Комментарии 46
Я ваш пост минусану. За что? За то, что вы считаете, что отсутствие срока жизни пароля — это узявимость. Я не считаю "вечный" пароль на рабочей станции проблемой.
И я открыт к дискуссии.
В моём представлении локальная машина — это специальный случай.
А вот пароли по сети — это плохо, да (потому что круг атакующих большой и есть вероятность компрометации пароля при работе с сервером), вне зависимости от срока жизни пароля. Но в посте-то не про это.
Ни в одном из этих случаев я не вижу смысла в ротации паролей. Либо убирайте пароль вообще, либо ротация не нужна.
Запоминающиеся длинные пароли рассчитаны на посимвольный брутфорс. Но… Если будет культура длинных запоминающихся паролей — брутфорс просто перейдет на подбор по словарю, ибо большая часть людей также будет задавать простые для перебора пароли вида "розовый пони лижет пиццу"/"розовыйпонилижетпиццу", т.е. прилагательное+существительное+глагол+существительное.
Я раньше на некоторых сайтах использовал пароль GoSDuMSurusyazamanovmusar87771534637 (некоторые символы изменил).
Поздравляю. Но я сказал не о частном случае человека, который смыслит в безопасности пароля, а об общем. Даже сейчас большая часть сайтов не позволяет использовать 123456, что очень затрудняет брутфорс, из-за чего мой всего лишь 10-символьный пароль сложно будет подобрать. Но до сих пор есть люди которые используют аналоги Qwerty123 даже для банков.
Даже сейчас большая часть сайтов не позволяет использовать 123456, что очень затрудняет брутфорс
и отваживает клиентов
очень блин нервируют сайты где надо 'придумайте пароль не меньше 6 символов, но не больше 10, с цифрами и буквами, знаками припинания, разного регистра и не повторяющийся с предыдущим и менять каждые 3 месяца'… а сайт даже не интернет-магазин, а какойнить личный кабинет для отправки показаний счетчика на воду без ф-ций оплаты
Это уже вопрос к социальной инженерии, как мне кажется.
Как ротация паролей может быть уязвимостью, когда люди устают от частой смены и хранят на бумажке.
Так и один пароль может использоваться в разных местах.
Нужен какой-то аналитический подход. Ротация по времени выглядит ущербной.
Прдытоживая:
- Незакрытые публичные уязвимости
- Косяки в настройках
- Слабые пароли
Итого, только первое отличает Linux-based OS от проприетарных. Но и что с этим делать — тоже давно известно.
регулярно устанавливайте обновления и исправления ошибок.
Да откуда вы это черпаете? Защищенная система должна загружаться из заготовленной squashfs c проверкой контрольной суммы при запуске. Причем, разделы
/opt /etc /usr монтируются readonly. Плюс грамотно настроенные параметры паники ядра и автоматическая перезагрузка в случае переполнений любого из буферов. Включите параметры загрузки ядра: noibrs noibpb pti=off nospectre_v1 nospectre_v2 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off (это не полный список, но из того, что вспоминается в первую минуту размышлений). Включите расширение uMatrix на всех браузерах в режим максимальной блокировки (белые списки frame/ajax/media/img/js/css по каждому домену/под-домену отдельно). Отметёт работоспособность 99% эксплойтов/руткитов и прочей нечисти.Отметёт работоспособность 99% эксплойтов/руткитов и прочей нечисти.
Это если вы админ локалхоста.
а теперь представтье что у вас в подчинении сеть на 5000машин с офисными юзерами
Централизованные системы управления конфигурацией отменили? Никогда-бы не подумал!
Господа, вы явно не сталкивались с такими задачами в живую.
У меня был такой кейс, мы в итоге выводили браузер в изолированную машину доступную только по rdp/ica, а на рабочих машинах интернета не было совсем. и перенастраивали весь софт на работу с локальными версиями серверов и прокси-сервисов, отказываясь от софта который так не умеет. Это очень сложная работа которая НЕ ФАКТ что окупает отказ от обновлений мотивируя тем что 'да всеголишь достаточно .....'
А Microsoft-то и не знает! Так и заморачивается с развитием своего group policy. Дураки, наверное. И разработчики Ansible / chef /puppet /Salt Stack. Надо им срочно рассказать о тщетности бытия!
А костыли и велосипеды и я придумывать умею. Только они у меня дальше тестовой, исследовательской песочницы не вылезают. Наборы правил существуют не для отдельных компов, а для групп этих самых компов, пользователей и иже с ними (слово group, в решении от MS). А если у вас так не получается, значит вы с вероятностью 146%™ что-то делаете не так.
Наборы правил существуют не для отдельных компов, а для групп этих самых компов
да неужели? вы мне прям глаза раскрыли на функционал AD
у меня не-неполучается, у меня был кейс с очень яростной политикой ИБ, где чутьли не под каждого юзера с мудреным корпоративным софтом или сайтом надо было писать список IP разрешенных адресов и протоколов и сочинять правила для IDS
Это не выделить группу «менеджеры продукта» и накатить правила на 50 человек. Это каждому из них подойти, переписать список сайтов (типа Visa BIN Viewer и какойто еще МПСовский ужас написанный на вижулбейсике) и под них собрать правила для IDS фаерволла… еще пары систем и блин ДА накатить их через GPO конечноже
такие кейсы конечно у нас редки, потому что в ИБ у нас все не в зуб ногой обычно.
Тогда уже не squashfs, а dm-verify. Отключение защиты спектре в свете работающих js-эксплоитов для spectre — это просто верх идиотизма, простите. mlfa (про который вы пишите) имеет смысл на серверах, которые не исполняют недоверенного кода (например, СУБД или ceph), а любая рабочая станция IRL вынужена выполнять всяхую херь с из интернета, и никакой umatrix от этого полностью не спасает.
Отключение защиты спектре в свете работающих js-эксплоитов для spectre
я не слежу за темой, но вроде бы в современных браузерах эксплуатировать spectre из js не получится
Только когда увидите зелёную надпись, не обольщайтесь. Попробуйте перезапустить тест раз 20. Попробуйте переходить по другим вкладкам браузера во время выполнения теста. Попробуйте запустить тест одновременно на двух-трех вкладках браузера.
Пока в JS будет доступен Uint8Array и его аналоги, пока setTimeout будет срабатывать с интервалом меньшим чем хотя бы 2500мс, уязвимостям браузеров не будет границ. Ваши конфиденциальности не спасет даже изолированная работа в виртуальных машинах. Так что, будущее за WebAssembly.
Только когда увидите зелёную надпись, не обольщайтесь. Попробуйте перезапустить тест раз 20. Попробуйте переходить по другим вкладкам браузера во время выполнения теста. Попробуйте запустить тест одновременно на двух-трех вкладках браузера.
попробовал в chromium во всех указанных вариантах, одно и то же — Your browser is NOT VULNERABLE to Spectre
в ff вообще сразу зелёная надпись.
перепроверил, загружен с «mitigations=off»
пока setTimeout будет срабатывать с интервалом меньшим чем хотя бы 2500мс
на задержках в 2.5с можно поймать отклонения в сотни тактов процессора?!?
Включите параметры загрузки ядра: noibrs noibpb pti=off nospectre_v1 nospectre_v2 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off (это не полный список, но из того, что вспоминается в первую минуту размышлений)в контексте беседы про повышение уровня защиты совет смотрится странно
и да, давно уже есть mitigations=off
А на заглавной картинке MacBook...
Здесь еще много стоковых фото из данной серии.
Это MacBook Pro 16". На фоне два аймака, слева эпло-клава, справа эпло-тачпад с эпло-мышкой :)
Вот оригинал с EXIF-данными и автором, там еще много фоток на стоке на том же столе.
Только мейнтейнерам ядра линукса не говорите, а то они сами пишут статьи, какие макбуки офигенные — Linux on the Mac — state of the union.
никто никогда и не говорил что линукс неуязвим, просто он "менее" уязвим чем та же винда (или вспомним историю с безпарольным рутом в макоси).
бесконечно долгий пароль из четырёх нулей у рута собственно тоже не сказать чтобы был проблемой ибо по сети доступ чаще всего возможен только по ключам а при физическом доступе это вообще не играет роли тут нужно фс шифровать (что тоже кстати не панацея)
лично у меня больше бесит что в убунтах (читать популярных дистрах) и макоси запрашивается пароль юзверя а не рута… ну нефига простому пользователю иметь доступ к sudo, в этом плане suse/opensuse куда грамотнее.
Простите, на втором графике "Alpine Linux" везде 0? Или это кривой график?
Если бы я писал статью на эту тему, то скорее развил бы мысль в сторону того что немалое число уязвимостей ОС на базе ядра Linux растёт из монолитной структуры самого ядра. Это создаёт некоторые проблемы Linux, которые как правило вообще не будут касаться других ядер ОС.
Если бы я писал статью на эту тему, то скорее развил бы мысль в сторону того что немалое число уязвимостей ОС на базе ядра Linux растёт из монолитной структуры самого ядра. Это создаёт некоторые проблемы Linux, которые как правило вообще не будут касаться других ядер ОС.
а чем тут linux отличается от freebsd или windows?
поскольку открытый исходный код позволяет быстро найти проблемную функцию и написать код для эксплуатации ошибки.
То есть вы считаете, что хакеры найдут проблемную функцию быстрее, чем разработчики? И тем и другим найти такую функцию одинаково сложно и открытые исходники это не дыра в безопасности, а скорее наоборот, так как людей анализирующих исходники во благо, гораздо больше, чем тех, кто анализирует их во вред, можно конечно поспорить, что хакеры более продвинутые, но это спорно. В общем слово "быстро" В цитате, которую я привел, говорит о том, что автор сам никогда не смотрел в исходники
Теперь я понимаю чувства верующих, когда критикую их религию)
Я так понял пользователи дают слабые пороли, не обеспечивают безопасность системы, а виноват в этом linux? Linux — просто инструмент. У пользователя с прямыми руками с безопасностью все будет ОК вне зависимости от ОС.
Стоит отличать домашний ПК и сервер и уязвимости встречающиеся там и там, у меня из статьи появилось ощущение что автор их умышленно сваливает в кучу, дабы показать какой он молодец что написал статью с хайповым заголовком.
P.S. Ушел гуглить амазоновский линух, что это за зверь?)
Очень странный пост. Перечислены фактически общие уязвимости для всех операционных систем.
А вы никогда не задумывались о том, что чем больше уязвимостей найдено, тем лучше? Поясню… В опенсорсе код доступен всем. И специалисты спокойно находят эти уязвимости, рапортуют о них и исправляют их. Найденные дыры сразу же становятся известны всем и сразу фиксятся.
А что у наших проприетарных друзей? Вы что, серьезно думаете, что у них меньше уязвимостей? Корпорации совершенно невыгодно афишировать уязвимости. Это прямая потеря репутации, а, значит, и денег. И если не возникло никакого публичного скандала с утечкой данных миллионов людей, то они будут тупо молчать в тряпочку, и, может быть, нам повезет, они снизойдут до нас, смертных, и через годик-другой прикроют дыру, если это не будет очень дорого.
Уязвимости неуязвимого Linux