Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Alexey Pechnikov <pechnikov@sandy.ru>
Date: Thu, 18 Dec 2008 15:34:08 +0300
Message-id: <[🔎] 200812181534.08942.pechnikov@sandy.ru>
In-reply-to: <[🔎] 20081218114811.GA28042@wagner.pp.ru>
References: <[🔎] 20081217145643.6411cbbe@razatustra.chindi.su> <[🔎] 200812181323.58573.pechnikov@sandy.ru> <[🔎] 20081218114811.GA28042@wagner.pp.ru>

Hello!

> Вопрос не в вооруженной группе. Вопрос в китайском спаммере.
> То что китайский спаммер читает багтрак и узнает о дырке в openssh
> на некоторое время раньше, чем большинство адаминов я уверен.
>
> Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
> прочитаешь debian-announce и поставить апдейт.

Наверняка кто-то из китайских спамеров успеет узнать о баге раньше меня. Но шансов, что случайно 
успеет взломать определенный сервер - ничтожно мало. А вот если кто-то охотится за конкретным 
сервером, вряд ли он будет ждать лет 10, пока в openssh найдут достаточно серьезный баг, который к 
тому же можно эксплуатировать (есть все же некая разница между вероятностью уязвимости и ее 
реализацией).

> > Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh -
> > дешевле выйдет физический
>
> Речь идет не о сумме на взлом, а о сумме на доказательство что в
> каких-то конкретных условиях openssh абсолютно безопасен. И чтобы
> условия не были "сетевой кабель из компьютера выдернут".
>
> Взлом - дешевле.

Какой смысл в этом доказательстве? Пустую машину серьезно защищать редко есть необходимость, а если 
на машине имеются рабочие сервисы, проще ломать их. Притом одни сервисы обращаются к другим, что 
делает анализ фактически неосуществимым. Одно использование клиент-серверных СУБД уже достаточный 
фактор для взлома практически любого сервера, причем многое можно делать "сквозь" приложение, 
работающее с базой. 

Не говоря о еще более простых способах - например, похитить пароль пользователя с соответствующим 
уровнем полномочий, работающего под самой популярной в мире ОС и самым дырявым... то есть я хотел 
сказать, распространенным браузером (а какой браузер не дырявый? например, файрфокс - решето и в 
обозримом будущем таковым и останется).

Опять же, какой смысл делать дорогую защиту сервера, если легитимный пользователь может построить 
отчет по супер-секретным данным и потерять его вместе с флэшкой? Еще вопрос, что важнее - 
набор "сырых" данных на сервере или один-единственный отчет у аналитика (к примеру - реквизиты 
банковских карт 20-ти крупнейших вкладчиков банка явно интереснее, чем реквизиты всех эмитированных 
банком карт).

Best regards, Alexey.

Reply to:

References:
- Re: sudo ws root
  - From: "Denis B. Afonin" <chindi@chindi.su>
- Re: sudo ws root
  - From: Alexey Pechnikov <pechnikov@sandy.ru>
- Re: sudo ws root
  - From: Victor Wagner <vitus@wagner.pp.ru>

Prev by Date: Re: Пропал NAT
Next by Date: Re: Какой правильный лазерный принтер?
Previous by thread: Re: sudo ws root
Next by thread: Re: sudo ws root
Index(es):
- Date
- Thread