Re: sudo ws root
Hello!
> Вопрос не в вооруженной группе. Вопрос в китайском спаммере.
> То что китайский спаммер читает багтрак и узнает о дырке в openssh
> на некоторое время раньше, чем большинство адаминов я уверен.
>
> Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
> прочитаешь debian-announce и поставить апдейт.
Наверняка кто-то из китайских спамеров успеет узнать о баге раньше меня. Но шансов, что случайно
успеет взломать определенный сервер - ничтожно мало. А вот если кто-то охотится за конкретным
сервером, вряд ли он будет ждать лет 10, пока в openssh найдут достаточно серьезный баг, который к
тому же можно эксплуатировать (есть все же некая разница между вероятностью уязвимости и ее
реализацией).
> > Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh -
> > дешевле выйдет физический
>
> Речь идет не о сумме на взлом, а о сумме на доказательство что в
> каких-то конкретных условиях openssh абсолютно безопасен. И чтобы
> условия не были "сетевой кабель из компьютера выдернут".
>
> Взлом - дешевле.
Какой смысл в этом доказательстве? Пустую машину серьезно защищать редко есть необходимость, а если
на машине имеются рабочие сервисы, проще ломать их. Притом одни сервисы обращаются к другим, что
делает анализ фактически неосуществимым. Одно использование клиент-серверных СУБД уже достаточный
фактор для взлома практически любого сервера, причем многое можно делать "сквозь" приложение,
работающее с базой.
Не говоря о еще более простых способах - например, похитить пароль пользователя с соответствующим
уровнем полномочий, работающего под самой популярной в мире ОС и самым дырявым... то есть я хотел
сказать, распространенным браузером (а какой браузер не дырявый? например, файрфокс - решето и в
обозримом будущем таковым и останется).
Опять же, какой смысл делать дорогую защиту сервера, если легитимный пользователь может построить
отчет по супер-секретным данным и потерять его вместе с флэшкой? Еще вопрос, что важнее -
набор "сырых" данных на сервере или один-единственный отчет у аналитика (к примеру - реквизиты
банковских карт 20-ти крупнейших вкладчиков банка явно интереснее, чем реквизиты всех эмитированных
банком карт).
Best regards, Alexey.
Reply to: