Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Trzecia wojna światowa rozpocznie się od admin/admin
Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA).
USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie 'zabawki’ udało się przejąć za pomocą nieśmiertelnej pary: admin/dupa1234
Obecnie jest z tym kiepsko:
Poor password management was a common problem in the test reports we reviewed. One test report indicated that the test team was able to guess an administrator password in nine seconds.
Podobnie, zwykłe skanowanie (portów czy usług) powodowało niekiedy wyłączenie systemu:
The test reports indicated that test teams used nascent to moderate tools and techniques to disrupt or access and take control of weapon systems. For example, in some cases, simply scanning a system caused parts of the system to shut down. One test had to be stopped due to safety concerns after the test team scanned the system.
Po resztę szczegółów odsyłam do tego opracowania.
Oczywiście powstaje pytanie, dlaczego takie informacje są udostępniane publicznie? Może jest tak źle, że gorzej być nie może, a opinia publiczna wymusi pewne działania? A może…? Ktoś ma pomysł – prośba o komentarz.
To jak ze zbieraniem hajsu na inwestycję. Nie ma znaczenia co tak na prawdę robisz, tylko czy jesteś wystarczająco przekonujący, że zarobisz na czymśtam hajs.
Jak chcesz wysupłać 1 600 000 000 000 dolarów na sprzęt, z czego 100 000 000 000 przeznaczyć na system informatyczny, dotacje dla Czesia, Wiesia i Małgosi, to startujesz z hasłem „uuuu jak sobie zeskanujecie porty to system sie wiesz! A popularnym hasłem jest admin/dupa ! To prowadzi do wojny i zagrożeń!”.
Wynik? Dają ci 100 000 000 000 hajsu, a ty wprowadzasz producedury tworzenia haseł keepassem za 50 000, a reszte przeznaczasz na pierdoły.
Jakby hasła i porty rzeczywiście były tak słabo chronione, to nie strzelali by sobie tak od niechcenia do talibów z błyszczących się dronów, bo każdy z komputerem jest potencjalnym zagrożeniem. Wydmuszka fotomontaż, dla mediów, lajków na fejsie i budowaniu wizji.
Olać zapomnieć.
Osobiście mam tu inne doświadczenia. Np. mega drogie i istotne systemy przemysłowe w PL i nie tylko w PL.
Nikt tego nie chce testować – bo jeszcze się coś zepsuje i elektrownia staje. A systemu 'do testów’ nikt nie ma.
I spokojnie powiem – nmap na taki system potrafi zrobić DoSa, a i nie tylko :P
A co jeszcze potrafi oprócz skanowania portów i Denial of Service?
Potwierdzam… ubogie testy… krótkie terminy realizacji… mało możliwości usprawniania… chuchanie i dmuchanie, żeby tylko coś się nie poprzestawiało…
Ja tylko dodam, że przez 2 lata pracowałem dla Ministerstwa Sprawiedliwości w Wielkiej Brytanii migrując do Azure I robiąc zabezpieczenia dla infrastruktury. A ta, o zgrozo potrafiła posiadać takie kwiatki jak bastion dla dev połączony z produkcją, bez VPN za to z jednym wspólnym prywatnym kluczem SSH…
W brew pozorom, jesli system by sie tylko wylaczal po uzyciu nmap to nie ma w tym nic zlego, bo jest to jedno z najlepszych zabezpieczen przed atakiem.
Atak DDOS mozna porownac do powodzi.
Najlpiej przed powodzia sie obudowac w bance szklanej z systemem sluz / filtrow. No ale czasami nie darady nawet dobrej tamy zrobic i trzeba uciekac przed powodzia innym nie zalanym kanalem.
A jak na czas powodzi zamkniemy sie w takiej lodzi podwonej albo sie przeprowadzimy w gory, to woda juz nic nam nie zrobi.
To zależy co jest wyżej w prio danego systemu dostępność czy np. poufność ;)
No ale systemy przemysłowe, a systemy wojskowe, to chyba jednak różnica, prawda?
Swoją drogą, dopiero te najnowsze systemy, gdzie wymaga się „super szybkich sprawnych informacji przekazywanych na telefony obsługi technicznej” (co jest swoją drogą żartem do potęgi), to starsze systemy nie mają modułów SNMP, a komunikacja leci w zasadzie po modbusach albo innych rs-232, do BMSów, a BMSy (również, prócz tych najnowszych z dostępem online i wbudowaną kamerką internetową pokazującą stan diody L101) zapewniały jedynie łączenie stanów różnych urządzeń oraz ich wyświetlanie/przekazywanie i łączenie sygnałów bezpotencjałowych (np. w razie pożaru).
Nie zajmuje sie tymi pierdołami już obecnie, jestem kilka lat w plecy, jednak jak faktycznie technologia wlazła na taki poziom w przedsiębiorstwach, że siedząc w samochodzie obok fabryki po WiFi czy innym Bluetoothu możesz łączyć się z jakimiś urządzeniami w tej fabryce i móc uzyskać dostęp do sterowania tą maszyną albo robić DDoSa nmapem na komunikację paraliżując komunikację urządzeń, to coś tu poszło w cholernie złą stronę.
Nikt już nie myśli o bezpieczeństwie?
Taka historia: kiedyś jeden system (2 klastry po 2 węzły) zdechł 2x pod rząd bo dostał UDP z nmap’a a miał w skanowanym zakresie heartbeat’y (można powiedzieć, że porty heartbeat’owe były w sieci „publicznej”).
Przypomnę tylko że drony w Iraku były hakowane przez Irakijczyków bo były słabo zabezpieczone – odbywało się to bezprzewodowo.
Strzelanie do Talibów jest bezpieczne bo ryzyko jakiegokolwiek zorganizowanego odwetu przez pasterzy „edukowanych” w szkołach koranicznych jest znikome. Ale już Irak pokazał, że jak rozpuścisz siły zbrojne państwa które cywilizacyjnie stało wyżej od Polski to się możesz czasami zdziwić.
A może to honeypot a ludzie myślą że to prawdziwy system ?
Bylo by lepiej gdyby przeznaczyli chociaz czesc pieniedzy na przymuszenie do budowania lepszych firewall-i i stworzenie poradnikow o bezpieczenstwie.
I moze napisalem kiedys na rzadowego maila USA tam gdzie podaja informacje o podatnosciach.
Ale widowcznie nie kazdemu na tym w USA zalezy, albo z innych powodow zostalo zignorowane.
Przykladowo mam dwoch kolegow.
– Sluchaj wlacz sobie podwojne uwierzytelnienie.
– A to duzo roboty przy logowaniu, zapomnij …
Niestety jestesmy pokoleniem gdzie na swiecie gdzie moze 80% uzytkownikow systemu siedzi na koncie admina, hasla byleby krotkie i latwe do zapamietania.
Przy rosnacym tempie technologi krotkie „haslo” juz nie wystarczy,
trzeba bedzie sie logowac kluczami gpg, jakims certyfikatem lub potwierdzeniem autentycznosci z innej strony, plikiem z haslem o wielkosci 1MB. pendrive-m USB lub w inny jakis sposob.
Widziałem porządnie zabezpieczone systemy w hurtowni kwiatów i banalnie „zabezpieczone” sieci w rządowych instytucjach. Oby nie, ale kiedyś jakiś gimnazjalista zrobi ten krok i zgasi światełka w czesci kraju (co nie jest trudne) a wówczas powrócimy do tej dyskusji:( . Największe „wałki ” przechodzą niezauważone nie tylko w polityce, ale tez w cyber(nie)bezpieczeństwie. Miłych snów.
@jozek – od razu widać że z Ciebie światowej klasy spec od bezpieczeństwa ;-)
Ooooj mógłbyś się mocno zdziwić, komu rzucasz rękawice. Pamiętasz taki meltdown? Sposoby na zabezpieczanie dostępu do pamięci przez mikrokontrolery w Polsce to temat z 1985 roku, analizowany np. przy komputerze KRAK-86. Jak ktoś siedzi w temacie dłużej niż ostatnie 18 lat, to wie, że Intel nie MIAŁ BŁĘDÓW, które wynikały z niedokładnego procesu delevoperskiego, ale zrezygnował z pewnych rozwiązań obecnych od 1971 roku w celu podniesienia wydajności, bo prawdopodobnie stwierdzili „hej, już mamy XXI wiek, nikt już nie siedzi z oscyloscopem i nie zajmuje się hardware-hackingiem”. Nie znam najnowszych rozwiązań, bo po prostu – mam to gdzieś. Jakiekolwiek zabezpieczenie, jakie byś nie wymyślił softwarowe, jest do obejścia, a klienci obecnie w dupie mają bezpieczeństwo. Ma być apka, ma ładnie działać, ma robić rzeczy. Tyle. Rozwiązania hardwarowe bazują dalej na komputerach z 1970 roku, nic się nie zmienia. Co z tego, że masz komputer 64 bitowy, a kiedyś były 8 bitowe? To jest dokładnie to samo, rozwój informatyki stanął w miejscu kiedy pojawił się IBM PC. Co z tego, że masz więcej mocy, telefoniki mają ekrany, masz miniaturyzację. Schemat działania jest dokładnie taki sam od kilkudziesięciu lat. Myślisz, że procesor ARM to rozwiązanie „nowe”? Śmiechłem.
Jednak te stare dziady, z 1970+ to ludzie, którzy byli pragmatykami i głównie – matematykami. Pierwszym problemem informatyki wcale nie było sprawienie, by „rzeczy działały”, tylko by „były bezpieczne”, bo Ruski działy równie aktywnie i każdy się chciał przed czymś zabezpieczyć. Rozwiązania wymyślone przez tamtych dziadów, jeżeli chodzi o procedury bezpieczeństwa, są do dziś dzień najlepszymi rozwiązaniami. Koniec, kropka. I tak sobie siedzieliśmy i klepaliśmy zabezpieczenia. Hardwarowe, softwarowe, what ever. Kiedyś nie było takiego podziału jak teraz, frontendowcy, backendowcy, assemblerowcy, desktopowcy, cloudowcy. Kiedyś byli informatycy, dzielący się na tych znających assembler i na tych znających C (a projektantów hardware nazywało się inżynierami), ale przy tak wąskim gronie każdy znał i assemblera i C, jedno bardziej lub mniej.
Blockchain – każdy do cholery wyobraża sobie blockchain, jako „zbawcę” bezpieczeństwa. Blockchain jest tworem SOFTWAROWYM, nie jest problemem technologicznym, tylko zasobowym. Odpowiednio potężny komputer kwantowy, który koreluje dane z każdej transakcji wewnątrz sieci + sumy przelewów bankowych i nie pomoże ci nawet pralnia BTC. To samo się tyczy banków. A gwoździem do trumny będzie rozwiązanie problemu liczb pierwszych, po którym pożegnamy się z jakąkolwiek złożonością obliczeniową. NASA i inne MIT próbują obecnie wytworzyć algorytmy szyfrujące, które nie będą mogły być złamane ani przez komputery kwantowe, ani przez konwencjonalne. Powodzenia. We wszystkich aktualnie próbach wskazano takie możliwe błędy w implementacji, problemy ze złożonością, problemy z czasem/zasobami kodowania/dekodowania, że praktycznie nie opłaca się stosowanie żadnych rozwiązań.
Odniosę się tylko do zdań o apokalipsie w wyniku wykorzystania komputerów kwantowych. Bez wątpienia problem jest, ale podjęto już bardzo wiele bardzo poważnych i profesjonalnych działań, by rewolucja komputerów kwantowych nie wywróciła bezpieczeństwa do góry nogami. Jako start polegam plany standaryzacyjne NIST zbierające obiecujące rozwiązania: https://en.wikipedia.org/wiki/Post-Quantum_Cryptography_Standardization
Jestem świadomy tych rozwiązań. Ja tylko stwierdziłem, że nie są opłacalne w implementacji, ze względu na czas i ilość zasobów.
Czas i zasoby to problem głównie filozoficzny – jesteśmy wstanie zrobić algorytm, którego nie złamie przez milion lat najsilniejszy komputer świata, tylko czas kodowania i dekodowania informacji, będzie się wydłużał w czasie.
Dodatkowo, weź pod uwagę, że obecne symulacje kwantowe Della (które nie są komputerami kwantowymi, kwantowy komputer zrobił tylko IBM, ale pracuje w okolicach temperatury zera bezwzględnego), mają 8 kubitów? 16? 128? Co będzie wtedy, kiedy jeden procesor po odpowiednim procesie minimalizacji będzie ich miał 1 000 000 000?
Problem polega na tym, że nikt jeszcze nie wymyślił nic lepszego niż komputer konwencjonalny do zastosowań typowo ludzkich – operowanie wiadomościami tekstowymi, formuły matematyczne 2+2. Komputer kwantowy będzie szybszy np. w stratnym dekodowaniu zdjęć, dlaczego? Bo dla komputera kwantowego, 2+2 to nie jest 4, tylko w 99% wydaje się, że będzie to 4.
I teraz, okej wprowadzamy szyfrowanie antykwantowe.
Proste porównanie obecnych stosowanych szyfrów konwencjonalnych, szyfrujemy słowo „cycek:
MD5: 0233DBB49AB1F1C81D080A0C7B899A72
SHA1: 60e37addca54fb71235ab722c128486eaa8b63b0
AES128: 4/ip0+c6VSxF5NgG1MscS7roqGLJ3MlIrt53s2fU3/81PtLppyYvacLKdz7jSFYv
SHA256: 14ac5caf626aab96cf0d74736980bfe492064ab57ac2b122f8bbc8a7d728e798
PGP: hIwDmCS94uDDx9kBBACEcXaLL92uqWSi7cyg4oE5X5ST/+mVOJe3vv1Ov6vkcab1
Ft/GTU/fzlnO8mzN9pn6wUcfgtGQXgy4xeOjsd3jJL6djuzPM7ZO5mpj4dqbjIwj
h5DtOqHTq8Mj6abEAA8bkHMsOVLXRGfSZRM02oBrDteIINJrjRUp698IV4SVj9JW
AY6L7XetZHkR0xm9hW7BjVlbpNeYA+rSgplFbHtYT98L3I/rJ7h4cYN0YgjpWjd5
agF61rX7wTJTrblAh/4ovC49JZXTem6Ylg2zSHM/W5bNYr4QdTA\u003d
\u003dfpbL
Antykwant? Nie wiadomo. Obecne rozwiązania nie uwzględniają jeszcze tego, co się stanie, gdy jakiś Turek wymyśli splątanie kwantowe na płytce grafenu po użyciu np. lasera femtosekundowego i atomu wodoru, w procesie 2nm, kiedy nagle się okaże, że komputer kwantowy będzie miał 1 000 000 000 kubitów i kosztwał 1000$ (tutaj pozdrawiam pewnego użytkownika z3s, któremu kiedyś starałem się wytłumaczyć, że można stworzyć komputer, który ma więcej „bitów” niż jest atomów we wszechświecie, kiedy tylko ktoś uświadomi sobie, że bit to tylko reprezentacja stanu, 1 000 0000 000 ilość kubitów dąży już do nieskończonej ilości stanów – z tego co widzę https://phys.org/news/2018-06-successfully-simulate-qubit-circuit.html symulacja więcej niż 64 qbitów to ogromny problem, a gdzie tam od 64 do 1 000 000 000).
Problem pojawia się też pojemnościowy – ile waży czysty plik tekstowy z naszym cyckiem? 333 bajtów. Wystarczy, żeby plik tekstowy po szyfrowaniu antykwantem ważył 50kB i możesz sobie to szyfrowanie wsadzić do kosza, albo wrócić do taśm magnetycznych, bo nie ma innego sposobu by zapisać tak wielką ilość danych.
I jeszcze śmieszniej, szyfrowanie antykwantowe można atakować w kwantowy sposób, czyli „stwierdzać z prawdopodobieństwam”, czy dana wartość jest zgodna ze stanem oczekiwanym. Jeżeli miałbyś 30% pewności, że wynikiem jest „JP na 95%” po 5 minutach, ale wiedział, że 50% pewności zyskasz po 10 latach, to chciało by ci się czekać?
Nie, brałbyś te 30% i sprawdzał kontekst (jak w procesorach, kiedyś najpopularniejszą metodą hackowania procesorów było SŁUCHANIE przełączeń tranzystorów – crazy, prawda? I wtedy też było tylko prawdopodobieństwo, które potem się symulowało). Jeżeli kontekst sam z siebie był do bani, to brałbyś wiele (tysiące) 30% wyników i porównywał z kontekstem, aż w końcu kontekst by spełniał jakieś założenia.
A kontekst? To jest najważniejsze przy prawdopodobieństwach. Przykład? Powiedz mi, o jakiej rzeczy myślałem, zadając pytanie „czy to zamek?”.