» »

Juniper odkril podtaknjena stranska vrata v svojih napravah

Juniper odkril podtaknjena stranska vrata v svojih napravah

Wired News - Drugi največji proizvajalec omrežne opreme na svetu Juniper je v svoji opremi odkril stranska vrata, ki jih je tja verjetno postavila kakšna država oziroma obveščevalna organizacija. Kot so sporočili, so prizadete naprave NetScreen, na katerih teče operacijski sistem ScreenOS. Prizadete so verzije od 6.2.0r15 od 6.2.0r18 in od 6.3.0r12 do 6.3.0r20, kar daje slutiti, da se je ranljivost v kodi skrivala vsaj od leta 2012, mogoče pa celo vse od leta 2008. Stranska vrata so v najnovejši verziji zakrpali, posodobitev pa je praktično obvezna.

Pri tovrstnih odkritjih so namreč najbolj ogroženi uporabniki ranljive opreme, ki posodobitve še niso namestili, in to takoj po izdaji popravkov. Ti namreč morebitnim nepridipravom, ki želijo ranljivosti izkoristiti, dajo zelo dobre smernice, kje najdejo luknjo. Zato Juniper poziva k nadgradnji. Hkrati to kaže na dodatni problem, ki ga predstavljajo vladna stranska vrata in namerne oslabitve šifrirnih algoritmov. Nobene garancije nimamo, da jih ne bodo izkoriščali še nepovabljeni gostje, za katere ne vemo. Ronald Prins iz podjetja Fox-IT je dejal, da so njegovi strokovnjaki geslo za dostop prek stranskih vrat našli v šestih urah, torej ga lahko pridobi praktično kdorkoli ima čas, znanje in interes.

Konkretno so v operacijskem sistemu ScreenOS, ki poganja prizadete Juniperjeve naprave, odkrili dvoje stranskih vrat. Ena napadalcu omogočijo administratorski dostop do naprave z uporabo gesla, ki je zapečeno v kodo (hardcoded). Dostop je možen prek telneta ali SSH. Druga ranljivost pa omogoča dešifriranje VPN-sej, četudi napadalec, ki prestreza promet, ne pozna uporabljenih ključev. Analitiki ocenjujejo, da je slednjo ranljivost v kodo zapisala kakšna organizacija, kot je NSA, ker je treba za uspešno zlorabo prestrezati dobršen del internetnega prometa. Juniper sicer uporablja šibek algoritem Dual EC, a ni jasno, ali je to tudi vir ranljivosti. Prvo ranljivost pa bi lahko tja podtaknil tudi kdo drug, ker je za NSA malce premalo sofisticirana.

Ker ima Juniperjevo opremo precej vladnih služb in ministrstev v ZDA, je FBI že začel preiskavo primera. Preiskali bodo vdor v Juniper, s katerim so napadalci očitno uspeli vstaviti zlonamerno kodo v Juniperjeve naprave. FBI meni, da je za vdor kriva Kitajska ali Rusija, ne pa ameriške obveščevalne službe.

67 komentarjev

«
1
2

blackbfm ::

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

stara mama ::

^ Dobra :))

stegy ::

Slikca prikazuje, kako se tvoj promet replicirajo na 4 destinacije ...>:D

Iatromantis ::

Še posebej je zanimivo, da se zdaj pojavljajo špekulacije, da so bila druga stranska vrata odprta naknadno s pomočjo prvih in ne s strani istih akterjev - torej, da so z zmanjšanjem varnosti omogočili dostop čisto tretjim akterjem.

Upanje je, da bo ta incident le zapečatil želje po stranskih vratih, ob vidikih postranske škode, ki jo takšna vrata lahko povzročijo.

user1618 ::

"ki jih je tja verjetno postavila kakšna država oziroma obveščevalna organizacija"
japajade :)
"If we were supposed to talk more than listen
we would have been given two mouths and one ear"
- Mark Twain

Griffin R500 ::

Ob vsakem podobne članku vedno bajdejo verjetnega krivca, v drzavah, s katerimi so v sporu.
In svizec zavije.......

To so pra ljice, ki jih se otroci nočejo poslušat.

...:TOMI:... ::

Pa zakaj se nekdo ne spomni in naredi open HW in open SW in open FW... Bi šlo za med.

To so varnostne zadeve in povpraševanje po varnosti je vedno večje in vedno bolj pomembno. Firmam ni za zaupat, prav tako ne državnim organom.
Tomi

Dr_M ::

Sej lahko financiras 10,20,30 miljonov EUR, pa bo. Pa se administratorje prepricuj, da bodo dosledni pri nadgradnjah.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Zgodovina sprememb…

  • spremenil: Dr_M ()

Glugy ::

"FBI že začel preiskavo primera. Preiskali bodo vdor v Juniper"
In mu naložili tajnost ter vstavili novo ranljivost za svoje prisluškovanje.

damjanster ::

...:TOMI:... je izjavil:

Pa zakaj se nekdo ne spomni in naredi open HW in open SW in open FW... Bi šlo za med.

