A Githubon lévő dolgok forráskódjait valaki valamivel ellenőrzi?
Információbiztonság, kiberbiztonság, adatvédelem - Infotech fórum
üzenetek
hozzászólások
Van egy jó képem a hatályról, az NKI egyik (nyilvános) előadásából:
Ezen minden látszik (a felügyeleti szervek is).
[ Szerkesztve ]
Kozpontositottan biztosan nem. Talaltam ott olyan C2 servert, amiben volt egyetlen obfuszkalt sor; azok a marhak, akik letoltottek es hasznaltak ezt a szervert, onkent es dalolva adtak hozzaferest a sajat rendszerukhoz a program irojanak.
Sajnos nem fekete-feher a dolog. Egyes fejlesztoknek lehetnek vakfoltjaik - azaz kovetkezetesen ugyanazt a hibat veti minden kodjaban. Ha ez nyilvanossagra kerul, minden script-kiddie raveti magat.
Ez nagyon durván hangzik... Nekem ez a bajom az ilyenekkel, hogy 1. ez a marha akár én is lehetnék 2. miért nem csinálnak valamit hülyebiztosra? Sokan látogatják a Githubot világszerte, erre már azért az M$ valamit kitalálhatna.
Miért az MS? Mi köze hozzá? Ő csak tárhelyet ad. Az, hogy a user nem nézi meg mit tölt le csak használja, nem az MS problémája.
sh4d0w #2283: ez akkor olyan volt mint a Solarwinds-es balhé 2019 végén?
Úgy rémlik, hogy van víruskeresés beállítva rá. Magát a forráskódot is ellenőrzik a feltöltők, szerkesztők, közösség, főleg ha népszerű projekt, de azért mindenben vannak biztonsági hibák.
section9
(őstag)
A Github fejlesztoknek es power usereknek szol. Biztos van valami best effort probalkozas, hogy a karos tartalmakat szurjek (es ha jelentesz valamit akkor megvizsgaljak), de azert ez nem az Apple/Google Play Store, hogy hulyebiztos legyen. 
Miért az MS? Mi köze hozzá?
Az, hogy van della, illetve mert az övék. Lenne miből ezt is fejleszteni. Persze majd a Githubot is nem azért vették meg, mert befektetés nekik? 1-2 ügyesebb szoftverkészítőt biztos megfűztek már azóta, hogy dolgozzon nekik.
[ Szerkesztve ]
A Github fejlesztoknek es power usereknek szol.
Azért 1-2 dolgot már húztam be onnan én is, illetve valamit CSAK oda töltenek fel (emlékeim szerint), pl. FanControl, LibreWolf, meg egyéb openszósz dolog.
Kb igen, csak itt ugye a nagysagrend lenyegesen kisebb. Azert botlottam bele, mert kivancsi voltam, a "publikus" C2 szervereknek milyen kepessegei vannak es a sok pythonos forrasban sehol mashol nem volt obfuszkacio ezen programon belul, csak itt, gondoltam megeri utana jarni.
Egyebkent elgondolkodtam kicsit ezzel az xz-balheval kapcsolatban.
A forraskod analizise szerint a fertozott ssh daemonban csak akkor triggerelodik az RCE, ha az utasitas a tamado publikus kulcsaval van kodolva. Mivel az sshd rootkent fut, ezert termeszetesen az igy kapott parancsok is.
Mi van akkor, ha en visszafele is hasznalni akarom ezt a fegyvert? A shared objectben kicserelem a tamado publikus kulcsat a sajatomra, igy csak en tudok rootkent parancsokat kuldeni az sshd-nek. Nem kell hozza root jelszo, nem kell MFA, semmi extra.
Meg nem gondoltam teljesen vegig, csak gondolatkiserlet, de a velemenyetekre kivancsi vagyok.
section9
(őstag)
Gondolatkiserletkent teljesen jo, de miert tennel ilyet? Szerintem az SSH root login es az MFA bypass egy hardenelt gepen serulekenyseg, nem feature. Egyedul akkor hasznos ez, ha backdoort szeretnel hagyni valahol, akkor viszont nagyon, mert a parancsok direkt system functionbe mennek szoval meg logolas sincs.
Nem vitatkozunk ezen. A kísérlet lényege, hogy tudunk-e vmit hasznosítani a támadásból a triviálison kívül, pl. lehet-e ez egyfajta Break the Glass?
[ Szerkesztve ]
Adathalász sms-eket valahol be lehet jelenteni? A telekomnál elvileg igen, de a yettelnél vagyok. Mondjuk fura hogy nem találtam ezzel kapcsolatos rendőrségi linket, pedig a megelőzés, figyelmeztetés mellett nyomozhatnának is proaktívan.
Onnan elhajtanak.
Az NMHH-nál lehet magánszemélyként ilyet bejelenteni.
Az NKI csak a hozzájuk tartozó szervezetektől fogad el incidens bejelentést.
[ Szerkesztve ]
A 3 hónap az régnek számít? Engem akkor tájékoztattak, hogy kösöznik a bejelentést, de ez a felület nem erre való.
[ Szerkesztve ]
