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #46 : 01.09.12 - klo:22.42 »
Ainakin kotikäyttäjiltä pitäisi estää kryptattujen osioiden käyttö. Kun systeemi nyrjähtää, niin mitään ei saada pelastettua ei edes niitä ainutlaauisia kuvia kymmeneltä vuodelta, kun ammoisia aikoja sitten systeemiä luotaessa annettu salausavain ei enää muistukaan mieleen.

T:Jallu59
Jari J. Lehtinen, Wanhempi (iki?)tietoteekkari & tietotekniikkakonsultti Turust, P4-HT / 3,0 GHz, Intel945 IGP 226MB & 4GBram & UbuntuStudio 14.04. Toshiba Satellie 50-C, i5 dual-core 2,3GHz, ubuntu-mate 16.04 LTS

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #47 : 02.09.12 - klo:12.07 »
Ainakin kotikäyttäjiltä pitäisi estää kryptattujen osioiden käyttö. Kun systeemi nyrjähtää, niin mitään ei saada pelastettua ei edes niitä ainutlaauisia kuvia kymmeneltä vuodelta, kun ammoisia aikoja sitten systeemiä luotaessa annettu salausavain ei enää muistukaan mieleen.

Nyt menee vähän asiat sekaisin. Jos järjestelmä on kryptattu, tarvitaan salausavain joka bootissa. Eli konetta ei saa edes bootattua ilman salausavainta.

Mutta se onko mm. master-blokki/header varmistettuna jossa on tuon käyttäjän antaman salausavaimen perusteella salattuna levyllä oikeasti käytetty salausavain, niin on sitten toinen juttu. Tuo kyllä suositellaan aina varmistamaan. En muista miten bitlocker tämän tekee, mutta mm. truecryptin tapauksessa juuri tuo master-blokki on aivan ehdottoman tärkeä, koska jos se tuhoutuu, levyltä ei saa mitään ulos. Toisaalta ihan yhtä tärkeä on myös tuon master-blokin salaukseen käytetty avain, eli se salasana ja mahdollisen key-fileen hashi.

EFS toimii eri tavalla, siinä on käytetty tiedostokohtaista salausavainta, joka taas on salattu käyttäjätunnuksen perusteella. Näin ollen mm. heikolla salasanalla salatut tiedostot ovat kuitenkin erittäin vahvasti salattuja, mikäli tuota koneella olevaa (PKI) EFS master salaustietoa ei ole olemassa. Mutta jos löydät  USB-tikun jossa on EFS fileitä, on niiden purkaminen käytännössä täysin mahdotonta, koska jokaisella tiedostolla on vielä oma salausavaimensa.

Siksi nuo EFS avaimet ja mm. true cryptin masterblokki, sekä niihin liittyvät avaimet, kannattaa aina tallentaa huolellisesti talteen. Muuten korruptoitumis / levy-rikko tilanteessa ei ole käytännössä yhtään mitään tehtävissä.

Toisaalta, ihan kuten EFS recovery keyssä on oma salausavain, niin kannattaa järjestelmästä tietysti ottaa säännöllisesti varmuuskopiot. Tietenkin salattuna, mutta jälleen tallessa olevalla, vahvalla ja eri avaimella. Näin ollen vaikka pääjärjestelmä tuhoutuisi, voidaan tiedot palauttaa backupista. Toisaalta taas jos backup joutuu väärin käsiin, niin sekään ei huoleta, kun tiedot on riittävän vahvasti salattuna.

Pakko myöntää, että olen muutaman USB-tikun joskus hukannut, joilla on ollut hyvinkin luottamukselista tietoa. Mutta kertaakaan ei ole päässyt hiki tulemaan pintaan, kun olen tiennyt että se on ihan sama mitä tietoja tikulla on, kun niiden purkaminen on kaikille muille kuin tiedustelupalveluille täysin mahdotonta. Joten no sweat. Tilanne olisi ollut täysin toinen, jos tiedot olisivat olleet salaamattomia. Siinähän sitä sitten kärvistellään, kertoakko ja hävetä silmät päästään ja kärsiä mahdolliset seuraukset. Vai toivoa vaan, että löytäjä ei tajunnut mitä sai käsiinsä ja ei koskaan väärinkäytä saatuja tietoja. Tuostakin olisi kiva tehdä ihan kliininen testi joskus, pudotella vaikka parikymmentä USB-tikkua ympäri stadia, johon on laitettu mm. login tunnuksia palvelimille, verkkopalveluihin, luottokortti (oikeat numerot, mutta ennakkoon sulkulistalla oleva), ssh avaimia tms ja katsoa yrittääkö kukaan käyttää noita tietoja väärin.

