Názory k článku Postřehy z bezpečnosti: aktivně zneužívané zranitelnosti Apache

Nikdo krome vas tu ale nevyslovil tezi, ze tim je veskera bezpecnost vyresena. A nevytrhavejte vety z kontextu, timhle stylem vede diskuzi leda tak mongol.

Dělám co můžu, abych se vám v diskusi přizpůsobil. Nicméně z kontextu jsem nic nevytrhl. Tu absurditu jste napsal vy, já jsem ji jenom podtrhl. Pokud si myslíte, že to vaše tvrzení není absurdní, napište, proč je podle vás z hlediska bezpečnosti důležité, že na tom odkazu přesměrování být nemusí.

A nebo taky můžete odpovědět úplně mimo téma a pokud možno ad hominem.

Polemika s veci, co jste si sam vymyslel a co tu nikdo jiny nerekl muze byt tezka :-) Tak si tu sam se sebou povidejte dal... :D

Dobře, takže se přiznáváte k tomu, že váš komentář neměl žádný smysl, jenom jste chtěl kritizovat za každou cenu, jak je vaším zvykem.

Jediny, kdo tu za kazdou cenu kritizuje jste vy sam. Kritizujete clanky jinych autoru, ale sam obdobny clanek splnujici vase predstavy o idealnim clanku schopny napsat nejste.

Já nekritizuju celý článek, kritizoval jsem dvě věci v článku. Jestli jsou to relevantní připomínky, to ať si posoudí autor a redakce. Zato váš první komentář byl totálně mimo cokoli – kritizoval jste něco, co vůbec nikdo nenapsal a je to vidět na první pohled, že to nikdo nenapsal. To, jestli dokážu nebo nedokážu napsat článek, neodkážete vy posoudit.

Kritizujete neco, co bezne delaji i jinde. Apache je vendor (a bezne se to z ASF takto zkracuje). Neni co kritizovat.

Neni co kritizovat.

To obsedantně-kompulzivnímu grafomanovi ovšem nelze vysvětlit.

Ne, Apache právě žádný dodavatel není. Apache software foundation poskytuje nějakou infrastrukturu, možná nějaké právní služby. Ale různé projekty jsou na sobě úplně nezávislé, dělají to různé týmy, používají různé procesy. To, co je Apache pro projekty, má blíž ke GitHubu než k Microsoftu.

Zodpovědnost ASF za jednotlivé projekty je velmi omezená. Definuje jenom pár požadavků na licenci, chování představitelů projektu a životní cyklus projektu. To je vše – pokud bude s nějakým projektem problém, může ho buď převést do stavu „retired“ a zaarchivovat ho, případně jej z ASF vyloučit. To je vše.

Když budete řešit třeba nějaký bezpečnostní problém s produktovým týmem Microsoftu, a nebudete spokojen, můžete problém eskalovat výš, třeba až k vedení Microsoftu. Protože Microsoft je dodavatel a Microsoft má za ten produkt zodpovědnost. Když budete totéž řešit s libovolným týmem projektu pod ASF, budete to řešit s tím týmem a nemáte k jaké vyšší instanci se odvolat. Dodavatel je ten konkrétní projektový tým. Kdyby se vám něco nelíbilo, můžete psát na ASF, ale ti vás odkážou zpět na projektový tým. ASF nemá pravomoc ten tým měnit, nemůže mu nic přikázat. Může nanejvýš projekt, ke kterému se žádný tým nehlásí, archivovat, případně může projekt vyloučit z ASF. Takže Apache není žádný dodavatel, tím jsou jednotlivé projektové týmy.

Autor článku to nemusí vědět, specializuje se na něco jiného – proto to píšu jako připomínku do diskuse. Ale proč o tom vy máte potřebu diskutovat, když o tom nic nevíte…

Tak jiste... :-)
https://www.opencve.io/cve?vendor=apache
https://www.cvedetails.com/vendor/45/Apache.html

Bezpecnostni tym ASF se incidenty v projektech samozrejme zabyva. Placate nesmysly.

