Názory k článku
Servery HP s iLO 4 napadeny ransomware
-
Lol Phirae (neregistrovaný)
WTF - nemelo by byt dostupno z Interenetu. Jak pak by clovek spravoval svuj stroj v housingu?
Nevím jak u vás, ale my ty BMC strkáme za firewall a jsou přístupné jen z povolených IP adres, případně přes VPN. Vystavit to do internetu je opravdu magořina, vždyť ta věc umožňuje kompletní vzdálenou kontrolu nad hardwarem.
-
WTF - nemelo by byt dostupno z Interenetu. Jak pak by clovek spravoval svuj stroj v housingu?
Stejna argumentace jako u deravych web interfactu na routrech? Ze nemaji byt na wan strane?Za tohle vyrobce musi nest odpovednos
Je poměrně přirozené, že bezpečnost se tvoří vrstvením. Na management se dosátáváte několika kroky - např. přes VPN a teprve pak na iLO. Vystrčit ILO, IPMI, iDRAC or whatever do ostrého internetu je hovadina non plus ultra. Už jen z toho důvodu, že i kdyby to výrobce udělal bezpečné podle dnešních standardů, tak jak budete řešit bezpečnost za pět let, kdy se vše posune dál?
-
Tohle je typicky nesvar dnesni doby - presunout problem na neco/nekoho jineho. Sam vite ze "security by obscurity" nikdy nefungovalo a neni tim spravnym resenim? At uz jde o presunuti portu 22 jinam nebo schovani SSH za VPN.
Vysvetlete, proc by mel byt VPN server bezpecnejsi nez SSH server ?
Proc by mel byt firewall neprekonfigurovatelny utocnikem? Stejne ho mate v nejake siti a tudiz se k nemu da dostat.Ze musite otevrit troje dvere (vase vrstveni) neznamena ze vas nevykradou. Je to jen falesny pocit bezpecnosti. Lidi jako vy pak muzou za situaci, ze se problem neresi, ale pridavaji dalsi derave vrstvy.
Vec je bud bezpecna (prihlaseni jen spravnym klicem), nebo neni bezpecna (je povolena s default user/pass, ci ma primo backdoor, nebo je nachylna na buffer overflow). To nejsou zadne standardy bezpecnosti ktere se meni.
-
Tohle je už věc názoru, a každý to asi uvidí jinak. V každém případě -- nikdo nikoho doufám nenutí kupovat si konkrétní typ serveru, nebo vystrkovat iLO ven do internetu, pokaždé je to dobrovolné rozhodnutí, ne? Takže stačí když výrobce (a na to má doufám plné právo) prostě nebude nikde deklarovat že je iLO absolutně bezpečné a bez chyb, a není co řešit :).
Absolutní bezpečnost SSH, nebo třeba i firewallu, mi také nikdo nezaručuje -- a nebo ano, smluvně, a pak je jeho problém že je ochotný tohle riziko nést (reálně si to pak dotyčný zařídí třeba přes pojišťovnu, a já pak zaplatím o to víc :-)).
-
Tak dnes uz mate i na SD kartach disclaimer, ze to neni vhodne k zapisu:
"Samsung SD Cards and Micro SD Cards are not intended to be used for continuous recording purposes for example, in surveillance systems such as a car-black box. The reason for this is because the card may fail with constant and obsessive reading and writing. They are not designed to be constantly and continuously written to."
Kdyz je to Class 10 tak snad mam dovoleno tam zapisovat 10MB/s (coz je 80mbit a tolik car-black box casto ani nema).
Kde to jsme?
- sd karta co neni urcena k ukladani dat
- GPU ktere nesmi nic pocitat
- disky co se musi po 8 hodinach vypinat
- vzdalena sprava co se nesmi pripojit do site -
Filip JirsákStříbrný podporovatelTo, že nerozumíte významu slova „continuous“ nebo spojení „constantly and continuously“, neznamená, že je můžete při překladu jen tak přeskočit. Mezi „není určena k ukládání dat“ a „není určena k nepřetržitému ukládání dat“ je podstatný rozdíl. Velké množství spotřebního zboží, které máte doma, je dimenzováno na občasné domácí použití a nevydrželo by nepřetržitý provoz někde v průmyslu nebo v profesionálním použití – varná konvice, pračka, holicí strojek, vysavač… Nikdo vám nebrání koupit si profi zařízení, ale spousta lidí je nepotřebuje a jsou rádi, když ušetří – protože zařízení dimenzované na menší provoz je často o dost levnější.
-
Sory jako, ale tohle nezeru, nechci zadne 5cm bedynky s 5000W PMPO. A k svemu seznamu pridavam:
- instantni procesoryU procesoru odejde kremikova struktura ruznych portu (LPC, USB) jenom jejich beznym pouzivanim a jedine reseni Intelu je radit aby zarizeni bylo mene pouzivano, to jest aby to vydrzelo tu zarucni dobu a pak nas*at. Pak se vsichni divite ze je tolik odpadu.
-
Vaše argumenty mi připadají šílené, navíc do toho motáte nesouvisející věci. Když zůstaneme u toho příkladu dveří, můžu mít např. následující stavy:
- dveře otevřené
- dveře zavřené s klikou
- dveře zavřené s koulí
- dveře zamčené
- dveře zamčené s bezpečnostním zámkem
- totéž plus druhý zámek
- speciální zamčené bezpečnostní dveřeNic z toho není security by obscurity (snad až možná na tu poslední variantu). Přesto budete těžko hledat někoho, kdo by používal první 2 možnosti u svých hlavních domácích dveří, pokud není zrovna doma (a pravděpodobně ani když je). Ta druhá možnost odpovídá veřejnému vystavení služeb s bezpečnostní chybou. Nikoho nezvete (jako u první varianty), ale kdo vezme za kliku, je tam.
-
jouda (neregistrovaný)
Dlužno podotknout, že jistě se může vyskytnout use case, kdy někdo je tak šílený že chce vystrčit dveře na hajzl (který je spojený s koupelnou a zbytkem bytu) přímo na ulici.
I to se dá řešit, ale určitě ne dveřmi z OBI za litr ve slevě. (iLO kartou).Žaloba na výrobce těch dveří by asi taky nepadla na úrodnou půdu.
-
Jenda (neregistrovaný)
> Vaše argumenty mi připadají šílené
Jemu jde o to, že teď jsme ve stavu „výrobce nedokáže iLO zabezpečit, nedivte se tomu, je to normální, dejte si ho za VPN“. Co když se dostaneme do stavu „výrobce nedokáže VPN zabezpečit, nedivte se tomu, je to normální, dejte si ji za VPN… oh wait“?
-
Milan (neregistrovaný)
Důraz bych dal na:
Do not connect iLO directly to the internet.
Jestli tuhle větu někdo nerozumí, tak nevím co dělá mezi IT.
To samé platí pokud neví, jak takovou věc zabezpečit. Možností jsou snad tisíce a vždy alespoň jedna by měla být dostupná. A pokud vám to "hosting" neumožňuje, tak přece vaše bezpečnostní smýšlení musí zasáhnout a jít k někomu jinému.
Fakt jsou tyhle zprávičky o napadnutém iLO úplně mimo a jen prokazují nevzdělanost/lenost lidí v IT.
A těm co říkají, že to přeci má být bezpečné, tak těm prosím ať si zkusí některé věci naprogramovat. Kór v takovém molochu jako je HP. Jsou to firmy, kde peníze jsou na prvním místě a i když věřím, že jim to není jedno, tak prostě takové věci nastávají a úplně si z toho HP hlavu nedělá. Nehledě na to, že se nepíše, jestli to je globální chyba na všechny verze, nebo jen nějaké, které prostě administrátoři kašlou na aktualizace. A vždy nastane situace, že než přijde patch, tak to bude napadnutelné. A u takového nástroje to nechce nikdo zažít, takže se prostě do internetu nevystavuje. Tečka.
-
anonym.jozko (neregistrovaný)
Ver tomu ze im to jedno je. Manazmentu ide o naplnenie goals (costy) a to ze si to odsere zakaznik im je (povacsinou) jedno.
Uz tam sice od rozdelenia HP nerobim, ale mgmt. (od hora dole) bol uplne mimo a videli len costy, developerov zo zapadu takmer vsetkych vyhadzali (to sa zial zacalo diat po tom ako EDS dostal SW diviziu pod seba), najat lacnych indianov a to ze sa zacnu kopit bugy a prusery tak je len neprijemny detajl.A v DXC (personalnej agenture) to je este horsie, absolutna obsesia na redukovanie costov, "buducnost je india" ale primitivny mgmt. si ani nevie zratat, ze ked indianom daju nejaku robotu tak ich treba viacej (cize vyssi cost), spravia to horsie, cize dalsi cost navyse. Ale to si nevedia zratat, pretoze predsa ked jeden indian je lacnejsi ako jeden Slovak, tak sme usetrili...
A boli a su projekty kde je kazdemu jasne ze to bude strasny fail, a odseru si to zakaznicke data, ale darmo aj matka tereza by im mohla zlatym pismom pisat ale mgmt. ma svoju "viziu"
Obcas to je fakt na grc.
-
Vysvetlete, proc by mel byt VPN server bezpecnejsi nez SSH server ?
Proc by mel byt firewall neprekonfigurovatelny utocnikem? Stejne ho mate v nejake siti a tudiz se k nemu da dostatProtože VPN a firewall nahrazuji nezávisle na serverech. Jednou provedu upgrade firewallu, jindy VPN koncentrátoru a jindy serveru. Díky tomu dochází vždy na některé z vrstev ochrany k vylepšení (upgradu). Samozřejmě, když všechny tři vrstvy ochrany nechám staré 10 let bez upgradu, vyjde to na stejno, jako kdybych vystrčil iLO do světa. Příkladem mohou být switche - např. nesmrtelný Catalyst 2950 se dodnes používá na managementy, kde 100 mbitů bohatě dostačuje. Ale na tom switchi rozjedu maximálně SSH-1 a ještě jedině s autentizací heslem - myslíte, že mám v roce 2018 vystrčit takový management do veřejné sítě?
-
j (neregistrovaný)
Mas trezor, kolem nej je dum, a kolem toho domu je plot ... ale muzes samo ten trezor nechat na ulici ... proc ne, zejo.
Tohle funguje uplne stene.
1) tyhle karty jsou deravy ODJAKZIVA, vzdycky byly jsou a taky vzdycky budou. Specielne z ILO od HP pokud ho jen tak pustis do netu se da precist hromada veci i bez prihlaseni. Jako fajn, muzes si trebas precist SN na aktivaci plnotucnyho ILO kdyz mas jen to orezany ... to se hodi, protoze jich najdes takhle dostupnych tisice. Prectes z toho samo i HW konfiguraci a spoustu dalsich veci.
2) jak uz tu padlo, jakejkoli uspesnej utok na toto == 100% kontrola nad vsim co na danym HW bezi. Na SSH se bezne taky jako root neprihlasis. Coz je jednoduse dalsi vrstva ochrany.
Tzn, beznej pristup je ten, ze mas v ceste nekolik bran, pres ktery musis projit - uplne stejne jako na letisti mas nekolik kontrol pres ktery musis projit nez te pustej do letadla. Proc kua nemuzes rovnou z autobusu skocit do kokpitu, ze ... tim se celkem podstatne zvysi pracnost a casova narocnost pripadnyho utoku => i narocnost financni => rapidne klesa pravdepodobnost, ze to nekomu bude stat za to.
Libovolny bezpecnostni dvere ti ve finale taky kdokoli prokopne, a proc by chodil dverma, kdyz muze vykopnout okno. Ale pokud pred tema oknama mas jeste mriz, a zed neni papirova, tak ho to mozna zdrzi natolik, ze to vyhodnoti jako prilis velky riziko a vykasle se na to.
-
T4r4n1s (neregistrovaný)
Typicky:
router UPC - nenechávat výchozí login/heslo (změnit co jde na něco bezpečného). Změnit název bezdrátové sítě. Nastavit WPA2/AES, pokud má nastavení BCP38, tak zaškrtnout.
TP-Link - zmenit výchozí login/password, Změnit název bezdrátové sítě. Nastavit WPA2/AES. Na všech zařízeních (pokud to umožní) nastavil lokální firewall ve stylu ven vše, dovniř jen vyžádané. Jako DNS resolvery používat ty od CZ.NIC https://www.nic.cz/odvr/, nebo dvojici 1.1.1.1 a 9.9.9.9 .
Jo, a všechno pravidelně aktualizovat, včetne firmwaru routerů. -
FíkZlatý podporovatelje taky starý UPC modem bez routeru jen s jedním LAN výstupem a výstupem na telefon
-
peci1Stříbrný podporovatelTyhle modemy typicky mivaji malo der (4), nebo maji diry jen 100 Mbps. Ja mam doma VDSL modem od Vodafone, tam jsem vypnul wifi, prepnul ho do "modem-only" modu a PPP komunikaci ridi az muj vlastni Gbit router. Clovek se tim zbavi toho dvojiteho NATovani, takze by to teoreticky melo pomoct latenci.
-
peci1Stříbrný podporovatel
Taky moznost, ale na switchi si clovek nepusti VPN server nebo k nemu nepripoji disk... Takze tech duvodu, proc z krabicky od operatora pouzivat co nejmin, je relativne dost. Jeste jsem nebyl u operatora, kterej by cloveku dal modem, na kterym bezi *WRT nebo nejakej schopnejsi OS, a dodaval pravidelne aktualizace. To uz si ty sluzby radsi pustim na necem, co mam pod kontrolou.
-
kuřbuřt (neregistrovaný)
Tak to mám odjakživa, vždy modem od providera, za ním router a domáci gigabit síť.
A UPC navíc nedůvěřuju, domnívám se (ale můžu se mýlit), že na ty modemy/routry nějak lezou a dokážou je zvenku spravovat, "updatovat" a například zapínat tu jejich "free" wifi...
Navíc příští měsíc měním providera, a ten má v základu jen modem, tak se to hodí.Jinak díky za nápady...
Buřt -
Petr M (neregistrovaný)
No já jedu na tři LAN v základu:
1) Normální LANka
2) LANka pro hosty (WiFi), která může jenom ven (po VLAN společně s LAN1 o APček, LAN1 má skrytý SSID a whitelist)
3) LANka pro "chytrý chvostoviny" jako je tiskárna. Ta má zákaz ven a je dostupná jenom z 1)Hodil bych to normálně do LAN3, zvenku se na to nikdo nedostane, ven to nic nenabonzuje a z domácí sítě / VPN se na to klidně dostaneš. A útočník by se napřed musel dostat do LAN, pak se tam zmocnit nějaké mašiny v ní, zjistit existenci další LAN a z napadenýho stroje teprve útočit. Hodně práce, nestandarní situace (zvlášť pokud nenajde v síti Widle) a malá šance na úspěch, pokud jsi jenom náhodný cíl, takže to nejspíš odpíská.
No a proti zašifrování se celkem hodí offline záloha, pro DDoS jsou zařízení v LAN3 nepoužitelný. Takže tak.
-
Jenda (neregistrovaný)
> UPC modem nema nejakou funkci kterou potrebujete?
Ano, například tam nejde přidat ručně routa. Firewall ve webovém klikátku je taky oproti iptables dost omezený. Atd.
> Takto mate dva NATY za sebou
Nemusí mít, na některých modemech od UPC jde natování vypnout - dostaneš tak tu jednu IPv4 adresu přímo za něj.
-
brk (neregistrovaný)
UPC routery jsou strašné sračky. Nikdy dřív jsem se nesetkal s routrem, kde by nešlo v DHCP serveru nastavit rezervace na základě MAC adres a to včetně těch nejlevnějších WiFi routrů za 350Kč.
V tom krámu od UPC jsem to nenašel. Prvně jsem si myslel, že to je maskované nějakým šíleným překladem do češtiny, ale když jsem i po prolézání fór našel akorát doporučení typu nastavit dobu zápůjčky na maximum, nastavit adresu v koncovém zařízení staticky, pak přepnout na DHCP a ono to bude snad přidělovat tu dříve statickou, než se to resetne/UPC to flashne, tak jsem pochopil, že to tam fakt není.
-
j (neregistrovaný)
Mozna proto, ze narozdil od tebe neni blazen, veskerej HW dodanej ISP je pricipielne nebezpecnej a nezabezpecitelnej. A predevsim s tim ty nemuzes udelat vubec nic, a tvuj uzasnej ISP ti vidi do tvy interni site a muze si pak delat co chce - trebas si sosat tvoje Pcko z tvyho HDD.
Kazda aspon trochu normalni krabice se da nastavit do rezimu bridge, a to nemluve o tom, ze jak vidno vis kulovy, protoze NATy na koncovym zarizeni uz dneska nejdou v mode, dostanes CGNAT.
-
j (neregistrovaný)
Prave to SN ktery potrebujes na tu full licenci si muzes najit u soudruhu, ktery to ILO do netu zapojeny maji ... ;D
https://ocdnix.wordpress.com/2013/02/27/hp-ilo-authorization-nah/
-
Lol Phirae (neregistrovaný)
Zabezpečit proti čemu? Přístupu zvenčí? Viz diskuse výše. Nebo zevnitř? V tom případě potřebuješ něco, co zvládá VLAN, ten TPLink to asi nebude. Tyhle věci se standardně dávají na vlastní VLAN, tzn. žádný přístup z WiFi tam rozhodně nebude a z LAN taky ne, přístup tam bude z přesně vymezených switch portů na nějaké VLAN určené pro management.
Jako na doma bych tu věc standardně vůbec nezapojoval s tím, že až to bude potřeba, tak to připojím a po zásahu zase odpojím.
-
Jenda (neregistrovaný)
> V tom případě potřebuješ něco, co zvládá VLAN, ten TPLink to asi nebude.
Právě že tyhle vylevněné routery to kupodivu často mají - výrobce totiž zjistil, že SoC s jednou síťovkou + integrovaný switch s VLAN je levnější než SoC se dvěma síťovkami. Ale samozřejmě na to není klikátko v originálním firmware.
-
Jenda (neregistrovaný)
Na TP-Linku nainstalovat OpenVPN (určitě tam máš OpenWRT, protože defaultní firmware je beznadějný jak funkčností tak bezpečností), do sítě lézt přes ni.
-
jc (neregistrovaný)
Pred lety jsem s HP resil, proc v iLu nemaji jednoduchy IP filtr, ktery by takoveto veci resil. Dozvedel jsem se akorat, ze to neni potreba nebo ze to konkurence (taky) nema :(
Je zvlastni kdyz filtrovat mgmt IP umi kde co vcetne cinskych krabicek za par susnu a neumi to management serveru predniho vyrobce enterprise hardware. Hlavne ze to umi bonzovat domu :(
-
X! (neregistrovaný)
No, nevim jestli to je jeden z backdooru/chyb, ale pred casem jsem se strasne divil, kdyz mi kolega ukazoval, ze spousta citlivych informaci se da z iLO4 vytahnout pres http bez jakehokoliv prihlaseni. Si presne nepamatuju jake to bylo url, ale uz z tohoto duvodu bych nikdy ilo nevystavil do verejne dostupne site...
-
j (neregistrovaný)
To je easy ... to url je takhle
https://nejakaipnebojmeno/xmldata?item=All
/xmldata?item=CpqKey ti praskne SN pripadne aktivovanyho ILO => pokud ti nestaci ze funguje jen nez bezi system, a chces tu plnotucnou verzi, staci nekde najit nejaky na netu ... viz o post vejs.
-
muf (neregistrovaný)
To je těžké.
Výrobce je v tomto lempl, takže iLO ani neumožňuje nastavit přístup pouze z povolených IP adres nebo alespoň vypnout Webové rozhraní a ponechat jen SSH.
Navíc se např. ještě stále prodávají HP Microservery s léta neupdatovaným firmwarem bez možnosti stáhnout aktualizaci - prostě se na to vykašlali.
Ve firmě máte pro podobný účel speciální subsíť nebo to dáte alespoň za firewall, doma je lepší i na LAN iLo ethernet raději odpojit...
Je to škoda, protože je to jinak velmi užitečné. -
Navíc se např. ještě stále prodávají HP Microservery s léta neupdatovaným firmwarem bez možnosti stáhnout aktualizaci - prostě se na to vykašlali.
Jestli to není tak, že se zákazníci vykašlali platit peníze, za které se dá udržet podpora? Oni pak výrobci tlačí na cenu a ořezávají služby a profesionalitu až na nejnižší udržitelnou úroveň. Ale podívejme se zde, na root.cz kolem sebe, jak velká část dotazů se týká otázek, které se dají komerčně řešit za pár desítek dolarů, ale masy přesto preferují cenu "čistou nulu".
-
Co je tak spatneho chtit nezavadny produkt?
Kdyz automobilka odhali chybu v airbagu tak si piste ze zaruka/nezaruka budete svolan do servisu.V IT to chodi zcela nahlavu - dodame neco co poradne nefunguje a pak vydirame zakazniky o servisni poplatek (Adobe), pripadne nutime zakazniky kupovat porad to same jen s jinou sadou bugu (Intel), pripadne uplny extrem jsou 2 ztracene roky s Nvidii - ano ano ano vsechno funguje, ah! vy to delate naraz, to nepujde, protoze je to pametove narocny. H*vno, neco indove splacali a nikdo tam tomu nerozumi, uz davno delaji na prespristim produktu a soucasny namisto podpory se udrzuje na pristrojich az chcipne. Mam pocit ze o jejich hadware vime vic nez oni.
Kdyby se jednalo o dodavatele z horni dolni, nereknu ani n. Ale ze to dokaze vyprodukovat velika firma se jmenem? To je k uzasu.
Stejne jak postihnul upadek MS po Win XP, tak v takove situaci se nachazi trh s hardware - uplne je z dnesni situace citit jak jsou vsichni v prdeli ze technologie narazili na sve limity a uz nejde dodat nic lepsiho. Takze pro zvysovani/udrzeni prijmu se pouziva jen pristup se snizovani nakladu. Az se to dostane do stavu a la W10, kdy je produkt uplne mimo zajem puvodnich high-tech uzivatelu.
-
jouda (neregistrovaný)
To ze to jde v IT k nule co se tyce kvality, o tom zadna.
Nicmene vse je otazka ceny (proc psat programy poradne, kdyz za stejne penize muzu napsat petinasobek spatnych a lidi to stejne koupi), a konkretne v nasem pripade, zacinat s drahou bezpecnosti (vyskolit lidi na psani bezpecneho kodu, pravidelne audity, ....) u neceho, co se obvykle strka do vyhrazene DMZ kam ma pristup jen par vybranych admin stroju (*) neni asi nejlepe vunalozene usili.(*) Pokud se adminovi podari si nechat zabreberkovat management stroj, je to ze breberka vidi i na derave ILO asi ten nejmensi problem.
-
Ondro (neregistrovaný)
to muf:
Preco tu pises nepravdive spravy?
Mam HP microserver G8 a bez problemov stahujem updaty firmwarov. Na posledy update iLO4 a BIOSu.Aj ja som cital, ze bez platnej zaruky/podpory si nevies od HP stiahnut updaty ale realne som sa s tym nestretol. Mam uz spominany HP microserver a aj Dl360p G8. V oboch pripadoch bez problemov.
-
Filip JirsákStříbrný podporovatel
Podstatné je to, že to není slovo ze spisovné nebo hovorové češtiny. V lepším případě je to hantýrka, ale spíš jen zkomolenina, do článku to opravdu nepatří.
ČLÁNKY DO MAILU