Názory k článku Postřehy z bezpečnosti: odhalena totožnost vývojáře LockBitu
-
S cookies se tu zase vari voda v hrnci. Snad uz 27let se davno vi, ze kazda sluzba ma logovat ip adresu a pokud se pristupuje z jine, tak je jasne ze je nutne vynutit prihlaseni. Drive to bylo reseni 100%, dnes je to horsi, protoze clovek muze pristupovat z mobilu ktery meni bts a muze se mu zmenit ip adresa. Lze to resit informaci proc se to deje a nebo zaskrtnou, docasne po dobu sezeni povolit zmeny ip ze stejne zeme. Takze opet snadno resitelne. Nechapu jak se tohle muze resit v roce 2024 jako bezpecnostni incident.
-
Jednou věcí je "co se dávno ví" a druhou věcí co je vám ochoten kdo zaplatit k implementaci. Dávno se ví leccos. Klientům můžete desetkrát říkat, že je něco potřeba a stejně budete mít co dělat, abyste je přesvědčili o mnohem základnějších věcech co se zabezpečení týká a zbytek vám prostě nezaplatí.
Proto se to řeší jako bezpečnostní incident.
-
nj. ale to prakticky nelze, čím dál čaštěji se klientům mění IP adresa během provozu. IPV6 je tak skoro navržená, různí ISP to mění také často, mobilní operátoři nedrží také tvoji IP adresu. Firemní brány často cyklují více IP adres.
Ze stejné země? IP adresy zemi neznají, jsou tady neoficiální databáze, jsou tady majitelé AS a to je tak nějak vše.
Bezpečnost, která závisí na pinnování síťové vrstvy moc nefunguje a stejně se tím jen záplatuje situaci, kdy máš persistentní heslo (token, cookie, whatever), které ještě posíláš po sítia opravňuje tě k přístupu. To je principálně špatně.
-
Filip JirsákStříbrný podporovatelPrávě že se už docela dávno ví opak, že vázat uživatelskou session na IP adresu je nepraktické a funguje to čím dál hůř. Vedle už zmíněných problémů je dalším problémem třeba dual-stack, kdy se navazují spojení někdy po IPv4 a někdy po IPv6. Prostě představa, že uživatel má stálou IP adresu neodpovídá realitě.
Identifikátor sezení má být chráněn tak, aby nebylo možné se k němu dostat. Pokud ho útočník může získat, je potřeba se zaměřit na to, jak ho získá. Protože obvykle pokud může získat identifikátor sezení, není to jediný bezpečnostní problém.
Pak je také zabudovaná autentizace do protokolu HTTP, ta by problém řešila, protože se dá autentizovat každý požadavek. Ale to zabili tvůrci prohlížečů tím, že to na straně prohlížečů bylo takřka nepoužitelné.
-
DannyStříbrný podporovatelProblem HTTP auth je primarne v tom, ze s kazdym requestem posilate to jmeno/heslo neprilis zabezpecene. To je horsi varianta, nez kdyz se pri uspesnem prihlaseni vygeneruje nejaky identifikator sezeni... kdy aspon mate moznost jeho platnost casove omezit i v pripade, ze se k nemu nekdo dostane. A bylo to cele designovane v dobe, kdy tukat heslo pres plaintextovy telnet nikoho netrapilo. Zabezpeceni (zasifrovani) transportu je v tomhle pripade jen workaround.
-
Filip JirsákStříbrný podporovatel
Ne, to není problém. Protože HTTP Auth neomezuje použitý způsob autentizace, takže když na to přijde, můžete tam posílat třeba hash celého požadavku spolu s časovou značkou podepsaný privátním klíčem.
-
DannyStříbrný podporovatel
Ano, jsou i jine auth metody nez basic. Ale ty zas prohlizece nijak nezabiji, ty proste jen musite implementovat primo na strane samotne webove aplikace v zavislosti na te metode a prislusnou hlavicku nastavit z te aplikace.
-
Filip JirsákStříbrný podporovatel
Právě že je prohlížeče zabíjí. Ta implementace má být přímo v prohlížeči. Nikdy neměla nastat situace, že uživatel zadává heslo do webové stránky. Heslo se mělo zadávat vždy do UI prohlížeče a nemělo se nikdy samotné heslo nebo jeho ekvivalent dostat mimo bezpečnou oblast prohlížeče. (Pro to by byla potřeba ještě podpora pro vytváření účtů, která v HTTP standardu úplně chybí.)
Místo toho jsme se po čtvrt století zadávání hesel do webových stránek (což je bezpečnostní šílenost) propracovali k WebAuthn, což řeší problémy hesel, ale pořád to neautentizuje každý požadavek.
-
DannyStříbrný podporovatel
Webova aplikace (tzn. typove nejaky javascript) neni bezpecna oblast prohlizece? Vzdyt moderni prohlizece defacto funguji podobne i na ty "vestavene" veci. Co vam brani vygenerovat treba pbkdf2 hash uz na strane klienta a dal transportovat az vyslednou hash? A tohle slo uz v dobach, kdy jeste md5 bylo cool&in. Ze to vyvojari webovych aplikaci moc nedelaji je jiny pribeh...
-
Filip JirsákStříbrný podporovatel
Webova aplikace (tzn. typove nejaky javascript) neni bezpecna oblast prohlizece?
Samozřejmě že ne. JavaScriptu vůbec nic nebrání, aby to heslo vzal a odeslal na server.Co vam brani vygenerovat treba pbkdf2 hash uz na strane klienta a dal transportovat az vyslednou hash?
A co by tomu kódu na straně klienta bránilo, aby dál neposílal hash, ale heslo v otevřeném tvaru? -
DannyStříbrný podporovatel
Stejne muze zafungovat i libovolna chyba v samotnem kodu prohlizece. A vzhledem k tomu, ze i kod samotnych prohlizecu periodicky obsahuje nemale mnozstvi skaredych chyb se v realu muzeme bavit o tom, ze ani na samotny prohlizec neni spoleh v tom, co kam vlastne posle ;-)
-
Filip JirsákStříbrný podporovatel
Je drobný rozdíl mezi chybou prohlížeče a vlastností, kterou může zneužít každý web.
To je jak kdybyste argumentoval, že stejně může být v jádru OS chyba, která umožní běžnému uživateli získat práva roota, tak budete rovnou pořád spouštět všechny programy pod rootem.
-
DannyStříbrný podporovatel
Zneuzit se da cokoliv. Ale vy se snazite udelat chybu z vlastnosti, co chyba proste neni... aneb s tim nazorem jste jaksi osamocen. Navic placete na spatnem hrobe :-)
-
Filip JirsákStříbrný podporovatel
To, že se tajné heslo uživatele, které slouží k autentizaci a nikdo jiný ho nesmí znát, dozví i někdo jiný, samozřejmě je vážná chyba.
-
DannyStříbrný podporovatel
A ze jste s timhle "objevem" davno nevystoupil na nejake bezpecnostni konferenci... :-) Mohl byste si tam uzit par chvil slavy.
-
Trochu off-topic k odst. "Totožnost vývojáře LockBitu odhalena" a obecněji
k přepisu jmen z azbuky do češtiny a angličtiny: zatímco "Dmitry Yuryevich
Khoroshev" anglofonní čtenář přečte téměr správně (až na přepis 'kh' pro 'ch',
protože v angličtině hláska 'ch' není), pro českého čtenáře je to dosti nečitelné
a není důvod, proč to nepřepsat přiměřeněji jako "Dmitryj Jurjevič Chorošev",
protože anglický přepis není primárním zdrojem, takže není důvod ho nevhodně
reprodukovat. -
To samozřejmě dává smysl a bylo by to lepší, ale není to tak snadné. Už jsme to tu v diskusi několikrát řešili. Naráží to na jazykovou bariéru.
Já jsem kupříkladu nikdy ruštinu ve škole neměl a azbuka je pro mě naprosto kryptická, stejně jako třeba řečtina nebo japonština. Čili nejsem schopen to z toho jazyka vůbec přepsat.
Pokud je autorovi méně než padesát let, bude na tom stejně. Pokud přitom vychází z anglického textu (což zřejmě vychází), má jedinou možnost: použít jméno v anglické transkripci, kterou navíc často používají i sami Rusové.
-
DannyStříbrný podporovatel
No, pod padesat... minimalne ti co byli na prelomu let 1989/90 alespon v pate tride, toho povinna rustina jeste neminula... takze se bavis o lidech jeste z rocniku 1979/1978... a tem pod padesat bude :-) Zvolit jazyk bylo fakticky mozne az se skolnim rokem 1990/91.
-
BuldrZlatý podporovatelS láskou jsme povinnou ruštinu s Husákem na zdi zapomněli. Ale vážně, nemůžeš čekat, že naše ročníky si budou něco z ruštiny pamatovat. U mnohých rodin došlo za soudruha k velkým šrámům a potom devadesátky, kdy se hledělo jen a jen k západu. Co šlo se vyhodilo už v 89.
