Názory k článku Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky

To ze pracuje pro PR microsoftu neznamena ze vzdy lze a vzdy jsou jeho prispevky motivovany pospinenim druhych. Pokud mate pocit ze vam nemuze nic sdelit, tak na nej nereagujte. Ja mam pocit, ze kdyz si "zacernim" nazvy softwaru, tak casto najdu sdeleni ktere upozornuje na bezny problem, ktery by se nemel prehlizet.

S tim oddelenim PR microsoftu to je pro me nova informace a dost to nektere veci osvetluje a bylo by lepsi, kdyby to byla jeste nezavisle potvrzena zprava, Laele?. Asi by se pak mohla dostat do titulku root.cz "Root Systematicky Pod Tlakem Zamestnancu Konkurencniho OS".

Vsimnete si, ze Vas vubec napadne myslenka o 'zacernovani nazvu softwaru' abyste citil informaci jako nestrannou.

To byl navod pro "nobody"-ho. Ale takhle posuzuji prispevky od vsech. Ne ze bych vylozene zacernoval nazvy softwaru, ale vzdy pocitam s tim, ze nazor prispevatele je zkresleny tim, co pouziva.

Ad S tim oddelenim PR microsoftu... nezavisle potvrzena zprava, Laele - ne, to je jenom trolling uživatele nobody, který tu v diskusích léta zvrací urážky a vulgarity. Berte ho jako místního klauna. Pokud se mu nějaká fakta nehodí do krámu, považuje je za osobní urážku. Nestrannost od něj nečekejte, takový koncept vůbec nezná (testováno opakovaně). Za mě nemá smysl s ním ztrácet čas.

Děkuji za názornou demonstraci. Přesně o těchto vašich výlevech jsem psal.

No mě hlavně ani nenapadlo, že by někdo vůbec mohl nechal návštěvníka připojit notebook na interní firemní WiFi.

S IPv6 to má společného to, že ho všichni tlačí kupředu hlavně s argumentem "volný přístup z/do Internetu pro každou krabici".

Pro nechapave: to znamena, ze kazda krabice pristup z/do Internetu mit muze, nikoliv ze musi.

NAT není zrovna žádný zázrak, ale zrovna problém tohoto typu řeší spolehlivě...

Mam podezreni, ze zamenujete NAT s firewallem. NAT tyhle triky s tiskarnou ztezuje a cini mene primocarymi, ale nezamezuje jim. Pokud vim, jsou dokonce i nejake techniky scanovani site za NATem a dost mozna jsou funkcni jeste dnes. Cili k utoku na tiskarny to prida jeden krok, coz tiskarnu "zabezpeci" tim, ze je to pro utocnika vice prace a tedy mene srandy, i kdyz pro nektere dost mozna i vice zadostiucineni pri uspechu.

Tech 160 tisic maniku to zacne resit, az jim nekdo pres noc vytiskne cely zasobnik cernych stranek a rano zjisti, ze nemaji toner.

Ale dostat můj záškodnický paket k cíli někde za NAT není stejně snadný jako dostat ho k cíli v přímo adresované síti, že.

To nepatri do routingu. Bud to udela primo firewall, nebo nastaveni routeru podle BCP-38. Puvodne byl ale IP protokol navrzen tak, ze routing muze byt asymetricky, proto takove filtrovani mohou zarizeni nedelat, a ti kdo sitim rozumi na vas budou hulakat ze NAT neni firewall. U domaciho routeru ale asymetricky routing nedava smysl, takze bych ocekaval ze tam takove filtrovani bude zapnute i kdyz bude firewall "vypnuty". Myslim, ze treba linuxovy kernel ma nejaky ekvivalent BCP-38 zapnuty v defaultu. Hmm, ted koukam u sebe na net.ipv4.conf­.*.rp_filter na mem notebooku a je vypnuty, takze bude zalezet na vyrobci routeru, co tam da za volbu (pokud ten router bude linux-based, ale mam za to, ze dnes uz vetsina je, protoze je to levne).

"jarda mira" nejspis pouziva NAT, ktery ma poctivy connection tracking, a nepusti dovnitr nic, co neni odpoved na neco zevnitr. Takovy NAT efektivne supluje firewall, za predpokladu, ze nemuze prijit utok zevnitr (to je chaby predpoklad, ale budiz), a vsechny spojeni navazovane zevnitr jsou opravnene. S tim normalni firewall nemuze vymyslet nic lepsiho. Utok na navazane spojeni je tu bez ohledu na NAT nebo firewall - to spojeni musi byt na nejake urovni zabezpecene (protokolem a/nebo sifrovanim). Idealni je nastavit takovy NAT-router tak, aby neroutoval zadnou rfc-privatni adresu do WANu.

A otevrene porty pro tisk do teto kategorie celkem spadaji. Vyjimkou muze byt iframe utok, pres prostrednika (browser) ve vnitrni siti. To ale zase zadny firewall nechyti.
Ano NAT neni firewall, ale dobre nastaveny NAT udela 95% prace firewallu. Tech zbylych 5% si musi administrator ohlidat sam a musi se rozmyslet co a jak bude filtrovat, protoze i ten firewall se musi spravne nastavit.

Pardon, vymente NAT za NAT-MASQUERADE (v terminologii linuxu). O NATech 1:1 a podobnych vymyslech tu nehovorim, protoze nejsou predmetem diskuze.

Hmm, a jak se tam asi takovy packet dostane? To na mne bude utocit muj ISP? Vsechny routery meho ISP budou mit nastaveny routovani takoveho packetu jinam.

Chci tim predevsim rict, ze je o nekolik radu pravdepodobnejsi chytit vir nebo otevrit malware, nebo nechat router se starym nebezpecnym firmwarem, nez byt cilem utoku, ktery projde skrz NAT. Kdyz si to spoctu, tak pokud investuju stovku do firewallu v bezne domacnosti s NATem a IPv4 only, tak bych mel investovat desetitisice do zabezpeceni toho co jsem vyjmenoval pred tim. Potom bude skoda vynasobena rizikem na stejne urovni.

Rad bych vedel kolik takovych technologii muj ISP podporuje, kdyz mi neni ochotny dodat ani IPv6. A rad bych vedel, jestli je tolik cilu, aby to bylo ekonomicky zajimave takovou technologii pro utocnika exploitnout. Porad si stojim za tim, ze 95% utoku NATem neprojde, proste proto, ze je na co utocit co za NATem neni.

Tak - je to skoda, ze tu nepadaji argumenty, ale drsny vyrazy.

Kdyby prece nekdo chtel dokazat, ze mi dostane pres router do lokalni site paket, rad bych to vyzkousel. Postavim si lokalni sit 192.168.0.1/24 pod ni si dam router (treba od cisca?) s podsiti 192.168.5.1, tam si obsadim nejakou adresu - 192.168.5.100 a na portu 5678 budu cekat s nc, co prijde.

Druha moznost by byla s maskaradou. Z verejnyho rozsahu maskaruju do 192.168.1.5, kdyz me naucite jak oslovit zvenku ten vnitrni, super, budu o vas vypravet vnoucatum.

Podvedome citim, ze kdyz se tu neobjevi navod k vyzkouseni, tak to asi nebude tak vazny.

Podvedome citim, ze kdyz se tu neobjevi navod k vyzkouseni, tak to asi nebude tak vazny.

Aniž bych se chtěl vlamovat do dobře rozjetého flame, tak na toto pozor.

Tohle je stejná chyba, kterou dělají mnozí, když jim doporučují nějaké lepší zabezpečení. Říkají ok: tak mi tu (například) sha louskni, když říkáš, že se nemá používat. Ok, já to možná nedokážu, možná se mi nechce, možná na to nemám hw apod. ale o tom to přece není.

Je to o tom, že někdo na světě to dokáže. A bezpečnost se nestaví na tom, jestli to nějaký blbec nedokáže, ale na tom, že to nikdo nedokáže.

Takže chtít po někom v diskusi na rootu návod na vyzkoušení a když se neobjeví tak prohlásit, že to není tak vážné je, ať se na mě nikdo nezlobí, dost blbý přístup.

No ono to i s tou SHA1 neni tak horke. Zalezi na co ji pouzivas. Na praci s certifikaty je to uz trochu mimo, ale na hashovani obsahu souboru bohate postaci. To same je to s tim firewallem a s NATem. Firemni sit bych daval vzdy za firewall. A tam kde to je mozne a akceptovatelne (i financne) tak za MITM http(s) proxy, ktera bude scanovat pruchozi trafic na ruzny malware. Pro domaci sit bych ale volil router s maskaradou, dostatecne zabezpeceny aby mi ho neprekonfiguroval i nekdo komu dam heslo na wifi. A zabezpecene pocitace (typicky notebooky), protoze stejne musi byt zabezpecene, kdyz je pripojuji kamkoliv. Pak maskarada bohate staci na to aby mi nevybihal load cpu na odrazeni internetovych utoku.

Na praci s certifikaty je to uz trochu mimo

Kde "trochu mimo" znamená, že např. v EU se nesmí (ve státní správně) používat od 2010. A stále se objevují lidé, kteří zde v diskusích brečí, že jim v roce 2016 prohlížeče "bez varování" zarazili používat ssl crt s sha podpisem.

na hashovani obsahu souboru bohate postaci

To záleží v jakém prostředí. 160b je už dneska slabá kryptografická síla, takže by se neměla používat na bezpečností věci. Pokud shasum někdo používá pro kontrolu přenosu souboru po zabezpečené síti, tak je to asi dobrý, ale i tak bych doporučoval si do TODO zapsat úkol přejít na něco lepšího.

Rozumim argumentaci. S tim sha to je malinko prehnane prirovnani, ale ano, ilustruje stav. Tady - aniz bych zamyslel nejaky flame - jsem ziskal pocit, ze neni problem posilat pakety dovnitr velmi jednoduchym zpusobem.

Tedy, pokud je tu takova zasadni slabina, rad se o ni dozvim neco vic, ne proto abych provokoval, ale abych ji pochopil. Taky si muzu myslet, ze je to jen takovy hoax....(do doby, nez mi tam nekdo vleze)

Priklad: kdyz je bezpecnosti zprava, davaji tam casto proof of concept a kazdy (nebo-li ja) pochopi, jak je asi obtizne slabinu pouzit.

jsem ziskal pocit, ze neni problem posilat pakety dovnitr velmi jednoduchym zpusobem

Jasný. No tyhle tvrzení (a zrovna u "j" je potřeba je trochu uhladit a očesat od jeho slovníku), jsou upozorněním na to, že nat není bezpečností bariéra. Což ovšem neznamená, že se tam každý dostane, protože v praxi je tam stejně i packet filter. Jenže admin by měl znát rozdíl mezi natem a packet filterem. Takže ano, v praxi ty útoky budou neúčinné nikoliv proto, že nat "stačí", ale proto, že společně s tím natem je tam i filter. A to je podstatný rozdíl.

Taky si muzu myslet, ze je to jen takovy hoax

No upřímně řečeno, i kdyby to byl hoax a ve svém důsledku by vedl k lepšímu zabezpečení, tak je to v podstatě dobře.

kdyz je bezpecnosti zprava, davaji tam casto proof of concept a kazdy (nebo-li ja) pochopi, jak je asi obtizne slabinu pouzit.

Já ne. Pokud si někde (tzn od nějakého kryptologa) přečtu, že sha1 nebrat, tak pro mě prostě skončila. Tečka. Samozřejmě jsou legitimní věci, na které má použití, ale proč bych to měl dělat, když i na toto použití můžu použít funkce, které jsou ještě kryptograficky bezpečné?

Toto relativizování vedlo k tomu, že se stále používá md5. md5 je vadná, byla (1996) vadná už před finálním útokem (2004), a ta relativizace "na toto je ještě dobrá, to můžeme použít", vedla k tomu, že se používá dodnes. I kdyby ta funkce nebyla prolomená, tak dneska už je stejně slabá. Stejně jako je slabá sha1 (160b je prostě málo). No a dodnes se můžeme setkávat s články, které md5 doporučují pro hash hesla. Tímto relativizujícím stylem se ji nikdy nezbavíme.

(Tímto současně reaguju i na 9. 2. 2017 11:15 Autor: (Ebík Ebíkovič))

To relativizování by mělo být ve skutečnosti správné posouzení vhodnosti takového řešení. Bohužel "myslet bolí" a většina raději něco přejme bez přemýšlení. Když té většině budeme podsouvat správná řešení v některých zvolených oblastech, tak udělá chybu hned vedle. Já osobně md5 (a sha1) používám jako hash obsahu, kde mi "útok" nevadí, nebo je potřeba řešit na jiné úrovni. A to proto, že v knihovně kterou na to používám 1. nemám složitější hash 2. nechci aby výpočet příliš zatížil procesor.

Takže ano, v praxi ty útoky budou neúčinné nikoliv proto, že nat "stačí", ale proto, že společně s tím natem je tam i filter.

A o to mi jde. Jak to probiha v typickem nasazeni.

i kdyby to byl hoax a ve svém důsledku by vedl k lepšímu zabezpečení, tak je to v podstatě dobře.

Nesouhlas. Manipulace muze sice mit pozitivni nasledky, ale dochazi k rozpadu duvery. To je ale offtopic.

přečtu, že sha1 nebrat, tak pro mě prostě skončila

No a me to nestaci. Castecne je to svobodna volba, castecne zpusob uvazovani. Posledne tu nekdo brojil za otevreni root@ssh, protoze neudelat to je nejvetsi bezpecnostni chyba. Rad se vzdy dozvim vic, nebudu plnit jen neci (znacne neurvale) pokyny.

Zbytek je uz tak specificky sha1 a md5, ze se to neda jako priklad pouzit. Ukazte mi, jak se dostat za router a ja si udelam obrazek, co se s tim da delat. Protoze dalsi level je za routerem neco oskenovat a hledat slabiny.