Že to tak používá někdo jiný, protože se mu to hodí do databáze, neznamená, že je to tak správně. Nic na tom nezmění, když tu samou databázi odkážete dvakrát. V té databázi máte třeba projekty 491-Project nebo OWSLib pod vendorem GitHub. Pořád ještě trváte na tom, že databáze CVE je směrodatná pro určení, kdo je vendor kterého projektu?

Zabývat se něčím a být za něco zodpovědný je každé něco jiného.

Kdybyste prostudoval muj odkaz na ASF pozorneji, vsimnul byste si i linku na seznam projektu, kde ASF bezpecnost resi. Ale to je pro obsedantne-kompulzivniho grafomana zjevne uz moc prace. Ze jste vystoural nejake projekty, ktere tam nejsou uvedene nijak nepotvrzuje tu vasi pseudopravdu o tom, ze ASF zadne paky nema.

Neřeší. ASF tam má roli koordinátora, project managera nebo něco takového. Nebude tu chybu ale ani opravovat ani nebude vydávat novou verzi. Stejnou roli mohou hrát třeba distributoři nebo CSIRTy. Když takovou roli bude pro nějakou chybu v linuxovém kernelu mít třeba RedHat, znamená to, že je RedHat vendor linuxového kernelu? A je RedHat jediný vendor linuxového kernelu, nebo jich je víc? A má se v postřezích z bezpečnosti objevit kapitolka Aktivně zneužívané zranitelnosti RedHatu, kde bude jedna chyba v linuxovém kernelu, další chyba v X.org, další chyba v LibreOffice – a vše chyby napříč distribucemi případně i OS?

Cim dal tim vetsi nesmysly, ktere ani nedokazete ozdrojovat ;-) No tak bud melete nesmysly, a nebo... cilene sirite dezinformace.

Cíleně se snažím vyvracet vaše dezinformace. Ale na vašem příkladu je dobře vidět, že takhle s dezinformacemi bojovat nelze. Protože pravda je jenom jedna, zatímco dezinformací je nekonečně mnoho. Vyvrátím jednu vaši dezinformaci, a vy napíšete čtyři jiné. Diskuse už zase od původního tématu utekla bůhví kam – protože vy neobhajujete jedno své tvrzení; když jedno vaše tvrzení vyvrátím, vy ho necháte tak a přijdete s několika novými nesmysly.

Sva tvrzeni nedokazete oprit o zadny zdroj.

Já také nechápu, proč se tu řeší zkracovače. URL zkracovače je URL jako každá jiná – z URL zkracovače ani z jiné URL nepoznáte vůbec nic, co na té URL bude. Bude tam přesměrování? Bude tam stažení souboru? Bude tam reklama vložená reklamním systémem třetí strany, ve které bude nahraný obrázek s exploitem vložený čtvrtou stranou? Nevíte. Nezbývá vám než se spolehnout na prohlížeč, že v něm nejsou žádné známé vzdáleně zneužitelné chyby – a prohlížeč průběžně a co ne nejrychleji aktualizovat.

veškeré odkazy z facebooku, twitter (x), vyhledávání googlu a spousty jiných platforem jdou přes jejich zkracovače, nedá se tomu skoro vyhnout.

Ked mi manzelka posle linku na opravara na facebooku, tak si to pochopitelne pozriem aj ked netusim kde to ide. Ked mi rovnako posle korunny princ Nigerie dovernu spravu, to rovno ide do kosa.

Obcas clovek odhadne zle a potom bude dufat, ze FJ ma pravdu. Ale IMHO to je az druhy sled obrany.
Napokon ked clovek otvori stranku zo sedej zony v osobitnom prehliadaci na tom urcenom, tak tak isto len dufa, ze ta kopa okien a inych podivnosti co na neho vyskoci nic fatalne nespravi.

btw. marne sa snazim spomenut si na nejaku realnu ukazku takej skratenej linky z nedavnej minulosti. Jedine co mi napada je Twitter, kde ma to ale vzdy spolahlivo priviedlo na stranku Twitteru a nikdy som sa nedostal mimo ich platformu.