Výklad soudružky v ruštině. S tím se zametlo hned po revoluci, kdy se ze zasloužených soudružek učitelek staly paní učitelky.
13. 5. 2024, 15:24 editováno autorem komentáře
-
BuldrZlatý podporovatel
A hodiny končící odříkáním SSSR nash drug si nepamatuješ? Bohužel si ze základní školy pamatuji více, než bych chtěl. Zejména porevoluční živoření kulturních vykopávek, objíždějící kulturáky a nucený kulturní program pro žáky ZŠ. To byla stejná vypalovačka, jako zarytá soudružka rozplývající se nad sovetskoye ekonomicheskoye chudo.
Brr, nechtěl bych zažít znovu.
-
DannyStříbrný podporovatel
Mozek ma tendenci nektere negativni vzpominky vytesnovat.... :-) I kdyz drive rustinarku, co nasledne ucila anglictinu tak, ze byla tak tri lekce v ucebnici pred nama se zapomenout nepodarilo... mozna proto, ze k prehravani audiokazet k ucebnici se pouzival Tesla SP210, puvodne urceny k necemu trosku jinymu, ze...? :-)
-
BuldrZlatý podporovatel
Buďto jsme chodili na stejnou ZŠ, nebo to bylo všude stejné s ruštinářkami/angličtinářkami. Tu Teslu jsme myslím neměli, nebo si to nepamatuji. Nám vyhrával rumunský přehrávač, respektive hrál chvilku, potom se zašmodrchala páska :)
No nevím, na ty „umělce“ zapomenout nejde, raději ani nechci vzpomínat, stejně jako na cvičební úbor, nácvik spartakiády a povinnou docházku do pionýra pro speciální vzdorující jedince s protistátní rodinnou historií, což začalo dědou (11. pěší Tobruk).
Fakt jsem rád, že ta doba je dávno pryč.
14. 5. 2024, 12:50 editováno autorem komentáře
-
V podstate z roku na rok prestavate ucit rustinu a zacinate ucit anglictinu nebo nemcinu, to asi ani jinak resit nejde. Mohla se dalsich nekolik desitek let ucit rustina a velmi postupne prechazet, jak budou fakulty produkovat anglictinarky a rustinarky odchazet do duchodu, nebo provest hura akci preskoleni rustinarek. Vzhledem k tomu, jak jsme se pomerne rychle preorientovali obchodne na zapad, tak si myslim, ze i pomerne nekvalifikovana vyuka anglictiny nebo nemciny byla rozumnejsi nez zustavat u rustiny.
-
BuldrZlatý podporovatel
Vůbec nechápete pointu a nedíváte se optikou tehdejší doby. Problém tkví v tom, že ruštinu učily zpravidla nejzatvrzelejší soudružky, které těžko nesly, že dávno nemají moc ovládat ostatní (kádrové profily a posudky), tedy když s vámi měla nějaký problém, tak jste velmi často mohl zapomenout studium střední školy. To se těžko vysvětluje a chápe, ale taková byla doba a pokud jste pocházel z rodiny „nepřátel státu – soudruhů“, tak Vám to dávala pořádně sežrat. Ze dne na den přišly o moc ovlivňovat životy druhých. Nedovolil bych si tvrdit, že každý učitelka byla taková, ale málo jich opravdu nebylo.
Přišel listopad a tohle všechno byla historie. Co jsem mluvil s mými vrstevníky, tak na většině ZŠ to bylo stejné. Pochopitelně, že po tolika letech bolševické lůzy málokdo uměl anglicky, natož aby se mávnutím kouzelného proutku našel dostatek kvalifikovaných učitelek jazyků. V tom prostě problém není, ale potíž byla (v tom je zakopaný pes), že nechtěly. Věřily, že se bolševik vrátí, SSSR pro ně byl vzor a ta hořkost a odpor z výuky byla cítit široko daleko. A to se nedělo jen na naší ZŠ, ale šlo velmi rozšířený jev.
Ve všem se improvizovalo, snažilo se to „nějak udělat“, taková byla prostě polistopadová doba.
