Názory k článku Postřehy z bezpečnosti: zlé, zlé USB

> Ale já chci mít svá USB zařízení flashnutelná.

Potom musíš být připraven nést riziko a jsi natolik netypický uživatel, že tvůj use case prakticky nemá smysl řešit.

> sudo samozřejmě může vyžadovat (a defaultně vyžaduje) heslo.

Ano, ale default pro timestamp_timeout je 5 minut a skript toho může celkem snadno využít.

> Mně je ale úplně jedno, jestli mi na počítači získají roota -

Pokud získá roota, tak navíc i kompromituje celý stroj, to je ten rozdíl. Že je to tobě jedno, to jsme všichni moc rádi, že to víme, ale existuje spousta lidí, kterým to jedno není. Např. všichni správci strojů s víc než jedním uživatelem.

> tu největší škodu (ukradení a následné smazání důležitých informací) napáchají pod uživatelem

Proto je tam ten bod 3. Pokud flashka může vkládat znaky do terminálu uživatele dumb, tak těžko může ukrást data uživatele jenda. ...a jsme u důležitosti nezískání roota.

> Není fakt asi milionkrát jednodušší prostě nedovolit cizímu člověku/zařízení psát mi do session?

Ne, protože není vůbec jednoduché vymyslet neprůstřelný mechanismus, pomocí kterého bys odlišil legitimní a nelegitimní klávesnici.

Asi nejlepší možnost je zobrazit na monitoru nějakou náhodnou sekvenci, kterou bys musel na nové klávesnici vyťukat, aby začala fungovat. Jenže narazíš na problém, kdo by měl takové okno zobrazit atd. Mně osobně teda přijde milionkrát jednodušší podezřelá zařízení prostě ke své session vůbec nepustit.

> LOL, připojovat si k USB programovatelná zařízení je extrémní usecase :-D

Připojovat zařízení, která *někomu půjčuješ* a zároveň požadovat, aby u nich šlo přeprogramovat usb stack je *neobvykly* use case.

> Pro mě to rozdíl není.

Ještě jednou: potřebuje roota, aby se mohl šířit. Virus, který se nemůže šířit, není virus.

> takže falešná klávesnice si může psát tak akorát do login promptu.

Nebo do ssh session, otevřené v terminálu na tom tvým desktopu.

> nebo prostě dialogové okno.

Což vyžaduje kooperaci userlandu. Takže zase nějaká komunikace přes dbus. A když budeš v krizové situaci, klient ti nepoběží nebo dbus spadne, tak klávesnici nepřipojíš. Pokud nemáš druhý stroj přes který se sshčkneš, tak pom;že jenom restart. Hurá vzhůru k Windows.

> to je problém mizerných operačních systémů, které v roce 2014 neumí na desktopu zobrazit notifikaci.

Umí. Ale přidává to dalších x points of failure a klávesnice je natolik klíčová věc, že potřebuješ, aby fungovala i v největších krizovkách.

> Co když bych ale chtěl ze své session na net (musím přes USB připojit mobil, který se chová jako modem), chtěl realtime zpracovávat signály se softwarově definovaného rádia (USB, jak jinak) atd.?

Pokud to zařízení nikomu nepůjčuješ, je riziko jeho zavirování výrazně menší. Navíc ani jedno z těch zařízení nutně nemusí mít flashnutelný usb stack.

> Navíc ani jedno z těch zařízení nutně nemusí mít flashnutelný usb stack.

Anebo se vrátit ke staré dobré metodě: chci flashovat, přepojím nějaký jumper. Bez toho to prostě nejde.

> Na desktopu se mi tohle nestává
> Mluvil jsem o připojování zařízení lokálně k tomu serveru.

Jenze kdyz se nejaka takova vec zavede, tak bude pravdepodobne fungovat stejne na desktopu i serveru.

> Takže půjčím kamarádovi/úřed­nici, aby mi něco nahrála/zákaz­níkovi/whatever, on ten jumper přehodí a vyhackuje mě.

Ne. Na to budes mit flashku, ktera preprogramovat nejde. Nevim, proc bys potreboval preprogramovatelnou flashku.

Jo asi jako NetworkManager. Ten si taky muzes vypnout :)))

Jo a málem bych zapomněl, toho roota virus samozřejmě potřebuje k šíření, bez něj se na další flashku nezkopíruje, takže to je pro úspěšnost takového viru klíčová věc.

