log4j ?

[malyj_gorgan]

Слухайте, а хтось може в парі абзаців пояснити, що то таке сабж і з чим його їдят? Дідько з нею, з його vulterability'ею, я хочу зрозуміти, чим був такий хороший чи зручний чи потрібний сам log4j, що та вульнерабіліті виявилася такою проблємною? Тільки пояснити так, на хлопский розум, без відсилань в непотрібні абревіатури.
Дякую!

Comments

[mprotsenko]

і то, що можна гадати, яка кількість дірок в майкрософтівських кодах і/або сервісах, які експлуатували після цього інциденту досі і експлуатуватимуть в майбутньому, була знайдена чи зроблена в результаті цього хаку.

Насправді, майкрософт доволі прозора в цьому плані корпорація, але то лірика.

Головне в тому, що ми можемо оцінити, як цій хак вплинув на БІЗНЕС майкрософту.

[malyj_gorgan]

Яка мені різниця, що станеться з бізнесом Макрософту. До чого тут антимаркери з попереднього коменту? Ти про що?
Або я не розумію твоєї логіки, або ти якось виключно вузько сприйняв мою фразу прро "чекаю, коли хтось зламає гітхаб з бітбакетом" і доказуєш мені щось своє. Бо мені байдуже, як відіб'ється на самих бізнесах поширення їхнього коду. Проблеми від того, що хтось зламає гітхаб з бітбакетом це не проблеми того чи іншого бізнесу, це проблеми усіх. Дірки, які знайдуть в великих софтинах -- фігня. Вірніше, не лише фігня, їх будуть експлуатувати, але їх і так експлуатують, хай трішечки менше. Великі репозиторії -- це софт тисяч дрібніших бізнесів всяких ретейлерів, банків, телефонних провайдерів, виробників еппів, державних установ і т. п...., а ще сотень b2b компаній, які працюють з усіма цими ретейлерами, банками і т. п. і "чисто випадково" мають купу даних їхніх клієнтів. Людські імена, адреси, кредитки, явки, паролі, вотетовотвсьо.

[mprotsenko]

Мой пойнт в тому, що хакі з доступом до сорців впливають на повсякденне життя приблизно ніяк.

Якихось помітних хаків Майкрософта завдяки цьому ліку не відбулося - і тут це можна міряти хоч впливом на бізнес, хоч Post Incident Reports, які Майкрософт регулярно друкує (це дуже прозора компанія, це вже не та evil corporation, якою ми її пам'ятаємо з 90-х).


А якщо хтось переймається за бізнес дрібних компаній, в яких нема адекватних сек'юріти практик - то я повторююсь, що їх і так хакають серйозні люди регулярно, навіть не докладаючи до того зусиль, чисто автоматично. (Я не жартую - більшість хаків реально автоматизована.)

І саме тому зайвий доступ до сорців ситуації суттево не змінить.

[malyj_gorgan]

> Мой пойнт в тому, що хакі з доступом до сорців впливають на повсякденне життя приблизно ніяк.

Чорт його знає. Я знаю, чому і як такі хаки можуть бути проблемними, знаю, що доступ до репозиторії охороняють, але, можливо, роблю неправильні висновки. Можливо, жоден з тих експойтів, які використовують, щоби красти і шахрувати, почався не від викрадення чужого коду. Так що, вважай, переконав.

> А якщо хтось переймається за бізнес дрібних компаній, в яких нема адекватних сек'юріти практик - то я повторююсь,
> що їх і так хакають серйозні люди регулярно, навіть не докладаючи до того зусиль, чисто автоматично.
> (Я не жартую - більшість хаків реально автоматизована.)

Tell me about it. Кажу ж, я зараз працюю в одній з топ компаній з боротьби з онлайн шахрайством, високо сиджу, далеко бачу :)) Всякі боти -- важлива компонента, хоча, як не дивно, не єдина. В шахрайстві ж що головне? Правильно, монетизація. А монетизацією займаються частіше таки люди.

> До речі, імена, адреси, SSN - це вже публічна інформація. Ховати її - це security theater.

If you say so, можеш свої публікувати на головній сторінці, я свої не буду :) Насправді, цю інформацію треба ховати навіть якщо серйозні люди уже все давно мають. Тому що зараз лише цей security theater дозволяє якось обмежувати масове крадівництво, і недаремно всякі організації, державні і приватні, платять грубі гроші, щоби ці крадіжки обмежити... Одним з найефективніших (з тих, що нині деплойнуті в реалі) методів обмежити один з видів цих крадіжок є відслідковування певних аспектів процесу перевірки актуальньності цеї "публічної" інформації. Якщо у шахрая буде точна, незабруднена шумом і фейками, інформація про імена, адреси і SSN конкретних людей, то цей метод перестане працювати.

> А проблема кредиток та рахунків - це проблема не сорців, це проблема доступу до середовища та інших security практик.

А дірки в доступі до середовища можна побачиги в сорсах. Хоча, цілком можливо, що група шахраїв, яка експлуатує цю дірку, вичитала його не в краденому коді, а задіяла одного з девелоперів зсередини. Не пам'ятаю, чи в одному к коментів тут, чи в якомусь з недавніх постів я описував реальний випадок ongoing fraud'а в величезній організації, на якому втрачаються мільйони (якщо не десятки мільйонів) доларів щороку, і який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді. Навіть не так діру, як поганонаписаність.

[mprotsenko]

Тому що зараз лише цей security theater дозволяє якось обмежувати масове крадівництво, і недаремно всякі організації, державні і приватні, платять грубі гроші, щоби ці крадіжки обмежити...

А ось тут не погоджусь. Якось обмежувати масові крадіжки дозволяє не лише те, що ніхто не знає мого SSN - як раз навпаки, його всі, в кого є бажання та декілька десятків доларів ВЖЕ знають (привіт Experian з його "традиційними" практиками: окремими QA, code freezes і іншою фігнею з 90х).

Масові крадіжки дозволяє обмежувати цілий комплекс засобів: починаючи з 2FA, продовжуючи автоматизованим fraud detection і закінчуючи жорсткими обмеженнями на максимальну суму операції/кількість операцій (limiting the blast radius).


А дірки в доступі до середовища можна побачиги в сорсах.

Ем, ми про різні речі.

Якщо, напр ти бачиш в сорцах, що там є умовний бекдор, яких слухає на порту 4444 - але цій порт не просто закритий - доступ до нього можна отримати тільки on-premises, з 2FA при логіні і перевіркою фото в айді охоронцем, то можна з високою впевненістю казати, що

(а) лівому дрібному чорту це не дасть аж нічого,
(б) серйозні люди давно вже той доступ отримали.


А якщо доступ до цього порту може отримати кожен бажаючий, то можна гарантувати, що все ВЖЕ зламане. (і зайвої шкоди вже не буде, бо вона ВЖЕ трапилася, хехе)

[mprotsenko]

який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді.

Якщо ти про той випадок, який я пам'ятаю - то там ніби то діра була в тому, що був дозволений brute force без rate limiting та exponential backoffs.

(А джаваскріпт на вебсайті красти не треба - F12 натиснув, і ти його бачиш, і навіть обфускація погано допомагає.)

[malyj_gorgan]

Ну, значить, не джаваскріпт, а що там присилає помилки з бекенду, а джаваскріпт їх показує.

[mprotsenko]

Людські імена, адреси, кредитки, явки, паролі, вотетовотвсьо.

До речі, імена, адреси, SSN - це вже публічна інформація. Ховати її - це security theater.



А проблема кредиток та рахунків - це проблема не сорців, це проблема доступу до середовища та інших security практик. Якщо хтось дає публічний доступ (в сенсі - можливість публічного доступу просто з потрібним паролем) до середовища, де можна отримати цю інформацію, то можна вважати, що ця інформація вже зламана, і тут доступ до сирців знову ж ситуацію суттєво не змінює.