Nedobytny system

[Pavel Kankovsky]

On Fri, 12 Jun 2009, Miroslav Vancl wrote:

> neporadil by mi nekdo instalaci (distribuci) extremne zabezpeceneho
> systemu vhodneho napr. pro CA ?

S jistou dávkou jedovatosti bych mohl říct, že když se něco takového 
musíte ptát, tak potřebujete mnohem větší pomoc než jen odpověď na tuto 
otázku. :P

Pokud potřebujete "extrémně zabezpečený systém", tak musíte vyřešit 
spoustu dalších věcí (fyzické zabezpečení, organizační opatření atd.) a 
obvykle je žádoucí to nepojímat jako zcela izolované záležitosti (např. 
je enóno platné, že máte podepisovací klíče uložené nedobytně v HSM za 
mega, když vydávání certifikátů kompletně řídí webová aplikace děravá jak 
řešeto).


On Fri, 12 Jun 2009, Dalibor Straka wrote:

> AFAIK pro CA se pouziva pocitac oddeleny od site. Kdyz se neco
> vygeneruje, zkopiruje se na medium a prenese ;).
> 
> Pokud na tom stroji pobezi nejake sluzby na portech, bude napr. CA
> potencialne ohrozena.

Hrozbu mohou představovat i data na médiu. Dokonce v jistém smyslu horší 
než data ze sítě, protože odolnosti jádra jakéhokoli OS proti zmršeným 
paketům bych obecně věřil přece jen víc než odolnosti proti zmršenému 
souborovému systému.

Možná by byl nejlepší starý dobrý null modem. :)

> Ve vasem pripade bych doporucoval spise zabezpeceni formou vhodne
> struktury, a navrhu propojeni pres firewally, dobre nastavene switche, 
> vlany, pristup pres vpn, detekce, zalohy...

Viděl už jsem dost průniků s hodně dramatickými následky, při kterých
všechny firewally, IDS, IPS a ostatní podobné potvory po cestě jen stály
v pozoru a poslušně salutovaly.

Důvod byl prostě ten, že útok byl veden někde vysoko v aplikační vrstvě, 
kde už to pro ně byla už jen naprosto nesrozumitelná data, u kterých 
nedokázaly rozlišit, jestli jsou dobrá nebo špatná. Někdy to bylo tím, že 
se nikdo nenamáhal jim dodat příslušné informace, někdy to ale bylo 
v principu nad jejich schopnosti.

(Podotýkám, že ty průniky byly ve většině případů práce někoho jiného
než mé maličkosti.)

> Drobne prekazky na systemu tj. lokalni firewall, system bez kompilatoru,
> noexec/nosuid... svazky, read-only svazky, sifrovane partition, selinux
> jsou uz jen tresnicka na dortu. Podle me je sikovny utocnik, kdyz uz se
> na system dostal, muze obejit.

Vyjmenovaná opatření jsou značně nesourodá a tvrzení, že je "útočník, když
už se na systém dostal, může obejít", je takto všeobecně dost zavádějící.

Lokální firewall a šifrované disky slouží především k obraně proti jiným 
rizikům.

Svazky jen pro čtení mohou být velmi účinné opatření, zejména když je 
podpořené samotným hardwarem. Myslím, že na CD vložené do CD-ROM mechaniky 
nezapíšete, ani kdybyste se rozkrájel.

SELinux je od samého počátku koncipovaný tak, aby jeho politiku nebylo
možno za běhu systému obejít jinak než přímým znásilněním jádra. Pokud
ho používáte s dobře koncipovanou striktní politikou, tak je to velmi 
účinný prostředek.


On Fri, 12 Jun 2009, Michal Dobes wrote:

> Nedobytný systém neexistuje. :-)

Existuje, pohříchu je to ovšem spojeno s tím, že je většinou současně
naprosto nepoužitelný. ;)


-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21th century edition /