-
V naší rodině nechali komouši taky hluboké šrámy a v linii, kde nenechali šrámy alespoň na vlastní oči viděli, jak byli Rusáci totálně zaostalí, že neveděli, co je topení, takže ruští vojáci když nás v 45 vysvobozovali, tak si topili ve velkém městě v rodiném domě v pokoji s topením na ohni z vytrhaných parket LOL :D Proto jsem jako dítě vůbec nemohla pochopit, proč si moji spolužáci dobrovolně jako volitelný jazyk zvolili jazyk těchle dementů... Bylo to víc než deset let po pádu komoušů a ruštinu učila (nečekaně :D) naše učitelka angličtiny...
15. 5. 2024, 07:39 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Vůbec nechápete pointu a nedíváte se optikou tehdejší doby
Chápe. Když na škole přestanete učit ruštinu, která byla do té doby povinná, zbydou vám tam bezprizorní učitelky ruštiny, pro které nemáte práci. A naopak je potřeba učit angličtinu, kterou každý chce, na kterou ale učitele nemáte. Samozřejmě, můžete chtít po tělocvikáři, učitelce výtvarky a učitelce přírodopisu, aby šli učit angličtinu, a ruštinářky aby šly učit tělocvik, výtvarku a přírodopis. Ale moc by to smysl nedávalo a ti učitelé tělocviky, výtvarky a přírodopisu by se logicky ptali, co oni s tím mají společného. Ty ruštinářky, které byly o lekci napřed, byly ostatně velmi rády, že mohou na škole zůstat, protože jinde by nehledaly uplatnění zrovna snadno.Samozřejmě čest výjimkám, které tu ruštinu dělaly třeba kvůli literatuře.
-
-
DannyStříbrný podporovatel
To pri premysleni nad tim spravnym vyznamem zkomoleneho prekladu taky :-) Popravde naposledy, kdy jsem prezvejkat bukvy opravdu potreboval, tak to bylo dohledani dokumentace k obrabecim strojum ceskoslovenske ci vychodonemecke provenience... ke kterym tchan nekde prisel a potreboval vypomoct s neprilis funkcni elektrickou casti. A popravde driv nez originaly dokumentace jsem nasel spoustu navodu, kterak tu elektriku proste vyhrnout buldozerem a postavit to nejak pricetneji. A mechanicky tem masinam nic neni...
-
JmJStříbrný podporovatelNejsem zadny jazykovy genius, spis naopak, preato jsem byl prekvapen, jak moc se dalo pochopit z napisu na ulici v recku jen se znalosti recke abecedy z hodin matematiky. Takze bych to nevzdaval ;-)
Azbuku ctu jak dite v prvni tride, slovni zasobu nemam, ale i tak clovek chyti aspon zakladni myslenky z textu.
Neni nad to, kdyz si s vama dopisuje kamos rozeny v rusku a pise schvalne azbukou, ale nemecky.
-
Ona ta hranice kolem padesátky asi aktuálně bude, ale soudím, že ten přepis by měl být opravdu napřímo z ruštiny do češtiny - i kdyby to znamenalo najít na to nějakého
znalce
. (To samé by si zasloužila čínština - měli jsme světově skvělé sinology a přepis do češtiny je i díky možnostem používat diakritiku lepší, než do angličtiny.)
Z vámi vyjmenovaných jazyků je pro mne zcela nečitelná ta japonština. Ruštinu jsem zažil až k VŠ (a potřeboval krátce i v praxi), a řeckou abecedu do nás vtloukal fyzikář celou střední školu - takže přelouskat se to dá, a pak už jen najít společný základ se slovy, co nám tu zanechali jižstaří Řekové
. ;oD -
Tohle (jak psát “cizí” jména) je těžko řešitelná otázka už proto že se tu střetává několik různých požadavků, zejména že někdo by si to rád přečetl jak to zní v originále, a jiný si k tomu zase dohledal informace z dalších zdrojů nejen v češtině (což je třeba pro mě důležitější než jestli to přečtu foneticky správně).
Nejlepší řešení by asi bylo uvést to jméno (při první zmínce) ve třech variantách - zjednodušeně:
- v originále (zde Дмитрий Юрьевич Хорошев)
- ve standardním (který mnohé jazyky mají) nebo obvyklém přepisu do latinky nebo angličtiny (ze které se dá asi nejsnadněji odpíchnout při hledání dalších zdrojů) - Dmitry Yuryevich Khoroshev
- foneticky (nejlépe ve standardním přepisu do češtiny pokud pro daný jazyk existuje a používá se) - u cyrilice nevím přesně jak to je takže něco jako ten Dmitryj Jurjevič Chorošev
ČLÁNKY DO MAILU