https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:08 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3221 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Leszek Miś) Oczywiście się z Tobą zgadzam, ponieważ nie ma softu/rozwiązań 100% bezpiecznych, które nie zawierają żadnej podatności, ale bezpieczeństwo jak wiemy wszyscy tu zebrani to przede wszystkim proces, więc musimy walczyć i utrudniać jak tylko się da wykorzystywanie podatności. Z drugiej strony patrząc, nawet jeśli zadbamy o firewale XYZ,ideesy,ipeesy itd,itp to automatycznie stajemy się podatni na ataki w zupełnie innych miejscach naszego systemu (przykładowo zakładając, że o ile sama aplikacja będzie chroniona, to moduł apache'owy (np. mod_security) już nie). A powodem takiego stanu rzeczy może być nie tyle błąd programistów projektu, a np. niezabezpieczony serwer hostujący kod źródłowy/paczki. W tym momencie warto się zapoznać na pewno z tym dokumentem: http://www.exploit-db.com/papers/15823/ , gdzie autor opisuje jeden z największych serwisów hostujących projekty opensource'owe, między innymi ettercapa: So, why is their website so insecure? Ettercap's message board is hosted at Sourceforge, so they share a server with thousands of other customers. Every single customer is able to execute commands and access the other project directories. Pretty stupid, eh? You only need to find one hole in one hosted site and you can access ALL the project databases. Of course that isn't ALoR's fault, it's Sourceforge's fault. Regardless, people who care about security and data integrity wouldn't use such a shitty provider, would they? .... Just look at the process list, horrible. Even the worst perl bots (scax) get access. If such a poorly written bot can own this box, everyone can. I jak tu mówić o kwestiach bezpieczeństwa? :) Chyba każdy z nas ściągał soft z sourceforge'a, a wg autora powyższego linka, serwer ten jest już 5 lat zbackdoorowany. Paweł, masz rację, to temat na naprawdę długi wpis:) Mon, 27 Dec 2010 18:35:54 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3221 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3220 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Paweł Goleń) Wpis Piotrka miał jeszcze jedno dno. W przypadku każdego serwisu czy bloga traktującego o bezpieczeństwie ewentualna "wpadka" odbija się szerokim echem, choć nie wśród osób, które w temacie jakieś rozpoznanie mają. Przynajmniej nie wtedy, gdy wpadka nie jest jakaś strasznie głupia. Wszyscy korzystamy z oprogramowania tworzonego przez innych i z jednej strony musimy mieć do niego zaufanie, z drugiej strony - trzeba się liczyć z faktem, że oprogramowanie może (w zasadzie - musi) zawierać błędy. Owszem, możemy starać się zmniejszyć prawdopodobieństwo udanego wykorzystania jakiejś podatności, ale nigdy nie jesteśmy w stanie osiągnąć okrągłej wartości "0". Ogólnie to temat na dłuższy wpis, więc na razie komentarz przerwę w tym miejscu :) Mon, 27 Dec 2010 17:46:44 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3220 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3218 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Leszek Miś) To i ja wtrącę swoje trzy grosze:) Podejście defence-in-depth zawsze się sprawdza i moim zdaniem jest wręcz konieczne, choćby po to, aby zyskać trochę czasu w sytuacji pojawienia się 0daya. Czasami (bo przecież nie zawsze) może się zdarzyć, że za pomocą jednej metody hardenującej wyeliminujemy zupełnie daną podatność. ... Również chciałem skomentować wpis Piotrka Koniecznego, ale jakoś o tym zapomniałem. Zgadzam się z Tobą Pawle, że wcale nie musi być tak, że "jeden 0day i leżymy". Od czego mamy firewalle aplikacyjne? Od czego mamy firewalle bazodanowe? Zdaję sobie sprawę, że poprawne skonfigurowanie powyższych wymaga co najmniej 2x większego nakładu pracy, ale jak już ostatnio gdzieś pisałem "zawsze coś za coś". Dobrym rozwiązaniem, które np. ja stosuję jest także ograniczenie dostępu do paneladminów/cmsów tylko do konkretnych IP (no bo niby po co mają one być publicznie dostepne?) Mon, 27 Dec 2010 14:18:31 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3218 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3207 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Paweł Goleń) A mógłbyś rozwinąć temat serwerów VPS? Jakiś rok temu się zastanawiałem nad kupnem takowego, ale jednak różnica w cenie w porównaniu do "zwykłego" hostingu była spora. Druga sprawa jest taka, czy na coś takiego jak mój blog VPS jest rzeczywiście potrzebny. Owszem, ilość rzeczy poza moją kontrolą jest spora, ale przecież ten blog ma być dla mnie rozrywką, a nie dokładać mi więcej pracy. W końcu teraz poniekąd sporo pracy związanej z takim normalnym utrzymaniem deleguję na firmę hostingową. Sun, 26 Dec 2010 18:04:02 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3207 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3205 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (XANi) VPSy nie są takie drogie a możliwości duuużo większe :). Chociaż wiadomo, nie zawsze jest to opcją. Sun, 26 Dec 2010 12:24:45 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3205 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3191 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Paweł Goleń) Oczywiście, że tak. Są rzeczy, na które można mieć wpływ i takie, na które już nie bardzo. W przypadku korzystania z hostingu możliwości mam przez sam ten fakt dość mocno ograniczone. Thu, 23 Dec 2010 09:18:35 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3191 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3189 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (XANi) Co nie zmienia faktu że jeden exploit na stuff-that-runs-site i strona leży ;]. Ale żeby atakujący mógł pogrzebać w czymś innym niż pliki samego bloga to trzeba się postarać, no chyba jak ktoś ma podejście "if it doesn't work chmod 0777 till it works" albo używa roota jako usera bazodaniowego w aplikacji. Thu, 23 Dec 2010 09:13:04 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3189 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3182 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Paweł Goleń) A ja się tak bardzo SQLi nie boję. Po pierwsze korzystam z sqlite, co ogranicza skutki istnienia podatności. Dodatkowo informacje, które znajdują się w bazie są w zasadzie jawne. Nie mam kont użytkowników, więc co najwyżej mogę stracić hasło do bloga, którego nie używam nigdzie indziej. Modyfikacja i usunięcie danych oczywiście jest problemem, ale regularna kopia zapasowa trzymana poza miejscem dostępnym dla atakującego ogranicza skutki ewentualnego istnienia podatności. Co do drugiej części Twojego komentarza - robić możemy, tylko wymaga to trochę pracy by się z taką aplikacją zapoznać :) Może w jakimś innym, nieco mniej gorącym okresie niż Q4 i początek Q1. Thu, 23 Dec 2010 07:32:37 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3182 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#c3181 https://archive.mroczna-zaloga.org/archives/959-jeden-0-day-i.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=959 nospam@example.com (Piotr Konieczny) Defence in depth jak najbardziej, ale czasem zdarzy się taki błąd jak np. "nieuprawniona osoba może zresetować/przypomnieć hasło administratora CMS-a" (AFAIR było coś takiego w starszej wersji WP, ale chronimy się przed tym m.in. poprzez dodatkową osłonę HTTP Authem), albo co gorsza, jest jakiś paskudny SQLi w ogólnie dostępnej formatce... Tak w ogóle, to warto byłoby zebrać zestaw takich "dobrych praktych" dla blogerów, mając na uwadze TOP5 popularnych CMS-ów (WP, Joomla, Drupal, ...? ). To jak, robimy to? Wed, 22 Dec 2010 22:56:49 +0100 https://archive.mroczna-zaloga.org/archives/959-guid.html#c3181