posts - 461, comments - 1498, trackbacks - 139
<< Live Messenger, updates e sicurezza | Home | Sitefinity è free per gli User Group associati ad INETA >>

E la voragine di sicurezza questa volta tocca a Debian

Stando alla knowledge base di Debian un programmatore ha avuto la bella idea di togliere due righe di codice che hanno reso predicibile la generazione di numeri casuali, che sono la base per gli algoritmi crittografici. (Crediti a Luciano Bello che ha trovato il bug e Obiwan per avermelo segnalato).

Cosa ha provocato e provocherà questo bug?

  • Tutti i certificati generati con OpenSSL a partire dalla versione 0.9.8c-1 (del 17 Settembre 2006 !!!) su un OS basato su Debian sono craccabili e DEVONO essere rigenerati.
  • Tutte le chiavi di SSH, OpenVPN, DNSSec, qualsiasi certificato X.509 e chiavi di sessione per connessioni SSL/TLS sono compromesse.
  • Tutti i certificati Verisign come da questo bollettino, devono essere sostituiti in quanto compromessi

Questo significa che la patch di Debian NON risolve totalmente il problema in quanto tutte le chiavi ed i certificati che sono stati generati con la versione bacata sono ormai compromessi.

La causa del bug probabilmente sta nel fatto che qualcuno ha modificato del codice senza poi siano stati fatti la review di sicurezza su quel codice, cosa che avrebbe in tutta probabilità portato alla luce il problema.
Si, sto dicendo che applicando SDL nel modo corretto questo bug non sarebbe passato.

* * *

Ok, ma quanto è sfruttabile il bug? Semplicissimo, basta usare questi tool e il crack è pronto. Inutile nasconderli, security through obscurity NON funziona, se ancora ci fosse bisogno di dirlo.

Questo feroce bug colpisce non solo Debian e le distro derivate come Ubuntu, ma tutti quei sistemi embedded che sono basati su Debian. Pensiamo a telecamere IP, centralini, router, access point, etc. Si, perché Debian è una delle distro più usate in apparati embedded.

La vera domanda perciò è: quanto tempo occorrerà adesso per aggiornare tutti questi sistemi? Probabilmente infinito perché tipicamente i sistemi embedded non vengono MAI aggiornati dopo la loro produzione. Questo deve far riflettere e cominciare a far cambiare la mentalità nel software per cui un sistema non aggiornato è MORTO.

Diamo infine un caloroso benvenuto a Debian nel mondo reale, fatto di persone umane che sbagliano a prescindere dalla bandiera dell'OS a cui stanno lavorando. La sicurezza è un problema di tutti, nessuno escluso. Già perché personalmente non penso che sia affatto scandaloso trovare un bug di sicurezza, il vero scandalo è che molti pensavano che questo non accada sulle distro Linux e meno che mai in Debian.

Come nota finale non posso che definire sconcertante uno dei commenti iniziali a questo post di Larry Osterman che respinge la tesi che sia un bug di Debian. Quando si dice talebano ...

Print | posted on sabato 17 maggio 2008 13.00 |

Feedback

Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Quello che è scandaloso è il metodo con cui il bug è stato introdotto!
18/05/2008 12.27 | sirus
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Praticamente una Rainbow table per SSL!

Questi di metasploit sono incredibili.
18/05/2008 19.11 | Roberto Scaccia
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Roberto. Si e unisci a questo il fatto che ti puoi mettere bellamente su qualche rete switched a sniffare finché qualcuno non usa un certificato "bacato", fai un bel log di tutto e poi con tutta calma lo cracchi. Semplicemente disarmante.

Si accettano scommesse su quante persone realmente controlleranno di essere vulnerabili e faranno le patch o rigenereranno i certificati bacati.
19/05/2008 15.48 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

la falla è è stata risolto dopo 2 ore che è stata scoperta, e nel periodo in cui la falla non era ancora stata scoperta, non mai stata sfuttata.
26/05/2008 8.59 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele. Forse non hai letto bene quello che ho scritto.
Il problema non è il "quando" è stata fissata la falla perché i certificati generati in quel periodo sono compromessi e i tool per craccare quei certificati sono in giro belli e pronti.
Il problema è invece quando saranno *revocati* tutti i certificati generati con le distribuzioni basate su Debian in due anni.
Infine non so come fai a dire che nessuno abbia sfruttato la falla, cosa che è comunque del tutto ininfluente.

Se ancora servisse ripeterlo, non discuto la bontà di Debian, dico solo che la sicurezza è un problema di *tutti* i sistemi informatici, che si chiamino Linux, Macintosh, Windows o qualsiasi altro, punto.
26/05/2008 9.08 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Non credo che tu abbia provato realmente quello di cui scrivi.
Altrimenti ti saresti accorto che quando lanci la patch, ti fa rigenerare automaticamente tutti i certificati.

Quindi, riassumendo: un bug come ce ne sono in tutti gli altri sistemi operativi, ma a differenza degli altri sistemi operativi, mai sfruttato e patchato PERFETTAMENTE in due ore.

Il che dimostra che GNU/Linux, e in particolare Debian, è il sistema più sicuro. Non che superi di poco gli altri: è anni luce meglio. Attenzione perciò: quando si scrivono articoli come questi, non bisogna mai indurre il lettore a pensare che "tanto sono tutti uguali". Occorre ricordare sempre che, in quanto a sicurezza, tra Win e Linux c'è la differenza che passa tra un triciclo e un carro armato.
26/05/2008 10.04 | Senbee
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

puoi girare su internet per verifcare, se nel periodo in cui la falla ancora non era scoperta, è stata sfuttata, io ho cercato.
senza ombra di dubbio non esiste sistema operaivo esente da falle, ma bisogna notare, la velocità con cui è stato risolta la vulnerabile in questione,, in sistema open come debian, le falle vengono patchate velocemente, al co ntraio di quanto accade in un sistema closed come Windows, dove passano anni prima di patchare alcuni vulnerabilità,, basti pensare che per rilasciare delle patch anche in caso di falle gravi si debba aspettare l'appuntamento del patch day che cade ogni 1° martedi del mese.
26/05/2008 10.08 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Senbee. I certificati locali li rigenera, ma quelli che hai distribuito?
Parlo di tutti quelli che emettono certificati self-signed con la propria CA su OpenSSL.... e non sono affatto pochi.
Il ciclo dei certificati prevede il passaggio in revocation list e quindi non è così rapido. La riprova è che Verisign è stata colpita dal bug e loro stessi non fanno cenno a che punto sia la sostituzione completa dei certificati.

Quanto alla gara di chi sia più sicuro è una cosa penosa, che ricorda molto le altrettante penose magliette che i fanatici di Apple indossavano ai tempi dello scontro contro IBM alla fine degli anni 80. Io ne sto facendo una questione tecnica e non di chi ce l'ha più lungo.
In due anni il sistema open source non ha trovato un bug colossale, segno che il sistema non è così infallibile come viene detto su vari forum. Non biasimo il bug come ho ripetuto fino alla nausea, ma dico solo che la sicurezza è un problema di tutti.
26/05/2008 10.20 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele. Ma secondo te se un certificato viene craccato, uno lo pubblica sui forum? Se una azienda viene sfondata, non ha certo interesse a mettere in giro la voce, allo stesso modo anche la persona che ha colpito.
I certificati sono in giro e i tool per identificarli e craccarli pure. La buona informazione sarebbe piuttosto di diffondere la notizia e invitare tutti a fare una bella review dei certificati.

Quanto alla velocità di fix sui sistemi open source, hai preso l'esempio sbagliato. Proprio questo bug c'è dal 2006 e nessuno se ne è accorto ... fare review del codice è terribilmente noioso, ma sembra che sia bello solo quando il sw è opensource ... mah.

Le patch su Windows non hanno il ciclo che stai dicendo tu.
Se c'è una patch che è stata scoperta fuori, viene immediatamente rilasciata la fix. Le altre vengono accumulate per un motivo ovvio. Quando MS crea una patch, questa indica con precisione dov'è il problema. Ed è così che tipicamente vengono sfruttate le vulnerabilità. L'hacker guarda la patch, vede dove è il problema e di conseguenza crea un attacco. Se il pacchetto delle fix è più grosso, il lavoro dell'hacker si complica molto di più.
26/05/2008 10.28 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Sono d'accoro quandi dici che non esiste Sistema operativa esente da bug, ma fare paragone a livello di sicurezza tra una distro Linux come Debian con Windows, sei davvero fuori strada,
Analizziamo i fatti bene, la vulnerabilità scoperta come dici tu cera presente dal 2006, ma non si son registrati attachi che ha un sfruttato tale vulnerabilità, appena scoperta la vulnerabilità, dopo 2 ore è stata rialsciata la patch, poche ore dopo è stata rilasciata un altra patch che rigenera tutte le chavi create. il problrema non cera quando la falle non era patchata e tu lo poni adesso dopo le patch.

Ti faccio un esempio dellla serietà di Microsoft nelle sistema re falle di sicurezza, Il problema relativo al modulo di gestione dei database Microsoft Jet, risolto nell'ultimo patch day di amggio 2008, riguarda una falla presente dal 2000 ma patchate nel 2008, a causa dei forti attacchi che hann sfruttato tale falla a marzo del 2008, http://www.microsoft.com/technet/security/advisory/950627.mspx
26/05/2008 10.53 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele. Pongo il problema dopo le patch perché i certificati generati durante il periodo del bug di due anni sono tutti quanti compromessi. Quindi il bug è da considerare risolto solo quando tutti i certificati compromessi saranno rigenerati (cosa praticamente impossibile a sapersi visto che la maggior parte dei certificati in questione sono self-signed.

Quanto al bug del jet engine, non conosco i dettagli nè vedo cenni del fatto che fosse già presente nell'anno 2000, ma non metto in dubbio la tua buona fede. Si tratta comunque di un bug che non ha nulla a che fare con il sistema operativo e che colpisce il parsing di un file mdb, cosa che vedo molto difficile su internet.
26/05/2008 11.07 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

mi sa che non riesco a esprimermi bene, il problema non sussiste più, è tutto risolto, non ci sono certificati compromessi, per maggiori info ti consiglio di visitare il sito di debian o ubuntu, per maggiori dettagli.
Ti consiglio di non fare paragoni così scomodi a livello di sicurezza tra Windows e Linux, nemmeno Microsoft stessa si permette a fare paragoni del genere.

Fai un giro anche su Secunia, per vedere quante falle di sicurezza non patchate ci sono su Windows, e fai un raffronto con quelle debian.
26/05/2008 11.19 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Non capisco come si possono scrivere queste cose su una vulnerabilità gia patchata, Non potevi informati bene prima,
La prima patch è stara rilasciata dopo 2 ore, ed ha corretto la falla, le patch successive, rialsciate, sono servite per rigenerare chaivi, non ci sono certificati compromessi, a parte che non mai stata sfuttata , la falla, se volevi fare un post, per stabilire che tutti i sitemi sono vulnerabili non cera bisogna di diffondere notizie per creare FUD.
26/05/2008 11.39 | francesco marino
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele. Ma l'hai letto il link del sito di Verisign? I certificati compromessi ci sono eccome e infatti li stanno mettendo in revocation list!
Oltre a questi ci sono tutti i certificati generati dalle CA private (cioè quelli che generano certificati self-signed) tra il 2006 e il 2008.
Perciò oltre a quelli di Verisign che sono da sostituire tutti, o mi dici che nessuno su Debian (e derivati) ha generato certificati tra il 2006 e il 2008, oppure il problema c'è e va risolto asap.
26/05/2008 11.41 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Il post risponde a Michele e Francesco. Sorry per la confusione.

