neprihlásený Nedeľa, 24. novembra 2024, dnes má meniny Emília
NBÚ sa opäť bezpečnostne zviditeľnil, tentokrát medzinárodne

Značky: bezpečnosťSlovenskoštát

DSL.sk, 17.9.2017


Slovenský Národný bezpečnostný úrad, NBÚ, sa aktuálne opäť zviditeľnil v oblasti počítačovej bezpečnosti, tentokrát na medzinárodnej úrovni.

Na rozdiel od bezpečnostného incidentu z roku 2006 ide tentokrát o pozitívne zviditeľnenie, keď jeho nový bezpečnostný tím SK-CSIRT upozornil na bezpečnostný problém týkajúci sa programátorských knižníc.

Zistenia NBÚ

NBÚ konkrétne upozornil na výskyt viacerých podvrhnutých knižníc v oficiálnom repozitári PyPI, Python Package Index, knižníc tretích strán pre programovací jazyk Python.

Konkrétne upozornil na desať podvrhnutých knižníc, ktoré sa tvorcovia evidentne snažili vydávať za populárne knižnice a robili tak použitím podobného mena aké mohlo pomýliť užívateľov. Napríklad knižnice urlib3 a urllib imitovali originálnu knižnicu urllib3, telnet knižnicu telnetsrvlib, bzip knižnicu originálne nazvanú bz2file, crypt knižnicu crypto.

Podvrhnuté knižnice používali kód originálnych knižníc, ktoré imitovali, a NBÚ v nich identifikoval iba relatívne neškodný pridaný škodlivý kód. Ten sa spúšťa pri inštalácii knižnice a na server tvorcov týchto podvrhnutých knižníc odoslal základné informácie kde bola knižnica inštalovaná. Konkrétne posiela meno a verziu knižnice, užívateľské meno užívateľa pod ktorým prebehla inštalácia, meno počítača a nahrávaním tiež vlastne IP adresu.

Kto do PyPI podvrhnuté identifikované knižnice pridal nie je zatiaľ známe, administrátori ich už ale odstránili.

Podvrhnuté verzie boli pridané 2. až 4. júna tohto roka. Na koľkých počítačoch boli nainštalované nie je známe, v nejakej miere ale používané boli. Viacero užívateľov sa totiž sťažovalo na problém s týmito knižnicami, keď pridaný kód nebol kompatibilný s Pythonom 3.x.

Python ako programovací jazyk je populárny najmä na unixových platformách. Knižnice z PyPI inštalujú užívatelia, administrátori serverov a vývojári, ktorí podvrhnuté knižnice mohli zahrnúť aj do niektorých softvérov. Zoznam takýchto softvérov zatiaľ nie je k dispozícii.

Nič svetoborné

Hoci zistenie a upozornenie NBÚ má samozrejme svoju hodnotu a je z pohľadu bezpečnosti po praktickej strane užitočné, z odborného hľadiska nie je preukázaním žiadnych znalostí na špičkovej úrovni.

K zaevidovaniu tohto problému si stačilo samozrejme všimnúť prítomnosť jednej knižnice s podozrivým menom v repozitári. Ako NBÚ identifikoval viacero takýchto knižníc nie je známe, teoreticky to je možné ale napríklad podľa času ich pridania.

Navyše ide o problém, ktorý je teoreticky známy a už pred viac ako rokom naň akademicky upozornil Nikolai Philipp Tschacher. Navyše v tomto roku dvojica Benjamin Bach a Hanno Böck takto do PyPI nahrala množstvo takýchto podvrhnutých knižníc majúcich mená štandardných Python knižníc plus knižnicu urllib2 použitú minulý rok Tschacherom a merala množstvo ich stiahnutí. Dvojica o tom informovala po oznámení NBÚ.

Aj kód pridaný v knižniciach identifikovaných NBÚ slúži iba na meranie ich používanosti a ich tvorcovia potenciálne nemali škodlivé úmysly, nikto sa k nim zatiaľ podľa dostupných informácií ale neprihlásil.

Prienik z 2006

NBÚ je zodpovedný za legislatívu aj riadenie viacerých oblastí počítačovej bezpečnosti štátu.

