Открыть список
Как стать автором
Обновить

Комментарии 46

Я ваш пост минусану. За что? За то, что вы считаете, что отсутствие срока жизни пароля — это узявимость. Я не считаю "вечный" пароль на рабочей станции проблемой.


И я открыт к дискуссии.

В моём представлении локальная машина — это специальный случай.


А вот пароли по сети — это плохо, да (потому что круг атакующих большой и есть вероятность компрометации пароля при работе с сервером), вне зависимости от срока жизни пароля. Но в посте-то не про это.


Ни в одном из этих случаев я не вижу смысла в ротации паролей. Либо убирайте пароль вообще, либо ротация не нужна.

Я вообще-то согласен :) Из-за на порядки меньшей скорости перебора паролей к локальной машине смысла в ротации ещё меньше, чем для сетевых.
Соглашусь с предыдущим оратором, так же и проверка сложности тудаже, лучше начать прививать культурну формирования запоминаемых длинных паролей и доступов по ключу

Запоминающиеся длинные пароли рассчитаны на посимвольный брутфорс. Но… Если будет культура длинных запоминающихся паролей — брутфорс просто перейдет на подбор по словарю, ибо большая часть людей также будет задавать простые для перебора пароли вида "розовый пони лижет пиццу"/"розовыйпонилижетпиццу", т.е. прилагательное+существительное+глагол+существительное.

Habrjdsqgjybkb;tngbwwe (Habrовыйпонилижетпиццу) как там ваш словарь?

А теперь скажи как часто ты в пароле переключаешь язык? Более того, скажи сколько популярных (и не очень) сайтов допустят в пароле русские символы...

причем тут переключение языка? я в скобках просто написал как такой пароль сформирован, сам пароль — левее.

А. Да. Не заметил что и в оригинале habr.
Тем не менее прилагательные будут формироваться таким же способом...

Я раньше на некоторых сайтах использовал пароль GoSDuMSurusyazamanovmusar87771534637 (некоторые символы изменил).

Поздравляю. Но я сказал не о частном случае человека, который смыслит в безопасности пароля, а об общем. Даже сейчас большая часть сайтов не позволяет использовать 123456, что очень затрудняет брутфорс, из-за чего мой всего лишь 10-символьный пароль сложно будет подобрать. Но до сих пор есть люди которые используют аналоги Qwerty123 даже для банков.

Даже сейчас большая часть сайтов не позволяет использовать 123456, что очень затрудняет брутфорс

и отваживает клиентов

очень блин нервируют сайты где надо 'придумайте пароль не меньше 6 символов, но не больше 10, с цифрами и буквами, знаками припинания, разного регистра и не повторяющийся с предыдущим и менять каждые 3 месяца'… а сайт даже не интернет-магазин, а какойнить личный кабинет для отправки показаний счетчика на воду без ф-ций оплаты

Это уже вопрос к социальной инженерии, как мне кажется.


Как ротация паролей может быть уязвимостью, когда люди устают от частой смены и хранят на бумажке.
Так и один пароль может использоваться в разных местах.


Нужен какой-то аналитический подход. Ротация по времени выглядит ущербной.

Вся статья умножается на 0 списком рекомендаций, который никоим образом не будет отличаться от аналогичных для других ОС.

Прдытоживая:


  1. Незакрытые публичные уязвимости
  2. Косяки в настройках
  3. Слабые пароли

Итого, только первое отличает Linux-based OS от проприетарных. Но и что с этим делать — тоже давно известно.

регулярно устанавливайте обновления и исправления ошибок.


Да откуда вы это черпаете? Защищенная система должна загружаться из заготовленной squashfs c проверкой контрольной суммы при запуске. Причем, разделы /opt /etc /usr монтируются readonly. Плюс грамотно настроенные параметры паники ядра и автоматическая перезагрузка в случае переполнений любого из буферов. Включите параметры загрузки ядра: noibrs noibpb pti=off nospectre_v1 nospectre_v2 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off (это не полный список, но из того, что вспоминается в первую минуту размышлений). Включите расширение uMatrix на всех браузерах в режим максимальной блокировки (белые списки frame/ajax/media/img/js/css по каждому домену/под-домену отдельно). Отметёт работоспособность 99% эксплойтов/руткитов и прочей нечисти.
Отметёт работоспособность 99% эксплойтов/руткитов и прочей нечисти.

Это если вы админ локалхоста.
а теперь представтье что у вас в подчинении сеть на 5000машин с офисными юзерами

Централизованные системы управления конфигурацией отменили? Никогда-бы не подумал!

Создавать и поддерживать наборы правил для 5000компов? да раз плюнуть!

Господа, вы явно не сталкивались с такими задачами в живую.
У меня был такой кейс, мы в итоге выводили браузер в изолированную машину доступную только по rdp/ica, а на рабочих машинах интернета не было совсем. и перенастраивали весь софт на работу с локальными версиями серверов и прокси-сервисов, отказываясь от софта который так не умеет. Это очень сложная работа которая НЕ ФАКТ что окупает отказ от обновлений мотивируя тем что 'да всеголишь достаточно .....'

А Microsoft-то и не знает! Так и заморачивается с развитием своего group policy. Дураки, наверное. И разработчики Ansible / chef /puppet /Salt Stack. Надо им срочно рассказать о тщетности бытия!
А костыли и велосипеды и я придумывать умею. Только они у меня дальше тестовой, исследовательской песочницы не вылезают. Наборы правил существуют не для отдельных компов, а для групп этих самых компов, пользователей и иже с ними (слово group, в решении от MS). А если у вас так не получается, значит вы с вероятностью 146%™ что-то делаете не так.

Наборы правил существуют не для отдельных компов, а для групп этих самых компов

да неужели? вы мне прям глаза раскрыли на функционал AD

у меня не-неполучается, у меня был кейс с очень яростной политикой ИБ, где чутьли не под каждого юзера с мудреным корпоративным софтом или сайтом надо было писать список IP разрешенных адресов и протоколов и сочинять правила для IDS

Это не выделить группу «менеджеры продукта» и накатить правила на 50 человек. Это каждому из них подойти, переписать список сайтов (типа Visa BIN Viewer и какойто еще МПСовский ужас написанный на вижулбейсике) и под них собрать правила для IDS фаерволла… еще пары систем и блин ДА накатить их через GPO конечноже
такие кейсы конечно у нас редки, потому что в ИБ у нас все не в зуб ногой обычно.

Тогда уже не squashfs, а dm-verify. Отключение защиты спектре в свете работающих js-эксплоитов для spectre — это просто верх идиотизма, простите. mlfa (про который вы пишите) имеет смысл на серверах, которые не исполняют недоверенного кода (например, СУБД или ceph), а любая рабочая станция IRL вынужена выполнять всяхую херь с из интернета, и никакой umatrix от этого полностью не спасает.

Отключение защиты спектре в свете работающих js-эксплоитов для spectre

я не слежу за темой, но вроде бы в современных браузерах эксплуатировать spectre из js не получится

Нет. Попробуйте потестить последний Chrome: xlab.tencent.com/special/spectre/spectre_check.html

Только когда увидите зелёную надпись, не обольщайтесь. Попробуйте перезапустить тест раз 20. Попробуйте переходить по другим вкладкам браузера во время выполнения теста. Попробуйте запустить тест одновременно на двух-трех вкладках браузера.

Пока в JS будет доступен Uint8Array и его аналоги, пока setTimeout будет срабатывать с интервалом меньшим чем хотя бы 2500мс, уязвимостям браузеров не будет границ. Ваши конфиденциальности не спасет даже изолированная работа в виртуальных машинах. Так что, будущее за WebAssembly.
Только когда увидите зелёную надпись, не обольщайтесь. Попробуйте перезапустить тест раз 20. Попробуйте переходить по другим вкладкам браузера во время выполнения теста. Попробуйте запустить тест одновременно на двух-трех вкладках браузера.

попробовал в chromium во всех указанных вариантах, одно и то же — Your browser is NOT VULNERABLE to Spectre
в ff вообще сразу зелёная надпись.


перепроверил, загружен с «mitigations=off»


пока setTimeout будет срабатывать с интервалом меньшим чем хотя бы 2500мс

на задержках в 2.5с можно поймать отклонения в сотни тактов процессора?!?

Отключение intel-овского разгильдяйства. Никак оно не защищает от spectre. А если и защищает от какой-то конкретной уязвимости, то открывает ворота для трех новых уязвимостей. Протестируйте на своих конфигурациях сами: github.com/speed47/spectre-meltdown-checker
Включите параметры загрузки ядра: noibrs noibpb pti=off nospectre_v1 nospectre_v2 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off (это не полный список, но из того, что вспоминается в первую минуту размышлений)

в контексте беседы про повышение уровня защиты совет смотрится странно


и да, давно уже есть mitigations=off

Но на макбуке запущен GNOME. Какой-то непримечательный терминал, в котором запущен vim с плагинами nerdtree и airline/powerline (только эти удалось рассмотреть). Вероятно, всё это обёрнуто внутри запущенного tmux. Сам Macbook Pro очень древний, еще без TouchBar.

Здесь еще много стоковых фото из данной серии.

вполне может быть Xiaomi MiBook или что то подобное
Как будто на макбуки не ставят линуксов…

Только мейнтейнерам ядра линукса не говорите, а то они сами пишут статьи, какие макбуки офигенные — Linux on the Mac — state of the union.

Будем надеятся, что качество софта Trend Micro не такое же нулевое как эта статья. Хотя, впрочем, не будем. Не стоит.

никто никогда и не говорил что линукс неуязвим, просто он "менее" уязвим чем та же винда (или вспомним историю с безпарольным рутом в макоси).
бесконечно долгий пароль из четырёх нулей у рута собственно тоже не сказать чтобы был проблемой ибо по сети доступ чаще всего возможен только по ключам а при физическом доступе это вообще не играет роли тут нужно фс шифровать (что тоже кстати не панацея)
лично у меня больше бесит что в убунтах (читать популярных дистрах) и макоси запрашивается пароль юзверя а не рута… ну нефига простому пользователю иметь доступ к sudo, в этом плане suse/opensuse куда грамотнее.

Простите, на втором графике "Alpine Linux" везде 0? Или это кривой график?

Кажется, что большая часть описанного в статье вполне попадает в «общую» категорию, не касающуюся конкретно Linux. Слабые пароли и несекурный конфиг сервисов может быть и на win-серверах. Хотя с общим посылом статьи сложно не согласиться, нужно ответственно относиться к безопасности и серверов и рабочих машин, не полагаясь только на механизмы ОС поставляемые из коробки. Linux — не волшебная таблетка, я бы даже скорее сказал что допустить ошибку в конфигурации рабочей машины на нём куда проще чем в той же винде или макоси, где о простых способах «выстрелить себе в ногу» за среднего пользователя подумал производитель. С другой стороны виндовс и макось часто не могут предоставить должной гибкости и возможностей в настройке рабочей машины для себя и своих нужд, в том числе и с точки зрения безопасности, а ИМХО именно за гибкость и возможности люди и выбирают Linux.

Если бы я писал статью на эту тему, то скорее развил бы мысль в сторону того что немалое число уязвимостей ОС на базе ядра Linux растёт из монолитной структуры самого ядра. Это создаёт некоторые проблемы Linux, которые как правило вообще не будут касаться других ядер ОС.
Если бы я писал статью на эту тему, то скорее развил бы мысль в сторону того что немалое число уязвимостей ОС на базе ядра Linux растёт из монолитной структуры самого ядра. Это создаёт некоторые проблемы Linux, которые как правило вообще не будут касаться других ядер ОС.

а чем тут linux отличается от freebsd или windows?

поскольку открытый исходный код позволяет быстро найти проблемную функцию и написать код для эксплуатации ошибки.

То есть вы считаете, что хакеры найдут проблемную функцию быстрее, чем разработчики? И тем и другим найти такую функцию одинаково сложно и открытые исходники это не дыра в безопасности, а скорее наоборот, так как людей анализирующих исходники во благо, гораздо больше, чем тех, кто анализирует их во вред, можно конечно поспорить, что хакеры более продвинутые, но это спорно. В общем слово "быстро" В цитате, которую я привел, говорит о том, что автор сам никогда не смотрел в исходники

Теперь я понимаю чувства верующих, когда критикую их религию)

Нет неуязвимых ОС. В том числе и Linux

Я так понял пользователи дают слабые пороли, не обеспечивают безопасность системы, а виноват в этом linux? Linux — просто инструмент. У пользователя с прямыми руками с безопасностью все будет ОК вне зависимости от ОС.

Стоит отличать домашний ПК и сервер и уязвимости встречающиеся там и там, у меня из статьи появилось ощущение что автор их умышленно сваливает в кучу, дабы показать какой он молодец что написал статью с хайповым заголовком.
P.S. Ушел гуглить амазоновский линух, что это за зверь?)

Очень странный пост. Перечислены фактически общие уязвимости для всех операционных систем.
А вы никогда не задумывались о том, что чем больше уязвимостей найдено, тем лучше? Поясню… В опенсорсе код доступен всем. И специалисты спокойно находят эти уязвимости, рапортуют о них и исправляют их. Найденные дыры сразу же становятся известны всем и сразу фиксятся.
А что у наших проприетарных друзей? Вы что, серьезно думаете, что у них меньше уязвимостей? Корпорации совершенно невыгодно афишировать уязвимости. Это прямая потеря репутации, а, значит, и денег. И если не возникло никакого публичного скандала с утечкой данных миллионов людей, то они будут тупо молчать в тряпочку, и, может быть, нам повезет, они снизойдут до нас, смертных, и через годик-другой прикроют дыру, если это не будет очень дорого.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
1988
Местоположение
Япония
Сайт
www.trendmicro.com.ru
Численность
5 001–10 000 человек
Дата регистрации

Блог на Хабре