Vlákno názorů k článku
Servery HP s iLO 4 napadeny ransomware
od RDa - WTF - nemelo by byt dostupno z Interenetu....
-
Lol Phirae (neregistrovaný)
WTF - nemelo by byt dostupno z Interenetu. Jak pak by clovek spravoval svuj stroj v housingu?
Nevím jak u vás, ale my ty BMC strkáme za firewall a jsou přístupné jen z povolených IP adres, případně přes VPN. Vystavit to do internetu je opravdu magořina, vždyť ta věc umožňuje kompletní vzdálenou kontrolu nad hardwarem.
-
WTF - nemelo by byt dostupno z Interenetu. Jak pak by clovek spravoval svuj stroj v housingu?
Stejna argumentace jako u deravych web interfactu na routrech? Ze nemaji byt na wan strane?Za tohle vyrobce musi nest odpovednos
Je poměrně přirozené, že bezpečnost se tvoří vrstvením. Na management se dosátáváte několika kroky - např. přes VPN a teprve pak na iLO. Vystrčit ILO, IPMI, iDRAC or whatever do ostrého internetu je hovadina non plus ultra. Už jen z toho důvodu, že i kdyby to výrobce udělal bezpečné podle dnešních standardů, tak jak budete řešit bezpečnost za pět let, kdy se vše posune dál?
-
Tohle je typicky nesvar dnesni doby - presunout problem na neco/nekoho jineho. Sam vite ze "security by obscurity" nikdy nefungovalo a neni tim spravnym resenim? At uz jde o presunuti portu 22 jinam nebo schovani SSH za VPN.
Vysvetlete, proc by mel byt VPN server bezpecnejsi nez SSH server ?
Proc by mel byt firewall neprekonfigurovatelny utocnikem? Stejne ho mate v nejake siti a tudiz se k nemu da dostat.Ze musite otevrit troje dvere (vase vrstveni) neznamena ze vas nevykradou. Je to jen falesny pocit bezpecnosti. Lidi jako vy pak muzou za situaci, ze se problem neresi, ale pridavaji dalsi derave vrstvy.
Vec je bud bezpecna (prihlaseni jen spravnym klicem), nebo neni bezpecna (je povolena s default user/pass, ci ma primo backdoor, nebo je nachylna na buffer overflow). To nejsou zadne standardy bezpecnosti ktere se meni.
-
Tohle je už věc názoru, a každý to asi uvidí jinak. V každém případě -- nikdo nikoho doufám nenutí kupovat si konkrétní typ serveru, nebo vystrkovat iLO ven do internetu, pokaždé je to dobrovolné rozhodnutí, ne? Takže stačí když výrobce (a na to má doufám plné právo) prostě nebude nikde deklarovat že je iLO absolutně bezpečné a bez chyb, a není co řešit :).
Absolutní bezpečnost SSH, nebo třeba i firewallu, mi také nikdo nezaručuje -- a nebo ano, smluvně, a pak je jeho problém že je ochotný tohle riziko nést (reálně si to pak dotyčný zařídí třeba přes pojišťovnu, a já pak zaplatím o to víc :-)).
-
Tak dnes uz mate i na SD kartach disclaimer, ze to neni vhodne k zapisu:
"Samsung SD Cards and Micro SD Cards are not intended to be used for continuous recording purposes for example, in surveillance systems such as a car-black box. The reason for this is because the card may fail with constant and obsessive reading and writing. They are not designed to be constantly and continuously written to."
Kdyz je to Class 10 tak snad mam dovoleno tam zapisovat 10MB/s (coz je 80mbit a tolik car-black box casto ani nema).
Kde to jsme?