> třeba kontaktovat okolní počítače po síti.

Bavime se o nebezpecnosti te prezentovane moznosti preprogramovat flashku.

> Velkým bezpečnostním problémem je i nákaza jednoho stroje v profilu uživatele.

Virus se musi nejak sirit. Pokud se nesiri, tak neni potreba si s nim lamat hlavu. Vadi ti treba, ze nejaky clovek v Australii ma na pocitaci nejaky malware, ktery se dal nesiri?

> Pokud si myslíte, že si na Linuxu můžete bezpečně jako restricted user otevřít terminál a přihlásit se jako root, tak se zásadně mýlíte.

Ne, to si nemyslim, ale je to aspon odolne proti hloupemu utoku "spustim kdykoli a kdekoli sudo xxxxxxxxx". Zneuzit okna, ve kterem je spustene su je daleko tezsi, prihlasuje se tam jinym heslem atd. atd.

Samozrejme to neni "bezpecne" ve smyslu "neprustrelne" - staci hloupost typu "do bashrc dam PATH takovy, ze se spusti uplne jine su". Jenze svete div se - zatim se neobjevil malware, ktery by toho masove zneuzil. Uz jenom proto, ze uzivatelu Linuxu je malo.

Takovouhle argumentaci "ale to jde prece zneuzit" vymyslim proti vsemu - i kdyz mam smartcartu, tak pin nekam zadavam - nekdo mi ho muze ukrast a potom uz si podepisovat co chce jak chce (dokud je ta SC v pocitaci). No, jde to. A?

> vadí mi, že když půjčím někomu klíčenku, může ji vložit do stroje a vrátit ji nakaženou.

Proto je potreba se poohlidnout po takove klicence, ktera proste zvenku flashovatelna neni (pokud se tohoto nebezpeci bojim).

> Jistě si vzpomenete, že šíření virů přes výměnná média bylo svého času velmi populární.

Ano, do té doby, než Microsoft pochopil, k čemu jsou takové věci jako oddělení uživatelů, systému, přístupová práva.

> není to nijak těžké, a zvládne to třeba doplněk pro browser.

Není to těžké technicky, ale "organizačně" - útočící software by musel poznat správnou příležitost, protože kdyby psal jenom tak mírnixtýrnix kamkoli, byl by hodně rychle odhalen.

> MS se to alespoň snaží nějak řešit (integrity level, secure desktop). Na Linuxu máte holt smůlu.

Tipoval bych, že to bude řešit Wayland, ale tyhle věci nesleduju, z praktického hlediska to žádný velký problém není.

Nebo jestli jste myslel oddělení procesů jako takových (ne jenom na desktopu), tak tam jsou na tom unixové systémy daleko líp než MS - zóny, jaily, lxcontainers, OpenVZ... To jsou věci, které se už nějakých deset let používají, není to nějaká vize ve výzkumné laboratoři MS.

Dá se to hnát až takhle daleko https://qubes-os.org/ když je chuť.

Jasně, na Windows můžu použít třeba Hyper-V, to je jedna z mála věcí od MS, která aspoń na první pohled vypadá fakt slušně. Dokonce i iSCSI už to umí a ovládá se to hezky, je to fajn.

Ale kontejnery jsou dost něco jiného, to na Windows nemáte (AFAIK). Pořád zmiňujete "drahou" virtualizaci, to kontejnery fakt nejsou - když to zjednoduším na dřeň, tak jsou to pořád úplně stejné procesy, akorát mají jenom flagy, kam můžou a nemůžou. Dopad na výkon je minimální.

> a případný útok za použití klíčenky by se týkal Dom0

Tak to ani náhodou, protože pod Dom0 neběží nic, na co by jakýkoli usb zařízení mohlo jakkoli zaútočit (když předpokládáme, že nezneužívá nějakou chybu v ovladači v jádře, což je jiná kapitola).

> S Hyper-V mám celkem dobré zkušenosti, minimálně ve srovnání s VMwarem.

Na jednu zásadní nevýhodu jsem narazil: zvolený typ virtuální síťovky. Dát tam hardware, pro který není ovladač ani ve starších Windows, to nebyl moc dobrý nápad. Bez support tools (nebo jak se to jmenuje) si člověk ani neškrtne.

A přitom stačilo přidat nějaký standardní, všude podporovaný hw jako v tom VMWaru nebo VirtualBoxu. Nejspíš to MS udělal proto, aby měl kontrolu nad tím, co bude člověk vevnitř pouštět. Haiku si tam nejspíš člověk nepustí kdyby se na hlavu stavěl...

> Qubes OS podle všeho provádí virtualizaci pomocí Xenu. To je drahé.

Je to IMHO hlavně spíš proof-of-concept, nikdo to reálně nepoužívá.

No, drahé... V dnešní době je ta virtualizace tak zamotaná, že už není moc jasný, co je drahé. Samotná režie je už u všech řešení tak malá, že to zásadní problém není. Rozhodují spíš takové věci jako že třeba u kontejnerů (zón, jailů) je jedno jádro, takže i jedna knihovna může být za nějakých podmínek v paměti jenom jednou. Plus výkon virtualizovaného hw, jeho hw akcelerace. Takže tady mají opět kontejnery obrovské plus. Jak je na tom Xen, to netuším, nepoužívám ho.

Určitě by bylo lepší v tomhle případě použít kontejnery, ale ty ještě nejsou dostatečně odladěné z hlediska bezpečnosti, takže asi proto XEN.

> Windows mají job objects

No jak koukám na to API, tak to moc o bezpečnosti není, spíš o nějakém společném plánování a řízení.

> Proces s nižším integrity levelem nemůže poslat window message procesu s vyšším integrity levelem.

V Linuxu se teď spousta meziprocesové komunikace řeší přes DBUS, tam jsou omezení podstatně jemnější:

http://www.redhat.com/magazine/003jan05/features/dbus/#security

Nemluvě o MAC - AppArmor, SELinux.

Už dávno neplatí, že je jenom root a uřivatelé. Dá se udělat prakticky cokoli, ale ne každý si s tím hraje, obzvlášť na desktopu to moc nemá reálný význam, protože prostě malwaru je tak málo, že to v podstatě není potřeba řešit, i když by to šlo.

> K tomu mají Windows Secure Desktop. ... Z podobných důvodů MS zakázal servisům (deamonům) přístup k desktopu.

No jo, ale až od Win Vista. A kolik programátorů si kvůli tomu rvalo vlasy, protože teď najednou museli mít zvlášt službu a zvlášť ještě aplikaci obsluhující ikonku v oznamovací oblasti :)

Ono, u Windows je dost těžký se *v reálu* bavit o bezpečnosti, protože to vám přijde dodavatel sw a řekne "No jo, ale paní účetní musí pracovat s admin právy, jinak jí nebudou fungovat updaty". A není to jedna firma, tohle je naprosto běžný. U jedné velké firmy, která má prakticky monopol na jistou oblast účetnictví jsem o tom musel mluvit přímo s členem představenstva, který mi sdělil, že ano, mám naprostou pravdu, že by účetní neměla mít admin práva, ale že to po nich prakticky nikdo nechce - a to dodávají hodně do státní správy - takže tuhle možnost nemají úplně dobře odladěnou.

Takže tak no. Když v reálu 9 z 10 účetních jede úplně všechno "pod rootem", tak je trochu úsměvný bavit se o messagingu mezi aplikacemi na jednom a tomtéž desktopu :)

> i když se skalním Unixákům nelíbí, prý je to moc Windows-like

Mně se nelíbí, pokud je použit k nastavování systémových věcí a bez něj to nejde. Na desktopu je to super věc, když můžete pod normálním uživatelem třeba přepínat wifi sítě, ale na serveru chci mít totální kontrolu nad tím, co se děje, nechci zbytečně nastavovat nějaká pravidla a chci, aby základní věci fungovaly za co největšího množství situací (tj. co nejmíň podmínek, KISS princip). Ale pro desktop aplikace je to parádní věc.

BTW, existuje pro Windows COM+ něco jako qdbusviewer (můžu procházet všechny objekty na DBUSu, dívat se, jaká implementují rozhraní a spouštět metody)?

> s UAC jim to předpokládám moc nefunguje, protože uživatel je restricted i pokud se přiloguje jako admin.

Protože jsem to od začátku odmítal a raději instaloval updaty ručně, tak nevím. Předpokládám, že program prostě vyvolal UAC hlášku. A jelikož účetní potvrdí všechno, co vidí, tak jsme tam, kde jsme byli.

> tak to časem má efekt.

Ano, funguje to. Pomalu, ale jistě se dodavatelé učí psát aplikace pořádně. Jenom škoda, že to trvalo tak dlouho, mohli se to učit hned ze startu, jako na unixoidních systémech. Tohle Microsoftu prostě nemůžu odpustit, že ty prasárny lidi naučil, to se nedá oddiskutovat. Tyhle problémy prostě vůbec nemusely být, malware nemusel být takový problém... kdyby MS převzal léty prověřené unixové principy.

> jak jí poznám?

Např. podle FIPS certifikace. Nebo nějakým jiným druhem ujištění výrobce, pokud se mu rozhodnte věřit.

> a jakákoliv argumentace oddělení o rolí restricted usera a roota pak padá.

Aha, vy jste to asi nečetl pozorně. Celá Xka jsou spuštěná pod uživatelem, který je speciálně určený k práci s podezřelým usb zařízením - tj. JINÝM uživatelem, než normálně používám k práci.

> malware může provádět neplechu i pod restricted userem.

Pokud mám X session (dočasně, po dobu vložení podezřelé flashky) puštěnou pod uživatelem, který nemá žádná práva a žádná data, tak nemůže provést neplechu žádnou.

> podvržením USB síťové karty

Podvržením USB síťové karty se poučenému uživateli nestane vůbec nic. Karta může udělat maximálně to, co tak jako tak může udělat kdokoli po celé internetové cestě mezi mnou a cílovým serverem.

> Wayland má být zpětně kompatibilní s X11, takže nečekám, že by problém vyřešil.

AFAIK u Waylandu každé okno simuluje jeden samostatný X server (každé okno zvlášť), takže tam tohle padá. Ale jak říkám, tuhle oblast moc nesleduju.

Kromě toho ještě existuje fork Xek pod OpenBSD, tam nevím, jestli to není taky nějak speciálně řešeno.

> to asi není moc praktické, zvlášť když podezřelé USB zařízení je prakticky každé.

No právěže není. Podezřelá je flashka, kterou jsem si neprověřil z hlediska updatovatelnosti a zároveň jsem ji někdy strčil do podezřelého počítače. Takovou flashku prostě musím držet v karanténě = oddělená session jenom na to překopírování souborů, nic víc od ní nechci.

> potom by to rozbilo spoustu aplikací, které spoléhají na X11 events.

To nevím, co přesně myslíte. Samozřejmě na Waylandu nemůžu pustit normální window manager pro Xka. To je by design.

> Ale co jsem někde četl, není ve Waylandu ještě ani podpora clipboardu.

To je klidně možný, je to prostě work in progress... Mě osobně to vůbec netrápí, protože Linux mám jenom na notebooku pro takové to domácí brouzdání a nějaké technické zákroky v terénu, takže co se mě týče, jestli bude Wayland funkční za 10 let, tak je mi to fuk :)

> Ono stačí mít v podniku jednoho uživatele, který strčí do počítače flashku od dodavatele

Ve firmách, kde o něco opravdu jde (banky apod.) jsou na používání médií už dávno politiky. Např. můžou říkat, že do počítače je možné strčit jenom schválené zařízení. A povoleno to má jenom člověk, který to nutně potřebuje k práci. Ostatním se usb porty prostě vypnou.

A když se někdo přesto nakazí, no tak se prostě nakazí, no. Je to stejné jako když jednou za čas někdo klikne na přílohu LOVE-LETTER-FOR-YOU.TXT.vbs, to se prostě stává, síť se monitoruje a zlotřilé počítače automaticky putují do karantény. (Mimochodem, když už jsem u toho, to skrývání přípon, to Microsoft taky vymyslel báječně :( To je taky díra samo o sobě).

> Například drag and drop je (nebo minimálně může být) realizovaný přes XDND.

No ale Wayland je kompletně nový koncept a všechny tyhle věci tam jsou nebo budou implementovány jinak.

> X11 mělo dávno zahynout a být nahrazeno něčím rozumnějším.

Jak se to vezme. On je to bolehlav hlavně pro programátory - a to jenom ty, kteří dělají toolkity apod. Ostatním to může být celkem jedno, protože Xka fungují a používat se dají. I programovat se pro ně dá, když se obalí nějakým tím toolkitem.

Já třeba mám na pracovním stroji FreeBSD, kde Wayland nebude buď vůbec, nebo o dalších 10 let později :) a nijak mě to netrápí, protože co potřebuju udělat, udělám krásně. Než zas znovu řešit nějaké mizerné drivery od výrobců, tak to raději mám po mnoha letech odladěný Xka, který dělají všechno, co od nich potřebuju :)