@Francesco. Aggiungo che non c'è nessun FUD. La notizia è cristallina e riporto apposta i link. Non c'è motivo di vergognarsi di un bug di sicurezza. Il codice lo scrivono persone che possono sbagliare. Si tratta solo di imparare dagli errori commessi.
26/05/2008 11.48 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

sono da considerarsi compromesse le chiavi create con tutte le versioni di openssl a partire dalla 0.9.8c-1 (entrata in unstable il 17 settembre 2006) e precedenti la 0.9.8g-9, che è la prima versione corretta.

Con delle patch rilasciate successivamente sono stare rigenerate tutte le chiavi, non mi sembra cosi tanto difficile da capire.
26/05/2008 11.51 | francesco marino
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Io concordo pienamente con michele.
Leggendo le varie risposte mi sembra di essere di fronte a un popolo di talebani. Ciò di cui Michele parla sembra abbastanza semplice e chiaro, senza fare paragoni di alcun genere. Ha riportato una notizia su una falla presente in un sistema operativo, scommettiamo che se si trattava di windows non vi sareste precipitati a difenderlo a spada tratta come state facendo con Debian? Se proprio vogliamo fare gli avvocati difensori, elogiamo il fatto che il bug sia stato risolto tempestivamente dopo la segnalazione, ma ci si sta perdendo nuovamente su chi ce l'ha più lungo. :D
Alcuni parlao di "paragoni scomodi in fatto di sicurezza", chi ha fatto paragoni qui? Nessuno mi pare, ad occhio e croce sembra una semplice discussione di carattere tecnico.
I bug (anche se di sicurezza), non sono certo un dramma, i programmatori non sono perfetti ed il lavoro di review è veramente una barba. Può succedere a chiunque di far scappare qualcosa, non è la fine del mondo.
Piuttosto, la cosa migliore è che spesso le segnalazioni arrivano da utenti o appassionati che non lavorano direttamente con gli sviluppatori. Questo è sicuramente l'aspetto migliore di una comunità aperta e che va VERAMENTE elogiato, poi se continuiamo a discutere su chi ce l'ha più lungo e duro.....
26/05/2008 11.58 | andrea
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Questo articolo è puro FUD, già non capisco una cosa come puoi dire che gente, che dice, che le distro linux non possano avera bug, ma chi lo dice i ragazzini?? e tu ti attacchi a queste cose, chiunque capisca un minimo d'informatica sa che non esiste sistema operativo per fetto esente da bug.

sulla vulnerabilità in questione.
1° durante il periodo nel quale la falla non era stata ancora scoperta non ci sono stati attacchi che hann cercato di sfruttarla.
2° appena scoperta la falla è stata risolta in 2 ore.
3° le chiavi e i certifcati generati con tale vulnerabilità, sono stati rigenerati con delle patch.
4° il problema non sussiste.
26/05/2008 12.05 | maurizio
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Francesco. Sto dicendo che i certificati generati con le chiavi compromesse sono a loro volta compromessi: "all generated certificates will be need to recreated". Anche questo non mi sembra così difficile da capire.

@Andrea. Mettiamo le cose in chiaro:
- Io non ho fatto alcun paragone
- Fin dall'inizio ho detto che non c'è nulla da biasimare per un bug e l'ho ripetuto più volte
- La notizia che ho riportato è linkata a Debian, Verisign e Metasploit dove ci sono tutti gli approfondimenti del caso

Quello che continuo a ripetere è che:
- devono essere rigenerati tutti i certificati generati in quel periodo di tempo e su quelle versioni Debian e distro derivate.
- i problemi di sicurezza investono tutti i sistemi operativi
- ritengo (mia convinzione personale) che il valore aggiunto dell'open source non abbia dato alcun vantaggio nella risoluzione del bug visto che ci sono voluti due anni.

