Linuxista vuosia vanha paha haavoittuvuus – korjausta ei ole olemassa

[DDR55]

http://www.tivi.fi/Kaikki_uutiset/linux-ytimesta-loytyi-vuosia-vanha-paha-haavoittuvuus-korjausta-ei-ole-olemassa-6573289

linuxissa on haavoittuvuus jolla voidaan vakoilla muiden netti liikennettä. ongemaa ei voi korjata mutta uutisen mukaan sitä voi rajoittaa muuttamalla linuxin ytimen parametria tcp_challenge_ack_limit.

Miten teen tämän muutoksen? käytän tästä lähtien windowssia varmuuden vuoksi siihen asti että korjaus tulee koneeseen. milloinkohan korjaus tulee? eihän tarkkaa aikaa voi tietä mutta onko kyse päivistä vai kuukausista?

[_Pete_]

Tällä tapaa:

https://ubuntuforums.org/showthread.php?t=2333384

[kuutio]

Linuxin käytön lopettaminen omalla koneella on ehkä vähän ylireagointia, koska:
1. Hyökkäys on toki teoriassa mahdollinen, mutta käytännössä aika hankala toteuttaa. Kotikäyttäjät tuskin on toistaiseksi kovin suuressa vaarassa.
2. Ne "tärkeät" salatut https yhteydet on turvassa.
3. Linuxia pyörittäviin nettipalvelimiin et voi kuitenkaan vaikuttaa, vaikka käyttäisit windowsia.
4. Haavoittuvuuden voi käytännössä torjua kasvattamalla tuon challenge_ack_limitin kokoa (katso linkki edellisessä vastauksessa)

Haavoittuvuus on korjattu ainakin kernelin versiossa 4.7 (joissain jakeluissa jo käytössä).

[spark]

http://www.tivi.fi/Kaikki_uutiset/linux-ytimesta-loytyi-vuosia-vanha-paha-haavoittuvuus-korjausta-ei-ole-olemassa-6573289

linuxissa on haavoittuvuus jolla voidaan vakoilla muiden netti liikennettä. ongemaa ei voi korjata mutta uutisen mukaan sitä voi rajoittaa muuttamalla linuxin ytimen parametria tcp_challenge_ack_limit.

Miten teen tämän muutoksen? käytän tästä lähtien windowssia varmuuden vuoksi siihen asti että korjaus tulee koneeseen. milloinkohan korjaus tulee? eihän tarkkaa aikaa voi tietä mutta onko kyse päivistä vai kuukausista?

Et ilmeisesti ymmärrä lukemaasi? Olet altis tuolle epätodennäköiselle hyökkäykselle vaikka käyttäisit mitä käyttistä, jos palvelimessa on Linux, jossa bugia ei ole korjattu. Missään tärkeissä palveluissa, jotka käyttää salausta (https) tuon hyödyntäminen ei edes onnistu.

[DDR55]

Tällä tapaa:

https://ubuntuforums.org/showthread.php?t=2333384

täältä löytyi rajoitus käskyt, kiitos linkistä

Koodia: [Valitse]

sudo echo "net.ipv4/tcp_challenge_ack_limit = 999999999" >> /etc/sysctl.conf
sudo sysctl -p
tämä rajoitus ei ole kai täysi korjaus? Käytän varmuudeksi nettipankkia windows konella siihen asti että ubuntuun tulee korjaus paketti 

[spark]

Tällä tapaa:

https://ubuntuforums.org/showthread.php?t=2333384

täältä löytyi rajoitus käskyt, kiitos linkistä

Koodia: [Valitse]

sudo echo "net.ipv4/tcp_challenge_ack_limit = 999999999" >> /etc/sysctl.conf
sudo sysctl -p
tämä rajoitus ei ole kai täysi korjaus? Käytän varmuudeksi nettipankkia windows konella siihen asti että ubuntuun tulee korjaus paketti 

Pankit käyttää salattua https yhteyttä, johon ei pääse väliin.

[DDR55]

Ei vahinko tule kello kaulassa. Näin sanoo vanha sananlaskukin. Eli ei voi olla liian varovainen nettipankin kanssa

[kuutio]

Ei vahinko tule kello kaulassa. Näin sanoo vanha sananlaskukin. Eli ei voi olla liian varovainen nettipankin kanssa

Mitenkäs sitten uskallat käyttää sitä nettipankkia windowsillakaan?

Ihan kummassa vaan voi yhä olla joku piilossa oleva haavoittuvuus, joka mahdollistaa kaappauksen. Tämä nyt todettu linuxin haavoittuvuus ei sitä tee, joten käyttöjärjestelmän vaihtamisessa pankkikäyttöä varten ei ole mitään logiikkaa takana.

[DDR55]

ei minun tarvitse vaihtaa käyttöjärjestelmää koska minulla on toisessa koneessa windows 10 ja voin käyttää nettipankkia sillä koneella.

on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia

[kuutio]

on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia

Mutta kun se asia on niin, ettei kummassakaan ole todettua haavoittuvuutta, joka vaikuttaisi nettipankkiyhteyksiin (https).

Ja se, mitä järjestelmää käytät, ei vaikuta mitenkään siihen mitä järjestelmää nettipankkisi käyttää.

[DDR55]

löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta

[mrl586]

Eiköhän Windowsissa ole monia takaportteja liian uteliaita jenkkiviranomaisia varten?

[spark]

Tuolla ddr:lle lisää kauhisteltavaa:

http://www.ubuntu.com/usn/

 

[tmv]

ei minun tarvitse vaihtaa käyttöjärjestelmää koska minulla on toisessa koneessa windows 10 ja voin käyttää nettipankkia sillä koneella.

on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia

Kuten itse sanoit, jos windowsissa ei ole haavoittuvuutta. 

Avoimen lähdekoodin käyttöjärjestelmän hyödyt ovatkin siinä, että virheet löydetään ja havannoidaan - usein myös reagoidaan pian. Windowsissa asia näin ei ole, siellähän voi olla pinnan alla vaikka mitä, mitkä pysyvät näennäisesti piilossa ja mitä asiaan perehtyneet varmasti osaavat hyödyntää tietoturvarikoksissa ennen kuin asia tulee ilmi.

Täysin aukotonta systeemiä lienee hyvin vaikea ellei mahdotonta tehdä. Sen takia näitä haavoittuvuuksia aina ilmenee aika ajoin. Varminta olisi vain olla käyttämättä koko nettiä.

[kuutio]

löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta

Sen sijaan, että luet raflaavia nettiartikkeleita, lue mieluummin vaikka se alkuperäinen tutkimus-pdf (linkki löytyy myös linkittämästäsi artikkelista) (1)

Ei tuolla haavoittuvuudella pääse https-yhteyksien väliin, näin ainakin alkuperäistä tutkimusta tekemässä ollut Yue Cao kertoi kernel-patchin postilistalla (2), katkaista yhteyden toki voi.

Normikäyttäjien on turha paniikkihötkyillä asian kanssa, haavoittuvuus on joka tapauksessa korjattu mainline kernelissä jo heinäkuun alkupuolella, kyllä se korjaus sieltä tippuu. Jos ei ymmärrä, miten haavoittuvuus toimii, niin turhia hötkyilemällä vaan tuhlaa omaa aikaansa.

(1) http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
(2) https://www.mail-archive.com/netdev@vger.kernel.org/msg119274.html

[matsukan]

SSL suojaa vain jos SSL on suojattu. Kuka muistaa vielä että vain vastikään SSL2/3  on bannattu selainten toimesta ?

https://jve.linuxwall.info/blog/index.php?post/TLS_Survey

ja

http://disablessl3.com/

Tai saahan SSL3:sen käyttöön jos on tarvis POODLE:n tyylisille hyökkäyksille. 

Milloin tosiaankin käyttäjien turvallisuus on myös käyttäjien asia ? En todellakaan ymmärrä miksei selaimiin ole kehitetty GPG tyylisiä julksien ja salaisen avaimen vaihtoon liittyviä turvallisuustekniikoita. 

[kuutio]

SSL suojaa vain jos SSL on suojattu.

Sinänsä ihan totta, mutta tämähän koskee ihan kaikkea ssl/tsl liikennettä ihan riippumatta tästä haavoittuvuudesta tai asiakkaan käyttöjärjestelmästä. Jos nettipankki käyttää vanhentunutta protokollaa (mitä se ei taatusti tee), ei yhteys ole turvattu (ei sen kompromisointiin tätä haavoittuvuutta tarvita).

En todellakaan ymmärrä miksei selaimiin ole kehitetty GPG tyylisiä julksien ja salaisen avaimen vaihtoon liittyviä turvallisuustekniikoita.

Nyt en täysin ymmärrä mitä tarkoitat, ssl/tls salaushan nimenomaan käyttää julkisen/salaisen avaimen tekniikkaa (sessio-avaimen luontiin).

[matsukan]

?

Transport Layer Security pre-shared key ciphersuites (TLS-PSK) is a set of cryptographic protocols that provide secure communication based on pre-shared keys (PSKs). These pre-shared keys are symmetric keys shared in advance among the communicating parties.

Siis GPG/PGP tukeutuu  ja perustuu asymmetriseen avainten hallintaan.

[kuutio]

Transport Layer Security pre-shared key ciphersuites (TLS-PSK) is a set of cryptographic protocols that provide secure communication based on pre-shared keys (PSKs). These pre-shared keys are symmetric keys shared in advance among the communicating parties.

Siis GPG/PGP tukeutuu  ja perustuu asymmetriseen avainten hallintaan.

ssl/tls protokolla käyttää sekä asymmetristä avainta (identifiointiin ja symmetrisen avaimen luontiin/jakoon) että sessio-kohtaista ("kertakäyttöistä") symmetristä avainta (varsinaiseen datasiirtoon). Pääasiallinen syy miksi näin tehdään on suorituskyky, asymmetrinen salaus on suhteellisen hidasta. Symmetristen avainten pääasiallinen ongelmahan on se, kuinka molemmat osapuolet voivat turvallisesti jakaa avaimen ilman että muut saavat sen selville. ssl/tls ratkaisee ongelman käyttämällä tässä vaiheessa asymmetristä salausta (eli käytössä on tavallaan molempien salaustapojen hyvät puolet).

https://www.digicert.com/ssl-cryptography.htm
https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake

[matsukan]

Niin, nämä julkiset avaimet on allekirjoitettu root avaimilla jotka on yksityisten firmojen hallussa. Nämä löytyvät jokaisen käyttäjän koneelta. Nämä avaimet ei ole KÄYTTÄJÄN julkisia avaimia.

Toki tiedän että sillä kuuluisalla Pihtiputaan mummulla menee lusikat sekaisin jos pitäisi näitä miettiä ja hallita GPG avaimia.