Názory k článku Postřehy z bezpečnosti: zranitelnost v XZ Utils žije dál

U těch zranitelných obrazů Debianu jsou dva reálné problémy: 1. že ty obrazy nejsou aktualizované, 2. že jsou to obří obrazy obsahující spoustu zbytečného softwaru. To, že je tam zranitelné xz, je ten nejmenší problém – protože ve většině těch obrazů se ten kód nikdy nespustí. Ale chápu, že je to problém pro automatické skeny, protože ty jednoduše najdou zranitelnou aplikaci – ale zjistit, zda se používá či nepoužívá už tak jednoduché není.

Nepotreboval nahodou tento backdoor aj systemd a sshd? V dockerovom image ich asi nenajde, takze fungovat nebude.

No a to je problem takychto hlaseni: v honbe za senzaciou "nasli sme zranitelnost" sa vsetko interpretuje v nahorsom moznom svetle bez kontextu, len aby sme si zapisali cirarku a vedelo sa o nas.

Když je v tom image xz, nejspíš tam bude i sshd a systemd, ale obvykle nic z toho nebude spuštěného. Ale samozřejmě to není 100% – dělají se i image, kde běží systemd, a někdy se hodí spustit si tam sshd (i když jen během ladění).

Pokial v image mate systemd (v kontajneri ma byt jeden proces, ktory sa spusta pri spusteni kontajneru) alebo sshd (namiesto attachnutia z hosta, ked uz treba nieco ladit), tak nieco robite velmi zle.

"Normalne" image toto nerobia.

Naopak, mnoho produkcnych image nema ani len shell, ktory by sa dal spustit pri attachnuti. Ladi sa len s logmi a telemetriou.

To je klidně možné, ale pokud se nejedná o síťovou instalaci bez HW firewallu, tak se tam stejně s upraveným klíčem nikdo ani nepřipojí na port 22.

Nepsal jsem o tom, co mám já. Psal jsem o tom, co se vyskytuje ve světě. Jinak i v dobře navrženém kontejneru těch procesů může být víc (kdyby nic jiného, docela dost aplikací má při běhu víc procesů), důležité je, aby ten kontejner jako celek správně reagoval na signály posílané hlavnímu procesu.

Já mám nejraději image, které nejsou založené na žádné běžné distribuci, ale je tam opravdu jen runtime a knihovny potřebné pro běh dané aplikace. Ale takové image nemají problém s tím, že by v nich byly nainstalované XZ Utils.

Ty automaticke skeny maji za ukol ukazat potencionalni riziko. Kdyz se sken bude spolehat jenom na to ze tam neni ssh nebo systemd tak sken probehne, zahlasi ze tam zadna zranitelnost neni a za 5 minut si tam uzivatel nainstaluje systemd a ssh a dojde ke zneuziti zranitelnosti ktera mohla byt jiz odstranena. Ze si myslis ze se veci nejak delaj je tvuj omezeny pohled na svet, ja videl takove prasarny o kterych ani nesnis. Jakekoliv docker images jsou obecne pruser protoze 99% lidi a firem pouzivajicich tyhle obrazy stazene nekde z internetu je neaktualizuje protoze to nemaj automatizovane a lidi nemaj cas.

Píšete nesmysly. Když si uživatel kontejneru něco doinstaluje dodatečně, žádný sken image provedený před tou instalací to samozřejmě neodhalí. Ale článek ani já nepíšeme o nějaké dodatečné instalaci.

Přijde mi zvláštní, že v dnešní době není nějaká automatizovaná kontrola žádosti o registraci domény na potenciální podvod. Pak by taková registrace musela být schválena ručně. Představuji si to tak, že by globální registrátor obeslal lokální zástupce a ti by měli specifikcé kontroly dle jazyka a důležitých národních adres. Pokud by jakákoliv (ve smyslu libovolý stát) národní autorita požadavek vyhodnotila jako podezřelý, nedošlo by k automatické registraci.
Přijde mi, že tak jak je to teď, to odpovídá stavu z úsvitu internetu, kdy si všichni věřili. Ale dnes bych řekl, že by mělo být paradigma úplně opačné.

To je nereálné. Mnohem jednodušší je převést ty důležité národní domény jako subdomény jedné domény, v ČR je to gov.cz. A naučit lidi, že důležité vládní weby jsou pod gov.cz. A především začít používat bezpečnější způsoby přihlášení, než je heslo, a pokud už musím používat heslo, používat správce hesel integrovaného do prohlížeče. Který mi do jiné domény to heslo prostě nevyplní.

Jestli se někdo přihlásí na mojedatovaschran­ka.icu, tak mu nepomůže vůbec nic. A přihlásil by se i na mojedatovaschra­na.icu nebo na artlfwz.sbs, takže těch potenciálně podvodných domén je nekonečně mnoho.

No s tím doporučováním správce hesel v prohlížeči bych byl opatrný. Jinak ano.

Nedoporučuju správce hesel, který je přímo součástí prohlížeče. Doporučuju správce hesel, který se integruje do prohlížeče (jako rozšíření prohlížeče), takže sám vyplňuje hesla.

Jakmile musí hesla někde hledat uživatel a kopírovat je přes schránku (jako hlavní řešení, ne jako nouzová záloha), je to špatně a nevyužívá se tím jedna z nejdůležitějších funkcí správce hesel. Protože pak právě uživatel klidně vloží heslo do phishingové stránky. Tj. důležité je to, aby vyhledání hesla na základě adresy dělal správce hesel a ne uživatel.

No, zrovna minulý týden vyšly články rozebírající, že všechny nejznámější správci hesel při clickjackingovém útoku ochotně odešlo všechny kompletní kredence, o které si útočící stránka řekne.

Naprosto souhlasím s tím, že žádný nástroj nezamezí lidské blbosti se projevit. Naučit lidi, jak se jmenují důležité vládní domény je zásadní.
Prostě mi jen přišlo, v této oblasti je uživatel tak nějak zanechán napospas sám sobě.
No a pak tady máme třeba IDN homograph attack, že.

Naučit lidi, jak se jmenují důležité vládní domény je zásadní.
Jenže to nemůže být množné číslo, musí to být jedna doména (gov.cz) a jednotlivé instituce musí být pod ní. Už jen proto, že se spoustou státních institucí komunikujete jednou za několik let nebo jednou za život.

No a pak tady máme třeba IDN homograph attack, že.
Nemáme, to je dávno vyřešený problém – pokud to tedy vlastník TLD chce řešit.

OK.
Nemáme, to je dávno vyřešený problém – pokud to tedy vlastník TLD chce řešit.
Tak je to vyřešený problém, nebo ne? Jen se ptám, protože mě to zajímá a jakmile je tam "pokud někdo něco", tak jsme zase na začátku.

Bezni pouzivatelia neriesia domeny alebo co maju v url bare. Oni si daju do googla (alebo co maju nastavene ako predvoleny vyhladavac) to co chcu, napr "datova schranka" a ked vidia prihlasovaciu obrazovku, ktoru vizualne poznaju, tak tam radi vyplnia svoje credentials.

No a ked sa k nej prekliknu inac, napr. z mailu, tak postup je rovnaky. Nevysvetlis, ze maju zadavat url sami.

Že mají URL zadávat sami není univerzální řešení – často se přes URL předávají parametry.

Holt se uživatelé musí naučit buď používat správce hesel s integrací do prohlížeče, který jim to URL zkontroluje (a musí umět vyřešit situaci, když jim správce hesel heslo nevyplní – ne že ho vyhledají a bezhlavě vnutí vyplnění), nebo se musí naučit kontrolovat doménu v adresním řádku. Žádné jiné řešení dnes pro weby používající hesla neexistuje. Do budoucna se snad víc rozšíří WebAuthn nebo něco podobného, ale to je teprve v začátcích.

A kontrolovat doménu by si člověk měl nejen při zadávání citlivých údajů, ale i když na webu jen hledá nějaké důležité informace.

Měl by, ale nedělá. Co prohlížeče "pro dobro uživatelů" spojili search a url, v kombinaci s nepoužitelností favorities (defaultně skrývání toolbaru) si prostě uživatelé zvykli do horní řádky dát část url co si pamatují a enter. Vidím to dnes a denně kolem sebe. Soustředí se na vzpomenutí na heslo a nedávají pozor, co je nahoře v URL ve výsledku.

Za mě jedině 2FA by je asi vyléčilo, že tentokrát to udělali jinak, než obvykle...

V tomhle jednoduché 2FA nepomůže. Když uživatel zadá do špatné stránky heslo, zadá tam i druhý faktor. Pro útočníka to má jedinou nevýhodu, že ten útok musí dělat online – ale to dnes pro útočníky není žádný problém.

Nieco ako certifikat ktory by okrem toho ze obsahuje WWW stranku a public key obsahoval zaroven napriklad nazov majitela domeny pripadne ICO firmy a kontaktny email alebo telefon. Proste nieco ako HTTPS certifikat ktory bol na to urceny?
Az neskor sa z toho stalo toto nepouzitelne monstrum. Proste vydaju HTTPS certifikat hocikomu na hocijaku domenu ale ten iba hovori ze tento public key patri k tejto URL.

Tyhle údaje certifikáty stále mohou obsahovat, ale prohlížeče je nezobrazují (myslím automatické zobrazení, ne zobrazení někde na 10. obrazovce). Ano, kdyby prohlížeče zobrazovaly vlaječku EU u certifikátů vydaných podle eIDASu, vedle název subjektu a vlaječku státu registrace subjektu, pomohlo by to. Jenže na mobilu by to ubíralo prostor a když se to nezobrazuje na mobilu, nechtějí to prohlížeče zobrazovat ani na desktopu. Bezpečnost uživatelů je zkrátka u autorů prohlížečů až někde hodně vzadu na seznamu priorit.

Máme OV certifikáty, které tyhle informace mají, ale prohlížeče je nezobrazují. Místo toho je používají jako DV certifikáty. DV certifikáty obsahují jenom informaci o doméně, kvůli které je zase úplně zbytečné mít důvěryhodný certifikát a stačilo by mít veřejný klíč v DNS, třeba v TLSA záznamu. Ale to prohlížeče nepodporují. Prostě Kocourkov.

Aspon by sme sa mali zhodnut ze nebudu zobrazovat zelenu vlajocku ale povedzme modru. Az ked obsahuju nejaku informaciu o majitelovi az potom budu zobrazovat zelenu. Proste informacia ze tato stranka je tato stranka je dost klamliva informacia lebo neviem kto ju vlastni.

Ano, ale tak se podívej na stav IT. Já mám nejnovější jazyk a přešel jsem na SHA-3 a mám dva weby bez reklam.

Že je v certifikátu uvedeno jméno subjektu je úplně jedno, když není hned zobrazené uživateli. A když uživatel neví, v jaké jurisdikci je to jméno registrováno – v nějaké banánové republice určitě půjde zaregistrovat subjekt s názvem třeba „Ministerstvo financí ČR“, takže pouhé zobrazení názvu nestačí.

Ten obázek pro pobavení je tak malý, že je nečitelný.

Díky, napraveno. Po kliknutí se objeví plná velikost.

Nevím, co je to za chlápka na ilustračním foto, ale já bych ho hnal, kdybych ho viděl jak takto ošklivě zachází s PC XT klávesnicí... jaká to neúcta k retro hardwaru!

No ja nevím, XT nemělo dvě řady funkčních kláves ani ten blok vlevo. Mě to přijde jako nějaký výmysl domnělé inteligence.

Prý to je klávesnice IBM 1394104

Díky, mě to připomělo IBM Model F dvěma sloupci funkčních kláves vlevo, ale nepátral jsem důkladněji, teď vidím jak moc se liší :/