Форум Orsha-LUG

Портал => Новости => Тема начата: Speccyfighter от 14 Июль 2008, 22:43:19



Название: Особенности Linux-безопасности
Отправлено: Speccyfighter от 14 Июль 2008, 22:43:19
Андрей ПАВЛОВИЧ  07.07.2008

Насколько безопасна современная Linux? Об этом мы поговорили с Айгаром Махиновым, членом правления LAKA, Ассоциации открытого кода Латвии. Главной темой беседы стала недавняя громкая уязвимость, найденная в алгоритме генерации ключей, встроенном в Debian.

— Для начала опишите, пожалуйста, в чём именно состояла обнаруженная в Debian уязвимость.
— Вся эта история началась весной 2006 года, когда Debian-мэйнтейнер (человек, который следит за качеством кода) обнаружил использование неинициализированных фрагментов памяти во время генерации SSH- и SSL-ключей, что нехорошо с точки зрения безопасности.
Он решил исправить проблему, «закомментировав» два фрагмента кода. И всё бы ничего, если во время такого «исправления» ни был нарушен механизм генерации случайных чисел и количество различных кодов на выходе сократилось с невероятного огромного числа до каких-то 2 в 15 степени. То есть, до 32 тысяч.
Как нетрудно понять, взломать такой код не составит проблемы для любой современной машины. Достаточно узнать имя пользователя, запустить механизм перебора всех возможных вариантов — и спустя некоторое время заветный ключик окажется в ваших руках.
Радует только одно — эта ошибка не позволяет получить доступ к системе при настройках «по умолчанию». И обычно только опытные пользователи имеют дело с данными протоколами.

— И когда это выяснили?
— Такие «дырявые» ключи просуществовали в Debian почти два года. То есть, до середины мая. Именно тогда досадная уязвимость была обнаружена, а на свет появился специальный патч, который её исправляет.
Ситуация осложяется тем, что брешь затрагивает не только Debian, но и все остальные дистрибутивы на его основе. Речь идёт о таких популярных операционных системах, как Ubuntu, Knoppix, Linspire и т. п. Кроме того, косвенным образом от уязвимости старадают даже пользователи Windows Server. По крайней мере, те из них, в чьих сетях имеются Linux-клиенты.

— Насколько я понимаю, на сегодняшний день эта проблема полностью решена?
— Ну, как сказать. С одной стороны, патч для Debian-систем был выпущен. Но мы ведь не можем быть уверены, что все его проинсталлировали. И опять-таки, не стоит забывать о Windows-, а также Unix- и Linux-администраторах — я бы обязательно порекоммендовал им проверить, не использует ли кто-то из их пользователей Debian, да и вообще — заново сгенерировать все ключи.

— А были реальные случаи хакерских атак с использованием этой бреши?
— Да, как это часто бывает, они начались сразу после её обнаружения — хакеры попытались успеть до тех пор, пока сисадмины не обновили операционную систему.

— Если подвести итог этому проишествию, почему столь досадная ошибка оказалась в операционной системе? Как сделать так, чтобы такое больше не повторилось? Да и вообще, можно ли доверять безопасности Linux?
— В данном случае виновником всего оказался банальный недостаток взаимопонимания. Debian-мэйнтейрен не стал вдаваться в подробности обнаруженной ошибки во время описания её создателям OpenSSL (реализации протоколов безопасности SSL/TLS с открытый исходным кодом), а те, в свою очередь, одобрили «исправление», даже не разобравшись в его сути.
В любом случае, полагаю, такой эпизод станет отличным уроком всем open source разработчикам. Это одна из тех ситуаций, которую надо проанализировать, понять, что пошло не так, и попываться избежать в дальнейшем. Что касается репутации Linux, то я не думаю, что нечто подобное не могло бы произойти и в мире коммерческого ПО. Более того, это случается повсеместно, просто без доступа к исходному коду приложения обнаружить такие проблемы очень сложно.

SSL — прокол для безопасной передачи данных по Сети. Может использоваться во время посещения сайтов (HTTPS), отправки электронной почты и т. п.

SSH — сетевой протокол, который позволяет обмениваться данными, создавая безопасный канал связи, соединяющий два компьютера.

Источник: http://www.times.lv