Názory k článku Postřehy z bezpečnosti: zranitelnost routerů Cisco je zažehnána, aktualizujte IOS!
-
mhi (neregistrovaný)
Divim se, ze u Cisca neni 10x tolik security advisories proti soucasnemu stavu. Je tedy pravda, ze jsem nezkoumal aktualni IOS 15, ale pri portaci Linuxu na nejake C800 routery ( http://forum.root.cz/index.php?topic=7178.0 ) jsem byl udiven zpusobem, jakym je startup kod a samotny IOS 12.4 naprogramovan: u parsovani konfigurace jsem nekolikrat narazil na kopirovani "neomezene" retezcove promenne do bufferu o velikosti 0x10, nebo pri loadovani SFX image IOSu se saha na nejaka mista v binarce (ELF hlavicka + hlavicka embedded ZIPu) a nekontroluje se vubec platnost spousty dat, takze Cisco pri nahravani meho nevalidniho image bud' vytuhlo nebo se restartovalo ...
Pravda, ze nic z toho nebylo pouzitelne pro DoS nebo exploit a neni to aktualni verze, na druhou stranu jsem sitove veci nezkoumal a neslo az zase o tak fatalne stary software.
-
Ľubomír Mlích (neregistrovaný)
Thousands of Wordpress blogs compromised to perform DDOS attack
nepřeložíme jako
Tisíce blogů běžících na Wordpressu bylo kompromitováno DDoS útokem
ale jako:
Tisíce blogů běžících na Wordpressu bylo kompromitováno za účelem vedení DDoS útoků.
Imho podle definice DDOS je, lze službu tímto způsobem zahltit, ale nikoli kompromitovat. A pak dává celá zpráva smysl, tedy, že majitelé blogů umožňují zneužití svých webů špatným zabezpečením.
Abych jenom nepindal, tak si myslím, že nápravu stavu by mohl(i) zařídit vývojář(i) Wordpress, naprogramováním vynucení nastavení administrátorského hesla. Tj. vyměnit vyšší bezpečnost výměnou za pohodlí uživatelů -> méně uživatelů. :)
-
j (neregistrovaný)
Uzivatele stim maji malo co docineni ... muzu ti povedet, jak to chodilo v jedne bance.... Meli nastavene politiky tak, ze vsichni si museli hesla menit co 14 dnu, system si pamatoval historii 2 roky, samo delka minimalne asi 12 znaku, maly veky, cisla, ruzny znaky ... a navic kontrolovali, jestli si to lidi nepisou na papirky.
Vysledek? Vsichni meli porad stejna hesla ... kterym jen menili nejakou cast podle aktualniho data. Takze slo defakto naprosto bez problemu urcit aktualni heslo z libovolneho historickeho. A samo, naprosto s klidem pouzivali stejne heslo (nebo tu nemennou cast) kdekoli jinde - klidne i na prihlasovani kamkoli na web.
-
Ľubomír Mlích (neregistrovaný)
Když zjistím heslo jednoho majitele webblogu a ovládnu jeho web, je to jen jeho problém.
Když ale dokážu zadáním admin/admin ovládnout velké množství počítačů, takže jsou použitelné pro DDOS útok, je to problém vícero lidí a i těch, kteří z tím heslem nemají vůbec nic společné. Věřím, že jednoduchá kontrola, zda heslo splňuje politiku, při přihlašování by tomuto problému mohlo zabránit.
Nevím jak je to ve WP, ale dokážu si představit hlášku: OK, heslo se shoduje s konfiguračním souborem, ale nesplňuje politiku, ...
-
Ano, skutečnost je taková, že jsou prakticky neustále vedeny útoky na weby běžící na nějakém oblíbeném CMS, a pokud obsahují nějakou zranitelnost, tak je této zranitelnosti ihned zneužito, web je kompromitován a stává se součástí botnetu.
Kromě hledání zranitelností se útočník snaží uhádnout i administrátorské heslo. Ale nejedná se o útok hrubou silou, kdy jsou zkoušeny všechny možnosti, nýbrž spíše o tzv. dictionary attack, kdy jsou zkoušeny hesla uvedená ve slovníku resp. z již dříve uniklých DB hesel, která jsou zadávána na stránce wp-login.php.
Obranou je skutečně změna hesla a blokování přístupu k administračnímu rozhraní. Defaultní hesla ve WP mají délku 12 znaků a obsahují velká, malá písmena, čísla a speciální znaky, ovšem pokud si administrátor zvolí nějaké méně bezpečné heslo, vystavuje se zbytečně riziku.
Dlouho se nemusí nic dít a provozovatel webu nemusí vůbec nic tušit. Teprve ve chvíli, kdy je botnet prodán nebo pronajat, tak může být z těchto webů veden DDoS útok.
-
Ano, passphrase lze rozhodně považovat za bezpečnější než hesla, ale i tak se vyplatí být při jejich sestavování dostatečně kreativní.
