Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 4.10.2002

FBI määritteli yleisimmät tietoturvariskit Unix- ja Windows-palvelimissa

FBI on yhdessä SANS-tietoturvainstituutin kanssa määritellyt yleisimmät tietoturvariskit Unix- ja Windows-palvelimissa. Kolme suurinta tietoturvariskiä Windows-palvelimissa ovat listan mukaan IIS-webpalvelinohjelmisto, MDAC-etädatapalvelut (Remote Data Services) sekä Microsoft SQL -tietokantaohjelmisto. Myös Internet Explorer -selain on listalla sijalla kahdeksan.

Unix-järjestelmissä suurimmat tietoturvariskit ovat RPC-etäkutsupalvelut, Apache-webpalvelinohjelmisto sekä Secure Shell -etäkäyttöohjelmisto. Mielenkiintoinen yksityiskohta on, että FTP-protokollaa paremman tietoturvan sisältävä SSH on listan mukaan järjestelmälle suurempi tietoturvariski kuin FTP, joka on listalla sijalla viisi.

SANSin julkaisemassa artikkelissa on ohjeet top10-listan tietoturvahaavoittuvuuksien testaamista sekä suojautumista varten. Lista on koottu lähinnä niitä yrityksiä ja organisaatioita varten, joilla ei välttämättä ole omaa täysipäiväistä ylläpitohenkilöstöä, jonka vuoksi osa tietoturva-aukoista jää tilkitsemättä. Käymällä listan läpi ylläpitäjillä on ainakin mahdollisuus suojautua yleisimpiä tietoturva-aukkoja vastaan.

Lue juttu oma, 4.10.2002 00:13. Lähde: FBI / SANS

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 13 uutta / 13 )
pistettä.
Näytä vain kommentit joilla on vähintään
SSH ja tietoturva.
Anonyymi kommentoija, 4.10.2002 08:16:16		 Pisteet: +1
Artikkelissä ihmeteltiin FTP:n ja SSH:n "nurinkurisuutta" tunkeutumisreittinä.

Itselläni on jenkeissä oma palvelin ylläpitäjällä jonka jo koon takia vastaan hyökätään käytännössä jatkuvasti. SSH on ylläpitäjän mukaan "edistyneimpien" tunkeutujien ykkösreitti tällä hetkellä. Itse pääsen SSH:n kautta omalle koneelle vain ennalta määrätyn staattisen IP:n kautta, kaikki muut pyynnöt palomuuri suodattaa pois.
Re: SSH ja tietoturva.
Anonyymi kommentoija, 6.10.2002 01:53:06		 Pisteet: 0
Artikkelissä ihmeteltiin FTP:n ja SSH:n "nurinkurisuutta" tunkeutumisreittinä. Itselläni on jenkeissä oma palvelin ylläpitäjällä jonka jo koon takia vastaan hyökätään käytännössä jatkuvasti. SSH on ylläpitäjän mukaan "edistyneimpien" tunkeutujien ykkösreitti tällä hetkellä. Itse pääsen SSH:n kautta omalle koneelle vain ennalta määrätyn staattisen IP:n kautta, kaikki muut pyynnöt palomuuri suodattaa pois.
Tietysti ensimmäisenä kannattaa päivittää bugiset SSHd versiot uudempaan. Sitten vaikka laittaa käyttöön RSAAuthentication ja PubkeyAuthentication, jolloin sinulle tehdään yksityinen avain jota ilman ei voi tunnustasi käyttää(näin teoriassa). Tietysti jos joku pääsee käsiksi avaimeen...

IP osoite on suhteellisen helppo "spooffata", toivottavasti ylläpitäjäsi on myös pistänyt firewalliin sinun MAC-osoitteen. Vaikeuttaa hieman kräkkerin toimintaa / sen pitää ottaa jo kunnolla selvää asioista.

-V
Re: SSH ja tietoturva.
Anonyymi kommentoija, 7.10.2002 21:03:34		 Pisteet: 0
IP osoite on suhteellisen helppo "spooffata", toivottavasti ylläpitäjäsi on myös pistänyt firewalliin sinun MAC-osoitteen. Vaikeuttaa hieman kräkkerin toimintaa / sen pitää ottaa jo kunnolla selvää asioista.
FTP:n tietoturva...
Vince, 4.10.2002 09:30:41		 Pisteet: +1
Kertokaapa sitten te jotka _oikeasti_ tiedätte että eikö tuossa "tavallisessa" ftp:ssä ole mitän reikiä mitä voidaan käyttää hyödyksi? Vai eikö nämä tällaiset palvelimet aiheuta riittävästi haastetta näille henkilöille jotka haluavat suorittaa tietomurtoja? Kun tuo särähtää aika kovasti tällaisen maallikon korvaan että suojatun yhteyden takana oleva palvelin olisikin suurempi riski kun se palvelin joka on ihan tavallisen yhteyden päässä.
Re: FTP:n tietoturva...
Anonyymi kommentoija, 4.10.2002 09:53:05		 Pisteet: 0
Kyllä, aina jo puhutaan yhteydettömistä protokollista niin on (FTP pasv. port 20/udp).

Toki aikaleimauksessa, digitaalisessa allekirjoituksessa ja salauksessakin on puutteita. Niitä ei ole.

Kertokaapa sitten te jotka _oikeasti_ tiedätte että eikö tuossa "tavallisessa" ftp:ssä ole mitän reikiä mitä voidaan käyttää hyödyksi? Vai eikö nämä tällaiset palvelimet aiheuta riittävästi haastetta näille henkilöille jotka haluavat suorittaa tietomurtoja? Kun tuo särähtää aika kovasti tällaisen maallikon korvaan että suojatun yhteyden takana oleva palvelin olisikin suurempi riski kun se palvelin joka on ihan tavallisen yhteyden päässä.
Re: FTP:n tietoturva...
Anonyymi kommentoija, 4.10.2002 10:08:42		 Pisteet: +1
Kertokaapa sitten te jotka _oikeasti_ tiedätte että eikö tuossa "tavallisessa" ftp:ssä ole mitän reikiä mitä voidaan käyttää hyödyksi? Vai eikö nämä tällaiset palvelimet aiheuta riittävästi haastetta näille henkilöille jotka haluavat suorittaa tietomurtoja? Kun tuo särähtää aika kovasti tällaisen maallikon korvaan että suojatun yhteyden takana oleva palvelin olisikin suurempi riski kun se palvelin joka on ihan tavallisen yhteyden päässä.
Niin, SSH on ainoastaan applikaatio joka mahdollistaa liikenteen salauksen istunnon aikana. Ei se tuo oikeastaan mitään lisäturvaa järjestelmään sen kannalta, kuinka laitteeseen murtaudutaan sisään.
Itse SSH server on vain mahdollinen buffer owerflow riski vakiintuneessa unix ympäristössä jos asiaa tarkastellaan siltä kantilta. Sen lisäksi on myös totuus että mitä enemmän järjestelmässä on applikaatioita, sitä enemmän siinä on reikiä. Joten kyllä SANS:in riski analyysi tuntuu oikealta.
Myöskin se että ftp serveri on ollut mukana paljon pitempään unix toimittajien kehityksessä kuin SSH: myöskin tukee tätä käsitystä.
Ja kolmanneksi voisin mainita sen että niin kuin kerroit, yleensä tuudittaudutaan väärään ja aiheettomaan turvallisuuden tunteeseen sen takia että ollaan asennettu jokin applikaatio, joka poistaa kaikki mahdolliset ongelmat nyt ja tulevaisuudessa.
Lisäksi täytyy ymmärtää mikä ero on riskillä ja toteutuneella hyökkäyksellä.
heko Re: FTP:n tietoturva...
heko, 5.10.2002 21:38:24		 Pisteet: +1
Niin, SSH on ainoastaan applikaatio joka mahdollistaa liikenteen salauksen istunnon aikana. Ei se tuo oikeastaan mitään lisäturvaa järjestelmään sen kannalta, kuinka laitteeseen murtaudutaan sisään.
Väärin. SSH myös mm. takaa sen, että serveri on sitä mitä sanoo olevansa. Se tarjoaa myös erilaisia autentikaatiovaihtoehtoja kuin perinteinen FTP (esim. publickey).

Itse SSH server on vain mahdollinen buffer owerflow riski vakiintuneessa unix ympäristössä jos asiaa tarkastellaan siltä kantilta. Sen lisäksi on myös totuus että mitä enemmän järjestelmässä on applikaatioita, sitä enemmän siinä on reikiä.
Sekä määrällä että laadulla on väliä.

Myöskin se että ftp serveri on ollut mukana paljon pitempään unix toimittajien kehityksessä kuin SSH: myöskin tukee tätä käsitystä.
Kyllä, sitä on parjattu iät ja ajat ja sitä pidetään vanhentuneena protokollana. Se on suunniteltu aikana, jolloin verkko ja sen tietoturva olivat kouriintuntuvasti erilaiset.

Ja kolmanneksi voisin mainita sen että niin kuin kerroit, yleensä tuudittaudutaan väärään ja aiheettomaan turvallisuuden tunteeseen sen takia että ollaan asennettu jokin applikaatio, joka poistaa kaikki mahdolliset ongelmat nyt ja tulevaisuudessa.
Kuuluvatko esim. virustorjuntaohjelmistot samaan kastiin?

Lisäksi täytyy ymmärtää mikä ero on riskillä ja toteutuneella hyökkäyksellä.
Ei. Pitää ymmärtää, mitä halutaan saavuttaa, mitä vaihtoehtoja on saavuttaa tuo tavoite, ja mitä riskejä eri vaihtoehdoissa on.

Tietokoneiden ja ohjelmistojen tavoite on helpottaa ja mukavoittaa elämäämme. Lähes poikkeuksetta ihmisillä pitää olla jonkinlainen järjellinen tapa päästä käsiksi tarvitsemiinsa tietoihin ja välineisiin, vaikka pitäisikin huolehtia siitä, että muilla, joilla ei noihin tietoihin ole oikeutta, ei ole mahdollisuutta käsitellä noita tietoja. Tätä kutsutaan yleensä "priorisoinniksi".

FTP ei voi korvata SSH:ta, jos tarvitaan etäkäyttöyhteyksiä, joilla voi esim. ajaa interaktiivisesti tai ei komentoja ja X-ohjelmia. Tuon ylemmän logiikan mukaan on siis otettava huomioon, että monissa palvelimissa SSH:ta tarvitaan joka tapauksessa, ja FTP on siihen lisäriski.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: FTP:n tietoturva...
Anonyymi kommentoija, 4.10.2002 12:26:11		 Pisteet: +1
Kertokaapa sitten te jotka _oikeasti_ tiedätte että eikö tuossa "tavallisessa" ftp:ssä ole mitän reikiä mitä voidaan käyttää hyödyksi? Vai eikö nämä tällaiset palvelimet aiheuta riittävästi haastetta näille henkilöille jotka haluavat suorittaa tietomurtoja? Kun tuo särähtää aika kovasti tällaisen maallikon korvaan että suojatun yhteyden takana oleva palvelin olisikin suurempi riski kun se palvelin joka on ihan tavallisen yhteyden päässä.
Jos FTP:tä käytetään ainoastaan tiedostojen julkiseen jakoon (anonyymit downloadaukset) se on turvallinen. Jos FTP:llä tehdään mitä tahansa muuta, riskejä syntyy jo pelkästään sen vuoksi, että FTP:ssä salasanat menevät selvätekstisenä asiakkaalta palvelimelle ja joku ystävällinen hakkeri voi poimia ne matkan varrella erittäin helposti tcpdumpilla.

Lukuisat "vähemmän viralliset" FTP-palvelin ohjelmistot, etenkin Windows puolella, pursuavat buffer overflow exploitteja.
kudzu Re: FTP:n tietoturva...
kudzu, 4.10.2002 12:28:24		 Pisteet: 0
sshd:tä ajetaan useimmiten rootin oikeuksilla, kun taas (yhtään järkevää) ftpd:tä joillain tunnareilla joilla ei pääse niin paljoa vahinkoa tekemään.
+++ATH0';%%&
Re: FTP:n tietoturva...
Anonyymi kommentoija, 4.10.2002 13:17:00		 Pisteet: 0
sshd:tä ajetaan useimmiten rootin oikeuksilla, kun taas (yhtään järkevää) ftpd:tä joillain tunnareilla joilla ei pääse niin paljoa vahinkoa tekemään.
Onneksi nykyään OpenSSH:ssa on vakiona Priviledge Separation päällä (ajaa suurimman osan koodista ei-roottina).
setae Re: FTP:n tietoturva...
setae, 4.10.2002 10:16:43		 Pisteet: +2
Kertokaapa sitten te jotka _oikeasti_ tiedätte että eikö tuossa "tavallisessa" ftp:ssä ole mitän reikiä mitä voidaan käyttää hyödyksi? Vai eikö nämä tällaiset palvelimet aiheuta riittävästi haastetta näille henkilöille jotka haluavat suorittaa tietomurtoja?
Varmasti. SSH-palvelin ensisijaisena reittinä saattaa johtua siitä, että koska se on "secure", se aiheuttaa myös harhaluulon turvallisuudesta. Luotetaan siihen että se on turvallinen; tietoturvasta vastaavien täytyisi kuitenkin olla edes hieman vainoharhaisia jokaisen palvelun suhteen.

Toinen syy saattaa piillä siinä, että ftp:llä ei välttämättä ole tunnuksiensa takana oikeita tunnuksia, kun taas ssh:lla näin on useinmiten. SSH yhteys myös useinmiten tarjoaa shell-palvelut autentikaation jälkeen, toisin kuin ftp. Kyllähän chroot on mahdollista ssh:n kanssa, mutta käytäntö ei tietääkseni ole vielä suunnattoman yleinen. Salasanan selville ottaminen (postit-laput ja muu vähemmän bittihakkerointiin liittyvä toiminta) mahdollistaisi siis helpomman pääsyn jo itse koneelle etsimään kenties aukkoa sisäisestä tietoturvasta (joka, lähes poikkeuksetta, on ulkoista heikompi).

Tilannetta vielä pahentaa ssh1-protokollaimplementaatioissa olleet virheet, joiden kautta root-yhteyden saaminen oli valmiita exploitteja (esm. x2) käyttämällä pelottavan helppoa - ainoa mitä tarvittiin oli aika. Vieläkin löytyy näitä virheellisiä implementaatioita käyttäviä järjestelmiä, valitettavasti.
Re: FTP:n tietoturva...
Vince, 4.10.2002 13:57:56		 Pisteet: 0
Toinen syy saattaa piillä siinä, että ftp:llä ei välttämättä ole tunnuksiensa takana oikeita tunnuksia, kun taas ssh:lla näin on useinmiten. SSH yhteys myös useinmiten tarjoaa shell-palvelut autentikaation jälkeen, toisin kuin ftp.
Eikös taas esimerkiksi mitä olen tuohon IIS:n ftp-ominaisuuteen tutustunut, vaadi juuri ihan oikean käyttäjätunnuksen jotta se pelaa oikein. Eli pitää luoda oikea käyttäjätunnus jotta ftp:llä voi logata sisään. Kun taas näihin 3rd party-softien tunnuksilla ei ole mitään tekemistä itse käyttöjärjestelmän tunnuksien kanssa. Tämä siis windowsin puolella, linuxista en tiedä.