- sd karta co neni urcena k ukladani dat
- GPU ktere nesmi nic pocitat
- disky co se musi po 8 hodinach vypinat
- vzdalena sprava co se nesmi pripojit do site -
Filip JirsákStříbrný podporovatelTo, že nerozumíte významu slova „continuous“ nebo spojení „constantly and continuously“, neznamená, že je můžete při překladu jen tak přeskočit. Mezi „není určena k ukládání dat“ a „není určena k nepřetržitému ukládání dat“ je podstatný rozdíl. Velké množství spotřebního zboží, které máte doma, je dimenzováno na občasné domácí použití a nevydrželo by nepřetržitý provoz někde v průmyslu nebo v profesionálním použití – varná konvice, pračka, holicí strojek, vysavač… Nikdo vám nebrání koupit si profi zařízení, ale spousta lidí je nepotřebuje a jsou rádi, když ušetří – protože zařízení dimenzované na menší provoz je často o dost levnější.
-
Sory jako, ale tohle nezeru, nechci zadne 5cm bedynky s 5000W PMPO. A k svemu seznamu pridavam:
- instantni procesoryU procesoru odejde kremikova struktura ruznych portu (LPC, USB) jenom jejich beznym pouzivanim a jedine reseni Intelu je radit aby zarizeni bylo mene pouzivano, to jest aby to vydrzelo tu zarucni dobu a pak nas*at. Pak se vsichni divite ze je tolik odpadu.
-
Vaše argumenty mi připadají šílené, navíc do toho motáte nesouvisející věci. Když zůstaneme u toho příkladu dveří, můžu mít např. následující stavy:
- dveře otevřené
- dveře zavřené s klikou
- dveře zavřené s koulí
- dveře zamčené
- dveře zamčené s bezpečnostním zámkem
- totéž plus druhý zámek
- speciální zamčené bezpečnostní dveřeNic z toho není security by obscurity (snad až možná na tu poslední variantu). Přesto budete těžko hledat někoho, kdo by používal první 2 možnosti u svých hlavních domácích dveří, pokud není zrovna doma (a pravděpodobně ani když je). Ta druhá možnost odpovídá veřejnému vystavení služeb s bezpečnostní chybou. Nikoho nezvete (jako u první varianty), ale kdo vezme za kliku, je tam.
-
jouda (neregistrovaný)
Dlužno podotknout, že jistě se může vyskytnout use case, kdy někdo je tak šílený že chce vystrčit dveře na hajzl (který je spojený s koupelnou a zbytkem bytu) přímo na ulici.
I to se dá řešit, ale určitě ne dveřmi z OBI za litr ve slevě. (iLO kartou).Žaloba na výrobce těch dveří by asi taky nepadla na úrodnou půdu.
-
Jenda (neregistrovaný)
> Vaše argumenty mi připadají šílené
Jemu jde o to, že teď jsme ve stavu „výrobce nedokáže iLO zabezpečit, nedivte se tomu, je to normální, dejte si ho za VPN“. Co když se dostaneme do stavu „výrobce nedokáže VPN zabezpečit, nedivte se tomu, je to normální, dejte si ji za VPN… oh wait“?
-
Milan (neregistrovaný)
Důraz bych dal na:
Do not connect iLO directly to the internet.
Jestli tuhle větu někdo nerozumí, tak nevím co dělá mezi IT.
To samé platí pokud neví, jak takovou věc zabezpečit. Možností jsou snad tisíce a vždy alespoň jedna by měla být dostupná. A pokud vám to "hosting" neumožňuje, tak přece vaše bezpečnostní smýšlení musí zasáhnout a jít k někomu jinému.
Fakt jsou tyhle zprávičky o napadnutém iLO úplně mimo a jen prokazují nevzdělanost/lenost lidí v IT.
A těm co říkají, že to přeci má být bezpečné, tak těm prosím ať si zkusí některé věci naprogramovat. Kór v takovém molochu jako je HP. Jsou to firmy, kde peníze jsou na prvním místě a i když věřím, že jim to není jedno, tak prostě takové věci nastávají a úplně si z toho HP hlavu nedělá. Nehledě na to, že se nepíše, jestli to je globální chyba na všechny verze, nebo jen nějaké, které prostě administrátoři kašlou na aktualizace. A vždy nastane situace, že než přijde patch, tak to bude napadnutelné. A u takového nástroje to nechce nikdo zažít, takže se prostě do internetu nevystavuje. Tečka.
-
anonym.jozko (neregistrovaný)
Ver tomu ze im to jedno je. Manazmentu ide o naplnenie goals (costy) a to ze si to odsere zakaznik im je (povacsinou) jedno.
Uz tam sice od rozdelenia HP nerobim, ale mgmt. (od hora dole) bol uplne mimo a videli len costy, developerov zo zapadu takmer vsetkych vyhadzali (to sa zial zacalo diat po tom ako EDS dostal SW diviziu pod seba), najat lacnych indianov a to ze sa zacnu kopit bugy a prusery tak je len neprijemny detajl.A v DXC (personalnej agenture) to je este horsie, absolutna obsesia na redukovanie costov, "buducnost je india" ale primitivny mgmt. si ani nevie zratat, ze ked indianom daju nejaku robotu tak ich treba viacej (cize vyssi cost), spravia to horsie, cize dalsi cost navyse. Ale to si nevedia zratat, pretoze predsa ked jeden indian je lacnejsi ako jeden Slovak, tak sme usetrili...
A boli a su projekty kde je kazdemu jasne ze to bude strasny fail, a odseru si to zakaznicke data, ale darmo aj matka tereza by im mohla zlatym pismom pisat ale mgmt. ma svoju "viziu"
Obcas to je fakt na grc.
-
Vysvetlete, proc by mel byt VPN server bezpecnejsi nez SSH server ?
Proc by mel byt firewall neprekonfigurovatelny utocnikem? Stejne ho mate v nejake siti a tudiz se k nemu da dostatProtože VPN a firewall nahrazuji nezávisle na serverech. Jednou provedu upgrade firewallu, jindy VPN koncentrátoru a jindy serveru. Díky tomu dochází vždy na některé z vrstev ochrany k vylepšení (upgradu). Samozřejmě, když všechny tři vrstvy ochrany nechám staré 10 let bez upgradu, vyjde to na stejno, jako kdybych vystrčil iLO do světa. Příkladem mohou být switche - např. nesmrtelný Catalyst 2950 se dodnes používá na managementy, kde 100 mbitů bohatě dostačuje. Ale na tom switchi rozjedu maximálně SSH-1 a ještě jedině s autentizací heslem - myslíte, že mám v roce 2018 vystrčit takový management do veřejné sítě?
-
j (neregistrovaný)
Mas trezor, kolem nej je dum, a kolem toho domu je plot ... ale muzes samo ten trezor nechat na ulici ... proc ne, zejo.
Tohle funguje uplne stene.
1) tyhle karty jsou deravy ODJAKZIVA, vzdycky byly jsou a taky vzdycky budou. Specielne z ILO od HP pokud ho jen tak pustis do netu se da precist hromada veci i bez prihlaseni. Jako fajn, muzes si trebas precist SN na aktivaci plnotucnyho ILO kdyz mas jen to orezany ... to se hodi, protoze jich najdes takhle dostupnych tisice. Prectes z toho samo i HW konfiguraci a spoustu dalsich veci.
2) jak uz tu padlo, jakejkoli uspesnej utok na toto == 100% kontrola nad vsim co na danym HW bezi. Na SSH se bezne taky jako root neprihlasis. Coz je jednoduse dalsi vrstva ochrany.
Tzn, beznej pristup je ten, ze mas v ceste nekolik bran, pres ktery musis projit - uplne stejne jako na letisti mas nekolik kontrol pres ktery musis projit nez te pustej do letadla. Proc kua nemuzes rovnou z autobusu skocit do kokpitu, ze ... tim se celkem podstatne zvysi pracnost a casova narocnost pripadnyho utoku => i narocnost financni => rapidne klesa pravdepodobnost, ze to nekomu bude stat za to.
Libovolny bezpecnostni dvere ti ve finale taky kdokoli prokopne, a proc by chodil dverma, kdyz muze vykopnout okno. Ale pokud pred tema oknama mas jeste mriz, a zed neni papirova, tak ho to mozna zdrzi natolik, ze to vyhodnoti jako prilis velky riziko a vykasle se na to.
ČLÁNKY DO MAILU