Melkein voisin vannoa, että mm. ssh avaimia ei tajua kukaan yrittää käyttää väärin jos otos on vain 20 tikkua.

Mutta tämähän meneekin enemmän normaalin tietoturvan ja tietoturvariskien puolelle kuin ohjelmistojen aukkoihin.

Kukaan ei ole vielä täällä kertonut miten turvalliset ohjelmat tunnistetaan. mm. kryptografia on ollut yksi osa-alueista joissa snake oilia on ollut paljon liikenteessä. Joko alogritmit on viallisia, niiden soveltaminen on puutteellista tai vielä pahempaa, ohjelma on ihan puhdasta snake oilia, jossa vaaditaan "salasana", mutta data ei ole edes oikeasti kryptattua tuon salasanan perusteella. Ohjelma vaan ei suostu avaamaan / näyttämään tietoja jos salasana on väärin. Köh, tuollaisiakin ohjelmia sattumalta tiedän. ;) Salasana on tiedostossa plaintextinä ja sitten vaan tiedostoa avattaessa verrataan käyttäjän antamaa salasanaa tuohon tiedostossa olevaan salasanaan. No joo, kyllä tuokin 99% käyttäjistä saa kuvittelemaan että tiedot on tallessa. Kuinka moni rupeaa analysoimaan tiedoston sisältöä, aika harva peruskäyttäjä.

mm. tämä sovellus sanoo salaavansa tiedot luotettavasti, mutta missään ei ole mitään selvitystä siitä miten tämä luotettavasti salaaminen tapahtuu?

http://www.appsense.com/labs/data-locker

Xorataan koko tiedosto salasanalla perinteisellä ECB menetelmällä? Ouch!

Parhaita huijauksia mielestäni oli mm. pakkaussovellus, joka itseasiassa tallensi vain referenssit lähdetiedostoihin. Oli tosi tehokas, pakkasi hyvin ja nopeasti... Mutta sitten kun poistit lähdedatan, niin oops. Eipä pystynyt enää purkamaan mitään takaisin. Heh heh...

Mut nyt pitää blogata, tuli turhan paljon raapusteltua tänne.

JussiK

  • Käyttäjä
  • Viestejä: 102
    • Profiili
Linux troijalainen
« Vastaus #48 : 04.09.12 - klo:10.18 »
« Viimeksi muokattu: 04.09.12 - klo:12.21 kirjoittanut ajaaskel »

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
2FA, MFA, knockd, ssh, https, TOTP jne perussettiä.
« Vastaus #49 : 17.09.12 - klo:18.16 »
Tossa vähän viikonloppuna tunkkasin mun serverin kanssa.

Monenlaista autentikointikikkaretta tuli käytettyä, nyt on todellakin multi-factor authentication. ;)

Nyt on tietokantojen suorituskyky testit menossa, mutta niistä lisää myöhemmin ja omana juttunaan. Datat on siirtymässä juuri tuotannosta testikantoihin, joilla ajan testit.
« Viimeksi muokattu: 17.09.12 - klo:19.13 kirjoittanut Sami Lehtinen »

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #50 : 26.09.12 - klo:18.50 »
Tässä sitä taas ollaan, se "turvallinen java" jonka asensitte, ei olekkaan niin turvallinen.

1: https://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-156.html
2: http://arstechnica.com/security/2012/09/yet-another-java-flaw-allows-complete-bypass-of-security-sandbox/

Kuten huomaatte, tämäkin "ominaisuus" on ollut hyvin pitkään siellä, joten kyse ei ole "uudesta" ongelmasta, vaan vanhasta ongelmasta joka nyt vasta on tullut julkisuuteen.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #51 : 07.11.12 - klo:18.55 »
Tässä on juuri tätä ehdottoman parasta a-luokan win kategoriaa. ;)

Tietoturva-ohjelmisto tekee järjestelmästäsi haavoittuvan hyökkäyksille.

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #52 : 08.11.12 - klo:10.44 »
Tässä on juuri tätä ehdottoman parasta a-luokan win kategoriaa. ;)

Tietoturva-ohjelmisto tekee järjestelmästäsi haavoittuvan hyökkäyksille.

Windowsin tietoturvaohjelmien syntilista on tosiaan varsin pitkä.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #53 : 10.11.12 - klo:15.30 »
Tietoturva on vaikeaa, kuten on jo todettu. Tällä viikolla törmäsin PHP malwareen. Kaikkea ne krakkerit tekevätkin. Mitä ilmeisimmin ensimmäinen malware layeri niillä oli vaan jonkinlainen automatisoitu kartoituskerros, jolla ne varmistavat onko massoittain tehdyt murrot onnistuneet. Sattuneista syistä järjestelmä ei kuitenkaan suorittanut tuosta skriptiä. Purkin skriptin kömpelön obfuskaatio suojauksen (zlib&base64 iteratiivisesti) ja sen jälkeen katselin koodia. Koodissa oli curl kutsuja parille Saksassa olevalle serverille. Koska skriptit eivät poimineet mitään dataa paikallisesti, vaan kuuntelivat verkosta tulevaa dataa ja välittivät kutsuja eteenpäin ajoin noi skriptit muutamalla eri parametrillä testimielessä. Tulos oli se, että kohde-serveri vastasi kuitenkin jokaiseen pyyntöön 404. Joten ehkä se teki datalla jotain, ehkä ei. Skripti kirjoitti myös paikallisia logi-fileitä, joten mahdollisesti tuolla toisessa päässä oli vain hyvin samanlainen skripti ja krakkerit näin ketjuttavat koneita. Todennäköisesti tuotakin murrettua palvelua olisi sitten vain käytetty eteenpäin murtautumiseen ainakin johonkin pisteeseen asti. Logien huolellisen läpikäynnin perusteella oli selvää, että olivat vain pudottaneet tuon skriptin palvelimelle ja yrittäneet ajaa sitä, joka oli sattuneista syistä epäonnistunut.

Mielenkiintoisinta tässä on se, että skripti oli uploadattu käyttäen FTP:tä ja sellaista käyttäjätunnusta jolla oli 12 merkkiä pitkä satunnainen salasana. Tämä on hyvin mielenkiintoista. Tarkoittaa sitä, että tuo FTP salasana oli saatu jonkun muun tietomurron / tietoliikenteen tarkkailun kautta tai sitten FTP serverissä on joku exploitti jonka kautta pääsivät sisään.

Logit on tarkassa seurannassa ja ihmetellään mitä tästä seuraa. Sekä luonnollisesti FTP on toistaiseksi tukittu palomuurissa.

Mikäli tästä tapauksesta tulee jotain lisäinfoa, niin todennäköisesti bloggailen siitä.

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #54 : 10.03.13 - klo:03.27 »
Sudo-komennossa haavoittuvuus: http://www.ubuntu.com/usn/USN-1754-1/ (koskee myös muita Debian-sukuisia jakeluita)

Postimies

  • Käyttäjä
  • Viestejä: 2619
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #55 : 10.03.13 - klo:04.25 »
Sudo-komennossa haavoittuvuus: http://www.ubuntu.com/usn/USN-1754-1/ (koskee myös muita Debian-sukuisia jakeluita)

Itse en juuri käytä sudo-komentoa ja olenkin ihmetellyt kun se kysyy salasanaa vain kerran. su - on kätevämpi monesti (Linux standardi) ja Ubuntu on jostain syystä poikennut siitä.
« Viimeksi muokattu: 10.03.13 - klo:13.53 kirjoittanut Postimies »

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #56 : 10.03.13 - klo:08.38 »
Sudo-komennossa haavoittuvuus: http://www.ubuntu.com/usn/USN-1754-1/
joka on tuetuissa Ubuntu-versioissa korjattu 28.2. julkaistuissa päivityksissä.
Ubuntu 12.10 Quantal Quetzal

Illu

  • Käyttäjä
  • Viestejä: 1058
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #57 : 10.03.13 - klo:09.55 »
"A local attacker could use this issue to run Sudo commands without a password prompt."

Tarkoittaako tuo vain "kotiverkkoa", eikä siis seinien ulkopuolelta hyökkäävää?

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #58 : 10.03.13 - klo:10.15 »
Se tarkoittaa koneelle sisään kirjautunutta käyttäjää (mukaan lukien itsesi, jos joku harhauttaa sinut suorittamaan haitallista koodia). Sillä, onko käyttäjä kirjautunut olemalla fyysisesti paikalla, lähiverkosta tai Internetistä käsin, ei sinänsä ole merkitystä.  
Ubuntu 12.10 Quantal Quetzal

Postimies

  • Käyttäjä
  • Viestejä: 2619
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #59 : 10.03.13 - klo:14.07 »
Se tarkoittaa koneelle sisään kirjautunutta käyttäjää (mukaan lukien itsesi, jos joku harhauttaa sinut suorittamaan haitallista koodia). Sillä, onko käyttäjä kirjautunut olemalla fyysisesti paikalla, lähiverkosta tai Internetistä käsin, ei sinänsä ole merkitystä.  

Monissa jakeluissa on esim. ssh oletuksena päällä. Jos pääsee sillä sisälle ja vielä sudo tai su onnistuu niin ....
Ohjelmien käynnistämisen voi estää käyttäjän kotihakemistossa, mutta muistaakseni se ei koske scriptejä. Joten rajoitus on helposti kierrettävissä.