Kirjoittaja Aihe: Linuxista vuosia vanha paha haavoittuvuus – korjausta ei ole olemassa  (Luettu 12372 kertaa)

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
http://www.tivi.fi/Kaikki_uutiset/linux-ytimesta-loytyi-vuosia-vanha-paha-haavoittuvuus-korjausta-ei-ole-olemassa-6573289

linuxissa on haavoittuvuus jolla voidaan vakoilla muiden netti liikennettä. ongemaa ei voi korjata mutta uutisen mukaan sitä voi rajoittaa muuttamalla linuxin ytimen parametria tcp_challenge_ack_limit.

Miten teen tämän muutoksen? käytän tästä lähtien windowssia varmuuden vuoksi siihen asti että korjaus tulee koneeseen. milloinkohan korjaus tulee? eihän tarkkaa aikaa voi tietä mutta onko kyse päivistä vai kuukausista?
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
Linuxin käytön lopettaminen omalla koneella on ehkä vähän ylireagointia, koska:
1. Hyökkäys on toki teoriassa mahdollinen, mutta käytännössä aika hankala toteuttaa. Kotikäyttäjät tuskin on toistaiseksi kovin suuressa vaarassa.
2. Ne "tärkeät" salatut https yhteydet on turvassa.
3. Linuxia pyörittäviin nettipalvelimiin et voi kuitenkaan vaikuttaa, vaikka käyttäisit windowsia.
4. Haavoittuvuuden voi käytännössä torjua kasvattamalla tuon challenge_ack_limitin kokoa (katso linkki edellisessä vastauksessa)

Haavoittuvuus on korjattu ainakin kernelin versiossa 4.7 (joissain jakeluissa jo käytössä).



spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
http://www.tivi.fi/Kaikki_uutiset/linux-ytimesta-loytyi-vuosia-vanha-paha-haavoittuvuus-korjausta-ei-ole-olemassa-6573289

linuxissa on haavoittuvuus jolla voidaan vakoilla muiden netti liikennettä. ongemaa ei voi korjata mutta uutisen mukaan sitä voi rajoittaa muuttamalla linuxin ytimen parametria tcp_challenge_ack_limit.

Miten teen tämän muutoksen? käytän tästä lähtien windowssia varmuuden vuoksi siihen asti että korjaus tulee koneeseen. milloinkohan korjaus tulee? eihän tarkkaa aikaa voi tietä mutta onko kyse päivistä vai kuukausista?

Et ilmeisesti ymmärrä lukemaasi? Olet altis tuolle epätodennäköiselle hyökkäykselle vaikka käyttäisit mitä käyttistä, jos palvelimessa on Linux, jossa bugia ei ole korjattu. Missään tärkeissä palveluissa, jotka käyttää salausta (https) tuon hyödyntäminen ei edes onnistu.

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Tällä tapaa:

https://ubuntuforums.org/showthread.php?t=2333384

täältä löytyi rajoitus käskyt, kiitos linkistä

Koodia: [Valitse]
sudo echo "net.ipv4/tcp_challenge_ack_limit = 999999999" >> /etc/sysctl.conf
sudo sysctl -p

tämä rajoitus ei ole kai täysi korjaus? Käytän varmuudeksi nettipankkia windows konella siihen asti että ubuntuun tulee korjaus paketti  :'(
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Tällä tapaa:

https://ubuntuforums.org/showthread.php?t=2333384

täältä löytyi rajoitus käskyt, kiitos linkistä

Koodia: [Valitse]
sudo echo "net.ipv4/tcp_challenge_ack_limit = 999999999" >> /etc/sysctl.conf
sudo sysctl -p

tämä rajoitus ei ole kai täysi korjaus? Käytän varmuudeksi nettipankkia windows konella siihen asti että ubuntuun tulee korjaus paketti  :'(

Pankit käyttää salattua https yhteyttä, johon ei pääse väliin.

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Ei vahinko tule kello kaulassa. Näin sanoo vanha sananlaskukin. Eli ei voi olla liian varovainen nettipankin kanssa
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
Ei vahinko tule kello kaulassa. Näin sanoo vanha sananlaskukin. Eli ei voi olla liian varovainen nettipankin kanssa
Mitenkäs sitten uskallat käyttää sitä nettipankkia windowsillakaan?

Ihan kummassa vaan voi yhä olla joku piilossa oleva haavoittuvuus, joka mahdollistaa kaappauksen. Tämä nyt todettu linuxin haavoittuvuus ei sitä tee, joten käyttöjärjestelmän vaihtamisessa pankkikäyttöä varten ei ole mitään logiikkaa takana.


DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
ei minun tarvitse vaihtaa käyttöjärjestelmää koska minulla on toisessa koneessa windows 10 ja voin käyttää nettipankkia sillä koneella.

on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia
Mutta kun se asia on niin, ettei kummassakaan ole todettua haavoittuvuutta, joka vaikuttaisi nettipankkiyhteyksiin (https).

Ja se, mitä järjestelmää käytät, ei vaikuta mitenkään siihen mitä järjestelmää nettipankkisi käyttää.

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Eiköhän Windowsissa ole monia takaportteja liian uteliaita jenkkiviranomaisia varten?

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Tuolla ddr:lle lisää kauhisteltavaa:

http://www.ubuntu.com/usn/

 ;D

tmv

  • Käyttäjä
  • Viestejä: 81
    • Profiili
ei minun tarvitse vaihtaa käyttöjärjestelmää koska minulla on toisessa koneessa windows 10 ja voin käyttää nettipankkia sillä koneella.

on siinä se logiikka että jos windowssissa ei ole haavoittuvuutta ja linuxissa on niin silloin kannattaa käyttää nettipankkia windowssilla niin kauan että linuxiin tulee korjaus paketti. sen jälkeen voi taas käyttää linuxia

Kuten itse sanoit, jos windowsissa ei ole haavoittuvuutta. 

