posts - 644, comments - 2003, trackbacks - 137

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

E la voragine di sicurezza questa volta tocca a Debian

Stando alla knowledge base di Debian un programmatore ha avuto la bella idea di togliere due righe di codice che hanno reso predicibile la generazione di numeri casuali, che sono la base per gli algoritmi crittografici. (Crediti a Luciano Bello che ha trovato il bug e Obiwan per avermelo segnalato).

Cosa ha provocato e provocherà questo bug?

  • Tutti i certificati generati con OpenSSL a partire dalla versione 0.9.8c-1 (del 17 Settembre 2006 !!!) su un OS basato su Debian sono craccabili e DEVONO essere rigenerati.
  • Tutte le chiavi di SSH, OpenVPN, DNSSec, qualsiasi certificato X.509 e chiavi di sessione per connessioni SSL/TLS sono compromesse.
  • Tutti i certificati Verisign come da questo bollettino, devono essere sostituiti in quanto compromessi

Questo significa che la patch di Debian NON risolve totalmente il problema in quanto tutte le chiavi ed i certificati che sono stati generati con la versione bacata sono ormai compromessi.

La causa del bug probabilmente sta nel fatto che qualcuno ha modificato del codice senza poi siano stati fatti la review di sicurezza su quel codice, cosa che avrebbe in tutta probabilità portato alla luce il problema.
Si, sto dicendo che applicando SDL nel modo corretto questo bug non sarebbe passato.

* * *

Ok, ma quanto è sfruttabile il bug? Semplicissimo, basta usare questi tool e il crack è pronto. Inutile nasconderli, security through obscurity NON funziona, se ancora ci fosse bisogno di dirlo.

Questo feroce bug colpisce non solo Debian e le distro derivate come Ubuntu, ma tutti quei sistemi embedded che sono basati su Debian. Pensiamo a telecamere IP, centralini, router, access point, etc. Si, perché Debian è una delle distro più usate in apparati embedded.

La vera domanda perciò è: quanto tempo occorrerà adesso per aggiornare tutti questi sistemi? Probabilmente infinito perché tipicamente i sistemi embedded non vengono MAI aggiornati dopo la loro produzione. Questo deve far riflettere e cominciare a far cambiare la mentalità nel software per cui un sistema non aggiornato è MORTO.

Diamo infine un caloroso benvenuto a Debian nel mondo reale, fatto di persone umane che sbagliano a prescindere dalla bandiera dell'OS a cui stanno lavorando. La sicurezza è un problema di tutti, nessuno escluso. Già perché personalmente non penso che sia affatto scandaloso trovare un bug di sicurezza, il vero scandalo è che molti pensavano che questo non accada sulle distro Linux e meno che mai in Debian.

Come nota finale non posso che definire sconcertante uno dei commenti iniziali a questo post di Larry Osterman che respinge la tesi che sia un bug di Debian. Quando si dice talebano ...

Print | posted on sabato 17 maggio 2008 16:00 |

Feedback

Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Quello che è scandaloso è il metodo con cui il bug è stato introdotto!
18/05/2008 15:27 | sirus
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Roberto. Si e unisci a questo il fatto che ti puoi mettere bellamente su qualche rete switched a sniffare finché qualcuno non usa un certificato "bacato", fai un bel log di tutto e poi con tutta calma lo cracchi. Semplicemente disarmante.

Si accettano scommesse su quante persone realmente controlleranno di essere vulnerabili e faranno le patch o rigenereranno i certificati bacati.
19/05/2008 18:48 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

la falla è è stata risolto dopo 2 ore che è stata scoperta, e nel periodo in cui la falla non era ancora stata scoperta, non mai stata sfuttata.
26/05/2008 11:59 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele. Forse non hai letto bene quello che ho scritto.
Il problema non è il "quando" è stata fissata la falla perché i certificati generati in quel periodo sono compromessi e i tool per craccare quei certificati sono in giro belli e pronti.
Il problema è invece quando saranno *revocati* tutti i certificati generati con le distribuzioni basate su Debian in due anni.
Infine non so come fai a dire che nessuno abbia sfruttato la falla, cosa che è comunque del tutto ininfluente.

Se ancora servisse ripeterlo, non discuto la bontà di Debian, dico solo che la sicurezza è un problema di *tutti* i sistemi informatici, che si chiamino Linux, Macintosh, Windows o qualsiasi altro, punto.
26/05/2008 12:08 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Non credo che tu abbia provato realmente quello di cui scrivi.
Altrimenti ti saresti accorto che quando lanci la patch, ti fa rigenerare automaticamente tutti i certificati.

Quindi, riassumendo: un bug come ce ne sono in tutti gli altri sistemi operativi, ma a differenza degli altri sistemi operativi, mai sfruttato e patchato PERFETTAMENTE in due ore.

Il che dimostra che GNU/Linux, e in particolare Debian, è il sistema più sicuro. Non che superi di poco gli altri: è anni luce meglio. Attenzione perciò: quando si scrivono articoli come questi, non bisogna mai indurre il lettore a pensare che "tanto sono tutti uguali". Occorre ricordare sempre che, in quanto a sicurezza, tra Win e Linux c'è la differenza che passa tra un triciclo e un carro armato.
26/05/2008 13:04 | Senbee
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

puoi girare su internet per verifcare, se nel periodo in cui la falla ancora non era scoperta, è stata sfuttata, io ho cercato.
senza ombra di dubbio non esiste sistema operaivo esente da falle, ma bisogna notare, la velocità con cui è stato risolta la vulnerabile in questione,, in sistema open come debian, le falle vengono patchate velocemente, al co ntraio di quanto accade in un sistema closed come Windows, dove passano anni prima di patchare alcuni vulnerabilità,, basti pensare che per rilasciare delle patch anche in caso di falle gravi si debba aspettare l'appuntamento del patch day che cade ogni 1° martedi del mese.
26/05/2008 13:08 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Sono d'accoro quandi dici che non esiste Sistema operativa esente da bug, ma fare paragone a livello di sicurezza tra una distro Linux come Debian con Windows, sei davvero fuori strada,
Analizziamo i fatti bene, la vulnerabilità scoperta come dici tu cera presente dal 2006, ma non si son registrati attachi che ha un sfruttato tale vulnerabilità, appena scoperta la vulnerabilità, dopo 2 ore è stata rialsciata la patch, poche ore dopo è stata rilasciata un altra patch che rigenera tutte le chavi create. il problrema non cera quando la falle non era patchata e tu lo poni adesso dopo le patch.

Ti faccio un esempio dellla serietà di Microsoft nelle sistema re falle di sicurezza, Il problema relativo al modulo di gestione dei database Microsoft Jet, risolto nell'ultimo patch day di amggio 2008, riguarda una falla presente dal 2000 ma patchate nel 2008, a causa dei forti attacchi che hann sfruttato tale falla a marzo del 2008, http://www.microsoft.com/technet/security/advisory/950627.mspx
26/05/2008 13:53 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele. Pongo il problema dopo le patch perché i certificati generati durante il periodo del bug di due anni sono tutti quanti compromessi. Quindi il bug è da considerare risolto solo quando tutti i certificati compromessi saranno rigenerati (cosa praticamente impossibile a sapersi visto che la maggior parte dei certificati in questione sono self-signed.

Quanto al bug del jet engine, non conosco i dettagli nè vedo cenni del fatto che fosse già presente nell'anno 2000, ma non metto in dubbio la tua buona fede. Si tratta comunque di un bug che non ha nulla a che fare con il sistema operativo e che colpisce il parsing di un file mdb, cosa che vedo molto difficile su internet.
26/05/2008 14:07 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

mi sa che non riesco a esprimermi bene, il problema non sussiste più, è tutto risolto, non ci sono certificati compromessi, per maggiori info ti consiglio di visitare il sito di debian o ubuntu, per maggiori dettagli.
Ti consiglio di non fare paragoni così scomodi a livello di sicurezza tra Windows e Linux, nemmeno Microsoft stessa si permette a fare paragoni del genere.

Fai un giro anche su Secunia, per vedere quante falle di sicurezza non patchate ci sono su Windows, e fai un raffronto con quelle debian.
26/05/2008 14:19 | michele
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Non capisco come si possono scrivere queste cose su una vulnerabilità gia patchata, Non potevi informati bene prima,
La prima patch è stara rilasciata dopo 2 ore, ed ha corretto la falla, le patch successive, rialsciate, sono servite per rigenerare chaivi, non ci sono certificati compromessi, a parte che non mai stata sfuttata , la falla, se volevi fare un post, per stabilire che tutti i sitemi sono vulnerabili non cera bisogna di diffondere notizie per creare FUD.
26/05/2008 14:39 | francesco marino
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Il post risponde a Michele e Francesco. Sorry per la confusione.

@Francesco. Aggiungo che non c'è nessun FUD. La notizia è cristallina e riporto apposta i link. Non c'è motivo di vergognarsi di un bug di sicurezza. Il codice lo scrivono persone che possono sbagliare. Si tratta solo di imparare dagli errori commessi.
26/05/2008 14:48 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

sono da considerarsi compromesse le chiavi create con tutte le versioni di openssl a partire dalla 0.9.8c-1 (entrata in unstable il 17 settembre 2006) e precedenti la 0.9.8g-9, che è la prima versione corretta.

Con delle patch rilasciate successivamente sono stare rigenerate tutte le chiavi, non mi sembra cosi tanto difficile da capire.
26/05/2008 14:51 | francesco marino
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Francesco. Sto dicendo che i certificati generati con le chiavi compromesse sono a loro volta compromessi: "all generated certificates will be need to recreated". Anche questo non mi sembra così difficile da capire.

@Andrea. Mettiamo le cose in chiaro:
- Io non ho fatto alcun paragone
- Fin dall'inizio ho detto che non c'è nulla da biasimare per un bug e l'ho ripetuto più volte
- La notizia che ho riportato è linkata a Debian, Verisign e Metasploit dove ci sono tutti gli approfondimenti del caso

Quello che continuo a ripetere è che:
- devono essere rigenerati tutti i certificati generati in quel periodo di tempo e su quelle versioni Debian e distro derivate.
- i problemi di sicurezza investono tutti i sistemi operativi
- ritengo (mia convinzione personale) che il valore aggiunto dell'open source non abbia dato alcun vantaggio nella risoluzione del bug visto che ci sono voluti due anni.

Per la cronaca Windows non è closed source ma shared source. Le università così come gli enti governativi e i partner hanno il diritto di chiedere i sorgenti di Windows. Personalmente ho l'accesso ai sorgenti come MVP. Non ritengo però che questo possa dare migliori possibilità di trovare bug di sicurezza vista la quantità esorbitante di codice e la noia terribile nel fare review dello stesso.
I buchi di sicurezza spesso sono un errore architetturale e possono identificati con metodologie che si stanno consolidando nelle comunità tecniche.
26/05/2008 15:16 | Raffaele Rialdi
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

@Michele

Perdono, probabilmente non sono stato abbastanza chiarov. In precedenza non mi rivolgevo direttamente a te, In ogni caso, concordo sempre con le tue tesi! :D
26/05/2008 15:25 | andrea
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

Vedi che avevo ragione io adire che il tuo post genera solo FUD, le certezze che chiedi a me, tu forse magari lei no vero.
già il fatto di aver creato un post per dire, che anche debian può avere dei bachi ti pone sul ridicolo, solo stolti, o chi non capisce d'informatica crede che esistano sistemi perfetti esenti da buchi.

Il mondo avevo bisogno del tuo intervento per chiarire questo concetto vero.


ti riposto quanto scritto precedentemente:
sulla vulnerabilità in questione.
1° durante il periodo nel quale la falla non era stata ancora scoperta non ci sono stati attacchi che hann cercato di sfruttarla.
2° appena scoperta la falla è stata risolta in 2 ore.
3° le chiavi e i certifcati generati con tale vulnerabilità, sono stati rigenerati con delle patch.
4° il problema non sussiste.

oltre tutti mi domando se tua abbia mai usato debian o una distro derivata, per generare chiavi e certicati non bisogna essere dei geni, e possibile rigenare le chiavi anche manualemte ti basta digitare da terminale:
sudo ssh-vulnkey -a

ed ottieni la lista delle chiavi presenti sul sistema, nel caso ci sia scritto "COMPROMISED" procedia rigenerarle.
26/05/2008 15:37 | maurizio
Gravatar

# re: E la voragine di sicurezza questa volta tocca a Debian

se può server la mia esperienza, uso debian ed anche Ubuntu, e do seguito la stessa procedura per entrabi, ho aggiornato il sistema, appena disponibili le patch, dopo aver aggiornato ho proceduto a verificare con il comando sudo ssh-vulnkey -a
e si è tutto rigenarato in automatico, di "COMPROMISED" non ho trovato nulla.
26/05/2008 15:46 | santo
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET