malyj_gorgan: (Default)
malyj_gorgan ([personal profile] malyj_gorgan) wrote2021-12-24 01:04 pm
  • Add Memory
  • Share This Entry
Entry tags:

log4j ?

Слухайте, а хтось може в парі абзаців пояснити, що то таке сабж і з чим його їдят? Дідько з нею, з його vulterability'ею, я хочу зрозуміти, чим був такий хороший чи зручний чи потрібний сам log4j, що та вульнерабіліті виявилася такою проблємною? Тільки пояснити так, на хлопский розум, без відсилань в непотрібні абревіатури.
Дякую!
Flat | Top-Level Comments Only

[personal profile] mprotsenko 2021-12-31 05:58 pm (UTC)(link)
Мой пойнт в тому, що хакі з доступом до сорців впливають на повсякденне життя приблизно ніяк.

Якихось помітних хаків Майкрософта завдяки цьому ліку не відбулося - і тут це можна міряти хоч впливом на бізнес, хоч Post Incident Reports, які Майкрософт регулярно друкує (це дуже прозора компанія, це вже не та evil corporation, якою ми її пам'ятаємо з 90-х).


А якщо хтось переймається за бізнес дрібних компаній, в яких нема адекватних сек'юріти практик - то я повторююсь, що їх і так хакають серйозні люди регулярно, навіть не докладаючи до того зусиль, чисто автоматично. (Я не жартую - більшість хаків реально автоматизована.)

І саме тому зайвий доступ до сорців ситуації суттево не змінить.
malyj_gorgan: (Default)

[personal profile] malyj_gorgan 2021-12-31 08:08 pm (UTC)(link)
> Мой пойнт в тому, що хакі з доступом до сорців впливають на повсякденне життя приблизно ніяк.

Чорт його знає. Я знаю, чому і як такі хаки можуть бути проблемними, знаю, що доступ до репозиторії охороняють, але, можливо, роблю неправильні висновки. Можливо, жоден з тих експойтів, які використовують, щоби красти і шахрувати, почався не від викрадення чужого коду. Так що, вважай, переконав.

> А якщо хтось переймається за бізнес дрібних компаній, в яких нема адекватних сек'юріти практик - то я повторююсь,
> що їх і так хакають серйозні люди регулярно, навіть не докладаючи до того зусиль, чисто автоматично.
> (Я не жартую - більшість хаків реально автоматизована.)

Tell me about it. Кажу ж, я зараз працюю в одній з топ компаній з боротьби з онлайн шахрайством, високо сиджу, далеко бачу :)) Всякі боти -- важлива компонента, хоча, як не дивно, не єдина. В шахрайстві ж що головне? Правильно, монетизація. А монетизацією займаються частіше таки люди.

> До речі, імена, адреси, SSN - це вже публічна інформація. Ховати її - це security theater.

If you say so, можеш свої публікувати на головній сторінці, я свої не буду :) Насправді, цю інформацію треба ховати навіть якщо серйозні люди уже все давно мають. Тому що зараз лише цей security theater дозволяє якось обмежувати масове крадівництво, і недаремно всякі організації, державні і приватні, платять грубі гроші, щоби ці крадіжки обмежити... Одним з найефективніших (з тих, що нині деплойнуті в реалі) методів обмежити один з видів цих крадіжок є відслідковування певних аспектів процесу перевірки актуальньності цеї "публічної" інформації. Якщо у шахрая буде точна, незабруднена шумом і фейками, інформація про імена, адреси і SSN конкретних людей, то цей метод перестане працювати.

> А проблема кредиток та рахунків - це проблема не сорців, це проблема доступу до середовища та інших security практик.

А дірки в доступі до середовища можна побачиги в сорсах. Хоча, цілком можливо, що група шахраїв, яка експлуатує цю дірку, вичитала його не в краденому коді, а задіяла одного з девелоперів зсередини. Не пам'ятаю, чи в одному к коментів тут, чи в якомусь з недавніх постів я описував реальний випадок ongoing fraud'а в величезній організації, на якому втрачаються мільйони (якщо не десятки мільйонів) доларів щороку, і який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді. Навіть не так діру, як поганонаписаність.

[personal profile] mprotsenko 2021-12-31 08:40 pm (UTC)(link)
Тому що зараз лише цей security theater дозволяє якось обмежувати масове крадівництво, і недаремно всякі організації, державні і приватні, платять грубі гроші, щоби ці крадіжки обмежити...

А ось тут не погоджусь. Якось обмежувати масові крадіжки дозволяє не лише те, що ніхто не знає мого SSN - як раз навпаки, його всі, в кого є бажання та декілька десятків доларів ВЖЕ знають (привіт Experian з його "традиційними" практиками: окремими QA, code freezes і іншою фігнею з 90х).

Масові крадіжки дозволяє обмежувати цілий комплекс засобів: починаючи з 2FA, продовжуючи автоматизованим fraud detection і закінчуючи жорсткими обмеженнями на максимальну суму операції/кількість операцій (limiting the blast radius).


А дірки в доступі до середовища можна побачиги в сорсах.

Ем, ми про різні речі.

Якщо, напр ти бачиш в сорцах, що там є умовний бекдор, яких слухає на порту 4444 - але цій порт не просто закритий - доступ до нього можна отримати тільки on-premises, з 2FA при логіні і перевіркою фото в айді охоронцем, то можна з високою впевненістю казати, що

(а) лівому дрібному чорту це не дасть аж нічого,
(б) серйозні люди давно вже той доступ отримали.


А якщо доступ до цього порту може отримати кожен бажаючий, то можна гарантувати, що все ВЖЕ зламане. (і зайвої шкоди вже не буде, бо вона ВЖЕ трапилася, хехе)

Edited 2021-12-31 22:38 (UTC)

[personal profile] mprotsenko 2021-12-31 08:53 pm (UTC)(link)
який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді.

Якщо ти про той випадок, який я пам'ятаю - то там ніби то діра була в тому, що був дозволений brute force без rate limiting та exponential backoffs.

(А джаваскріпт на вебсайті красти не треба - F12 натиснув, і ти його бачиш, і навіть обфускація погано допомагає.)
malyj_gorgan: (Default)

[personal profile] malyj_gorgan 2021-12-31 10:54 pm (UTC)(link)
Ну, значить, не джаваскріпт, а що там присилає помилки з бекенду, а джаваскріпт їх показує.
Flat | Top-Level Comments Only