To so varnostne zadeve in povpraševanje po varnosti je vedno večje in vedno bolj pomembno. Firmam ni za zaupat, prav tako ne državnim organom.


Sej to že vse obstaja. Načeloma si dober FW sam narediš z uporabo "open" rešitev. Zadeva se pa zatakne pri "ta pedantnih" mrežarjih, ki zagovarjajo rešitve, kjer se bolje zasluži.
V Sloveniji organizacije še posebej cenijo take luknjaste rešitve. So preverjene (s strani NSA) in drage. Če so drage, so gotovo dobre.. a, pa še cela javna uprava to uporablja.
Ne vem kaj počne SI-Cert, da to dovoli. Verjetno lovi le tiste lokalne "hekerje", ki si upajo/drznejo uporabiti vnaprej pripravljene luknje.

Poldi112 ::

Ja? In na čem bodo tekle te "open" rešitve? Katere funkcionalnosti jim bodo manjkale? A lahko napišeš konkretno s čim bi v datacentru zamenjal cisco?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

Ja? In na čem bodo tekle te "open" rešitve? Katere funkcionalnosti jim bodo manjkale? A lahko napišeš konkretno s čim bi v datacentru zamenjal cisco?

Kolikor jih poznam, bi dali nekaj na DD-WRT ;((

damjanster ::

Poldi112 je izjavil:

Ja? In na čem bodo tekle te "open" rešitve? Katere funkcionalnosti jim bodo manjkale? A lahko napišeš konkretno s čim bi v datacentru zamenjal cisco?


S standarnimi rešitvami. Veliko rešitev obstaja, ki so napisane po RFC-jih. Če pa se uporablja proprietary funkcionalnosti pa je to stvar izbire, ne nujno potrebe.
Te rešitve praviloma nimajo GUI in posebnih CLI vmesnikov, kot jih ima cisco. Res zna biti zelo težko upariti določene funkcionalnosti.

In prav to vprašanje mi da vedeti, da o standardih manjka znanja. A mi znaš povedati kateri RFC si imel v mislih, ko si napisal "cisco". Cisco je le en proizvajalec.

dronyx ::

SeMiNeSanja je izjavil:

Kolikor jih poznam, bi dali nekaj na DD-WRT ;((

Ali pa v kakšen računalnik ki je za odpis vgradiš dodatne mrežne kartice.

Poldi112 ::

RFC-ji so samo en del zgodbe. In ja, cisco je res le en proizvajalec, ampak a veš kakšen tržni delež ima? Ampak evo ti konkretno - v petek sem si naročil en star switch - Cisco catalyst WS-C3560-24PS-S z EMI image-om.

Rabim ipv6, routanje med vlani (ospf), bgp, ...

Oz. najbolje da kar pogledaš kaj ima:
http://www.cisco.com/c/en/us/products/c...

pa potem predlagaj alternativo. Verjetno ne bo težko, glede na to da je zadeva že par let EOL.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

damjanster ::

Poldi112 je izjavil:

RFC-ji so samo en del zgodbe. In ja, cisco je res le en proizvajalec, ampak a veš kakšen tržni delež ima? Ampak evo ti konkretno - v petek sem si naročil en star switch - Cisco catalyst WS-C3560-24PS-S z EMI image-om.

Rabim ipv6, routanje med vlani (ospf), bgp, ...
pa potem predlagaj alternativo. Verjetno ne bo težko, glede na to da je zadeva že par let EOL.


Ne nameravam namesto tebe iskat rešitve in ti pomožnosti še recepte pisat glede nastavitev.
Je pa tale reč precej zanimiva v osnovi za to, kar si omenil: http://www.nongnu.org/quagga/

In ne, ni težko poiskat in najt rešitve. Težko jih je implementirat in uskladit med seboj, ko je to potrebno. Ni pa nemogoče, če je volja in čas. In ne, ni poceni, čeprav je zadeva zastonj. In spomni se, da nisem govoril o smiselnosti nakupa Cisco zaradi cene, ampak zaradi izbire "open" rešitev. In če nisi siguren, da zaupaš posamični "open" rešitvi, greš študirat source, ker je na voljo. Kot rečeno - ni poceni, ni priročno, a imaš sam nadzor nad tem, kako končni izdelek dela.

Zdaj bom pa končal. Ta debata se ne more razviti v kaj bolj konstruktivnega. Niti nimam časa zdaj debatirat.

SeMiNeSanja ::

Dajte no bit resni.

Do neke določene prepustnosti se še lahko nekaj špilaš z 'doma spacanimi' igračkami, ampak prej ali slej prideš do določene meje, ki jo ne moreš več preseči brez namenske strojne opreme in firmware-a, ki ji je napisan na kožo.

Naslednji faktor je zanesljivost delovanja. Če nek dd-wrt, Tomato ali PFSense doma kdaj pa kdaj malo pokašlja ni panike. Pa pojdi to postaviti v kakšno NLB in stoj na šalterju, ko se bo routerčku 'kašljalo'. Pa da potem slišimo komentarje o kršu, ki so si ga navlekli.

Dodaten ne ravno nepomemben faktor pa je razdrobljenost OpenSource rešitev. Neke celovite rešitve, ki bi lahko nadomestila nek NGFW in bi bila plod ene same razvojne ekipe NI. Tudi če najdeš nekaj kot 'paket', je to še vedno skupaj zlepljenih več rešitev, ki jih razvijajo različne ekipe. Ni enotnega upravljanja, enotnega logiranja, enotne analitike. Tudi če so tisti, ki so zadevo 'prepakiraki' naredili nekakšen kvazi skupni spletni vmesnik, ta na koncu pokriva samo osnovno funkcionalnost, vse kar gre preko tega, pa moraš štelat nekje v drobovju za vsako od integriranih rešitev posebej.
Posledično se pojavljajo napake. Na koncu imaš lahko še večje backdoore, kot jih je imel Juniper, pa še veš ne zanje.

Še bolj travmatično potem postaja nadgrajevanje cele zgodbe. Lastniki Juniperjev bodo zagnali update in problem bo zanje rešen. Na open Source zaženeš upgrade in problemi se šele začno, če se zaradi nadgradjen pojavi najmanjša sprememba v medsebojnih interakcijah med posameznimi komponentami 'rešitve'.

Kolikokrat sem že slišal omenjanje pojma 'security through obscurity'. V tem primeru je Opensource tista obskurna zadeva, ne pa nek Juniper ali Cisco.

Pa prosim nehajte že enkrat trositi hvalospeve na možnost študiranja source kode. Admin v kadrovsko podhranjenem podjetju ponavadi nima časa niti konfiguracijo poštimat v nulo, kaj šele, da bi šel še študirat source kodo - če bi jo sploh znal. Še dobro, da ne rečete, da naj kar admin sam sprogramira svoj firewall, router,...

damjanster ::

Za nekatere velja: Ignorance is bliss.

Če kdo misli, da so "open" projekti razviti za domače igračke, je to njegov problem.

Poldi112 ::

>Ne nameravam namesto tebe iskat rešitve in ti pomožnosti še recepte pisat glede nastavitev.

Jaz rešitev že imam. Ti praviš ,da obstajajo boljše, pa nisi sposoben dati enega primera. Dal si en link beta software-a (na prvi strani je piše "Support for OSPFv3 and IS-IS is various beta states currently; IS-IS for IPv4 is believed to be usable while OSPFv3 and IS-IS for IPv6 have known issues."). Ne vem no, jaz ne bi imel jajc dati to v proudukcijo.

Kar jaz iščem je kombinacija hw in sw, ki ga butnem v rack in ima vsaj približno podobne sposobnosti. Preveč zahtevno? Očitno :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

poweroff ::

Ubiquity? Mikrotik? pfSense?

Saj verjetno je za neke sisteme Cisco še vedno alfa in omega, ne bom pa požrl trditve, da je najboljši (in predvsem najbolj cost/effective) za čisto vse primere.
sudo poweroff

aleksander10 ::

poweroff je izjavil:

Ubiquity? Mikrotik? pfSense?


Za igrat so super, za kaj bolj resnega pa to žal ni.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

čuhalev ::

poweroff je izjavil:

Ubiquity? Mikrotik? pfSense?

Tako tako, ampak tole https://cumulusnetworks.com/ pa je. Z ustreznim HW se še vse mrežne operacije prenesejo na fizični nivo, čeprav vmesnik (open source orodja: ip) ostane enak.

Poldi112 ::

No, pfSense je čisto spodobna zadeva. Če ima vse featurje ki jih rabiš, ni panike. Edino splošnonamenska zadeva je, kar pomeni, da se odpoveš pohitritvam, ki pridejo z ASIC.

Jaz sem se obesil na trditev, da je polno open source alternativ, ki so enakovredne, a bolj varne (kar je milo rečeno vprašljivo), ter da se cisco fura zato, da se bolj zasluži.

Z Mikrotikom se je pa že precej ljudi opeklo, plus da je zaprt. Čeprav mi je njihov cli zelo simpatičen :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

pFSense? Gledam brihtneže, ki na Ebay kupujejo stare rabljene WatchGuard naprave in jih nadgrajujejo na pFSense in jih ne bom nikoli razumel. Mečejo dol firmware, ki tudi v skrajno zastareli varianti nudi bistveno več, kot pFSense. Dejansko niti ne pogledajo, kaj že dobijo gor nameščeno, saj če bi, nikoli nebi šli nameščati pFSense.

V bistvu vlada en tak hype okoli pFSense, kot da je vsemogočen. A dejansko je resnica daleč od tega. Dejansko škoda, ker bi načeloma menil, da bo nekdo, ki je sposoben namestiti pFSense, tudi sposoben pogledati, kaj sicer še obstaja in kaj dejansko zmore.

Osnovni problem je že v samem razumevanju in poznavanju razlik med usmerjevalniki in požarnimi pregradami, ki ga marsikdo ni nikoli osvojil, ker nikoli ni videl nič drugega kot usmerjevalnik. Večina je prepričana, da požarna pregrada ni kaj bistveno več, kot router z malo bolj dodelanimi ACL-i.

Je pa tudi res, da se na področju požarnih pregrad prodaja ogromno tople vode. Le malo kdo dejansko ve, kaj mora pričakovati od sodobne požarne pregrade. Kupuje se ime. Kupijo Cisco ASA. Škatlo. Škatlo, ki sama po sebi ne zna kaj dosti več kot en Mikrotik. Prodajalci ne povedo, da bi bilo treba dokupiti še en kup servisov, da bi zadeva dejansko delovala tako 'varno', kot to počne na raznih primerjalnih testi. Sama škatla bi na teh testih pogrnila po celi širini - ampak to se potem postavlja v naša podjetja. Potem pa še mislijo, da so omrežje optimalno zaščitili.

To je tako, kot če kupiš Nike tekaške čevlje in misliš, da boš zdaj tekel tako hitro kot Bolt.

Poldi112 ::

In kaj je tako bistvenega, kar Watchguard ima, pfsense pa ne?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

poweroff ::

aleksander10 je izjavil:

poweroff je izjavil:

Ubiquity? Mikrotik? pfSense?


Za igrat so super, za kaj bolj resnega pa to žal ni.

Pozabljaš, da pri nas večina podjetij ni "resne velikosti", torej za njih zadostuje ne-cićko...
sudo poweroff

...:TOMI:... ::

Zakaj bi se ljudje z mikrotikom opekli? Z ostalimi se pa ne?
Tomi

SeMiNeSanja ::

Poldi112 je izjavil:

In kaj je tako bistvenega, kar Watchguard ima, pfsense pa ne?

Ti ga posodim? Razlagat namreč nima smisla.

Poldi112 ::

Ne, hvala. Če mi ne moreš napisati prednosti, potem dvomim, da je kaj pomembnega. :)

S tem da če pfsense laufa dobro na watchguard škatlicah se meni zdi čisto smiselno, da se ga da gor. Če si ga že navajen in ima vse kar rabiš menda ne boš investiral časa v učenje nove rešitve in njenih specifik, samo zato, ker je "boljša".
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

OmegaBlue ::

Glavna razlika je pač da on ne prodaja pfsense ;)
Never attribute to malice that which can be adequately explained by stupidity.

SeMiNeSanja ::

Poldi112 je izjavil:

Ne, hvala. Če mi ne moreš napisati prednosti, potem dvomim, da je kaj pomembnega. :)

Preveč je tega, da bi imelo smisel pisat - koneckoncev tudi čisto offtopic.
Poleg tega mi ne deluje, kot da te resno zanima ampak ti to bolj retorično sprašuješ.

Drugače pa je že v samem konceptu WatchGuard čisto drugače koncipiran kot pFSense.
Predvsem pa je bistveno bolj preprost za upravljat, sploh ko kočeš enkrat zaiti v kakšne malenkost bolj napredne nastavitve in možnosti.

Marsikaj 'se da' naresti na pFSense, ampak boš to nosil na kup z vseh vetrov in se lep čas matral, da boš vse skupaj zorkestriral - pa še ne boš 100% vedel, če res deluje tako, kot bi moralo. Na koncu pa boš mogoče 50% tega upravljal preko GUI, ostalo pa malo na command line, malo pa v config datotekah, če boš hotel priti na približno podobno funkcionalnost. S tem na koncu izgubiš pregled nad celovito konfiguracijo in moraš biti res mojster, da veš, kako imaš zadeve naštelane - že na lastno pregradi. Potem pa to postavi še pri parih strankah, pa se probaj še kaj znajti. Vzdrževanje lahko hitro postane nočna mora, če si kaj več nanesel na kup, kot samo osnovni pFSense.

Ko boš to primerjal z WatchGuardom, kjer lahko KOMPLETNO konfiguracijo VSEH servisov urejaš tudi offline s pomočjo enotnega editorja, ki pokriva celotno funkcionalnost na enem samem mestu, se ti bo počasi začelo svitati, da obstajajo neke razlike.

SeMiNeSanja ::

OmegaBlue je izjavil:

Glavna razlika je pač da on ne prodaja pfsense ;)

Rajši krepnem, kot da bi prodajal pFSense. Toliko truda, kolikor moraš vložiti vanj, ti stranka ne bo nikoli poplačala, ker se na koncu še vedno smatra, da se gre za 'zastonjski proizvod'.

Da poleg tega nimaš popolnega pregleda nad celovito konfiguracijo, pa ti potem še povečuje tveganje, da si kje naredil kakšen kiks, ki se ti bo vrnil nazaj kot bumerang.
Napake v konfiguraciji se lahko zgodijo tudi na veliko bolj preglednih rešitvah. Ti pa potem jamči, da je zadeva res optimalno konfigurirana?

Jaz si nebi upal.

Ampak dokler nekdo konfigurira zadevo na nivoju nekega dd-wrt, se s temi pomisleki takointako ne srečuje. Dajte še AV, IPS, Web filter, aplikacijsko filtriranje, integracijo z AD, Radius, centralno upravljanje accesspointov, VPN povezave in še kaj navesiti gor. Takrat pa se boste začeli srečevati z pomisleki, katere imam jaz glede pFSense.

Zgodovina sprememb…

poweroff ::

Jaz pa imam resen pomislek glede Ciscota.

http://www.infoworld.com/article/260814...
http://arstechnica.com/security/2015/09...

In pa ne pozabit na Phenoelit!
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Jaz pa imam resen pomislek glede Ciscota.

http://www.infoworld.com/article/260814...
http://arstechnica.com/security/2015/09...

In pa ne pozabit na Phenoelit!

Is there a patch available?

Ampak če smo realni, je problem pri Ciscu ravno njegova razširjenost, s čemer se ustrezno poveča tudi število 'lenih' adminov, ki morebitne razpoložljive popravke ne naložijo.

Problem je tudi v dostopnosti do popravkov. Ogromno Cisco opreme na terenu je v bistvu zastarele (EOL), vendar pa ker noče odpovedati, se nahaja še vedno v produkcijski uporabi - popravkov pa zanjo ni in tudi ne bo.
Tista oprema, za katero pa so na voljo popravki, pa je spet pod vprašajem, če popravek ni na voljo samo za lastnike, ki tudi redno plačujejo vzdrževanje.

Presejano skozi sito, na koncu ugotoviš, da bo še lep čas tam zunaj polno lukenj, ki se ne bodo pokrpale, dokler problematične naprave nekega dne ne bodo odpovedale ali iz kakšnega drugega razloga zamenjane.

Dejansko imaš prav. Stvar je skrb vzbujajoča.

Koliko je zdaj Cisco tu kriv, pa je težko reči. Prej bi rekel, da so problematični neozaveščeni uporabniki, ki marsikdaj ne razmišljajo kaj dosti drugače kot Apple uporabniki v smislu 'jaz imam jabčka, s tem sem že varen'.

Zgodovina sprememb…

Poldi112 ::

>Jaz pa imam resen pomislek glede Ciscota.

Realno pa veš, da ta pomislek tudi slučajno ni omejen samo na Cisco.

>Poleg tega mi ne deluje, kot da te resno zanima ampak ti to bolj retorično sprašuješ.

No, kupiti ga res ne mislim, vseeno me pa zanima. Res je, da je malo več dela, ampak da ga daš na na nivo dd-wrt je pa neresno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

AndrejO ::

SeMiNeSanja je izjavil:


Ampak če smo realni, je problem pri Ciscu ravno njegova razširjenost, s čemer se ustrezno poveča tudi število 'lenih' adminov, ki morebitne razpoložljive popravke ne naložijo.

To je zelo enostranska navedba. Najprej zato, ker ignorira vso omrežno opremo, ki jo podjetjem dobavljajo HP in Dell in te opreme sploh ni malo. Nato pa tudi zato, ker implicira, da so vsi popravki dobri in, da nima nobena nova verzija programske opreme kakšnih regresij.

V resničnem svetu pa se novih verzij ne namešča zgolj zato, ker obstajajo, sploh pa vsake nove verzije ni vedno možno namestiti, ker se na testiranju izkaže, da ima kakšno drugo napako. Če v slednjem primeru nisi ravno na kratkem seznamu podjetij, ki jih proizvajalec streže spredaj in zadaj, je tvoja edina izbira ta, da vdan v usodo čakaš na verzijo, ki bo odpravila tudi tvojo težavo.

SeMiNeSanja je izjavil:

Problem je tudi v dostopnosti do popravkov. Ogromno Cisco opreme na terenu je v bistvu zastarele (EOL), vendar pa ker noče odpovedati, se nahaja še vedno v produkcijski uporabi - popravkov pa zanjo ni in tudi ne bo.

Eh, daj no. Zadeve padejo tudi pri polno podprtih škatlah. Npr. pri OpenSSH se odločijo, da bodo iz seznama močnih kex-ov odstranili DH Group 1, čemur sledi ugotovitev, da se na najnovejšo škatlo z najnovejšo verzijo programske opreme nenadoma več ne moreš prijaviti, če ne "popraviš" nastavitev klienta, da lahko uporablja tudi starejše verzije.

Naj ostane odprto vprašanje čigava škatla je to ...

SeMiNeSanja je izjavil:

Presejano skozi sito, na koncu ugotoviš, da bo še lep čas tam zunaj polno lukenj, ki se ne bodo pokrpale, dokler problematične naprave nekega dne ne bodo odpovedale ali iz kakšnega drugega razloga zamenjane.

To in še cele vrste dodatnih razlogov, ki si jih spregledal.

SeMiNeSanja je izjavil:

Koliko je zdaj Cisco tu kriv, pa je težko reči. Prej bi rekel, da so problematični neozaveščeni uporabniki, ki marsikdaj ne razmišljajo kaj dosti drugače kot Apple uporabniki v smislu 'jaz imam jabčka, s tem sem že varen'.

Cisco ni v tem pogledu nič boljši in nič slabši, kot so drugi uveljavljeni proizvajalci. Izstopajo samo nekateri novi prišleki, ki jim ni nobena stranka premajhna (ker še nimajo veliko strank) in se trudi odpraviti vsako napako posebej.

poweroff ::

SeMiNeSanja je izjavil:

Koliko je zdaj Cisco tu kriv, pa je težko reči. Prej bi rekel, da so problematični neozaveščeni uporabniki, ki marsikdaj ne razmišljajo kaj dosti drugače kot Apple uporabniki v smislu 'jaz imam jabčka, s tem sem že varen'.

Seveda. Cisco je pač zakon, uporabniki so pa butasti...
sudo poweroff

McMallar ::

Ce koga zanimajo detajli namesto prepucavanja kaj je boljse, ima Matthew Green dober blog post na to temo.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

SeMiNeSanja ::

Seveda mi je jasno, da lahko popravki ali nove verzije prinesejo nove težave. Vsak, ki dela v IT-ju se je s tem že srečeval. Tu ni noben proizvajalec neka svetla izjema. Naj še tako vneto testirajo popravke - čisto vseh scenarijev pač ni možno v naprej predvideti.

Vse, kar je bilo napisano zgoraj za Cisco, velja enako tudi za HP, Dell,.... Razlika je zgolj v razprostranjenosti enih in drugih rešitev na določenih področjih in regijah. Pri nas vsaj po občutku pri routerjih in klasičnih požarnih pregradah prednjači Cisco. V kakšni drugi regiji pa lahko tudi kakšen drugi proizvajalec.

Zanimivo bi bilo videti kakšno raziskavo, koliko je dejansko 'tam zunaj' zastarele (EOL) opreme po proizvajalcih. Opreme, ki dokazano ima ranljivosti, za katere pa ni in ne bo na voljo popravkov.

Mislim, da je to kar dejstvo, da je za nekatere Cisco zakon. Marsikatero okolje poganja Cisco opremo 30+ let in se je v celoti prilagodilo / optimiziralo za te rešitve - tako z (dragim) šolanjem in certifikacijo kadrov, kot tudi z dodatnimi rešitvami, s katerimi so nadgrajevali funkcionalnost opreme. V tem času je marsikdo tudi odkril uporabnost nekaterih proprietary rešitev, ki jih ponuja samo Cisco in jih uspešno implementiralo v svoje okolje.

Iz takega okolja iztrgati Cisco rešitve in jih nadomestiti s čemerkoli drugim ni preprosto, saj se lahko podre cel ekosistem, ki je bil zasnovan na teh rešitvah.

V teh primerih vsaj direktno ne moreš govoriti o 'butastih uporabnikih'. Prej o preveč naprednih uporabnikih, ki so ujeti v zgodovino in pasti proprietary rešitev.

O butastih uporabnikih, bi lahko govoril v primeru, ko gredo uporabniki kupovati opremo za katero se ve, da se jo bo opustilo, namesto da bi nabavili novi model istega proizvajalca (če že mora biti isti proizvajalec), kateri nadomešča rešitve, katerim je EOL pred vratmi. Še bolj pametno pa bi bilo izkoristiti to priložnost za reevaluacijo razpoložljivih alternativnih rešitev.

Imamo pa tam zunaj cel kup dejansko 'butastih' uporabnikov (ne samo Cisco opreme!). Nekje so kupili 'router', za katerega pravzaprav niti ne vedo, kaj točno dela. Prodajalec jim ga je skonfiguriral v 15 minutah in od takrat se ga ni dotaknil nihče več. 'Ne diraj lava dok spava'. Če so kupili kakovostno opremo, je ta lahko stara desetletje in več - nameščena pa ima še vedno firmware izpred enega desetletja - brez kakršnihkoli popravkov. TO pa je dejansko zaskrbljujoče.

damjanster ::

Sem par let nazaj poslušal predstavitev rešitev podjetja Arista, ki veljajo za vrhunske strokovnjake na področju mreže.
Njihova stikala so takrat poganjala Fedora Linux. Ob tem pa so razvili mrežni "core" management del, ki je sicer proprietary in dela s cisco sintakso, da je mrežarjem lažje nastavljati.
Ne da se mimo dejstva, da to stikalo uporablja linux. In kljub temu, da je notri polno zadev, ki bi jih marsikdo smatral kot "beta", so prisotni v marsikaterem data centru.
Moje mnenje pa je, da ni programske opreme brez napak. Cisco tu ni izjema. Zanimivo pa mi je, da se veliko ljudi obnaša, kot da je cisco neka izjema, kjer zadeve vedno 100% delajo in se tam s patch-i odpravlja le neke ranljivosti, ki so jih strokovnjaki našli v samih protokolih.
Kot sem že enkrat dejal. Če govorimo o alternativi komercialnim rešitvam, ki potencialno vsebujejo back-door-e, je dejstvo, da te obstajajo. Če se odločiš za zamenjavo proizvajalca to še ne pomeni, da si kaj na boljšem.
V pomislek bi dodal še to: back-door-i so prisotni tudi v "open" projektih. Če se backdoor skrije tja, ga potencialno posrkajo vsi proizvajalci (npr. OpenSSL ).

Kljub backdoor-om smo največja nevarnosti ljudje sami. Veliko lažje je dobit informacije od ljudi, kot s prisluhi mreže.

deadbeef ::

Palo Alto Networks, CheckPoint, Cisco ASA w/ FirePOWER... so več ali manj edino primerne požarne pregrade za enterprise okolja.. pfSense, Mikrotik, DD-WRT in ostale igrače so res samo za doma ali v manjših podjetnih.

poweroff ::

deadbeef je izjavil:

Palo Alto Networks, CheckPoint, Cisco ASA w/ FirePOWER... so več ali manj edino primerne požarne pregrade za enterprise okolja..

Saj tega noben ne zanika. Vprašanje je, koliko takih enterprise okolij imamo v Sloveniji. 10, 50, 100?
sudo poweroff

SeMiNeSanja ::

deadbeef je izjavil:

Palo Alto Networks, CheckPoint, Cisco ASA w/ FirePOWER... so več ali manj edino primerne požarne pregrade za enterprise okolja.. pfSense, Mikrotik, DD-WRT in ostale igrače so res samo za doma ali v manjših podjetnih.

Odvisno kako velike 'Enterprise' mreže gledaš.
Naša podjetja spadajo v kategorijo SME (small to medium enterprise), kjer pa v svetu precej veliko vlogo igrajo proizvajalci (po abecedi) Barracuda, Cyberoam/Sophos , Dell SonicWall, Fortinet, McAffee, WatchGuard in še nekaj 'marginalcev'.

Vsi našteti imajo v ponudbi rešitve, ki zadoščajo tudi potrebam največjih podjetij pri nas, pogosto z mnogo bolj preprostim upravljanjem in bistveno nižjo ceno, kot PA, CheckPoint in Cisco.

Če pogledaš zadnji NSS Labs report UTM/NGFW rešitev iz lanskega leta, se celo pokaže, da 'Big Enterprise' rešitve pravzaprav niso v nobeni posebni prednosti, ter da so jih SME rešitve po kakovosti v bistvu že prehitele.
 NSS Labs Security Value Map

NSS Labs Security Value Map

Markoff ::

FBI meni, da je za vdor kriva Kitajska ali Rusija, ne pa ameriške obveščevalne službe.

Weapons of (m)ass destruction all over again? Whodunnit this time? Tole s Kitajsko in Rusijo je samo na prvo žogo, pravega krivca bodo našli drugje. Bom ugibal. Iran?
Kdo pa je Irancem podtaknil Stuxnet?
Axis of evil se je premaknila malo proti zahodu. No, precej.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Iatromantis ::

Precej bolj zanimivo kot kdo bolj obvlada Ent.Firew. je predvidevanje, da si je NSA mogoče sama prežagala vejo in omogočila backdoor tretji stranki. Vse kaže, da je popravek firmwara spremenil samo ti. Q konstanto v Dual_EC_DRBG algoritmu - ki jo je nekdo neavtorizirano spremenil v Juniperjevih usmerjevalnikih leta 2012. To kaže, da je morda bila izrabljena osnovna ranljivost v tem algoritmu, za katero se upravičeno domneva, da je NSAjev backdoor. Zdaj Juniper trdi, da je sama implementacija tega algoritma imela drugačen Q od priporočenega s strani NISTa in NSAja in da so uporabljali dodaten ANSI algoritem, ki naj bi pokril osnovne ranljivosti Dual_EC_DRBG algoritma, a kako priročno se zaradi napake v kodi, ANSI algoritem nikoli ni sprožil. Vse to je sumljivo, ni pa seveda neizpodbiten dokaz.

Več na http://blog.cryptographyengineering.com...

imagodei ::

deadbeef je izjavil:

Palo Alto Networks, CheckPoint, Cisco ASA w/ FirePOWER... so več ali manj edino primerne požarne pregrade za enterprise okolja.. pfSense, Mikrotik, DD-WRT in ostale igrače so res samo za doma ali v manjših podjetnih.

Da še mal sprovociram... Zakaj naj bi zgoraj navedeno veljalo? Predvsem prvi del, namreč da so samo navedeni vendorji OK za Enterprise okolja?

Samo zaradi vgrajenih ASIC čipov, ali zakaj? Kaj lahko recimo naredi ASA bolje, kot npr. iptables v navezi z IDS/IPS, oboje teče na namenski mašini? Ali pa VyOS?

Kje vidite probleme? (In ja, tudi jaz jih vidim - bi pa želel vaše inpute o tem.)
- Hoc est qui sumus -

SeMiNeSanja ::

A letter to Palo Alto Networks Employees and customers

Toliko o 'edinih primernih požarnih pregradah'....

pegasus ::

Nisem vedel, da imamo tudi v net-sec svetu toliko fanboisma ... amd/intel, amd/nvidia anyone? Vsak navija za svojo blagovno znamko, verjetno za tisto, ki jo najbolj pozna. Dejstvo je, da ti blagovna znamka tu čisto nič ne koristi, če ne razumeš širše slike varnostne politike in če je ne znaš implementirati na tvoji priljubljeni napravi.
Bolj zaskrbljujoče dejstvo je, da se danes IT dogajanje seli v okolja izven dometa takih škatel (cloud etc) in da se grožnje selijo na višje nivoje (spear phishing & apt), kjer L2/L3 varnost ne more bistveno vplivati nanje in jih preprečiti. Zato so razni fanboi izpadi popolnoma pod nivojem ...

SeMiNeSanja ::

Nebi ravno rekel, da se seli, prej da se širi še v cloud, ki ga je še težje nadzirati.

Definitivno pa se varnost začne pri 'razumevanju širše slike', saj brez tega ne boš sposoben izbrati ustreznega orodja in ocenjevati realno vrednost orodij, ki ti jih ponujajo različni ponudniki.

Drugače pa niti nebi toliko govoril o 'fanboy-ih' kot o lobijih. Določena okolja so tako globoko prežeta z rešitvami nekega določenega proizvajalca, da nikogar niti ne zanima, kaj dejansko druge rešitve ponujajo oz. omogočajo. Ko se kupuje nova oprema, je potem že v osnovi pogoj, da mora biti 100% združljiva s staro in orodji, ki so jih doštrikali, da jim je stara oprema kolikor tolikor delala, kar se od nje pričakuje.

Niti se ne gre za kak 'vendor lock-in', bolj za pašnike dvornih dobaviteljev, ki imajo prodajo zagotovljeno že v naprej, izbira se zgolj še proizvod, s katerim bodo dosegli največji zaslužek. ZATO so PaloAlto, Cisco in Checkpoint pri nas najbolj prodajane rešitve. Če so najboljše, pa pri tem nikogar ne zanima.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8827884 (24900) Manna
»

Sumljive podrobnosti o Juniperjevih stranskih vratih

Oddelek: Novice / Varnost
85353 (2887) SeMiNeSanja
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6730051 (25595) AC_DC
»

Podrobnosti o Juniperjevih stranskih vratih

Oddelek: Novice / Varnost
124940 (3364) čuhalev
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5326820 (23822) bobby

Več podobnih tem