Kirjoittaja Aihe: Ohjelmistojen tietoturvariskeistä  (Luettu 152404 kertaa)

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #60 : 10.03.13 - klo:17.16 »
Alkaa menemään nää uhkat sen tasoisiksi, että ns. tavallisella tallaajalla ei ole edes teoreettisia mahdollisuuksia saada turvallista järjestelmää.

https://threatpost.com/en_us/blogs/how-facebook-prepared-be-hacked-030813

http://thehackernews.com/2013/03/chrome-firefox-java-ie10-exploited-at.html

Ei siis taida olla yhtään turvallista selainta, käyttöjärjestelmää tai pluginia. Kaikki on suorastaan Sveitsiläisiä juustoja.

Turvallisen ja monimutkaisen softan tekeminen näyttää olevan käytännössä mahdotonta. Näin ollen selaimet, officet, pdf readerit, kuvien ja videoiden decoderit, käyttöjärjestelmä jne, ovat lähes "varmasti" rikki.

Mielenkiintoista muuten todeta, ettei mm. NaCl tekniikasta ole mielestäni uutisoitu exploitteja. Luin dokumentaation miten ovat sitä suojanneet ja ainakin minua jäi huolettamaan kovasti se, että koodi pääsee vuotamaan ulos sandboxistaan.

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #61 : 10.03.13 - klo:21.00 »
Alkaa menemään nää uhkat sen tasoisiksi, että ns. tavallisella tallaajalla ei ole edes teoreettisia mahdollisuuksia saada turvallista järjestelmää.

Eikö sitä ole aika turvassa jos kaikki palvelut on pois päältä ja selain ilman epämääräisiä plugeja.
Tosin moni media-soitin tykkää myös verkosta. Vaikka sitä luulee, että verkoon ei ole yhtään palvelua päällä, joku media-soitin voi moista silti pitää päällä.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #62 : 12.03.13 - klo:18.24 »
Eikö sitä ole aika turvassa jos kaikki palvelut on pois päältä ja selain ilman epämääräisiä plugeja.

'Aika', kun nykyisissä selaimissa ja käyttiksissä on molemmissa niin paljon reikiä, että tuntuvat pääsevän tuollaiseenkin järjestelmään melkovarmasti jos vaan tietävät missä vierailet selaimesi kanssa, eli murtautuvat sinne ensin.

Tavallisilla käyttäjillä ja organisaatioilla ei ole edes teoreetitsia mahdollisuuksia olla turvassa. ;(

Tämän lisäksi pitäisi tietenkin valvoa tarkasti kaikkea verkkoliikennettä niin sisään kuin ulospäinkin, jotta mahdolliset 2C yhteydet havaitaan. Sekin on ihan herrassaan että havaitaanko niitä vai ei.

Näyttää yhä enemmän siltä, mikä on aina ennenkin pitänyt kutinsa. Turvalliset järjestelmät pitää eriyttää monikerroksisilla ratkaisuilla julkisista järjestelmistä ja jokaisessa vaiheessa pitää olla moninkertaiset ja testatut tietoturvajärjestelmät käytössä. Henkilötön ja käyttäjien pitäisi olla tilanteen tasalla, kuten myös kaikki softien ja palvelujen toimittajat pitäisi auditoida säännöllisesti jne. Huhhuh, aika raskaaksi menee.

Luin tässä justiin huvikseni PCI SSC:n dokkarit ja HIPAA:t siihen päälle. Totuus on siinä, että tietoturvaa varten tarvitaan kokonainen osasto ja sinne pitkän kokemuksen omaavat kaverit, että hommasta tulee edes jotain. Tämän lisäksi tarvitaan mittavat auditoinnit ja dokumentoidut prosessit kaikkiin toimenpiteisiin joista ei saa poiketa ennakkoon selvästi määriteltyjen sanktioiden uhalla. Sitten pitäisi olla vielä testatut ja todistettavasti toimivat prosessit kaikkien asioiden vaihtamiseen, kaikki tieto pitää aina salata turvalliseksi todetuilla ja todistetuilla menetelmillä kun sitä siirretään verkon yli. Verkkoautentikoinneissa pitää käyttää aina vaihtuvia tunnuksia, eikä silloinkaan koskaan saisi käyttää konetta jonka suhteen on pieniäkin tietoturvaepäilyksiä.

Mulla on juuri näistä syistä erikseen koneet joilla hoidetaan päivittäistä nettiasiointia ja sitten erilliset koneet joilla hoidetaan luottamuksellista viestintää, nämä koneet eivät ole internettiin kytkettynä. Mutta kuten tiedämme, tuokaan ei estä päteviä kavereita. Sanotaan että siirrän vaikka ASCII armored viestin tästä koneesta RS-kaapelilla tuohon turvalliseen koneeseen. Se on aika turvallista vielä, mutta kun alan purkamaan samonaa GPG:llä, mikään ei takaa, etteikö GPG:ssä olisi bugia / backdooria jonka kautta homma alkaa menemään pahasti pieleen.

Kolmantena kannattaa pitää vielä sellaista ympäristöä, joka on täysin erillinen asioille joita ei halua linkattavaksi itseensä. Yhteydet mm. omna pre-paid nettiliittymän kautta ja koneen käynnistäminen aina puhtaalta imagelta joka bootin yhteydessä, koneessa ei kannata pitää mitään kirjoituskelpoista tallennusmediaa. Näin kone käynnistyy joka kerta täysin puhtaana ympäristönä, eikä siinä ole mitään personoivaa dataa saatavilla vaikka se pwnattaisiin.

Monissa ympäristöissä on vielä se ongelma, että tietoturva on se viimeisin ajatus mitä kukaan vaivautuu ajattelemaan, vaan kaikki asiat tehdään ensin ja sitten jos tulee tietoturvaongelmia niitä paikkaillaan myöhemmin. Tietoturvan kannalta tämä on luonnollisesti varsin katastrofaalinen lähestyminen.

Monet varoittelee mm. pilvipalveluiden tietoturvasta, mutta ns. normaaliin tasoon nähden Amazonin ja Googlen tietoturva on varmasti monta kertaa paremmalla tolalla, kuin random X web-hostaajan Suomessa.

Se että koneeseen ei pääse verkosta, ei riitä. Koska mikä tahansa sovellus / ohjelma joka muodostaa verkkoonpäin voi olla se kikka jolla koneelle päästään. Samoin automaattiset päivitykset on suunnaton riski, varsinkin silloin kun niiden prosesseja ei ole erittäin huolellisesti hiottu tietoturvaosaston toimesta.

Uskon että mm. F-Securella ja Microsoftilla on noi hommat hallussa. Mutta sellaisia softatoimittajia joilla homma ei ole samalla tasolla on maailmassa aikas monta.

Muistakaapa nyt mm. se SSH key generation fail, se oli todella vakava ja silti meni läpi kaikista suojausprosesseista.

Edit, linkki lisätty:
https://www.pcisecuritystandards.org/security_standards/documents.php

Näitä tietoturva aspekteja on myös sivuttu paljon monissa keskusteluissa, joissa on pohdittu miten vaikeaa on mm. Pystyttää Tor-hidden service, jos oletetaan että palvelu ei miellytä kaikkia ja sitä vastaan yrittää oikeasti pätevät kaverit hyökätä tosi tarkoituksella. Tuokin vaatii monikerroksisen lähestymisen asiaan, samoin jos kohde järjestelmä murretaan, niin kaikki mahdolliset tavat päästä ulos siitä järjestelmästä pitää olla tukittu vielä muilla tavoilla. Jotta koneen pwnaaminen sallii vain palvelun kaappaamisen, ei palvelimien sijainnin selvittämistä. Toisaalta, tuossa tapauksessa olisi varsin luonnollista ajaa noita palvelimia paikassa X joka itsessään on luotu Toria käyttäen, kaikki ylläpito tehdään Torin (tai vastaavan anonymisoivan proxy networkin, kuten botnetin) kautta ja tämän lisäksi kaikki maksutavat / muut asiaan liittyvät tekijät on erittäin huolellisesti anonymisoitu. Tästä voisi muuten luoda oman keskustelun jos jotakuta kiinnostaa jutustella.

Watering hole ja RAT hyökkäykset on nykyjään kovin yleisiä ja noilla saadaan helposti suuriakin määriä koneita haltuun. Onneksi monessa tapauksessa ilmeisesti hyökkääjät saavat niin paljon koneita haltuun, etteivät ne ehdi edes tarkastamaan mitä lottovoittoja koneilla saattaisi olla. Monesti ovat missanneet ne mahikset joita olisi ollut kyseisen koneen ownaamisen kautta mahdollista hyödyntää, mutta ei ole silti kiinnostanut. Tilanne olisi luonnollisesti täysin toisenlainen, mikäli kyse olisi tarkasti kohdennetusta hyökkäyksestä jolloin hyökkääjällä on erilainen agenda.

Kannattaa myös miettiä erilaisia turvallisuuden kannalta ajateltuja Linux distribuutioita. (Security Hardened / Enhanced Linux). Totuus on kuitenkin siinä, että jos käytät Lynxiä kummallisempaa selainta, niin mitä todennäköisimmin se on aivan varmasti turvaton.

Lue mm.
https://en.wikipedia.org/wiki/Security-Enhanced_Linux
https://en.wikipedia.org/wiki/Multilevel_security

Katso myös LPS, Surprise! ja se klassikko Tails.

Kunkahan moni Tailsin lataaja edes tarkistaa lataamansa imagen signaturen? Ei sinänsä, että se mitään oikeasti takaisi.

Koodia: [Valitse]
gpg tails-i386-0.17.iso.pgp
Detached signature.
Please enter name of data file: tails-i386-0.17.iso
gpg: Signature made 2013-02-23T17:34:53 EET using RSA key ID BE2CD9C1
gpg: Good signature from "Tails developers (signing key)
<tails@boum.org>"
gpg:                 aka "T(A)ILS developers (signing key)
<amnesia@boum.org>"

Jokaisen ohjelmiston osata jossa on automaattiset päivitykset, pitää käydä läpi
A) miten automaattisten päivitysten oikeellisuudesta voidaan varmistua mm. allekirjoituksen avulla ja sitten tietysti
B) Mitkä kaikki tarkistukset sille tehdään, ennen kuin sovellus  suostutaan allekirjoittamaan.
C) Riski voi olla esim se, että allekirjoittajalla on pääsy koodiin ja hän pystyy allekirjoittamaan koodin. Tämä tarkoittaa sitä, että tietoturva on yhden ihmisen varassa, joka on tietenkin tavalla tai toisella korruptoitavissa, kuten historia on näyttänyt.

Jos nuo tekijät eivät ole yksityiskohtaisesti dokumentoitu ja tai dokumentaatiota ei noudateta, ollaan heti leväperäisillä vesillä liikenteessä.
« Viimeksi muokattu: 12.03.13 - klo:20.26 kirjoittanut Sami Lehtinen »

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #63 : 12.03.13 - klo:22.39 »
Samin viestistä tulikin mieleeni: http://xkcd.com/1181/
Kannattaa vilkaista myös "kuvateksti" (img-tagin title-attribuutti eli se teksti, joka ilmestyy, kun hiiren vie kuvan päälle).
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #64 : 17.03.13 - klo:13.13 »
Samin viestistä tulikin mieleeni: http://xkcd.com/1181/

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Oli kyllä hillitön. Juuri noin monet toimivat.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAlFFoqgACgkQrgJ3hCdO9iZ5NQCfcMGHXthiuXBbFLVoeRy6clhb
K+IAmQFEtOXq7LeI6Oz1lwRaGP3Iglfs
=jyJB
-----END PGP SIGNATURE-----

Sitten seuraavaan asiaan. Huomaako moni että monet sovellukset ovat tietoturvariskejä vaikka toimivat täysin asiallisesti. mm. Skype keississä jossa tunnukset murrettiin salasanapalautksen kautta (eli todella triviaalia) saatiin käyttäjien chat logit ladattua koneilta.

Nykyisessä verkottuvassa ja pilvistyvässä maailmassa tietojen hallinta on yhä vaikeampaa. Aikaisemmin oli helppoa valita, että haluan juuri tämän tiedon tallennettavaksi vain ja ainoastaan tähän paikkaan. Mutta nykyisillä ohjelmistoilla tuo on mahdotonta. Tietoja vuotaa swappiin, erilaisiin temp tiedostoihin, tietokantoihin joista recordit deletoidaan mutta data jää silti kantaan makaamaan, joko free listattuna tai sitten ihan tarkoituksella kuten MVCC kantojen tapauksessa käy. Samanlaisia träppejä on mm. softat jotka tallentaa kuvista jotain thumbnaileja tms. Tietysti fulldisk encryption auttaa, mutta tiettyyn rajaan, kuten tuossa alla tulen toteamaan. Kone on ihan samaa riistaa kuin muutkin, silloin kun salaus on avattuna.

Softat vuotavat sellaisia yksilöviä tietoja nettiin, joita en ole koskaan pyytänyt lähetettäväksi. Mainionta esimerkkinä mm. selainten fingerprinttaus palvelut. Olen aina ollut omilla koneillani niissä uniikki käyttäjä, koskaan ei ole tullut vielä collisionia. Tarkoittaa sitä, että pelkstään selaimen tiedoista olen täysin yksilöitävissä. Ei tarvitse logata sisään, postata mitään tms.

Tässä vähän jatkolukemista tästä, nimenomaisesti internetin osalta.
http://edition.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html?eref=edition

Ongelmat eivät tosin rajoitu vain ja ainoastaan internettiin. Kuten tuossa sanoin, erillisestä turvallisesta työasemasta, jos sen boottaisi mm. usb-tikulta jolle voi kirjoittaa. Niin ihan salettiin haxxorit saisivat tiedot  siirrettyä tuon usb-tikun kautta ulos ja sisään, kuten todistetusti ovat jo monissa tapauksissa tehneetkin. Näin ollen erillinen turva-asema jolle siirretään tietoa usb-tikulla, eikä sitä ole kytketty nettiin, ei ole sekään turvallinen, niin kurjaa kuin tämä maailman meno onkin.

Yllättävän monet softat loggaa, vuotaa ja tallentaa sellaisia tietoja, joita en yksiselitteisesti pyytänyt tallennettavaksi. Kaikkein selvimpiä on vuodot joissa mm. näkyy että koneella on viimeksi käsitelty tällaisia tiedostoresursseja.  Entäs sitten kun open office sanoo että /media/truecrypt/nk-secret-missile-program/project-plan-b18.ods on viimeinen asiakirja jota koneella on käsitelty. Ei pistäisi hymyilyttämään yhtään jos olisi tosi kyseessä. Pääsee Guantamoon rubber hose kräkättäväksi. Siinä on sitten hyvä sanoa, että ihan oikeasti, mä olen unohtanut sen truecrypt volumin salasanan. Tuo on myös joissain maissa iso ongelma, että olettavat että salatut tiedostot on mahdollista purkaa. Varmasti jokainen on joskus unohtanut jonkun salasanan, vaikka tietysti kriittisten resurssien kohdalla tuon ei pitäisi olla mahdollista. ;)

-- Päivän off-topic horinat tähän samaan, ettei tarvii postailla enempiä --

Mutta tällaset horinat tähän väliin, nyt mä jatkan nodejs, GoLang ja PostgreSQL testailua. PostgreSQL manuaali on tullut luettua ja ymmärrettyä jo kokonaan. Eipä ihme että noi NoSQL kannat on "suositumpia", tollaisen kannan tekemiseen kuin PosgtreSQL kaikkine ominaisuuksineen voi vierähtää pieni hetki. ;) Pistin virtuaalipalvelimen pystyyn testiympäristöillä. Kuhan noista selviän niin sitten on seuraavaksi tiedossa Apache Cassandran kanssa leikkimistä.

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #65 : 17.03.13 - klo:20.15 »

Ongelmat eivät tosin rajoitu vain ja ainoastaan internettiin. Kuten tuossa sanoin, erillisestä turvallisesta työasemasta, jos sen boottaisi mm. usb-tikulta jolle voi kirjoittaa. Niin ihan salettiin haxxorit saisivat tiedot  siirrettyä tuon usb-tikun kautta ulos ja sisään, kuten todistetusti ovat jo monissa tapauksissa tehneetkin. Näin ollen erillinen turva-asema jolle siirretään tietoa usb-tikulla, eikä sitä ole kytketty nettiin, ei ole sekään turvallinen, niin kurjaa kuin tämä maailman meno onkin.


Tuota en ihan tajunnut... Toki jos työasemaan saa tietoa USB-tikulta, niin saa sitä tietysti sieltä uloskin. Kyllä minä pitäisin työasemaa joka ei ole verkossa kiinni melko turvallisena. Toki työasema, jonka voi käynnistää ulkoiselta medialta ei ole koskaan turvallinen.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #66 : 18.03.13 - klo:19.33 »
Niin ihan salettiin haxxorit saisivat tiedot  siirrettyä tuon usb-tikun kautta ulos ja sisään, kuten todistetusti ovat jo monissa tapauksissa tehneetkin.

Toki jos työasemaan saa tietoa USB-tikulta, niin saa sitä tietysti sieltä uloskin. Kyllä minä pitäisin työasemaa joka ei ole verkossa kiinni melko turvallisena. Toki työasema, jonka voi käynnistää ulkoiselta medialta ei ole koskaan turvallinen.

Työaseman käynnistäminen ulkoiselta medialta ei liity mitenkään tähän tietoturva ongelmaan. Ylipäätänsä peli on menetetty jos joku pääsee koneen luokse jonka ei ole siihen tarkoitus päästä käsiksi. Se luo sellaisen määrän erilaisia vaihtoehtoja kiertää kaikki mahdolliset salaukset ja turvatoimenpiteet, että peli on menetetty siinä vaiheessa. Eikä koneeseen edes tarvitse koskea, tilaan voidaan vaikka asentaa piilokamerat, tempest anturit, näppäimistön signaalin sieppaajat. Menetelemien lista on loputon, toiset käytännöllisempiä kuin toiset.

Eihän teistä kukaan kirjaudu koneele mm tilassa jossa on ikkunosita mahdollisuus nähdä tunnukset?

Takaisin asiaan. Eli pointtini oli siinä, että USB-tikun mukana voi tulla myös ei toivottua dataa. Jos en ihan väärin muista, niin juuri löytyi Windowssista merkittävä bugi, jolla koneen kuin koneen voi kaapata suoraan jos vain pääsee sen usb-porttiin käsiksi. Tämä siis nimenomaisesti tukee tuota aikaisempaa mallia, jossa ensin huolehditaan fyysisestä turvallisuudesta.

Pointti on siinä että jos siirrän koneelta A koneelle B tietoa USB-tikulla ja koneella B on paljon muuta salaista tietoa on täysin mahdollista tehdä koneella A temput tuolle tikulle ja kun vien sen koneeseen B saavat kopioitua halutut tiedot tuosta koneesta tikulle, jotka sitten kone A lähettää ystävällisesti eteenpäin kun tikku tulee takaisin siihen. Tämä ei ole mitään uutta. USB-tikun kanssa on liian vaikeaa valvoa tehokkaasti mitä tietoa ja kuinka paljon sitä siirtyy.

Kun taas siirrän tiedot tekstinä ja RS-piuhaa pitkin, niin näen jokaisen sanoman ascii armoroituna. Mukaan ei voi mitenkään ujuttaa useita kilotavuja, megatavuista puhumattakaan dataa salaa. Lisäksi hyökkäyspinta pienenee GPG:n ascii armorin käsittelyyn ja salaukeen, sen sijaan että hyökkäyspintana olisi koko usb-väylä ja kaikki inhottavat flash ansat.

RS-piuhassa on vielä katkaisija ja rx/tx ledit, joten yhteys on poikki silloin kun sitä ei tarvita ja tämän lisäksi näen myös ledeistä mikäli ylimääräistä / odottamatonta liikennettä on.

Viestintä on myös rajattu puhtaasti tekstiin, eli kaikki editointi tapahtuu matalan tason tekstieditorilla. Luonnollisesti jonkun docx, odf tai pdf dokumentin avaaminen olisi aika nuija veto. Kaikki noista ovat sen verran korkean tason fileitä, että voivat sisältää ihan mitä tahansa, kuten se USB-tikkukin. Visuaalinen tarkistaminen on käytännössä mahdotonta.

Selvensikö? Tiivistettynä, hyökkäyspinta-ala ja mahdollisuudet pitää pyrkiä minimoimaan kaikilla mahdollisissa tasoilla.
« Viimeksi muokattu: 18.03.13 - klo:19.47 kirjoittanut Sami Lehtinen »

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #67 : 18.03.13 - klo:19.45 »
Selvensi. Ja onhan monilla kaupasta ostetteilla tikuilla jo valmiiksi jotain hyötyohjelmia jotka voivat asentua automaattisesti kun tikku lykätään koneeseen. Muistaakseni myös viruksia on löydetty kaupan paketissa olevasta tikusta.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #68 : 18.03.13 - klo:19.53 »
Tässä vielä linkki tuohon Windows holeen, aika radikaali sellainen.
http://www.techspot.com/news/51929-critical-windows-usb-exploit-allows-flash-drives-to-grant-root-access-patch-issued.html

Tietysti nyt olisi kiva tehdä tikku ja kiertää kokeilemassa kaikki koneet läpi mihin pääsee käsiksi ja katsoa montaako ei ole patchatty. ;)

Lainaus
The critical vulnerability allowed potential hackers with physical access to a Windows PC to run arbitrary code with system user privileges -- even while Windows was locked and users logged off.
During device detection, the Windows kernel would parse this information and execute malicious code found on such a USB drive, irrespective of autorun or AutoPlay settings. The code would run with elevated system privileges.

Eli tikku koneeseen ja kone on sun. Ei tarvita mitään salasanoja, tms. Ei siis ole varmasti ongelman häivääkään päteville jätkille kaapata koneita usb-tikun avulla, kun Windowssin tietoturva on tuota tasoa.

Tai sitten kaivaa pöytälaatikosta vanhat usb-tikut, asentaa niille sopivaksi katsomansa RAT/botnet ja käy kylvämässä niitä ympäriinsä yritysalueelle. - Tuloksia odotellessa.

Edit vielä niistä välillisistä tietovuodoista ja valvonnasta:
http://www.tekniikkatalous.fi/ict/facebook+myonsi+seuranneensa+eikayttajien+toimintaa+muilla+verkkosivuilla/a887613
« Viimeksi muokattu: 18.03.13 - klo:20.22 kirjoittanut Sami Lehtinen »

Pontus12

  • Käyttäjä
  • Viestejä: 2499
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #69 : 10.06.13 - klo:15.44 »
Kysyisin Teamvieweristä, onko se turvallinen Ubuntussa? Ja toinen kysymys, pitäisikö käyttää jotain internet security-ohjelmaa, ja jos pitää, niin mikä olisi hyvä? Windows puolella minulla on fsecure, vaikka käytän windowsia aika harvoin.

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #70 : 10.06.13 - klo:18.05 »
Kysyisin Teamvieweristä, onko se turvallinen Ubuntussa? Ja toinen kysymys, pitäisikö käyttää jotain internet security-ohjelmaa, ja jos pitää, niin mikä olisi hyvä? Windows puolella minulla on fsecure, vaikka käytän windowsia aika harvoin.

Hyvä kysymys, ensinnä pitäisi tietenkin määritellä mitä turvallinen tarkoittaa, sekä minkälaista turvatasoa olet hakemassa. Jos puhutaan perusjampasta, niin eiköhän se täytä turvallisen määritelmän. Mielestäni erilaiset tietoturvatuotteet on turhia jos ei tarkoituksella riskiprofiiliaan nostata. Yleensä mitä enemmän koneissa on tietoturvatuotteita, sitä hölmömmän kuvan sen antaa ylläpidosta ja käyttäjistä. Varsinkin jos koneesta löytyy kaikki mahdolliset malware ja virus scannerit ja muutama eliitin suosiman tosi viileä siivoilusofta, niin se antaa uskomattoman naurettavan tunteen. Todennäköisesti kaikki softat on asennettu sen takia, että kone on ollut niin täynnä pöpöjä ja ongelmia pöljien käyttäjien takia. Käytätjät  tietenkin lataa Kazaasta kaiken löytämänsä roskan ja suorittaa exe:t kaikista varoituksista huolimatta.  -> Tietoturvatuotteiten ja varsinkin useiden "viileiden"  sellaisten käyttäminen antaa vain naurettavan ja todella huolestuttavan säälittävän kuvan.

F-Secure on ihan ok. Joskin niissä koneissa joissa ei tarvita erityistä tietoturvaa käytän MS Essentialssia, se tunnistaa kaikkein laajimmalle levinneet ja suurimpia ongelmia aiheuttavat haitakkeet kuitenkin. Kannattaa silti kiinnittää erityistä huomiota siitä, mitä ja mistä lataa. Vaikka toisaalta, tietoturvatuotteet ei oikeasti auta mitään, jos hyökkääjät on päteviä ja valinneet sinut kohteekseen.

Kuten palomuureissa whitelistin käyttäminen on paljon parempi vaihtoehto kuin blacklist. Kannattaa laatia erillinen listaus siitä, mitä koneeseen voi asentaa, eikä niin päin että on jotain mikä on estetty, koska harmaa alue on vaan niin järjettömän suuri. Eli estä palomuurissa liikenne kaikkialle (myös ulospäin) paitsi ennalta listattuihin IP-osoitteisiin ja portteihin. Vaikeuttaa olennaisesti väärinkäyttöä. Muista myös valvoa DNS liikennettä tai vielä tehokkaampana konstina  poista DNS kokonaan käytöstä ja estä liikenne. Jotta sen kautta ei voida siirtää dataa ulos luotetusta ympäristöstä "mihin tahansa". Tietysti myös sellaiset palvelut tulee estää, joiden kautta tietoa voidaan välittää eteenpäin, kuten SMTP, submission protocol, tms.

Valitettavasti turvallisia ympäristöjä ei tahdo nähdä oikein muualla kuin teollisuudessa. Yrityksissä ja kodeissa ovat äärimmäisen harvinaisia.

Mulla tosin on kolme konetta, jotka on luokiteltu tietoturva-tarpeen mukaan. Yksi anonyymi-kone, ei sisällä mitään henkilökohtaista dataa, boottaa kirjoitussuojatulta USBilta, kaikki tuhoutuu joka bootissa, kaikki liikenne menee Torin kautta. Tavallinen kone ja se turvallinen kone, joka boottaa kirjoitussuojatulta usbilta, data käsitellään ram-diskillä, ja siinä ei ole guita, käytössä on nano ja GPG joiden avulla voin käsitellä siihen turvallisesti siirrettyä dataa (ascii tekstiä), mitään muita formaatteja ei koneella käsitellä, koska ne voivat sisältää edelleen expoitteja joilla voi päästä käsiksi ainakin teoriassa konella käsiteltävän tietoon. Salatut viestit siiretään tavallisen / tor koneen ja turvallisen koneen välillä RS-kaapelilla GPG:n ASCII armored formaatissa.
« Viimeksi muokattu: 10.06.13 - klo:18.32 kirjoittanut Sami Lehtinen »

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #71 : 10.06.13 - klo:18.14 »
Olen monta kertaa inttänyt, että käyttäoikeuksien on rajoittaminen tärkeämpää kuin ne tietuturvasoftat. Käyttäjältä pois oikeus asentaa ohjelmia ja suorittaa niitä myös kotikansiossa auttaa kovasti. Mitä vähemmän oikeuksia sitä  hankalampi vieraan koodin asentuminen koneeseen on.

ubpappa

  • Käyttäjä
  • Viestejä: 1469
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #72 : 09.10.13 - klo:07.39 »
Sopisikohan tämä kysymys tänne:

Onko huoletuttava  ??? [ Warning ]

Koodia: [Valitse]
u120464@u120464-desktop:~$ sudo rkhunter -c
[sudo] password for u120464:
[ Rootkit Hunter version 1.3.8 ]
Checking system commands...
.

 /usr/bin/unhide.rb                                       [color=red][ Warning ][/color]
.

Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checkingrkhunte running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]
.
.
Checking the local host..
.
.
 Checking for passwd file changes                         [color=red][ Warning ][/color]
 Checking for group file changes                         [color=red] [ Warning ]
[/color].rkhunte
.
  Checking for hidden files and directories              [color=red] [ Warning ]
.[/color]
xubuntu 18;rasberry
acer aspire XC,näyttönä Toshiba tv ja vga päte...
Ymmärtää epätäydellisesti vain
suomea...;)

Jos tiedät vastaa, jos luulet tietäväsi vastaa.
Jos et tiedä/ymmärrä...älä vastaa.vanhuus tullee muillennii :))

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #73 : 09.10.13 - klo:08.57 »
Mitä ohjelman lokitiedosto kertoo, eli avaa tiedosto /var/log/rkhunter.log ja kopioi sisältö tänne.

Tai listaa lokin varoitukset päätteeseen komennolla: sudo cat /var/log/rkhunter.log | grep Warning

ubpappa

  • Käyttäjä
  • Viestejä: 1469
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #74 : 10.10.13 - klo:13.28 »
Mitä ohjelman lokitiedosto kertoo, eli avaa tiedosto /var/log/rkhunter.log ja kopioi sisältö tänne.
Tai listaa lokin varoitukset päätteeseen komennolla: sudo cat /var/log/rkhunter.log | grep Warning
u120464@u120464-desktop:~$ sudo cat /var/log/rkhunter.log | grep Warning
[sudo] password for u120464:
[07:01:32]   /usr/bin/unhide.rb                              [ Warning ]
[07:01:32] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
[07:10:14]   Checking for passwd file changes                [ Warning ]
[07:10:15] Warning: User 'postfix' has been added to the passwd file.
[07:10:15]   Checking for group file changes                 [ Warning ]
[07:10:15] Warning: Group 'postfix' has been added to the group file.
[07:10:15] Warning: Group 'postdrop' has been added to the group file.
[07:10:15]   Checking for hidden files and directories       [ Warning ]
[07:10:15] Warning: Hidden directory found: /etc/.java
[07:10:15] Warning: Hidden directory found: /dev/.udev
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
u120464@u120464-desktop:~$
xubuntu 18;rasberry
acer aspire XC,näyttönä Toshiba tv ja vga päte...
Ymmärtää epätäydellisesti vain
suomea...;)

Jos tiedät vastaa, jos luulet tietäväsi vastaa.
Jos et tiedä/ymmärrä...älä vastaa.vanhuus tullee muillennii :))

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #75 : 10.10.13 - klo:14.33 »
[07:01:32]   /usr/bin/unhide.rb                              [ Warning ]
[07:01:32] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

Tämä on rkhunterin bugi. Rkhunter käyttää joko Unhidea tai Unhide.rb:tä (joka asentuu Ubuntussa rkhunterin riippuvuutena) ja on normaalia, että /usr/bin/unhide.rb on Ruby-skripti.


[07:10:14]   Checking for passwd file changes                [ Warning ]
[07:10:15] Warning: User 'postfix' has been added to the passwd file.
[07:10:15]   Checking for group file changes                 [ Warning ]
[07:10:15] Warning: Group 'postfix' has been added to the group file.
[07:10:15] Warning: Group 'postdrop' has been added to the group file.

Johtunee rkhunterin Ubuntu-paketoinnista, joka asentaa Postfixin rkhunterin jälkeen. Tämä varoitus taitaa hävitä itsestään, koska rkhunter -c päivittää vertailutietokannan jokaisella ajokerralla. Tarvittaessa tietokannan voi päivittää myös manuaalisesti komentamalla sudo rkhunter --propupd


[07:10:15]   Checking for hidden files and directories       [ Warning ]
[07:10:15] Warning: Hidden directory found: /etc/.java
[07:10:15] Warning: Hidden directory found: /dev/.udev
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Nämä piilokansiot ja -tiedostot ovat Ubuntussa normaaleja. Rkhunter-paketin asentama asetustiedosto on mielestäni puutteellinen näiden jakelun erityispiirteiden osalta.


Pääset turhista varoituksista eroon muokkaamalla rkhunterin asetustiedostoa. Avaa tiedosto tekstieditoriin pääkäyttäjän oikeuksin:

sudo -i gedit /etc/rkhunter.conf

Kopioi tiedoston loppuun nämä rivit:

Koodia: [Valitse]
SCRIPTWHITELIST="/usr/bin/unhide.rb"
ALLOWHIDDENDIR="/etc/.java"
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENFILE="/dev/.blkid.tab"
ALLOWHIDDENFILE="/dev/.blkid.tab.old"
ALLOWHIDDENFILE="/dev/.initramfs"
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"

Tallenna tiedosto ja sulje gedit.

JussiK

  • Käyttäjä
  • Viestejä: 102
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #76 : 14.11.13 - klo:14.53 »
Jos tekee näin: ALLOWHIDDENFILE="/dev/.initramfs"

tulee: Invalid ALLOWHIDDENFILE configuration option: Not a file: /dev/.initramfs

jos poistaa em. rivin:

[14:43:46] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'   ?????

terv jussik

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #77 : 14.11.13 - klo:15.15 »
Jos tekee näin: ALLOWHIDDENFILE="/dev/.initramfs"

tulee: Invalid ALLOWHIDDENFILE configuration option: Not a file: /dev/.initramfs

jos poistaa em. rivin:

[14:43:46] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'   ?????

terv jussik

Tämä ongelma on korjattu rkhunterin versiossa 1.4.0:

http://digitalcardboard.com/blog/2012/05/24/ubuntu-12-04-rkhunter-1-3-8-false-positives/

Ubuntu 12.04:n tapauksessa joudut joko sietämään varoitusta tai päivittämään rkhunterin manuaalisesti. Ehkä Ubuntu 13.04:n paketti asentuisi suoraan...

JussiK

  • Käyttäjä
  • Viestejä: 102
    • Profiili
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #78 : 14.11.13 - klo:16.03 »
No tässä on ollut näitä vääriä hälyjä ainakin 5 vuotta, joten eiköhän sen kestä. Ohjelman tarkoituksen huomioonottaen näitä ei saisi olla!!

t. jussik

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Vs: Ohjelmistojen tietoturvariskeistä
« Vastaus #79 : 14.11.13 - klo:18.21 »
Mietin tässä justiin, että onko tällä hetkellä olemassa yhtään keskitettyä tunnettujen softien whitelist provideria? Koska blacklist homma ei vaan kertakaikkiaan enää tunnu toimivan nykyjään.

Tietysti pienemmässä ympäristössä, kuten servereillä pystyn itse ylläpitämään whitelistiä, mutta olisi tosi kätevää jos saisi ison kattavan whitelist aineiston joka sisältäisi mm. sovellusten päivitykset, ettei tarvitsisi aina manuaalisesti päivitellä listoja, kun softat lakkaa toimimasta.

http://whitelist.kaspersky.com/

Löytyykö mitään vastaavaa joka ei ole suunnattu pelkästään Enterprise asiakkaille?