V očiach bežnej verejnosti je v tejto oblasti ale známy najmä za podľa dostupných informácií rozsiahly prienik do jeho serverov v apríli 2006 a špeciálne použité heslo nbusr123.

Podľa informácií, ktoré boli po zverejnení informácií o útoku publikované na blackhole.sk, sa neznáme osoby stojace za prienikom dostali do prvého systému NBÚ využitím zraniteľnosti v softvéri Horde. Následne použili heslo nbusr123 na prístup k účtu nbusr.

Ako bolo získané známe heslo nbusr123 informácie nešpecifikovali. Podľa výpovede znalca na pojednávaní s dvojicou obvinených, ktorí boli nakoniec oslobodení, v roku 2010 malo byť toto heslo ale zistené trojanmi inštalovanými na jednom zo serverov v NBÚ.

Ako uviedol na pojednávaní v 2010 bývalý šéf firmy, ktorá systémy NBÚ dodávala, heslo nastavil na systémy dodávateľ ako testovacie heslo ešte v 2001 a NBÚ si ho následne až do incidentu nezmenil. Ak platia informácie o spôsobe získania hesla, jeho podoba samozrejme ale pri prieniku nehrala úlohu.

Podľa informácií zverejnených na blackhole.sk mali útočníci preniknúť na celkom tri servery. Kombinácia nbusr / nbusr123 mala byť platná aj na ďalších serveroch, na jednom s FreeBSD malo byť možné údajne získať prístup k root účtu bez hesla a na zvyšných malo byť root heslom 123456, ktoré mali útočníci nájsť v nezašifrovanej podobe v jednom z programov na serveroch.

Zo serverov mali získať 18 GB dát.


      Zdieľaj na Twitteri



Najnovšie články:

Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky


Diskusia:
                               
 

Rovnako sa spravaju niektore rozsirenia v Chrome a uzivatel este to aj potrvdi, ze so sledovanim navstivenych stranok suhlasi. Lenze to zisti, ze je nieco zle az po instalacii, ked server hlasi, ze je preplneny disk utocnika. Uz neviem, ktore to bolo rozsirenie, ale zdalo sa doveryhodne. Google sa s tym snazi nieco robit, ale evidentne nie dostatocne.
Odpovedať Známka: 10.0 Hodnotiť:
 

Áno, bezpečnosť rozšírení Chrome je problém. Hlavne, ak bolo rozšírenie na začiatku v poriadku, ale potom sa to aktualizáciou zmení.

Ako autorovi pomerne populárneho rozšírenia mi chodí dosť ponúk na jeho odkúpenie. Možno som mal akceptovať $2000 a nechať Google a používateľov, nech si s tým už nejako len poradia.
Odpovedať Známka: 10.0 Hodnotiť:
 

o ake rozsirenie sa jedna? :)
Odpovedať Známka: 6.7 Hodnotiť:
 

Aj by som sa chcel pochváliť, ale nechcem tu prezrádzať svoju identitu. Je určené pre vývojárov, takže počet aktívnych používateľov nie je v porovnaní s inými kategóriami zas až tak vysoký, ale vyžaduje dosť vysoké oprávnenia na to, aby bolo zaujímavé.
Odpovedať Známka: 8.2 Hodnotiť:
 

aj ja robim rozsirenia do google chrome, mam to ako full time job :)
Odpovedať Známka: -8.0 Hodnotiť:
 

A ani ty nepovieš za čo ťa platia.
Odpovedať Známka: 3.3 Hodnotiť:
 

za backdoory predsa...
Odpovedať Známka: 6.4 Hodnotiť:
 

za hranie tetrisu predsa.. (pre windowsakoch solitare), pre infantilnych - drevene kacery
Odpovedať Hodnotiť:
 

Tak zase za $2000 nebudes robit zo seba... Keby aspon 20k, tak nepoviem, ale $2000 ako schopny programator zarobis za menej ako mesiac.
Odpovedať Hodnotiť:
 

Číslo som len tak strelil z hlavy. Teraz som pozrel posledné ponuky, v ktorých je cena stanovená na používateľa a vychádza mi to na 40k. Ďalšie ponuky sú na to, aby som tam dal reklamu s tým, že má lákajú na 10-15k mesačne.
Odpovedať Známka: 10.0 Hodnotiť:
 

