Nädal 14: Andmeturveː tehnoloogia, koolitus ja reeglid

Andmeturve: Copy Fail ja Mitnicki valem

Selle nädala teema oli andmeturve ja ülesanne oli valida üks suurematest IT-turvariskidest ning analüüsida seda Mitnicki valemi kolme komponendi kaudu: tehnoloogia, koolitus ja reeglid. Valisin hetkel väga aktuaalse teema ja mida ise tööl ka lahendama pidin.

Mis on Copy Fail?

Copy Fail (CVE-2026-31431) avalikustati 29. aprillil 2026 ja see on Linuxi kerneli turvaauk mis on olnud olemas alates 2017. aastast. Sisuliselt laseb see tavalisel kasutajal ilma mingite eriõigusteta saada root ehk täieliku kontrolli süsteemi üle. [1] Kõige hullem on see et exploit on 732 baiti pikk Pythoni skript mis töötab muutmata kujul kõikidel suurematel Linuxi distributsioonidel: Ubuntu, RHEL, SUSE, Amazon Linux, Debian, kõik. See ei vaja mingeid race condition'e ega kerneli offset'e, see lihtsalt töötab. Iga kord. [2] Viga on Linuxi kerneli krüptograafia alamsüsteemis, täpsemalt algif_aead moodulis. 2017. aastal lisati optimisatsioon mis lubas teatud operatsioone teha "in-place" ehk samas mälupesas. See tegi kogemata võimalikuks kirjutada 4 baiti kerneli page cache'i, mis tähendab et saad muuta näiteks su või sudo programmi mälus olevat koopiat ja saad root shelli. [3] Eriti ohtlik on see konteinerite keskkonnas sest page cache on jagatud kõigi protsesside vahel. See tähendab et ühest konteinerist saab välja murda ja terve hosti üle võtta. [4] CISA lisas selle oma Known Exploited Vulnerabilities kataloogi ja nõuab et föderaalsed asutused parandaksid selle kahe nädala jooksul. Rünnakuid on juba tuvastatud. [5]

Mitnicki valem: tehnoloogia × koolitus × reeglid

Tehnoloogia

Esimene samm on kernel uuendada. Parandus (commit a664bf3d603d) on olemas ja see võtab tagasi selle 2017. aasta optimisatsiooni mis probleemi tekitas. Kui kohe uuendada ei saa siis tuleb algif_aead moodul ära keelata: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf Konteinerite puhul tuleks blokeerida AF_ALG socketite loomine seccomp poliitikaga. Cloudflare kirjutas oma blogis, et nende käitumuslikud detektsioonid tuvastasid exploiti mustrit automaatselt ilma, et keegi oleks midagi seadistama pidanud. [6]

Koolitus

IT-inimesed peavad teadma, et selline turvaauk eksisteerib ja oskama kiirelt reageerida. Aga ka tavakasutajad peaksid teadma, et Linuxi süsteemid ei ole automaatselt turvalised lihtsalt selle pärast, et nad on Linux. See on üks levinud müüt mida selle nädala teemas ka mainiti. Copy Fail tõestab, et ka Linuxil on tõsiseid turvaaukke ja neid tuleb paigata. Tööl pidin ise ka kiirelt tegutsema, sest meie Proxmox serverid jooksevad Debiani kernelil ja olid haavatavad. Kui ma poleks turvasõnumeid jälginud oleks võinud reageerimisega hilja jääda.

Reeglid

Reeglite pool on see, et organisatsioonidel peab olema paigas protsess kuidas kriitiliste turvaaukudega tegeleda. Kui kiiresti peab reageerima? Kes vastutab? Kas on olemas plaan olukorraks kus kerneli uuendus pole kohe saadaval? Copy Faili puhul oli mitu päeva kus distributsioonide patchid polnud veel väljas aga exploit oli juba avalik. [7] Ilma selgete reegliteta jääb keegi ootama ja süsteemid on haavatavad.

Kokkuvõtvalt

Copy Fail on suurepärane näide sellest miks Mitnicki valem kehtib. Ainult tehnoloogiast ei piisa kui keegi ei tea, et probleem on. Ainult koolitusest ei piisa kui pole reegleid mis ütlevad mida teha. Ja reeglid ei aita kui pole tehnilist lahendust. Kõik kolm PEAVAD koos töötama. See turvaauk peitus kerneli koodis üheksa aastat ja kellelegi ei jäänud silma enne, kui tehisintellekt selle leidis. See paneb tõsiselt mõtlema kui palju selliseid turvaauke veel seal peidus on.

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Nädal 1: Kolm põnevat IT-lahendust

Kujutis
Kolm põnevat IT-lahendust Siin on kolm IT-lahendust, mis mulle on eriti eredalt meelde jäänud. Need näitavad hästi, kui oluline on mõju, ajastus ja disain. Üks tõi täiesti uue harjumuse, teine läks oma ajast kümme aastat ette ja kukkus kolinal läbi, ning kolmas oli oma ajast liiga ees ning väga veider, et keegi sellise asja peale sel ajal tuli. Justin.tv -  Esimeseks, veebileht mis tekitas tõelise revolutsiooni IT ning interneti maastikul  Justin.tv sai alguse 2007. aastal, kui asutaja Justin Kan otsustas oma elu ööpäevaringselt otse jagada.[1] Joonis 1. Justin Kan ning tema veebileht Justin.tv  See kasvaski päris kiiresti platvormiks, kus igaüks võis oma kanali teha ja otse-eetris olla. Kui mängusisu muutus kõige populaarsemaks, rebrändisid Justin.tv firma liikmed selle 2011. aastal Twitchiks.[2] Joonis 2. Twitch aastal 2011  Just reaalajas vestlus ja kogukond muutsid voogedastuse tõeliselt elavaks. Loojad said aru, et otseülekande  põhi võlu on otse kasutajate...
Lisateave

Nädal 7: Tarkvaralitsentsid: EULA, GPL ja BSD

  Naatan Nohiku tarkvaraprojektil on valida kolme litsentsi vahel ja see valik on elu või surma küsimus (okei, mitte päris aga tähtis ta on ikka). Litsents määrab ära, kes su koodi kasutada saab ja mida sellega teha tohib. EULA - suletud lähtekood EULA ehk  End-User License Agreement  on see, mida näed iga kord kui installid mingit tasulist tarkvara ja vajutad "I Agree". Keegi ei loe neid aga nõustud ikka. Suurim pluss on kontroll: keegi ei näe su lähtekoodi, keegi ei saa seda kopeerida. Kui tahad raha teenida litsentside müügiga, siis EULA on loogiline valik. Küll aga valides EULA oled oma projektiga üksi, kõik arenduskulud on sinu kanda ja kasutajad ei saa kontrollida, mida kood tegelikult teeb. EULA headeks näideteks tooksin näiteks Epic Gamesi  ning Adobe . GNU GPL - tugev copyleft GNU GPL  on Richard Stallmani leiutis mille põhimõte on lihtne: kui kasutad GPL-koodi, pead ka sina oma koodi samadel tingimustel jagama. Seda nimetatakse  copyleft 'iks. [ 1...
Lisateave

Nädal 3: Uus meedia...?

Kujutis
Uus meedia?  Uue meedia “oskuslik kasutus” ei tähenda minu jaoks lihtsalt seda, et lehel on kuskil lehekülje versioon olemas. Pigem loeb see, kas sisu liigub loomulikult eri platvormidel ja vormides ning kas kasutaja saab mugavalt valida, kuidas ja millal infot tarbib. Veel rohkem loeb tänapäeval, et meedia oleks ka interaktiivne, silmapilke korjav ja saaks luua dialoogi (kommentaarid, tagasiside jne) Üks, mis kasutab uut meediat oskuslikult (Hea näide) - ERR Kui ma mõtlen hea näite peale, siis ERRi puhul meeldib mulle kõige rohkem see “üks koht, mitu vormi” loogika: uudised, raadio, tele, arhiivid ja eraldi keskkonnad (nt Jupiter ja Eeter) on seotud nii, et ma ei tunne, nagu avaksin lihtsalt telekanali kodulehe, vaid pigem tervikliku platvormi.  Joonis 1. ERR Koduleht err.ee ERRi tugevus tuleb minu jaoks eriti välja kasutusmugavuses. Näiteks reklaamivabadus pole lihtsalt “ilus tunne”, vaid lausa seadusesse kirjutatud põhimõte (vähemalt üldreeglina), mis muudab keskkonna rahul...
Lisateave