Takže v případě e-mailu od Nigerijského prince neotvíráte vůbec žádný odkaz, i kdyby tam bylo jen https://google.com, a mažete celý e-mail.

V ostatních případech, když si myslíte, že pro vás bude cíl odkazu užitečný, otevřete ho. Protože nemáte šanci ze samotného odkazu poznat, zda cíl bude v pořádku nebo bude problematický.

To doporučení „kontrolovat odkazy“ je nesmyslné z toho důvodu, že neexistuje použitelný způsob, jak ty odkazy kontrolovat. Což poznáte i z toho, že kde kdo jenom opakuje „kontrolujte odkazy“, ale nikdo už nenapíše podrobný návod, jak to udělat.

Vidím odkaz – a co dál? Člověk si dokáže zapamatovat maximálně desítky domén, a i u toho bude mít problém, jestli to třeba není facebok.com, twiter.com nebo třeba twiter.net. Takže na doporučení někoho tady bych třeba eliminoval asi tak tři přesměrovávače, které si pamatuju – a zbytek mám považovat ze bezpečný? To by pak útočník jednoduše nepoužil přesměrovávač a měl by vyhráno. Nebo mám naopak chodit jen na domény, které znám? To by v podstatě znamenalo mít v hlavě whitelist povolených domén – který by nebyl moc velký a navíc by porovnání s ním bylo chybové. Vedení a kontrolu takového whitelistu přece mnohem lépe zvládne software a šlo by do něj dát mnohem víc než desítky položek. Nebo mám cílovou adresu kontrolovat podle toho, jak se mi líbí či nelíbí? A když tam budou nějaká „x“ a číslice, tak adresu odmítnu (včetně oficiálních adres Microsoftu a dalších velkých firem), zatímco když to bude pěkná doména třeba muj-twiter.net, tak tam půjdu?

Nebo-li kontrolu cíle odkazu jako formu zabezpečení nedělá vůbec nikdo, protože neexistuje způsob, jak to dělat. Takže je dost pokrytecké dávat to jako bezpečnostní doporučení laikům, když jediným účelem je, aby se cítili provinile, že to nedělají, a bylo možné na ně svést případný problém.

Nebo se snad najde někdo, kdo popíše, jak má ta kontrola odkazů vypadat? Co má následovat po tom „vidím odkaz“?

ehm... ako Vam opakovane ludia vytykaju... rozmyslate prilis binarne :).

existuju aj emaily ktore nepridu ani od manzelky ani z Nigerie.
pomerne bezne pouzivam na sofistikovanejsie podvodne emaily kriterim "kdeze vedie linka emailu ktory sa tvari, ze prisiel z DHL".

nie, netreba na to desiatky poloziek. Samozrejme moj-twiter.net ide do kosa pretoze to od pohladu nie v poriadku, tak isto ako asdfgh.dhl.muzeum :).

a ano, do istej miery by toto podla mna mal zvladnut kazdy uzivatel pohybujuci sa na internete.

len pre pobavenie: minuly mesiac som mal prvy krat v zivote legitimnu komunikaciu s DHL ohladom cla, uz celkom chapem, preto sa na take emaily moze niekto nachytat :).

Ano, bláhově jsem se domníval, že na odkaz se buď klikne nebo neklikne. Vy umíte na odkaz kliknout jen tak trochu?

Jinak pokud se bojíte, že odkaz z e-mailu povede na stránku, kde bude obrázek s epxloitem, který zneužije 0-day zranitelnost parseru obrázků v prohlížeči – nebojíte se, že vám ten obrázek s exploitem pošle útočník rovnou do e-mailu, který si prohlížíte v tom samém prohlížeči?

Chcete říct, že počet všech webů, které navštěvujete, je menší, než desítky? Pak ale používáte internet velmi netypickým způsobem. A pořád by vám podstatně lépe než kontrola adres posloužil whitelist domén, na které byste se v prohlížeči dostal. moj-twiter.net vy třeba víte, ale někdo, kdo na něm nemá účet, jeho správnou adresu znát nemusí. Vy víte třeba na jaké adrese je TikTok nebo Threads?

a ano, do istej miery by toto podla mna mal zvladnut kazdy uzivatel pohybujuci sa na internete.
Hm, zase „toto“. „Toto“ má umět každý uživatel na internetu, akorát nikdo nenapíše, jaké konkrétní kroky „toto“ zahrnuje.

umíte na odkaz kliknout jen tak trochu

HTTP HEAD je jen tak trochu kliknutí na odkaz, ne? :). Stejně tak se dá pouze stáhnout odpověď serveru, analyzovat obsah a podle toho se zachovat. Což ale samozřejmě není chování běžných prohlížečů.

Víš, proč ten obrázek útočníci neposílají přímo, ale raději ho dají na odkazovanou stránku? Obsah emailu prochází skenery, takový obrázek se dá snadno odhalit a třeba O365 to dělá, pak je doručitelnost špatná. Naproti tomu obsah stránky mohu přizpůsobit tomu, kdo se dívá, pro skenery, vyhledávače a testovací nástroje vrátit normální obrázek a pro cílového návštěvníka vrátit exploit. Tohle se bohužel děje čím dál více a nahrává to do ruky antivirům, které dělají realtime skeny prohlížených stránek přímo na stanici, bohužel si u toho také špehují uživatele.

Ano, analyzovat strojově obsah se dá – ale strojová analýza obsahu je něco podstatně jiného, než ruční analýza odkazu. Navíc když už něco (ať už prohlížeč nebo antivir) stáhne obsah a analyzuje, zda je škodlivý nebo bezpečný, nemusí to pak dávat jako informaci uživateli, že na to nemá klikat. Místo toho je lepší udělat tu analýzu při otevření stránky. Což bude fungovat i pro případy přesměrování nebo když uživatel odkaz zkopíruje přes schránku odjinud. (Třeba když někdo uživatelům v rámci „zabezpečení“ tím, aby neklikali na odkazy, nedá klikatelný odkaz ale jen textové URL a nechá je to zkopírovat.) Nebo-li se zase dostáváme k tomu, že „neklikat na odkazy“ je hloupost, útokům se tím nezabrání. Jediné, co pomůže (není to 100%, ale je to dost účinné) je strojové zpracování obsahu – ať už to, že věřím, že aktualizovaný prohlížeč nemá známé bezpečností chyby, nebo ještě prohlížeči předřazená antivirová kontrola obsahu (pro kterou bohužel prohlížeče nepochopitelně nemají podporu, což je jiná věc).

Obrázek vložený přímo v e-mailu byl jen příklad. I v tom e-mailu může být vložen odkaz na obrázek, který můžu – stejně jako u webové stránky – poskytnout různý podle toho, kdo se „dívá“. Jasně, někteří e-mailoví klienti nepovolí stažení externích obrázků. Ale ochránit uživatele tak, aby se ke škodlivému obsahu nedostal přes žádný odkaz, přesměrování, vložení – to je nemožné. Smysluplná ochrana prostě musí stát na aktualizovaném bezpečném prohlížeči, druhá úroveň může být antivir.

Tohle se bohužel děje čím dál více a nahrává to do ruky antivirům, které dělají realtime skeny prohlížených stránek přímo na stanici, bohužel si u toho také špehují uživatele.
Antivir je pořád milionkrát lepší řešení, než kontrolovat očima cíl odkazu. Bohužel prohlížeče neposkytují API, kterým by se antivir na stanici napojil na data vybalená z TLS a mohl je kontrolovat. Pro mne je to nepochopitelné, protože pak to vede k tomu, že antiviry (ať lokální nebo v síti) podvrhují certifikáty, aby mohly dělat MitM útok na TLS, uživateli nainstalují svůj certifikát – a s celým zabezpečením TLS se vracíme pomalu do dob protokolu HTTP, protože antiviry validují certifikáty protistrany podstatně hůře, než prohlížeče. A u spousty aplikací je nejjednodušší kontrolu TLS certifikátů úplně vypnout, takže se pod praporem bezpečnosti používá HTTPS bez jakékoli validace certifikátu protistrany, tedy skoro zbytečně.

Z důvodu, že každý může dostat jiný obrázek při načtení emailu to třeba gmail cachuje u sebe při první návštěvě, někde dělá i prefetch. Zároveň to brání logování IP adresy a aktivity uživatele.

Firefox dříve měl tak silné api, že umožňoval tuhle kontrolu. Chrome jí nemá, těžko se také divit, když zároveň nabízí placenou službu, která to dělá https://cloud.google.com/security/web-risk (samozřejmě existuje i free služba Safe Browsing API).

Je to válka velkých vendorů a uživatelé tady jsou jako rukojmí.

Microsoft třeba pro svůj Edge má defender application guard, který ale potřebuje pro filtrování url také proxy a vlastním CA.

U těch odkazů na obrázky v e-mailu je nejdůležitější, že se z unikátní adresy obrázku pozná, že konkrétní uživatel ten e-mail otevřel. IP adresa nebo že to otevřel opakovaně by byl příjemný bonus, ale to úvodní otevření je nejdůležitější.

Safe Browsing API jenom ověřuje otisky adres, takže když půjdete na adresu, která ještě není nahlášená, může tam být měsíce známý exploit, ale Safe Browsing API to nezachytí. Nic proti té službě, z hlediska bezpečnosti webových prohlížečů je to jedna z nejlepších věcí, která je k dispozici (přínos × negativa), ale ta služba vlastně není nic moc extra.

Kdysi jsem ve Firefoxu řešil chybu, že to, jak bylo HTML rozsekané do paketů (kde konkrétně v HTML byla hranice mezi pakety) se promítlo až do chybně zkonstruovaného DOMu. Takže si myslím, že autoři prohlížečů chtějí data dostat co nejrychleji ze sítě na obrazovku uživatele a bojí se, že nějaká zajížďka k antiviru by jim to zpomalovala.

"odkaz se buď klikne nebo neklikne"

navrhujem, aby ste potrenovali nehovorit ludom co netvrdili. O nicom takom nebola rec.

ad "0-day"

Dlhodobo som pouzival som Mutt v textovom rezime, takze samozrejme suhlasim s tym co pisete.
Prax ukazala, ze je mozne zlavit z paranoje ;)

"počet všech webů, které navštěvujete, je menší, než desítky"

zase si domyslate nieco co som nepisal.
(druha vec je, ze ked si clovek odmysli vysledky vyhladavaca, tak 99% ludi navstevuje len jednotky stranok)

"Vy víte třeba na jaké adrese je TikTok nebo Threads"

nie, naco by mi to bolo? :)

"nikdo nenapíše"

ja :) pre velky uspech este raz a exaktnejsie:

ked to nevedie na jeho personalizovany (kratky) whitelist domen, ma sa zamysliet ci tam chce fakt kliknut.
A ked uz na to klikne, ma idealne mat postrannym kanalom potrvdene, ze to je OK alebo teda sa k tomu chovat ako k vytvoru zlych chlapcov, tam uz ma ist podla Vasho navodu.

Já se tedy nad tím, zda chci na odkaz kliknout, zamýšlím na základě kontextu, kde ten odkaz je – na jaké stránce či e-mailu, co je napsáno kolem ně, co je přímo v textu odkazu. Kam odkaz vede je pro mne irelevantí. Kdyby vedl na Google, Twitter, Root, Facebook – vypovídá to něco o obsahu, který tam najdu? Nevypovídá.

Pod tím potvrzením postranním kanálem si představujete zhruba co?

Zajímalo by mne, jestli opravdu web používáte tak, jak popisujete. Jak jste se v tom případě dostal do téhle diskuse? To muselo být zkoumání – nejdřív odkaz z titulní stránky, pak odkaz do diskuse.

Ale to je jeden z těch problémů - pokud přijde email od někoho, komu důvěřuješ, tak klikneš.

To ale není ověření odkazu, to je ověření odesílatele e-mailu. Podle toho se rozhodnu, zda ten e-mail vůbec budu číst, a pokud ano, zda provedu jakoukoli akci, ke které mne ten e-mail vyzývá – ne jen otevření odkazu.