Per la cronaca Windows non è closed source ma shared source. Le università così come gli enti governativi e i partner hanno il diritto di chiedere i sorgenti di Windows. Personalmente ho l'accesso ai sorgenti come MVP. Non ritengo però che questo possa dare migliori possibilità di trovare bug di sicurezza vista la quantità esorbitante di codice e la noia terribile nel fare review dello stesso.
I buchi di sicurezza spesso sono un errore architetturale e possono identificati con metodologie che si stanno consolidando nelle comunità tecniche.
26/05/2008 12.16 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Maurizio

In primis, vorrei consigliarti un bel cosro di grammatica basilare perché, sinceramente non capisci una cicca di ciò che scrivi; mi sembra di parlar euna lingua differente.

Seconda cosa, la falla è stata risolta? Ottimo! Ma stai uscendo dal seminato con le tue argomentazioni. Michele sostiene che i certificati CA-private son tutti da sostituire, ma che la patch rigenera solamente i TUOI certificati, ma non quelli che potresti aver mandato in giro per il mondo.... è così difficile da capire? Serve un interprete??
26/05/2008 12.20 | andrea
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Maurizio. Tu sai per certo che tutti quelli che usano OpenSSL per generare certificati self-signed hanno ri-creato tutti i certificati?
Tu sei certo che tutti i certificati di Verisign che sono stati messi in revocation list sono già stati rigenerati?
Tu sei certo che i tool su metasploit non siano stati usati da nessuno, solo perché nessuno l'ha scritto sui forum?
Ho mai scritto che il buco ha generato disastri in giro per la rete?
Sono lieto che tu abbia queste certezze, vivrai certamente più rilassato.
26/05/2008 12.25 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele

Perdono, probabilmente non sono stato abbastanza chiarov. In precedenza non mi rivolgevo direttamente a te, In ogni caso, concordo sempre con le tue tesi! :D
26/05/2008 12.25 | andrea
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Vedi che avevo ragione io adire che il tuo post genera solo FUD, le certezze che chiedi a me, tu forse magari lei no vero.
già il fatto di aver creato un post per dire, che anche debian può avere dei bachi ti pone sul ridicolo, solo stolti, o chi non capisce d'informatica crede che esistano sistemi perfetti esenti da buchi.

Il mondo avevo bisogno del tuo intervento per chiarire questo concetto vero.


ti riposto quanto scritto precedentemente:
sulla vulnerabilità in questione.
1° durante il periodo nel quale la falla non era stata ancora scoperta non ci sono stati attacchi che hann cercato di sfruttarla.
2° appena scoperta la falla è stata risolta in 2 ore.
3° le chiavi e i certifcati generati con tale vulnerabilità, sono stati rigenerati con delle patch.
4° il problema non sussiste.

oltre tutti mi domando se tua abbia mai usato debian o una distro derivata, per generare chiavi e certicati non bisogna essere dei geni, e possibile rigenare le chiavi anche manualemte ti basta digitare da terminale:
sudo ssh-vulnkey -a

ed ottieni la lista delle chiavi presenti sul sistema, nel caso ci sia scritto "COMPROMISED" procedia rigenerarle.
26/05/2008 12.37 | maurizio
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

se può server la mia esperienza, uso debian ed anche Ubuntu, e do seguito la stessa procedura per entrabi, ho aggiornato il sistema, appena disponibili le patch, dopo aver aggiornato ho proceduto a verificare con il comando sudo ssh-vulnkey -a
e si è tutto rigenarato in automatico, di "COMPROMISED" non ho trovato nulla.
26/05/2008 12.46 | santo
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Maurizio. Ho mai detto che sia complesso rigenerare dei certificati o le chiavi? Sei tu che vuoi fare flame a tutti i costi, non certo io.
26/05/2008 13.32 | Raffaele Rialdi

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 3 and 2 and type the answer here:

Powered by:

Copyright © Raffaele Rialdi