Pri zúženiach je toľko už pri zaregistrovaní ponuky.
Odpovedať Známka: -2.0 Hodnotiť:
 

Kto do PyPI !?!
Odpovedať Známka: 7.9 Hodnotiť:
 

PyPI dlhá pančucha.
Odpovedať Známka: 8.3 Hodnotiť:
 

V CS-ku je pre zameriavajúceho hráča obdobne relatívne neškodný headshot.
Odpovedať Známka: -5.3 Hodnotiť:
 

Vtáka poznáš po speve, človeka po reči a systaxterrora po zbytočných bullshitoch...
Odpovedať Známka: 5.0 Hodnotiť:
 

priekazne zavidis jeho slovnej zasobe
Odpovedať Známka: -5.3 Hodnotiť:
 

ak si si nevsimol tak to nieje original
Odpovedať Známka: 3.3 Hodnotiť:
 

To je nová vývojová verzia pretože sa dostal k umelej inteligencii
Odpovedať Známka: 2.5 Hodnotiť:
 

mas na mysli "YntElyGenciu" ?
Odpovedať Hodnotiť:
 

Podvrhnutý syntax... Veľmi ilustratívne a pertinentné.
Odpovedať Známka: 2.0 Hodnotiť:
 

Vazena redakcia,
uz ste trapni naozaj. Medzinarodna komunita hodnoti zistenia NBU ako vazne. Zistenia hodne masivne rozprudili aktivitu programatorskych skupin na vsetkych repozitaroch roznych kniznic. Varovanie je prelozene do mnohych jazykov a sluzi ako podklad mnohym detailnym clankom.
napriklad:
goo.gl/UAnSNK
alebo
goo.gl/mzNsBE
alebo
goo.gl/EktMjh

Napisat clanok, ktory znevazuje, co ludia z NBU zistili a zhadzovat ich lebo niekto v roku 2006 spravil problem je uz trapne - je to 11 rokov dozadu! A dnes je NBU na vysokej medzinarodnej urovni - napriklad:
goo.gl/znh3VC

Neviem, ako mam rozumiet autorovi tohoto clanku a jeho motivacii...
Odpovedať Známka: 5.0 Hodnotiť:
 

Ako ste prišli na to, že niekto znevažuje prácu NBÚ? Čím?
Odpovedať Známka: -3.3 Hodnotiť:
 

Minimálne polovicou článku? Začína to nadpisom "Nič svetoborné".
Odpovedať Známka: 6.4 Hodnotiť:
 

S čím konkrétne nesúhlasíte? To je triezve hodnotenie situácie pre ľudí, ktorí si to nevedia vyhodnotiť sami. Aby sa napríklad nestalo, že niekto sa na základe tohto začne chváliť akých špičkových odborníkov má NBÚ.

To samozrejme nikto nevylučuje a článok sa nijako nedotýka ľudí ktorí to zistili, kľudne môžu byť špičkoví experti. Toto zistenie to ale jednoducho nedokazuje.
Odpovedať Známka: -0.7 Hodnotiť:
 

Je to chvalihodne, no tiez si myslim, ze nic svetoborne. Tento clanok som len tak preletel, lebo mi po par vetach bolo jasne, ze je to len obdoba utoku nedavno objaveneho v npm repozitaroch (co spomina aj jeden z tebou linkovanych clankov). Nebudem teraz znevazovat pracu spekulaciami, "ze to len niekoho napadlo pozriet si aj python", pretoze to neviem a nie je to fer.

No koniec koncov, gov-aci to zavesili aj na "hacker news" (goo.gl/1F2JVn) a hned prvy komentar znie - "Ok, here's some ugly backstory on this: This problem has been known for a while, yet both the pypi devs and the python security team decided to ignore it."

Dobra praca, na slovensku statnu agenturu, ale zeby sa z toho isli hned vsetci pototo...
Odpovedať Známka: 0.0 Hodnotiť:
 

Je dosť podstatný rozdiel medzi bezpečnostnou hrozbou a bezpečnostným incidentom. Čiže to, že nejaký bezpečnostný problém bol vopred známy, je síce pekné, ale kým nebol niekde reálne odhalený, tak sa v podstate nič nestalo. Je kopec iných známych bezpečnostných hrozieb, napríklad buffer over-read, a napriek tomu sa chyba Heartbleed stala svetovo známou.

Skrátka a jednoducho DSL.sk vytvára svojím tzv. "triezvym hodnotením situácie" dojem, že v NBÚ sú neschopní ľudia. A keď sú na to slušne upozornení, tak také komentáre jednoducho vymažú.
Odpovedať Známka: 6.0 Hodnotiť:
 

Opakujem, ja neberiem NBUSR kredit. Je fajn, ze tam maju ludi co sa takto snazia a prajem im vela dalsich podobnych uspechov do buducna. A zaroven chapem, ze je asi tazke opravit si posramoteny kredit z minulosti. Coho prikladom je aj tento clanok, ktory - ano, uz v nadpise, znie tendencne. Ked to o jednej v noci na mna vyskocilo z dennika RSS, tak som si hned predstavil, ako sa slovenska delegacia na nejakom blackhate ozrala a pospinila cerveny koberec :D No a hen, aki sikovni chalani tam v skutocnosti su.

Inak nemam pocit, ze by sme diskutovali pod zmazanym komentarom, ci? :D

Odpovedať Hodnotiť:
 

Svetobornosť v tom hľadá len DSL.sk a to s jediným účelom, ktorý je zrejmý z celého článku. Na zhodenie NBÚ použili najprv argument typu "veď to sme vedeli, že sa môže stať", čo sa samozrejme vedelo aj v prípade Heartbleedu. Pri ďalšom argumente typu "veď tento problém už preukázal niekto iný" je len tak mimochodom spomenuté, že toto preukázanie zverejnili až neskôr. No a potom tretina článku o incidente spred 11 rokov, kde by úplne postačovalo povedať, že si o tom môžeme prečítať tu, tu a tu.
Odpovedať Známka: 6.7 Hodnotiť:
 

Je pomerne arogantné takto kritizovať, keď ste si evidentne nenaštudovali fakty. A evidentne takéto hodnotenie bolo viac ako potrebné, keď si to ani nelaici a to ani napriek poskytnutým informáciám nevedia vyhodnotiť.

Prečítajte si prvý odkaz v sekcii Nič svetoborné alebo aspoň poriadne túto sekciu.

Toto bolo reálne spravené na konci 2015 v PyPI s urllib2 a ďalšími a zverejnené v júni 2016, bolo to predmetom práce diplomovky daného autora. Nie že si to všimol, ale že to reálne a úspešne spravil a vyhodnotil ako moc to bolo sťahované.

Ďalší popisovaný prípad je už druhý alebo tretí. NBÚ bol teda až štvrtý, ktorý si to všimol, a minimálne tretí z whitehat. Dá sa tiež zaoberať tým, či každého nemá napadnúť že takéto riziko tam predsa existuje vzhľadom na to ako to funguje.
Odpovedať Známka: -4.3 Hodnotiť:
 

Popis významnosti mohol byť objektívne ďaleko kritickejší. Je samozrejme ale možné, že NBÚ o tom nevedel a preto to v oznámení nespomína.

Nikto nikoho neznevažuje, toto mohli nezávisle v NBÚ objaviť skutočne veľkí odborníci. Ale opačná implikácia objektívne jednoducho neplatí.
Odpovedať Známka: -5.6 Hodnotiť:
 

ask si dobre pamatam, tak triuh0rky vraveli, ze heslo zistili obycajnym hadanim a buchanim do klavesnice. A zadarilo sa.
Odpovedať Hodnotiť:
 

Hej - celosvetovo 95% prienikov je ziskanim hesla sposobom "trubka" alebo ked je niekdo chytry tak sposobom "social engineering"... Tak totiz vyzeraju dnes najcastejsie hesla... a v roku 2006 drviva vacsina hesiel bola slaba (na dnesne pomery)... Tym neospravedlnujem NBU - to sa im stat nemalo - ale mam pocit, ze za to dostali spravodlivo nalozene a dnes by rovnako mali dostat spravodlive ocenenie - su dnes v ramci bezpecnosti jedni z najlepsich aj na medzinarodnej urovni...
Odpovedať Známka: 6.0 Hodnotiť:

Pridať komentár