Avoimen lähdekoodin käyttöjärjestelmän hyödyt ovatkin siinä, että virheet löydetään ja havannoidaan - usein myös reagoidaan pian. Windowsissa asia näin ei ole, siellähän voi olla pinnan alla vaikka mitä, mitkä pysyvät näennäisesti piilossa ja mitä asiaan perehtyneet varmasti osaavat hyödyntää tietoturvarikoksissa ennen kuin asia tulee ilmi.

Täysin aukotonta systeemiä lienee hyvin vaikea ellei mahdotonta tehdä. Sen takia näitä haavoittuvuuksia aina ilmenee aika ajoin. Varminta olisi vain olla käyttämättä koko nettiä.
« Viimeksi muokattu: 13.08.16 - klo:13.14 kirjoittanut /tv »

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
löysin nyt lisätietoa tästä hacker newsistä
http://thehackernews.com/2016/08/linux-tcp-packet-hacking.html
inject malware remotely, target https connections
eli jopa haittaohjelmia voi tulla koneeseen tästä aukosta
Sen sijaan, että luet raflaavia nettiartikkeleita, lue mieluummin vaikka se alkuperäinen tutkimus-pdf (linkki löytyy myös linkittämästäsi artikkelista) (1)

Ei tuolla haavoittuvuudella pääse https-yhteyksien väliin, näin ainakin alkuperäistä tutkimusta tekemässä ollut Yue Cao kertoi kernel-patchin postilistalla (2), katkaista yhteyden toki voi.

Normikäyttäjien on turha paniikkihötkyillä asian kanssa, haavoittuvuus on joka tapauksessa korjattu mainline kernelissä jo heinäkuun alkupuolella, kyllä se korjaus sieltä tippuu. Jos ei ymmärrä, miten haavoittuvuus toimii, niin turhia hötkyilemällä vaan tuhlaa omaa aikaansa.

(1) http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
(2) https://www.mail-archive.com/netdev@vger.kernel.org/msg119274.html

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili

SSL suojaa vain jos SSL on suojattu. Kuka muistaa vielä että vain vastikään SSL2/3  on bannattu selainten toimesta ?

https://jve.linuxwall.info/blog/index.php?post/TLS_Survey

ja

http://disablessl3.com/

Tai saahan SSL3:sen käyttöön jos on tarvis POODLE:n tyylisille hyökkäyksille. 

Milloin tosiaankin käyttäjien turvallisuus on myös käyttäjien asia ? En todellakaan ymmärrä miksei selaimiin ole kehitetty GPG tyylisiä julksien ja salaisen avaimen vaihtoon liittyviä turvallisuustekniikoita.  :P
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
SSL suojaa vain jos SSL on suojattu.
Sinänsä ihan totta, mutta tämähän koskee ihan kaikkea ssl/tsl liikennettä ihan riippumatta tästä haavoittuvuudesta tai asiakkaan käyttöjärjestelmästä. Jos nettipankki käyttää vanhentunutta protokollaa (mitä se ei taatusti tee), ei yhteys ole turvattu (ei sen kompromisointiin tätä haavoittuvuutta tarvita).

En todellakaan ymmärrä miksei selaimiin ole kehitetty GPG tyylisiä julksien ja salaisen avaimen vaihtoon liittyviä turvallisuustekniikoita.
Nyt en täysin ymmärrä mitä tarkoitat, ssl/tls salaushan nimenomaan käyttää julkisen/salaisen avaimen tekniikkaa (sessio-avaimen luontiin).

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili

?

Lainaus
Transport Layer Security pre-shared key ciphersuites (TLS-PSK) is a set of cryptographic protocols that provide secure communication based on pre-shared keys (PSKs). These pre-shared keys are symmetric keys shared in advance among the communicating parties.

Siis GPG/PGP tukeutuu  ja perustuu asymmetriseen avainten hallintaan.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

kuutio

  • Käyttäjä
  • Viestejä: 162
    • Profiili
Lainaus
Transport Layer Security pre-shared key ciphersuites (TLS-PSK) is a set of cryptographic protocols that provide secure communication based on pre-shared keys (PSKs). These pre-shared keys are symmetric keys shared in advance among the communicating parties.

Siis GPG/PGP tukeutuu  ja perustuu asymmetriseen avainten hallintaan.
ssl/tls protokolla käyttää sekä asymmetristä avainta (identifiointiin ja symmetrisen avaimen luontiin/jakoon) että sessio-kohtaista ("kertakäyttöistä") symmetristä avainta (varsinaiseen datasiirtoon). Pääasiallinen syy miksi näin tehdään on suorituskyky, asymmetrinen salaus on suhteellisen hidasta. Symmetristen avainten pääasiallinen ongelmahan on se, kuinka molemmat osapuolet voivat turvallisesti jakaa avaimen ilman että muut saavat sen selville. ssl/tls ratkaisee ongelman käyttämällä tässä vaiheessa asymmetristä salausta (eli käytössä on tavallaan molempien salaustapojen hyvät puolet).

https://www.digicert.com/ssl-cryptography.htm
https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Niin, nämä julkiset avaimet on allekirjoitettu root avaimilla jotka on yksityisten firmojen hallussa. Nämä löytyvät jokaisen käyttäjän koneelta. Nämä avaimet ei ole KÄYTTÄJÄN julkisia avaimia.

Toki tiedän että sillä kuuluisalla Pihtiputaan mummulla menee lusikat sekaisin jos pitäisi näitä miettiä ja hallita GPG avaimia.
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään