Vabateema: Copy Fail ja Dirty Frag kui näide Linuxi turvariskidest

Copy Fail ja Dirty Frag kui näide Linuxi turvariskidest

Linuxit peetakse tihti üsna turvaliseks ja stabiilseks süsteemiks, aga Copy Fail ja Dirty Frag on minu meelest head näited sellest, miks see ei tähenda, et süsteem ise kuidagi automaatselt ohutu oleks. Mõlemad vead on seotud Linuxi kerneliga ja lubavad kohalikul kasutajal mööda minna katsemeetmetest ja saada root kasutajaks, mis ei tohiks võimalik olla. See ei ole sama asi nagu suvaline internetist tulev rünnak, sest ründajal peab üldiselt juba mingi ligipääs masinale olema, aga samas on see päris tõsine probleem serverites, jagatud keskkondades ja pilvesüsteemides, kus üks nõrk kasutajakonto võib tähendada palju suuremat kahju. Ka virtualiseerimisplatvormidel nagu Docker ja Kubernetes võivad need kujutada ohtu, kuna tavaliselt käivitatakse rakendusi just tavakasutaja õigustega ja isoleeritult, et neil poleks suurt mõju süsteemidele, kuid neid nõrkusi kasutades suureneb oht, et uuendamata teenuse kaudu võidakse üle võtta server, millel teenus jookseb.

Copy Faili puhul on huvitav just see, et tegu ei olnud mingi väga eksootilise tarkvaraga, mida kasutavad ainult vähesed inimesed, vaid kernelis oleva veaga, mis mõjutas põhimõtteliselt kõiki Linuxi distributsioone. Sama kehtib Dirty Fragi kohta, kus probleem tuli samuti sügavalt süsteemi seest, mille olemasolust tavakasutaja ei pruugi kursiski olla. See on loonud situatsiooni, kus väga keerulistes süsteemides võivad väikesed loogikavead lõpuks anda väga suure mõju. Eriti halb on see siis, kui vea kohta on avalik näide olemas ja parandused ei jõua igale poole piisavalt kiiresti. Siinpool on mu meelest ka suur tegemata jäämine vea leidjate poolt, kuna Copy Fail avaldati vaid kuu aega peale vea leidmist ja Dirty Frag ka üsna peatselt peale selle avastamist, mis ei ole jätnud Linuxi distributsioonide loojatele ega kasutajatele aega oma süsteeme paigata.

Seetõttu võiks neid kahte turvaauku vaadata mitte ainult kui järjekordseid Linuxi CVE-sid, vaid näidet sellest, miks turvalisus ei saa sõltuda ainult Linuxi heast mainest. Süsteeme peab uuendama, kasutajatele ei tohiks anda rohkem õigusi kui vaja ja teenused tuleks eraldada nii, et ühe konto või masina murdmine ei annaks kohe kogu süsteemidele ligipääsu. Samas õnneks ei tähenda selline viga seekord seda, et iga Linuxi masin oleks kohe internetist üle võetav, vaid pigem näitavad Copy Fail ja Dirty Frag seda, et turvalisus on pidev süsteemide hooldamine ja tegevus, mitte ühekordne "Leave it and forget it" lahendus.

Viited:
https://copy.fail/
https://github.com/V4bel/dirtyfrag

Comments

Post a Comment

Popular posts from this blog

E-ITSPEA 1: Noppeid IT ajaloost

Tõeline revolutsioon IT-maastikul Üheks revolutsiooniks IT maastikul võiks lugeda Amazoni müügiplatvormi AWS teenust, mis kasvas algul raamatuid ja hiljem muid tooteid müüvast ettevõttest kordades suuremaks, saades tänapäeva pilvetehnoloogia alustalaks. See ei pruugi esmapilgul nii tunduda, kuid AWS tekitas revolutsiooni varasemate andmekeskuste kõrvale, kuna kui varem ettevõtete veebiteenuste majutamiseks oli ettevõttel vaja suurt taristut ning inimesi, kes seda hooldavad, siis muutis AWS suuresti ettevõtete jaoks IT kulumudelit ja ka turgu, kuna oma ettevõtte taristu püstipanekuks oli vaja vaid emaili aadressi ja krediitkaarti, millega teenuste eest maksta. Kui varem pidi ettevõtetes planeerima oma serverifarmide suurust kõige suurima kasutuse järgi(näiteks veebipoed pühade ajal) ja muul ajal kui servereid nii palju ei vajatud niisama elektri eest maksma, siis pilvetehnoloogia võimaldas ettevõtte ressursse vastavalt vajadusele skaleerida minutitega ehk läbi AWS sai võimalikuks maksta...
Read more

E-ITSPEA 3: Uus meedia...

Washington Post Ühe meediakanalina, kus on suurel kohal uus meedia, võiks esile tuua näiteks Washington Post ajalehe. 1877 aastal alguse saanud paberajalehest on ajaga saanud platvorm, mis tänapäeval on oma fookuse seadnud digitaalsetele platvormidele. Nende sisu on üldiselt platvormile spetsiifiline. Kui veebilehel näidatakse pikkasid uudisartikleid, siis videoedastusplatvormidel nagu YouTube ja TikTok on hoopis teistsugune sisu, mis püüab tähelepanu konkreetsete ja põhjalike uudislugudega.  Selliste sotsiaalmeedia videolugudega tuuakse esile ajakirjanikud, kes toovad oma loo esile personaalselt ning läbimõeldult. See annab neile usaldusväärsuse ning ka muudab neid konkurentidest tugevamaks. Oma veebilehel olevate maksumüüride tõttu võimaldavad sellised lahendused igalühel olla nende uudistega kursis. Samas tähendab see, et nende uudistekanalid on ka seetõttu tugevalt sõltuvad sotsiaalmeedia algoritmidest. Daily Mail Samas uueks meediakanaliks, mis on märksa lahjem kui enda põhika...
Read more

E-ITSPEA 2: Arpanetist Facebookini - Interneti kujunemislugu

Piiparid Enne veebi ja nutitelefone oli kiireks teavitamiseks olemas lihtne ja töökindel lahendus, milleks oli ja on piipar. 1980ndatel ja 1990ndate alguses kasutati seda laialdaselt nii haiglates, päästeteenistustes kui ka ärimaailmas. Seade oli lihtne: saadeti lühike numbriline või tekstisõnum ning adressaadi taskus olev seade andis helisignaali. Piipari tugevus oli selle töökindlus. See kasutas raadiosidet, aku pidas kaua ja levi oli parem kui varajastel mobiiltelefonidel. Vastata küll ei saanud, kuid kriitilise info edastamiseks sellest piisas ning see lahendas probleemi, kuna odava seadme tõttu oli lihtsam inimestega ühendust saada. Kui juba teade kohale oli jõudnud, siis teadis teine pool vajadusel vastata ning piipari edu ei piiranud saatmise võimaluse puudumine. See töökindlus on just selle põhjuseks, miks piipar pole täielikult kadunud. Ka täna kasutatakse piipareid just paljudes haiglates ja kriitilise infrastruktuuri valdkondades, sest need ei lakka töötamast ka siis, kui mo...
Read more