Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Criminelen misbruiken Europese supercomputers voor delven cryptovaluta

18-05-2020, 22:36 door Anoniem, 45 reacties
Leuk.... Blijkbaar duurt het even voordat men het door heeft. Maar hoe is een supercomputer toegankelijk via een UserID/Password? Hoe kan het zijn dat dit soort systemen niet via een MFA/2FA werken?

https://www.ad.nl/tech/criminelen-misbruiken-europese-supercomputers-voor-delven-cryptovaluta~a43283fa/
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/

According to Doman's analysis, once attackers gained access to a supercomputing node, they appear to have used an exploit for the CVE-2019-15666 vulnerability to gain root access and then deployed an application that mined the Monero (XMR) cryptocurrency.
https://nvd.nist.gov/vuln/detail/CVE-2019-15666

Hoe kan het zijn dat dit soort systemen niet gepatched zijn?
Deze security patch is van een JAAR geleden.

Geeft mij nu niet echt een veilig gevoel. Dit betekend eigenlijk dat alle data die deze machines berekend hebben, gecomprimeerd kan zijn, maar ook gekopieerd kan zijn. Datalekje?

Je zou toch ook denken dat Security bij dit soort beheerders bekend is moet zijn?

MIsschien moeten deze beheerders eens bij een Microsoft beheerder langs gaan, om te kijken hoe je een omgeving patched?
Reacties (45)
19-05-2020, 11:26 door Erik van Straten - Bijgewerkt: 19-05-2020, 11:27
Door Anoniem: MIsschien moeten deze beheerders eens bij een Microsoft beheerder langs gaan, om te kijken hoe je een omgeving patched?
Moet nou elk topic op deze site ontaarden in een zielige en zinloze Microsoft / non-Microsoft discussie?

In alle soorten software gemaakt door alle soorten programmeurs worden, aan de lopende band, securityfouten ontdekt en (in de meeste gevallen) gepatched. Als je die patches niet uitrolt moet je er niet van opkijken dat je gehacked wordt.
19-05-2020, 12:08 door Anoniem
Door Erik van Straten:
In alle soorten software gemaakt door alle soorten programmeurs worden, aan de lopende band, securityfouten ontdekt en (in de meeste gevallen) gepatched. Als je die patches niet uitrolt moet je er niet van opkijken dat je gehacked wordt.
Maar ook de accounts waren dus niet met een 2de factor authenticatie geconfigureerd. Wel redelijke blunders.

Zeker omdat hier iedere keer vermeld dat dat Linux zo gemakkelijk te updaten is.
Alle supercomputers Linux draaien.
Userid/password bij Microsoft systemen zo vaak aangehaald wordt.
Universiteit Maastricht, was alleen Windows gehacked en niet de Linux systemen.

Alles valt nu alleen door de mand, het is ook gewoon een gatenkaas.
19-05-2020, 12:28 door Anoniem
@ Erik van Straten,

Ook deze zinloze oppositionele discussie een beetje zat.
Het voegt zo weinig toe aan het geheel, het versterkt alleen maar de blinde vlekken en vooroordelen, die er bestaan.

Natuurlijk blijft het feit volledig overeind dat de algemene veiligheidssituatie eigenlijk in feite constant al flink onder de maat is. Ga meer eens doorspitten op IP nummers met bijvoorbeeld een resource als shodan.io, dazzlepod IP nmap, urlscan.io, privacy.io via specifieke zoekacties of kijk eens via een extensie als Vulners websscanner op websites dan kom je als het ware om in de onveiligheid, SSL Grade scan, CSP evaluatie, RECX Security Analyser, reire.js en je kunt je lol op.

Veel hacks en overnames mogelijk via PHP-gerelateerd CMS, zoals vooral Word-Press en Magento
(ja ook nog steeds Magento 1). Scan maar eens een webshop site via magereport.

Security researchers zouden eigenlijk om moeten komen in het werk.

Toch worden er te weinig eisen gesteld. Bepalen CEO & (marketing) managers het beveiligingsbeleid,
dat er uitgerold wordt en niet de mensen, die er verstand van hebben.
Die laatsten manen wel, maar bepalen niet.

De hele infrastructuur heeft veel weg van een zinkende Titanic waarbij het orkest doorspeelt.
Oh, kijk eens hier: https://greynoise.io. Zou een eye-opener moeten zijn.

Maar de gang van zaken lijkt veel op het schilderij van Breughel,
waarbij de een na de andere (security-)blinde in de gracht belandt.

luntrus
19-05-2020, 17:13 door karma4
Door Anoniem: @ Erik van Straten,

Ook deze zinloze oppositionele discussie een beetje zat.
Het voegt zo weinig toe aan het geheel, het versterkt alleen maar de blinde vlekken en vooroordelen, die er bestaan.
...
Maar de gang van zaken lijkt veel op het schilderij van Breughel,
waarbij de een na de andere (security-)blinde in de gracht belandt.

luntrus
Prima opmerkingen. Wel een goed vergelijk met dat schilderij van Breughel,
Waarom niet alle drie:
Triomf van de Dood - Pieter Brueghel de Oude of de kleine toren van Babel je bedoelt-> De parabel der blinden
19-05-2020, 17:18 door The FOSS
@karma4: ROFL! (Otto)
19-05-2020, 19:04 door linux4
@Erik van Straten: Gewoon niet reageren op deze anonieme trol. Begrijp helemaal niet dat men anoniem topics kan starten op deze site.
19-05-2020, 19:10 door Anoniem
ach wel lekker compact toch ..gecomprimeerd.
19-05-2020, 22:31 door Anoniem
@karma4,

Ineens als er een 'out-of-bounds-array access in de Linux kernel voor 5.0.19 uit 2019 aan de orde wordt gesteld,
vanwege recent misbruik door cybercriminelen, wordt dit aan de orde stellen toegeschreven aan een trol alhier.

Info, die niet zo op prijs wordt gesteld wordt a priori verspreid door trollen uit de propriety code fabriek en erger.
Ik voel me echter niet aangesproken en ik hoop de OP ook niet.

Hier een antwoord over het gevaar van zulk onvoorspelbaar gedrag:
https://stackoverflow.com/questions/15646973/how-dangerous-is-it-to-access-an-array-out-of-bounds#15647634

Opgelost [SOLVED] zie de volgende change records:
https://nvd.nist.gov/vuln/detail/CVE-2019-15666#VulnChangeHistorySection

Wie niet op tijd patcht heeft voortdurend wat te vrezen, ongeacht het OS of de soft- en hardware in kwestie.
Die vaststelling staat als een huis, niet op tijd updaten en patchen is de code-kat op het spek binden.

Zie: https://search.privacytools.io/ search-query = array out of bound linux kernel-> http://lkml.iu.edu/hypermail/linux/kernel/0802.0/3217.html

Initialiseren dus met de proper size als voorzorgsmaatregel. Net als bij regeren is coderen vooruitzien.

Welke vraag stelde de docent HBO IT studies steeds aan de eerste jaars na afloop van een toets?
"Wat is de strekking van een array?". Dit niet weten, is dus nog steeds niet verder kunnen.

Het wordt er gewoon bij de opleiding ingestampt en dan later gaat het nog soms fout.
Het gaat er niet om wat je leert, het gaat erom wat je niet vergeet en blijft onthouden.

Daarbij is elk kritisch leermoment belangrijk en dat is voor een veiligheidsman- of vrouw wel degelijk,
bij een dergelijk ou of bounds misbruik.

Elke hacker leert iemand anders iets en die niet leert, is gedoemd om fouten te herhalen.

luntrus
20-05-2020, 11:06 door Anoniem
Door Anoniem:
Door Erik van Straten:
In alle soorten software gemaakt door alle soorten programmeurs worden, aan de lopende band, securityfouten ontdekt en (in de meeste gevallen) gepatched. Als je die patches niet uitrolt moet je er niet van opkijken dat je gehacked wordt.
Maar ook de accounts waren dus niet met een 2de factor authenticatie geconfigureerd. Wel redelijke blunders.

Zeker omdat hier iedere keer vermeld dat dat Linux zo gemakkelijk te updaten is.
Alle supercomputers Linux draaien.
Userid/password bij Microsoft systemen zo vaak aangehaald wordt.
Universiteit Maastricht, was alleen Windows gehacked en niet de Linux systemen.

Alles valt nu alleen door de mand, het is ook gewoon een gatenkaas.

1) u heeft duidelijk geen ervaring in HPC omgevingen, in veel van deze situaties is mismanagement het werkelijke probleem.

"Bepalen CEO & (marketing) managers het beveiligingsbeleid, dat er uitgerold wordt en niet de mensen, die er verstand van hebben. Die laatsten manen wel, maar bepalen niet."

klopt als een bus. Er heerst namelijk een 'ziekte' van matig middlemanagement in de westerse cultuur met enkel en alleen korte termijn denkers. Doordrongen bij politie, defensie, onderwijs, zorg en politiek, het gaat maar door. Stoere baasjes spelen en excel sheets vullen met pouperpoint consultant BS viert hoogtij en betaald beter dan een vakman/vrouw zijn met ervaring! Je betaalt een vakman / expert namelijk niet voor dagelijkse dingen, je betaalt hem voor precies dat ene kritieke moment waar het er werkelijk om gaat. Het zijn op dat soort momenten weer waar de goedkopere jonge rakkers die er wel nog zijn de situatie enkel maar verergeren.

Een van de citaten in deze saga van zo een rakker is "waarom gebruiken die f*ing gebruikes geen password op hun ssh sleutel, de idiots". Dat is tekenend voor een non-oplossing en onbegrip: een key password kan server side niet afgedwongen worden, er is geen control op de kwaliteit van die passwords, met ssh-agents zijn die passwords niet effectief meer, en als als er op een machine een root exploit is geweest, dan is er ook een rootkit / keylogger en dan doen die passwords ook weer niets. De opmerking van die persoon is dus een paniek voetbal reactie:

https://www.cadosecurity.com/2020/05/16/1318/

[En de zogenaamde best-practice om ssh sleutels ipv passwords te gebruiken, is eentje die bij std beheer via een goed opgezette jumphost oid misschien van toepassing is, maar is in een grote HPC omgeving met vele internationale gebruikers die regelmatig van van UNI / werkgever veranderen, niet zo werkzaam. aldus nu pijnlijk duidelijk blijkt.]


2) er zijn ook HPC omgevingen waarbij de zaken wel beter geregeld zijn en waarbij patches dagelijks/wekelijks doorgevoerd worden, de reken machine niet direct benaderbaar is van het internet en er via een 2FA door node toegang verkregen moet worden:

https://userinfo.surfsara.nl/systems/cartesius/getting-started


3) als je eens goed naar de CVE kijkt, en de geraakte HPC systemen, dan zie je een rode draad: het zijn geen CentOS / RHEL machines, maar ze hebben allemaal een SuSE base. De exploit is ook niet bruikbaar op RHEL 7 (RHEL 8 supers zijn er vrijwel nog niet):

https://access.redhat.com/security/cve/CVE-2019-15666


4) Als je verder in de materie verdiept, dan weet je dat als je SELinux (en bijv rkhunter / AIDE) gebruikt, een hoop van dit soort exploits niet werkzaam zijn en meteen gedecteerd worden:

https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/


Kortom, wat het meest waarschijnlijke is, gezien mijn ervaringen, is dat op die plaatsen waar ze 'gehacked' zijn, de organisatie kapot gemanaged is: technisch vrij uitgehold geraakt van echte profesionals en vervangen zijn door hippe HBOertjes met een windows laptop en een helldesk ervoor die ook wel iets HPCerigs willen doen (zoals dat nu gaande is een beetje bij mijn eigen UNI waarbij veel onervaren beheerders en mensen denken ook wel HPC te doen eventjes en dus ook vele vergelijkbare soort fundamentele foutjes maken en dat gaat goed totdat het eens goed mis gaat. oh en die security officers hebben ook geen HPC ervaring en hun ISO dittem dattum dingetjes die voor kantoor omgevingen opgezet zijn, zijn vaak niet uitvoerbaar en ook niet nodig. daar is ook nog een leercurve te nemen.).


bron:

https://www.archer.ac.uk/status/
https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/
https://www.theregister.co.uk/2020/05/19/supercomputers_mining_bitcoin/
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/
20-05-2020, 12:47 door karma4 - Bijgewerkt: 20-05-2020, 13:09
Door Anoniem: …... oh en die security officers hebben ook geen HPC ervaring en hun ISO dittem dattum dingetjes die voor kantoor omgevingen opgezet zijn, zijn vaak niet uitvoerbaar en ook niet nodig. daar is ook nog een leercurve te nemen.). ….
Jammer. Dat je zo erg duidelijk aangeeft hoe ernstig de mismatch is tussen een machine doosjes fanaat en wat de organisatie nodig heeft. Met HPC is niet enkel een deeltjesversneller maar heb je de big data marketing klant analyse te pakken. Google Amazon zijn er groot mee geworden om de klanten te profileren en daarmee geld te verdienen.

Door Anoniem: @karma4,

Ineens als er een 'out-of-bounds-array access in de Linux kernel voor 5.0.19 uit 2019 aan de orde wordt gesteld,
vanwege recent misbruik door cybercriminelen, wordt dit aan de orde stellen toegeschreven aan een trol alhier.
...
Daarbij is elk kritisch leermoment belangrijk en dat is voor een veiligheidsman- of vrouw wel degelijk,
bij een dergelijk ou of bounds misbruik.

Elke hacker leert iemand anders iets en die niet leert, is gedoemd om fouten te herhalen.

luntrus
Je hebt gelijk. Mijn ergernis in dat kader https://www.toezicht.dnb.nl/binaries/50-237685.pdf
Bj 7.1 segregation of duties:
-Voor accounts met hoge rechten (bijvoorbeeld beheerdersaccounts) past de instelling two­factor authenticatie toe.
- De instelling staat het gebruik van generieke en gedeelde accounts niet toe; voor uitzonderingen op deze regel tekent senior management af.
- De functiescheiding wordt ondersteund door een adequaat Identity and Access Managementsysteem (IAM), zie ook de controls 17.1 en 17.2.

Bij 8.1 Personnel recruitment and retention
- De instelling trekt medewerkers aan met kennis van informatiebeveiliging en cybersecurity die past bij de ambitie en het risicoprofiel van de instelling.
- De instelling investeert in het op peil houden van het kennisniveau van medewerkers door middel van opleidingen en trainingen op het gebied van informatiebeveiliging en cybersecurity.

Bij 8.3 Dependence upon individuals
- De instelling heeft maatregelen getroffen te grote afhankelijkheid van individuen te beperken binnen haar risicotolerantiegrenzen.

En dan zie je dat OSS fanatici OS flamers dat soort zaken afbranden, onmogelijk zitten te maken.
Deze aanwijzing van de toezichtshouder staat er al vele jaren. Inhoudelijk ziet dat document er goed uit.
De werkelijk controle laat te wensen over, het insturen van een eigen verklaring vanuit de directie werd als voldoende gezien. De rekenkamer met een stand van zaken. Doorlezend kom ik NVB als onderdeel van AIVD tegen. De BOF zal wel ageren dat het een sleepnet gebeuren is. Dat de AIVD geen producten mag onderzoeken. https://www.rekenkamer.nl/actueel/nieuws/2020/05/20/beveiliging-informatie-geen-prioriteit-bij-ministerie-van-buitenlandse-zaken
20-05-2020, 12:56 door Anoniem
@ anoniem van 11:06

Een "gouden" draadje ontwikkelt zich hier. Luisterde maar eens iemand naar wat hier door ued. wordt aangekaart.
De gelegenheid maakt echter wel de cybercrimineel of die nu uit Rusland of de Oekraine stamt, China of de USA.

Waarom worden degenen die aperte fouten maken middels hun opleiding via de "roeivereniging etc.", niet eens een keer verantwoordelijk gehouden voor de blunders die ze veroorzaken en wat ze de maatschappij eigenlijk kosten?

Allemaal schade veroorzaakt door arrogante ballen en ze zitten letterlijk overal binnen bedrijfs- en maatschappelijke structuren. Managment en culturele studies brengen dit soort van marketing gerichte figuren voort. Crisismanagment uitoefenen daar waar eigenlijk geen enkel crisismanagment meer mogelijk is. Code vertalen in Mandarijnchinees, zoiets.

De goede student is bescheiden, blijft vragen stellen, begrijpt wat ie leert. Twijfelt tot ie dingen zeker denkt te weten,
neemt uiteindelijk alleen iets aan op eigen inzicht. Maar ja als je al afhankelijk bent van subsidies en sponsoren door hun "hoax preken" verder te moeten verkondigen, kom je alleen nog na je pensionering met een onafhankelijke eigen mening.

Je komt ook later nauwelijks meer aan het woord, de conformist is namelijk wars van wie de gebaande paden doorkruisen wil. Die worden al aan het begin graag "pootje gelicht".

Want wie managet weer die middelmatige middle-managment mannetjes en vrouwtjes? Daar zijn de antwoorden te vinden voor vele problemen in onze bange dagen.

Ik merk, u spreekt uit de praktijk. Ik hoop dat u stem beter en vaker wordt gehoord. Door mij in ieder geval wel,
Weer veel van opgestoken en daarvoor heel veel oprechte dank,

luntrus
20-05-2020, 15:00 door Anoniem
"Jammer. Dat je zo erg duidelijk aangeeft hoe ernstig de mismatch is tussen een machine doosjes fanaat en wat de organisatie nodig heeft. Met HPC is niet enkel een deeltjesversneller maar heb je de big data marketing klant analyse te pakken. Google Amazon zijn er groot mee geworden om de klanten te profileren en daarmee geld te verdienen."


karma leg mij geen woorden in de 'mond'. je trekt de verkeerde conclusie en schrijft onzin. jij bent alles behalve een authoriteit en zeker niet op het gebied van HPC en profesionele unix omgevingen. je bent absoluut niet geschikt om in te kunnen schatten wat dat soort organistaies nu wel of niet nodig hebben en dit heeft niets meet je dogma te maken! stop met projecten en veruim je geest!
20-05-2020, 17:08 door Anoniem
Door Anoniem:

1) u heeft duidelijk geen ervaring in HPC omgevingen, in veel van deze situaties is mismanagement het werkelijke probleem.

"Bepalen CEO & (marketing) managers het beveiligingsbeleid, dat er uitgerold wordt en niet de mensen, die er verstand van hebben. Die laatsten manen wel, maar bepalen niet."
Als dit echter bij Windows zo genoemd wordt, krijgt je de wind van voren.

Een van de citaten in deze saga van zo een rakker is "waarom gebruiken die f*ing gebruikes geen password op hun ssh sleutel, de idiots". Dat is tekenend voor een non-oplossing en onbegrip: een key password kan server side niet afgedwongen worden, er is geen control op de kwaliteit van die passwords, met ssh-agents zijn die passwords niet effectief meer, en als als er op een machine een root exploit is geweest, dan is er ook een rootkit / keylogger en dan doen die passwords ook weer niets. De opmerking van die persoon is dus een paniek voetbal reactie:

https://www.cadosecurity.com/2020/05/16/1318/

[En de zogenaamde best-practice om ssh sleutels ipv passwords te gebruiken, is eentje die bij std beheer via een goed opgezette jumphost oid misschien van toepassing is, maar is in een grote HPC omgeving met vele internationale gebruikers die regelmatig van van UNI / werkgever veranderen, niet zo werkzaam. aldus nu pijnlijk duidelijk blijkt.
Duidelijk dus een groot architectuur issue. Je kunt dus niet vertrouwens op SSH-Keys. Je zult eigenlijk zowel een UserID/Password EN een SSH key moeten gebruiken voor goede veiligheid.

Hier zie je gewoon een groot Architectuur probleem, als je Private Key compromised is, heb je een mega probleem. Want er is geen centrale management, waarmee je nu je key kan intrekken, waar deze ooit op geplaatst is.
[X] Ongeschikt.

2) er zijn ook HPC omgevingen waarbij de zaken wel beter geregeld zijn en waarbij patches dagelijks/wekelijks doorgevoerd worden, de reken machine niet direct benaderbaar is van het internet en er via een 2FA door node toegang verkregen moet worden:

https://userinfo.surfsara.nl/systems/cartesius/getting-started
Zo zijn er ook vele Windows systemen, die altijd perfect draaien.



Kortom, wat het meest waarschijnlijke is, gezien mijn ervaringen, is dat op die plaatsen waar ze 'gehacked' zijn, de organisatie kapot gemanaged is: technisch vrij uitgehold geraakt van echte profesionals en vervangen zijn door hippe HBOertjes met een windows laptop en een helldesk ervoor die ook wel iets HPCerigs willen doen (zoals dat nu gaande is een beetje bij mijn eigen UNI waarbij veel onervaren beheerders en mensen denken ook wel HPC te doen eventjes en dus ook vele vergelijkbare soort fundamentele foutjes maken en dat gaat goed totdat het eens goed mis gaat. oh en die security officers hebben ook geen HPC ervaring en hun ISO dittem dattum dingetjes die voor kantoor omgevingen opgezet zijn, zijn vaak niet uitvoerbaar en ook niet nodig. daar is ook nog een leercurve te nemen.).
En nu zijn het in eens de Windows beheerders die de schuldige zijn.
20-05-2020, 18:36 door Anoniem
Supercomputers worden in het algemeen gebruikt voor wetenschappelijke toepassingen zoals bijvoorbeeld simulaties van turbulente wervelstromingen. In dergelijke simulaties -- die vele tera-flops per seconden doorvoeren -- is performance cruciaal.

Afhankelijk van de toepassingen kunnen dergelijke berekeningen weken of zelfs maanden duren. Het is dus niet altijd mogelijk om een systeem 'even' offline te zetten voor een patch-update.

Tevens is het lastig te voorspellen of de patch impact heeft op het gebruik van het systeem. Sommige kernel-updates vertragen enorm de berekeningen, en daarom is lean-and-mean een goede strategie.

Just my 2 cents.
20-05-2020, 19:00 door Anoniem
Door Anoniem:
Door Anoniem:

1) u heeft duidelijk geen ervaring in HPC omgevingen, in veel van deze situaties is mismanagement het werkelijke probleem.

"Bepalen CEO & (marketing) managers het beveiligingsbeleid, dat er uitgerold wordt en niet de mensen, die er verstand van hebben. Die laatsten manen wel, maar bepalen niet."
Als dit echter bij Windows zo genoemd wordt, krijgt je de wind van voren.

Een van de citaten in deze saga van zo een rakker is "waarom gebruiken die f*ing gebruikes geen password op hun ssh sleutel, de idiots". Dat is tekenend voor een non-oplossing en onbegrip: een key password kan server side niet afgedwongen worden, er is geen control op de kwaliteit van die passwords, met ssh-agents zijn die passwords niet effectief meer, en als als er op een machine een root exploit is geweest, dan is er ook een rootkit / keylogger en dan doen die passwords ook weer niets. De opmerking van die persoon is dus een paniek voetbal reactie:

https://www.cadosecurity.com/2020/05/16/1318/

[En de zogenaamde best-practice om ssh sleutels ipv passwords te gebruiken, is eentje die bij std beheer via een goed opgezette jumphost oid misschien van toepassing is, maar is in een grote HPC omgeving met vele internationale gebruikers die regelmatig van van UNI / werkgever veranderen, niet zo werkzaam. aldus nu pijnlijk duidelijk blijkt.
Duidelijk dus een groot architectuur issue. Je kunt dus niet vertrouwens op SSH-Keys. Je zult eigenlijk zowel een UserID/Password EN een SSH key moeten gebruiken voor goede veiligheid.

Hier zie je gewoon een groot Architectuur probleem, als je Private Key compromised is, heb je een mega probleem. Want er is geen centrale management, waarmee je nu je key kan intrekken, waar deze ooit op geplaatst is.
[X] Ongeschikt.

2) er zijn ook HPC omgevingen waarbij de zaken wel beter geregeld zijn en waarbij patches dagelijks/wekelijks doorgevoerd worden, de reken machine niet direct benaderbaar is van het internet en er via een 2FA door node toegang verkregen moet worden:

https://userinfo.surfsara.nl/systems/cartesius/getting-started
Zo zijn er ook vele Windows systemen, die altijd perfect draaien.



Kortom, wat het meest waarschijnlijke is, gezien mijn ervaringen, is dat op die plaatsen waar ze 'gehacked' zijn, de organisatie kapot gemanaged is: technisch vrij uitgehold geraakt van echte profesionals en vervangen zijn door hippe HBOertjes met een windows laptop en een helldesk ervoor die ook wel iets HPCerigs willen doen (zoals dat nu gaande is een beetje bij mijn eigen UNI waarbij veel onervaren beheerders en mensen denken ook wel HPC te doen eventjes en dus ook vele vergelijkbare soort fundamentele foutjes maken en dat gaat goed totdat het eens goed mis gaat. oh en die security officers hebben ook geen HPC ervaring en hun ISO dittem dattum dingetjes die voor kantoor omgevingen opgezet zijn, zijn vaak niet uitvoerbaar en ook niet nodig. daar is ook nog een leercurve te nemen.).
En nu zijn het in eens de Windows beheerders die de schuldige zijn.

maak van mijn opmerkingen niet een windows v unix troll sessie. nergens heb ik het over windows en zo is het ook niet bedoeld. ga een ander treiteren a.u.b.
20-05-2020, 19:01 door karma4
Door Anoniem: … leg mij geen woorden in de 'mond'. je trekt de verkeerde conclusie en schrijft onzin. jij bent alles behalve een authoriteit en zeker niet op het gebied van HPC en profesionele unix omgevingen. je bent absoluut niet geschikt om in te kunnen schatten wat dat soort organistaies nu wel of niet nodig hebben en dit heeft niets meet je dogma te maken! stop met projecten en veruim je geest!
Als dit de voorbeelden van professionele unix omgevingen zijn dan is duidelijk waarom de informatieveiligheid zo'n chaos is.
Heb je de links naar de DNB en rekenkamer gezien en begrepen wat daar achter zit? Kennelijk niet

Over verruiming van de geest gesproken, die blokkade van "oss is good microsoft is bad" is een topper van een blokkade.
Wat google en amazon betreft ook zo;n ontkenning
- https://cloud.google.com/solutions/hpc/technical-resources
- https://aws.amazon.com/hpc/
- https://ec.europa.eu/digital-single-market/en/high-performance-computing
"Industry and SMEs are increasingly relying on the power of supercomputers to work on innovative solutions, reduce costs and decrease time to market for products and services;"

Het is een ontwikkeling welke al langer gaande is. De data science opleidingen schieten als verdienmodel uit de grond.
Als je daarvoor blind bent dan wel als universiteit alleen de papiertjes wil afleveren maar niets aan gedegen informatieveiligheid wil doen dan belazer je de boel. Dat je zelf in een droomwereld tevreden bent is jouw keus maar leg dat niet aan andere op. Een neo die er doorheen moet breken is een uitzondering. Nero is voor de RWA mentaliteit
20-05-2020, 19:11 door Anoniem
"Hier zie je gewoon een groot Architectuur probleem, als je Private Key compromised is, heb je een mega probleem. Want er is geen centrale management, waarmee je nu je key kan intrekken, waar deze ooit op geplaatst is."

je verwijdert de public keys (~/.ssh/authorized_keys), reset passwords en je bent klaar. geen toegang meer met compromised keys en passwords. daarna herconfigureer je sshd zodat er zowel een ssh sleutel alswel een password nodig is. en dat is dus precies wat ze doen nu: https://www.archer.ac.uk/status/. kan technisch gewoon. je kunt zelfs met OTP werken: https://www.yubico.com/solutions/secure-computer-login/linux/

kortom, geen architectuur probleem, beleids keuze geweest dit niet meteen te doen. net zoals het niet gebruiken van een door node / jump host.
20-05-2020, 19:17 door Anoniem
Door karma4:
Door Anoniem: … leg mij geen woorden in de 'mond'. je trekt de verkeerde conclusie en schrijft onzin. jij bent alles behalve een authoriteit en zeker niet op het gebied van HPC en profesionele unix omgevingen. je bent absoluut niet geschikt om in te kunnen schatten wat dat soort organistaies nu wel of niet nodig hebben en dit heeft niets meet je dogma te maken! stop met projecten en veruim je geest!
Als dit de voorbeelden van professionele unix omgevingen zijn dan is duidelijk waarom de informatieveiligheid zo'n chaos is.
Heb je de links naar de DNB en rekenkamer gezien en begrepen wat daar achter zit? Kennelijk niet

Over verruiming van de geest gesproken, die blokkade van "oss is good microsoft is bad" is een topper van een blokkade.
Wat google en amazon betreft ook zo;n ontkenning
- https://cloud.google.com/solutions/hpc/technical-resources
- https://aws.amazon.com/hpc/
- https://ec.europa.eu/digital-single-market/en/high-performance-computing
"Industry and SMEs are increasingly relying on the power of supercomputers to work on innovative solutions, reduce costs and decrease time to market for products and services;"

Het is een ontwikkeling welke al langer gaande is. De data science opleidingen schieten als verdienmodel uit de grond.
Als je daarvoor blind bent dan wel als universiteit alleen de papiertjes wil afleveren maar niets aan gedegen informatieveiligheid wil doen dan belazer je de boel. Dat je zelf in een droomwereld tevreden bent is jouw keus maar leg dat niet aan andere op. Een neo die er doorheen moet breken is een uitzondering. Nero is voor de RWA mentaliteit

karma, stop met die onzin. jouw 'big data' is niet hetzelfde als traditionele HPC: https://en.wikipedia.org/wiki/Supercomputer en hou op met unix v windows trollerij. jij bent duidelijk niet in staat te bevatten waar ik het over heb en je verpest dit forum weer.
21-05-2020, 08:14 door karma4
Door Anoniem: karma, stop met die onzin. jouw 'big data' is niet hetzelfde als traditionele HPC: https://en.wikipedia.org/wiki/Supercomputer en hou op met unix v windows trollerij. jij bent duidelijk niet in staat te bevatten waar ik het over heb en je verpest dit forum weer.
Dat je Windows er bij haalt in de OS flaming toont het onaangepaste gedrag van OSS evangelisme, het komt vanuit die hoek.

Ik heb het doel informatieveiligheid dat is waar de belangrijkste maatschappelijke ontwikkelingen spelen.
Als jij verwijst naar traditionele supercomputes dan zou je de grondleggers met ethiek horen te eren. Komt je bij E.Dijkstra.
Nu zit je op de lijn van het ego met groot kostbaar bezit waarmee je anderen wilt imponeren. De autoriteit in de matrix.
Ja, Neo verziekte die matrix, het leven werd een stuk minder makkelijk voor de vele slapenden.

Heb je enig idee waarom ik volhou?
Het waren de Unix evangelisten samen met de commerciëlen verkoop waar ik veel last van gehad heb. Ik heb en had niets met Windows wel met dat fanatisme. De boel duidelijk onveilig neerzetten en dan naar anderen gaan zitten wijzen.
21-05-2020, 11:00 door Anoniem
Door Anoniem:
je verwijdert de public keys (~/.ssh/authorized_keys),
Mits je weet waar je allemaal deze keys gebruikt hebt. Zie hier het grootste probleem. Er is geen centrale infrastructuur, dus een mega security issue. Deze key kan al jaren gebruikt worden.

reset passwords en je bent klaar.
Indien er een wachtwoord gebruikt zou worden.

geen toegang meer met compromised keys en passwords.
Behalve alle systemen, waar je vergeet daze public key te verwijderen en die geen wachtwoord als extra authenticatie vragen.

daarna herconfigureer je sshd zodat er zowel een ssh sleutel alswel een password nodig is. en dat is dus precies wat ze doen nu: https://www.archer.ac.uk/status/. kan technisch gewoon. je kunt zelfs met OTP werken: https://www.yubico.com/solutions/secure-computer-login/linux/
Wel koppelen aan een juist centraal authenticatie database dat ook geaudit kan worden. Bijvoorbeeld een goede IDM of gewoon wat overal draait, een AD.
Natuurlijk ook wel even nadenken over iets van SIEM.

kortom, geen architectuur probleem, beleids keuze geweest dit niet meteen te doen. net zoals het niet gebruiken van een door node / jump host.
Dit valt onder architectuur, wat er is duidelijk niet goed over nagedacht. Je architectuur had hier rekening mee moeten houden. Zoals centrale auditing, monitoring van de infrastructuur, maar ook dat SSH keys gecomprimenteerd kunnen worden.
Basis puntjes.

Door Anoniem: Supercomputers worden in het algemeen gebruikt voor wetenschappelijke toepassingen zoals bijvoorbeeld simulaties van turbulente wervelstromingen. In dergelijke simulaties -- die vele tera-flops per seconden doorvoeren -- is performance cruciaal.

Afhankelijk van de toepassingen kunnen dergelijke berekeningen weken of zelfs maanden duren. Het is dus niet altijd mogelijk om een systeem 'even' offline te zetten voor een patch-update.

Tevens is het lastig te voorspellen of de patch impact heeft op het gebruik van het systeem. Sommige kernel-updates vertragen enorm de berekeningen, en daarom is lean-and-mean een goede strategie.

Just my 2 cents.
Dan is security en auditing nog veel belangrijker. Een goede jump host bijvoorbeeld, zodat je daarop je security kunt regelen. Hierop dus niet alleen een SSH key gebruiken, want gewoon onveilig is.

Is trouwens wel bijzonder dat als Windows beheerders dit soort punten aanhalen icm gebruikers ervaring, legacy applicaties, de wereld te klein hier.
21-05-2020, 14:20 door Anoniem
Door karma4:
Door Anoniem: karma, stop met die onzin. jouw 'big data' is niet hetzelfde als traditionele HPC: https://en.wikipedia.org/wiki/Supercomputer en hou op met unix v windows trollerij. jij bent duidelijk niet in staat te bevatten waar ik het over heb en je verpest dit forum weer.
Dat je Windows er bij haalt in de OS flaming toont het onaangepaste gedrag van OSS evangelisme, het komt vanuit die hoek.

Ik heb het doel informatieveiligheid dat is waar de belangrijkste maatschappelijke ontwikkelingen spelen.
Als jij verwijst naar traditionele supercomputes dan zou je de grondleggers met ethiek horen te eren. Komt je bij E.Dijkstra.
Nu zit je op de lijn van het ego met groot kostbaar bezit waarmee je anderen wilt imponeren. De autoriteit in de matrix.
Ja, Neo verziekte die matrix, het leven werd een stuk minder makkelijk voor de vele slapenden.

Heb je enig idee waarom ik volhou?
Het waren de Unix evangelisten samen met de commerciëlen verkoop waar ik veel last van gehad heb. Ik heb en had niets met Windows wel met dat fanatisme. De boel duidelijk onveilig neerzetten en dan naar anderen gaan zitten wijzen.

onzin, jij bent de eerste die dat doet en ik wijs je daarop en nu draai je het om. sneu!
21-05-2020, 17:39 door Anoniem
Mits je weet waar je allemaal deze keys gebruikt hebt. Zie hier het grootste probleem. Er is geen centrale infrastructuur, dus een mega security issue. Deze key kan al jaren gebruikt worden.

nope, ssh keys hebben publieke en private parts. als jij de publieke parts van je server haalt, kan de private key ook niet meer gebruikt worden om bij jouw in te loggen.

reset passwords en je bent klaar.
Indien er een wachtwoord gebruikt zou worden.

ik heb het over het systeem password van de gebruiker resetten nadat je alle public (en lokale private) keys uit hun /home/${USER}/.ssh gehaald hebt.

geen toegang meer met compromised keys en passwords.
Behalve alle systemen, waar je vergeet daze public key te verwijderen en die geen wachtwoord als extra authenticatie vragen.

je laat dit niet aan gebruiker over; als beheerder gooi je alle keys uit ieders ~/.ssh weg van jouw systemen.

daarna herconfigureer je sshd zodat er zowel een ssh sleutel alswel een password nodig is. en dat is dus precies wat ze doen nu: https://www.archer.ac.uk/status/. kan technisch gewoon. je kunt zelfs met OTP werken: https://www.yubico.com/solutions/secure-computer-login/linux/
Wel koppelen aan een juist centraal authenticatie database dat ook geaudit kan worden. Bijvoorbeeld een goede IDM of gewoon wat overal draait, een AD. Natuurlijk ook wel even nadenken over iets van SIEM.

hoeft niet en 'centraal' is ook niet altijd (security wise) beter: single points of failures en een nog grotere data leak als hackers binnen komen. wat je wilt is dat sleutels decentraal opgeslagen zijn, maar vanuit een enkele eenvoudige plek verworpen kunen worden. dat kan nu door heel eenvoudig alle /home${USER}/.ssh keys te verwijderen.

nog eleganter is finger prints van de huidige niet te vertrouwen keys te publiceren voor anderen en bij het accepteren van nieuwe keys even te (automatisch via een pam module oid) check of die niet stiekem herbruikt wordt.

kortom, geen architectuur probleem, beleids keuze geweest dit niet meteen te doen. net zoals het niet gebruiken van een door node / jump host.
Dit valt onder architectuur, wat er is duidelijk niet goed over nagedacht. Je architectuur had hier rekening mee moeten houden. Zoals centrale auditing, monitoring van de infrastructuur, maar ook dat SSH keys gecomprimenteerd kunnen worden. Basis puntjes.

nope, als het een architectuur probleem was (van bijv hoe ssh werkt), dan zou er geen enkele mogelijke manier van oplossen zijn. dat is niet zo, je kunt er zelf voor kiezen alleen ssh public keys van gebruikers op je system toe te laten door ze te gaan managen oid. je kun er ook voor kiezen je systeem op te zetten van dag een af aan met gebruik van ssh keys tezamen met een systeem password (wat wel server side is af te dwingen). je kunt kiezen wel of geen OTP en 2FA te doen zonder. kan allemaal, zonder ingrijpende veranderingen, er is niets wat je tegenhoud in de huidoge situatie dat te doen, en dus is het huidige probleem per definitie geen architectuur probleem.

Door Anoniem: Supercomputers worden in het algemeen gebruikt voor wetenschappelijke toepassingen zoals bijvoorbeeld simulaties van turbulente wervelstromingen. In dergelijke simulaties -- die vele tera-flops per seconden doorvoeren -- is performance cruciaal.

Afhankelijk van de toepassingen kunnen dergelijke berekeningen weken of zelfs maanden duren. Het is dus niet altijd mogelijk om een systeem 'even' offline te zetten voor een patch-update.

veel van dat soort systemen hebben twee of meer login nodes die je met dns roundrobin aan de gebruikers aanbiedt. eentje daarvan kun je updaten dus terwijl de andere on-line blijft. datzelfde geldt ook voor compute nodes die via een scheduler na een job automatisch patches doorvoeren en desnoods een warm reboot doen. easy peasy. je kunt ook delen van nodes even reserveren voor een dagje zodat daar geen sommen op draaien. er is veel meer mogelijk.

Tevens is het lastig te voorspellen of de patch impact heeft op het gebruik van het systeem. Sommige kernel-updates vertragen enorm de berekeningen, en daarom is lean-and-mean een goede strategie.

Just my 2 cents.

is dus een beleidskeuze die je met een risico analyze kunt nemen: wel of geen SELinux, wel of geen patches ivm performance. wel is het zo dat goede HPC applicaties die echt voor de volle 100% cores bezighouden dus niet IO bound zijn en dus vrijwel geen last van SELinux al hebben (zitten altijd in user space en vrijwel niet in kernel space en schakkelen niet veel heen en weer daartussen). Veelal is het zo dat hyperthreading een HPC applicatie hindert en dus uitgezet wordt en dan zijn heel veel kernel patches voor Intel niet meer nodig en mbv een eenvoudige kernel boot parameter at boot te disabelen. ook hier weer mogelijkheden en keuzes galore.

Dan is security en auditing nog veel belangrijker. Een goede jump host bijvoorbeeld, zodat je daarop je security kunt regelen. Hierop dus niet alleen een SSH key gebruiken, want gewoon onveilig is.

met dien verstande, als je een jumphost neerzet en je gaat daarbj van security domain switchen en je hebt geen extra credentials nodig, dan heeft die jumphost niet veel zin. als hacker ga je er gewoon met compromized credentials doorheen en interreseert je je verder niet meer want de bit coind mine je niet op de jumphost.

Is trouwens wel bijzonder dat als Windows beheerders dit soort punten aanhalen icm gebruikers ervaring, legacy applicaties, de wereld te klein hier.

deze opmerking snap ik niet. op super computers en in HPC zijn er vrijwel geen windows beheerders en ik heb nergens de sugestie gewekt dat dat zo zou zijn. misschien vergis je je in de uit-of-context opmerkingen van ene karma ofzo?
21-05-2020, 19:07 door karma4 - Bijgewerkt: 21-05-2020, 19:16
Door Anoniem: onzin, jij bent de eerste die dat doet en ik wijs je daarop en nu draai je het om. sneu!
Geen onzin, als je maar durft iets vekeerds over Linux OSS te zeggen dan wordt voor Windows adept uitgemaakt.
Zijn er artikelen over Windows dan zijn de Linux en OSS adepten oververtegenwoordigd met hun os flaming.
Ik ben mogelijk de enige die weerwoord durft te hebben, in bepaalde kringen word je vermorzeld autoritaire aanpak RWA.

Door Anoniem:je laat dit niet aan gebruiker over; als beheerder gooi je alle keys uit ieders ~/.ssh weg van jouw systemen.
Uhh een beheerder die ongecontroleerd van alles bij gebruikersomgevingen kan doen? Dan heb je het beheer niet goed ingericht. Het is niet conform de standaard vereiste good practice.
deze opmerking snap ik niet. op super computers en in HPC zijn er vrijwel geen windows beheerders en ik heb nergens de sugestie gewekt dat dat zo zou zijn. misschien vergis je je in de uit-of-context opmerkingen van ene karma ofzo?
Als de informatie beveiligingsstandaarden zou kennen wist je waarom het ging. Kennelijk worden windows beheerders daar wel mee geconfronteerd omdat ze met gevoelige gegevens werken en verantwoording moeten afleggen en OS Linux fanatici niet thuis in het werken in gevoelige omgevingen en het afleggen van verantwoording niet snappen. Bedoel je dat?
21-05-2020, 20:05 door Anoniem
Door karma4:
Door Anoniem: onzin, jij bent de eerste die dat doet en ik wijs je daarop en nu draai je het om. sneu!
Geen onzin, als je maar durft iets vekeerds over Linux OSS te zeggen dan wordt voor Windows adept uitgemaakt.
Zijn er artikelen over Windows dan zijn de Linux en OSS adepten oververtegenwoordigd met hun os flaming.
Ik ben mogelijk de enige die weerwoord durft te hebben, in bepaalde kringen word je vermorzeld autoritaire aanpak RWA.

Door Anoniem:je laat dit niet aan gebruiker over; als beheerder gooi je alle keys uit ieders ~/.ssh weg van jouw systemen.
Uhh een beheerder die ongecontroleerd van alles bij gebruikersomgevingen kan doen? Dan heb je het beheer niet goed ingericht. Het is niet conform de standaard vereiste good practice.
deze opmerking snap ik niet. op super computers en in HPC zijn er vrijwel geen windows beheerders en ik heb nergens de sugestie gewekt dat dat zo zou zijn. misschien vergis je je in de uit-of-context opmerkingen van ene karma ofzo?
Als de informatie beveiligingsstandaarden zou kennen wist je waarom het ging. Kennelijk worden windows beheerders daar wel mee geconfronteerd omdat ze met gevoelige gegevens werken en verantwoording moeten afleggen en OS Linux fanatici niet thuis in het werken in gevoelige omgevingen en het afleggen van verantwoording niet snappen. Bedoel je dat?

1) wel onzin "Over verruiming van de geest gesproken, die blokkade van "oss is good microsoft is bad" is een topper van een blokkade." is jouw reactie op een post die verder niets over MS of OSS te melden had.

2) als je als beheerder niet gebruikers files onder controle kunt hebben, dan heb je de machine niet onder controle en dan ben je per definitie ook geen beheerder meer. dan kan een hack zoals nu ook niet op slecht beheer afgeschoven worden maar je hebt zelf dat argument regelmatig gegeven als je weer raaskalt over evangelistische doosjes mensen. paradox dus.

3) (windows) beheerders heb je in soorten en maten en de kwaliteit daarvan heeft een grote marge. daarom is het onwaarschijnlijk dat elke windows beheerder alles weet en best practices toepast. remember maastricht?

4) wil jij geen uitspraken doen die generaliseren en mij in een vakje plaatsen? dat ervaar ik als erg onbeleefd en gaat tegen de huisregels in. je kent me niet en als we op de posts hierzo af moeten gaan ben jij de allerlaatste met de juiste authoriteit om hier over te spreken. wellicht ben ik jouw begrip en kunde vwb "informatie beveiligingsstandaarden" ver overstegen? dat laaste was een retorische vraag, mocht je je dat niet realiseren.
21-05-2020, 20:21 door Anoniem
Door karma4:
Door Anoniem: @ Erik van Straten,

Ook deze zinloze oppositionele discussie een beetje zat.
Het voegt zo weinig toe aan het geheel, het versterkt alleen maar de blinde vlekken en vooroordelen, die er bestaan.
...
Maar de gang van zaken lijkt veel op het schilderij van Breughel,
waarbij de een na de andere (security-)blinde in de gracht belandt.

luntrus
Prima opmerkingen. Wel een goed vergelijk met dat schilderij van Breughel,
Waarom niet alle drie:
Triomf van de Dood - Pieter Brueghel de Oude of de kleine toren van Babel je bedoelt-> De parabel der blinden

Het moet lijken op iets spiritueels of religieus of voor anderen, iets buitenaards. Het is een soort gevangenis.
21-05-2020, 20:52 door karma4
Door Anoniem:
1) wel onzin "Over verruiming van de geest gesproken, die blokkade van "oss is good microsoft is bad" is een topper van een blokkade." is jouw reactie op een post die verder niets over MS of OSS te melden had.
Kijk even bij de post van 09:17 en eerder. Ik begon niet.

2) als je als beheerder niet gebruikers files onder controle kunt hebben, dan heb je de machine niet onder controle en dan ben je per definitie ook geen beheerder meer. dan kan een hack zoals nu ook niet op slecht beheer afgeschoven worden maar je hebt zelf dat argument regelmatig gegeven als je weer raaskalt over evangelistische doosjes mensen. paradox dus.
Herinner je je maastricht?

3) (windows) beheerders heb je in soorten en maten en de kwaliteit daarvan heeft een grote marge. daarom is het onwaarschijnlijk dat elke windows beheerder alles weet en best practices toepast. remember maastricht?
Daar zag je inderdaad dat het beheerdersaccount voor alles gebruikt werd en dat daarmee ongemerkt gedurende 3 maanden naar de gewenste algehele rechten werd. Twee ernstige beheersfouten welke herkenbaar ook met de supercomputers terugkomen.

4) wil jij geen uitspraken doen die generaliseren en mij in een vakje plaatsen? dat ervaar ik als erg onbeleefd en gaat tegen de huisregels in. je kent me niet en als we op de posts hierzo af moeten gaan ben jij de allerlaatste met de juiste authoriteit om hier over te spreken. wellicht ben ik jouw begrip en kunde vwb "informatie beveiligingsstandaarden" ver overstegen? dat laaste was een retorische vraag, mocht je je dat niet realiseren.
a/ Als onze Linux fanatici het prima vinden om anderen onterecht in hokjes te plaatsen waarom mogen anderen dat niet Linux fanatici doen. Huisregels alleen voor zij die meer gelijk zijn dan anderen?
b/ Met 1/ en 2/ heb je aangetoond de noodzakelijke basis te missen. Het dnb document is goed leesbaar.
21-05-2020, 23:03 door Anoniem
Iets religieus kan berusten op zekere vastgeroeste vooroordelen.
Religieus of spiritueel verkeerdelijk omgaan met beveiligingsvraagstukken mondt uit in een eenzijdig kijken naar.

Voor de christen kan men nooit uit de oppositie goed versus kwaad wegkomen.
Het is altijd G*d tegenover de Duvel.
Dat is typisch voor onze Europese culturele beleving om dit te doen.

Orators zijn er mee begonnen, oelewappers eerste klas, die alles wat krom is recht probeerden te praten.
Een vroeg voorbeeld was de bischop van Mainz, Lullo, die het lijk van Bonifatius uit Friesland terug naar het Sticht moest varen. Hij moest letterlijk zwammen als Brugman om dit voor elkaar te kunnen krijgen.
Lullo werd hierdoor een spreekwoordelijke figuur (en kreeg daarnaast ook vele volgers, ook in digitale zin) ;) (iron.).

Bij een andere cultuur maakt goed en kwaad allemaal deel uit van de Euwige (jidd. Ebige).
Daar speelt die oppositie niet.

De oppositie linux - MS blijft dus een voortdurende oppositie en men kan het niet zien als een willekeurig OS vol van gevonden en nog niet gevonden kwetsbaarheden. Altijd blijft voor de volgelingen linux de lichte kant en propriety source, met MS Windows als voorbeeld, de a priori de verdachte en donkere kant.

We hebben het hier in deze draad over een out of bound array probleem voor de linux kernel dat inmiddels is gepatcht.
Waarom laat je je dan weer opsluiten in de gevangenis van de OS-tegenstellingen en vooroordelen.

Blijf bij de feiten en ga terug naar de basics. Er is ook een tijd geweest voor deze oppositie er was
en Bill Gates zijn OS nog moest aanschaffen van een van de eerste telefoonfluitje-hackers.

J.O.
22-05-2020, 09:25 door Anoniem
Door Anoniem:
nope, ssh keys hebben publieke en private parts. als jij de publieke parts van je server haalt, kan de private key ook niet meer gebruikt worden om bij jouw in te loggen.
Moet je alleen wel weten, waar je publieke key allemaal aanwezig is.

ik heb het over het systeem password van de gebruiker resetten nadat je alle public (en lokale private) keys uit hun /home/${USER}/.ssh gehaald hebt.
Ik mag hopen dat ze daar een centrale gebruikers database hebben, waarmee het account en wachtwoord beheerd wordt.
En je gaat er nu vanuit dat de public key alleen op dit systeem aanwezig is. Key kan nog nog heel veel andere systemen aanwezig zijn en blijven.

geen toegang meer met compromised keys en passwords.
Behalve alle systemen, waar je vergeet daze public key te verwijderen en die geen wachtwoord als extra authenticatie vragen.

je laat dit niet aan gebruiker over; als beheerder gooi je alle keys uit ieders ~/.ssh weg van jouw systemen.
Als beheerder (wie al gefaald heeft), beheer je bepaalde systemen. Key kan echter ook op systemen draaien waar jij geen controle over hebt.

hoeft niet en 'centraal' is ook niet altijd (security wise) beter: single points of failures en een nog grotere data leak als hackers binnen komen. wat je wilt is dat sleutels decentraal opgeslagen zijn, maar vanuit een enkele eenvoudige plek verworpen kunen worden. dat kan nu door heel eenvoudig alle /home${USER}/.ssh keys te verwijderen.
Waar jij controle over hebt.

nog eleganter is finger prints van de huidige niet te vertrouwen keys te publiceren voor anderen en bij het accepteren van nieuwe keys even te (automatisch via een pam module oid) check of die niet stiekem herbruikt wordt.
Zou inderdaad een goede zijn, maar is ook alleen weer van toepassing voor systemen die jij beheerd. Maar er zou en had hiervoor al een centrale database op het Internet hiervoor.

nope, als het een architectuur probleem was (van bijv hoe ssh werkt), dan zou er geen enkele mogelijke manier van oplossen zijn. dat is niet zo, je kunt er zelf voor kiezen alleen ssh public keys van gebruikers op je system toe te laten door ze te gaan managen oid. je kun er ook voor kiezen je systeem op te zetten van dag een af aan met gebruik van ssh keys tezamen met een systeem password (wat wel server side is af te dwingen). je kunt kiezen wel of geen OTP en 2FA te doen zonder. kan allemaal, zonder ingrijpende veranderingen, er is niets wat je tegenhoud in de huidoge situatie dat te doen, en dus is het huidige probleem per definitie geen architectuur probleem
Als de producten de mogelijkheden hadden, dan had dit juist een onderdeel van je architectuur moeten zijn.
22-05-2020, 10:00 door Anoniem
Door karma4:
Door Anoniem:
1) wel onzin "Over verruiming van de geest gesproken, die blokkade van "oss is good microsoft is bad" is een topper van een blokkade." is jouw reactie op een post die verder niets over MS of OSS te melden had.
Kijk even bij de post van 09:17 en eerder. Ik begon niet.

Dat bewijst inderdaad meteen mijn punt en daarin is inderdaad meteen mijn citaat van jouw uitspraak in terug te vinden.

Q.E.D.

4) wil jij geen uitspraken doen die generaliseren en mij in een vakje plaatsen? dat ervaar ik als erg onbeleefd en gaat tegen de huisregels in. je kent me niet en als we op de posts hierzo af moeten gaan ben jij de allerlaatste met de juiste authoriteit om hier over te spreken. wellicht ben ik jouw begrip en kunde vwb "informatie beveiligingsstandaarden" ver overstegen? dat laaste was een retorische vraag, mocht je je dat niet realiseren.
a/ Als onze Linux fanatici het prima vinden om anderen onterecht in hokjes te plaatsen waarom mogen anderen dat niet Linux fanatici doen. Huisregels alleen voor zij die meer gelijk zijn dan anderen?
b/ Met 1/ en 2/ heb je aangetoond de noodzakelijke basis te missen. Het dnb document is goed leesbaar.[/quote]
1) Je behandelt hiermij mij als een van je linux fanaten en DAT is nu juist hetgeen wat aanstoot geeft omdat je mij niet kent en het is onkies om mij in jouw geloofsovertuigings gevechten met anderen te betrekken. jij ziet overal OSS spoken in! two wrong do not make a wright! je doet whataboutisms tegen de verkeerde mensen door je eigen verblindheid (projecteren).

2) Verder je toon onder punt b is ook duidelijk arrogant en suggereert dat wat er bij de dnb gebeurt hetzelfde is als wat er op suprcomputers en in HPC land gebeurt en dat terwijl je heel duidelijk helemaal geen ervaring en recht van spreken hebt over dat laatste.

ga dus a.u.b. weg met je getroll!
22-05-2020, 10:07 door Anoniem
Door Anoniem:
Door Anoniem:
nope, ssh keys hebben publieke en private parts. als jij de publieke parts van je server haalt, kan de private key ook niet meer gebruikt worden om bij jouw in te loggen.
Moet je alleen wel weten, waar je publieke key allemaal aanwezig is.

ik heb het over het systeem password van de gebruiker resetten nadat je alle public (en lokale private) keys uit hun /home/${USER}/.ssh gehaald hebt.
Ik mag hopen dat ze daar een centrale gebruikers database hebben, waarmee het account en wachtwoord beheerd wordt.
En je gaat er nu vanuit dat de public key alleen op dit systeem aanwezig is. Key kan nog nog heel veel andere systemen aanwezig zijn en blijven.

geen toegang meer met compromised keys en passwords.
Behalve alle systemen, waar je vergeet daze public key te verwijderen en die geen wachtwoord als extra authenticatie vragen.

je laat dit niet aan gebruiker over; als beheerder gooi je alle keys uit ieders ~/.ssh weg van jouw systemen.
Als beheerder (wie al gefaald heeft), beheer je bepaalde systemen. Key kan echter ook op systemen draaien waar jij geen controle over hebt.

hoeft niet en 'centraal' is ook niet altijd (security wise) beter: single points of failures en een nog grotere data leak als hackers binnen komen. wat je wilt is dat sleutels decentraal opgeslagen zijn, maar vanuit een enkele eenvoudige plek verworpen kunen worden. dat kan nu door heel eenvoudig alle /home${USER}/.ssh keys te verwijderen.
Waar jij controle over hebt.

nog eleganter is finger prints van de huidige niet te vertrouwen keys te publiceren voor anderen en bij het accepteren van nieuwe keys even te (automatisch via een pam module oid) check of die niet stiekem herbruikt wordt.
Zou inderdaad een goede zijn, maar is ook alleen weer van toepassing voor systemen die jij beheerd. Maar er zou en had hiervoor al een centrale database op het Internet hiervoor.

nope, als het een architectuur probleem was (van bijv hoe ssh werkt), dan zou er geen enkele mogelijke manier van oplossen zijn. dat is niet zo, je kunt er zelf voor kiezen alleen ssh public keys van gebruikers op je system toe te laten door ze te gaan managen oid. je kun er ook voor kiezen je systeem op te zetten van dag een af aan met gebruik van ssh keys tezamen met een systeem password (wat wel server side is af te dwingen). je kunt kiezen wel of geen OTP en 2FA te doen zonder. kan allemaal, zonder ingrijpende veranderingen, er is niets wat je tegenhoud in de huidoge situatie dat te doen, en dus is het huidige probleem per definitie geen architectuur probleem
Als de producten de mogelijkheden hadden, dan had dit juist een onderdeel van je architectuur moeten zijn.

1) weet je, in plaats van speculeren, moet je misschien maar eerst eens kijken op wat er daadwerkelijk gebeurt:

https://www.archer.ac.uk/status/
http://www.archer.ac.uk/documentation/getting-started/logging-on.php

dan kunnen we een inhoudelijke discussie beter voeren.

2) misschien kun je ook even aangeven over welke soort architectuur je nu praat:

https://en.wikipedia.org/wiki/Architecture#Other_types_of_architecture
22-05-2020, 10:53 door Anoniem
3) (windows) beheerders heb je in soorten en maten en de kwaliteit daarvan heeft een grote marge. daarom is het onwaarschijnlijk dat elke windows beheerder alles weet en best practices toepast. remember maastricht?
Daar zag je inderdaad dat het beheerdersaccount voor alles gebruikt werd en dat daarmee ongemerkt gedurende 3 maanden naar de gewenste algehele rechten werd. Twee ernstige beheersfouten welke herkenbaar ook met de supercomputers terugkomen.

kunt u de bron geven? want dit is gewoon niet waar. op ARCHER is het 'beheer account' niet voor van alles gebruikt. het waren gebruikers accounts en een lokale exploit omdat er geen updates doorgevoerd waren.


https://www.archer.ac.uk/status/
https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/
https://www.theregister.co.uk/2020/05/19/supercomputers_mining_bitcoin/
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/
22-05-2020, 19:49 door karma4 - Bijgewerkt: 22-05-2020, 19:50
Door Anoniem:
kunt u de bron geven? want dit is gewoon niet waar. op ARCHER is het 'beheer account' niet voor van alles gebruikt. het waren gebruikers accounts en een lokale exploit omdat er geen updates doorgevoerd waren.
..
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/
Voor maastricht staat het in het FOX-IT rapport rechterkant: https://www.rijksoverheid.nl/documenten/rapporten/2020/02/05/reactie-universiteit-maastricht-op-rapport-fox-it
Het is niet extra dik gemaakt, gewoon even goed opletten.
Voor dat andere las ik in je laatste link SSH toegang en login-nodes. Ik ging er vanuit dat het de beheerdersaccounts zijn. Slordig maar tast het onderliggende systeem niet aan. Als jij zegt dat het via gebruikersaccounts is gebeurd dan zou dat OS wel lek zijn. https://www.bbc.com/news/technology-52709660 Als het bij userprocessen gebleven was hoef je het hele systeem niet naar beneden te halen en opnieuw in te richten.
22-05-2020, 20:49 door Anoniem
Door karma4:
Door Anoniem:
kunt u de bron geven? want dit is gewoon niet waar. op ARCHER is het 'beheer account' niet voor van alles gebruikt. het waren gebruikers accounts en een lokale exploit omdat er geen updates doorgevoerd waren.
..
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/
Voor maastricht staat het in het FOX-IT rapport rechterkant: https://www.rijksoverheid.nl/documenten/rapporten/2020/02/05/reactie-universiteit-maastricht-op-rapport-fox-it
Het is niet extra dik gemaakt, gewoon even goed opletten.
Voor dat andere las ik in je laatste link SSH toegang en login-nodes. Ik ging er vanuit dat het de beheerdersaccounts zijn. Slordig maar tast het onderliggende systeem niet aan. Als jij zegt dat het via gebruikersaccounts is gebeurd dan zou dat OS wel lek zijn. https://www.bbc.com/news/technology-52709660 Als het bij userprocessen gebleven was hoef je het hele systeem niet naar beneden te halen en opnieuw in te richten.

ik vroeg dus om een bron die aangeeft dat er bij ARCHER een beheerders account misbruikt is via ssh want dat was namelijk je stelling, dat dat bij UM gebeurt was EN dat dat ook bij deze super gebeurt zou zijn. dat is dus niet zo zoals je nu beseft.

ja het system had waarschijnlijk een lokale privelage escalation exploit omdet het niet geupdate was. ze hebben het over een specifiek CVE nummer in de gegeven bronnen, maar RHEL en CentOS 7 systemen zijn niet gevoelig voor die specifieke CVE. het is overigens ook nog speculeren dat die CVE is gebruikt, in de HPC wereld gaan ook de geruchten dat het misschien eerder een GPFS probleem was:

https://www.ibm.com/support/pages/security-bulletin-vulnerability-has-been-identified-ibm-spectrum-scale-where-unprivileged-user-could-execute-commands-root-cve-2020-4273

https://en.wikipedia.org/wiki/GPFS

(oops propriety code)

wel is de situatie geheel niet vergelijkbaar met UM want ARCHER is nu weer up and running (en clean) in zeg 5 dagen tijd en was er geen spraken van criminelen moeten betalen of het niet hebben van backups van de data of het niet automatisch kunnen her-opzetten van de systemen:

https://www.archer.ac.uk/status/
22-05-2020, 21:48 door souplost - Bijgewerkt: 22-05-2020, 21:54
Valt op hoe weinig de windowsgemeenschap weet hoe ssh keys en identity worden gemanaged in een enterprise.
En dat terwijl MS nu ook SSH werkend probeert te krijgen door OSS project te forken: https://github.com/PowerShell/openssh-portable

On Red Hat Enterprise Linux, the System Security Services Daemon (SSSD) can be configured to cache and retrieve host SSH keys so that applications and services only have to look in one location for host keys. Because SSSD can use Identity Management as one of its identity information providers, Identity Management provides a universal and centralized repository of keys. Administrators do not need to worry about distributing, updating, or verifying host SSH keys
Doe je het liever via een webgui: https://www.freeipa.org/page/Main_Page.
Een ander booming tool (wat men ook onder windows aan de praat probeert te krijgen is Ansible. SSH keys weggooien terwijl je niet weet waar ze zitten, Geen enkel probleem: https://docs.ansible.com/ansible/latest/modules/authorized_key_module.html
23-05-2020, 12:56 door karma4
Door Anoniem:
ik vroeg dus om een bron die aangeeft dat er bij ARCHER een beheerders account misbruikt is via ssh want dat was namelijk je stelling, dat dat bij UM gebeurt was EN dat dat ook bij deze super gebeurt zou zijn. dat is dus niet zo zoals je nu beseft.
...
wel is de situatie geheel niet vergelijkbaar met UM want ARCHER is nu weer up and running (en clean) in zeg 5 dagen tijd en was er geen spraken van criminelen moeten betalen of het niet hebben van backups van de data of het niet automatisch kunnen her-opzetten van de systemen:
Je geeft enkel onderbouwing dat het of de beheerdersaccounts zijn dan wel dat de OS linux omgeving onbetrouwbaar is.
Je zult er één van moeten kiezen omdat er een incident met 5 dagen down time is geweest.

Het belangrijkste verschil is kennelijk dat er geen backups nodig zijn, het zijn erg dure speeldoosje gaming machientjes.
Met het verwerken van echt gevoelige gegevens was het niet meer te overzien.
Onvoorstelbaar dat besef van de normale wereldse zaken bij Linux fanatici

Ansible als playbook voor installatie is vergelijkbaar met setup enter enter voor het uitrollen van een installaie waar de toetsenbord klopper vooral moet intikken niet nadenken https://www.tutorialspoint.com/ansible/ansible_playbooks.htm
23-05-2020, 14:37 door Anoniem
Door karma4:
Door Anoniem:
ik vroeg dus om een bron die aangeeft dat er bij ARCHER een beheerders account misbruikt is via ssh want dat was namelijk je stelling, dat dat bij UM gebeurt was EN dat dat ook bij deze super gebeurt zou zijn. dat is dus niet zo zoals je nu beseft.
...
wel is de situatie geheel niet vergelijkbaar met UM want ARCHER is nu weer up and running (en clean) in zeg 5 dagen tijd en was er geen spraken van criminelen moeten betalen of het niet hebben van backups van de data of het niet automatisch kunnen her-opzetten van de systemen:
Je geeft enkel onderbouwing dat het of de beheerdersaccounts zijn dan wel dat de OS linux omgeving onbetrouwbaar is.
Je zult er één van moeten kiezen omdat er een incident met 5 dagen down time is geweest.

Het belangrijkste verschil is kennelijk dat er geen backups nodig zijn, het zijn erg dure speeldoosje gaming machientjes.
Met het verwerken van echt gevoelige gegevens was het niet meer te overzien.
Onvoorstelbaar dat besef van de normale wereldse zaken bij Linux fanatici

Ansible als playbook voor installatie is vergelijkbaar met setup enter enter voor het uitrollen van een installaie waar de toetsenbord klopper vooral moet intikken niet nadenken https://www.tutorialspoint.com/ansible/ansible_playbooks.htm

joh,ik hoef niets te onderbouwen, ik trek geen conclusies die niet in tegenspraak zijn met hetgeen door de ARCHER mensen is gecommuniceerd.

veder is je conclusie vwb backup dus ook niet correct. het kan ook zijn dat de data van de gebruikers netjes op een afgescherme backup staat die niet geraakt is.

wat jouw spin en vertekening van de situatie nu weer te maken heeft met mij die nu als linux fanaat weg gezet wordt ontgaat ook weer iedereen. onfatsoelijk gedrag!

verder is ansible zeker weten niet hetzelfde als enter enter enter want dat laatste doe je bij een isntallatie waarbij je default waarden dus accepteerd. bij ansible kies je je configuratie EENMALIG en replayed due daarna automatisch. In het maken van de ansible installatie setup, hoeft niet perse defaults te zijn en ansible playbooks van organistatie a zijn niet zo maar te gebruiken bij organisatie b zonder de nodige detail aanpasingen! ansible is configuration and deployment management en is dus sterk afhankelijk van de organisatie details.

het is duidelijk dat je de klepel weer gehoord hebt, maar de bel niet eens ziet hangen!
23-05-2020, 15:48 door Anoniem
Door karma4: Je geeft enkel onderbouwing dat het of de beheerdersaccounts zijn dan wel dat de OS linux omgeving onbetrouwbaar is.
Je zult er één van moeten kiezen omdat er een incident met 5 dagen down time is geweest.
Andere anoniem hier.

Beweer je nou dat iemand die een nieuwsbericht aan het bespreken is moet kiezen tussen gecompromitteerde beheerersaccount en een onbetrouwbaar OS? Hoezo valt er iets te kiezen? Wij bepalen vanaf de zijlijn niet wat daar gebeurd is door uit mogelijkheden te kiezen, wat er gebeurd is is gebeurd onafhankelijk van wat wij erover denken. Of dacht je dat de werkelijkheid bestaat uit wat je erover fantaseert?

Ansible als playbook voor installatie is vergelijkbaar met setup enter enter voor het uitrollen van een installaie waar de toetsenbord klopper vooral moet intikken niet nadenken https://www.tutorialspoint.com/ansible/ansible_playbooks.htm
Als een tutorial-website maatgevend is voor een onderwerp, kan ik dan concluderen dat andere onderwerpen op die website, zoals gezichtsherkenning, big data en analytics, malwareanalyse, Engelse grammatica, technisch tekenen, vloeistofmechanica, programmeren in COBOL, boekhouden en ga zo maar door ook setup enter enter zijn?

Als dat zo is heb ik wel heel veel van de wereld niet begrepen. Of misschien pak jij een term op die je tegenkomt en ga je er maar van alles over roepen alsof je een autoriteit bent, geïllustreerd met wat er in de resultaten van een zoekactie wel aardig uitziet zonder je al te druk te maken over de vraag of het wel hout snijdt.

Een voorbeeld van van alles er over roepen:
Door karma4: Ik ben mogelijk de enige die weerwoord durft te hebben, in bepaalde kringen word je vermorzeld autoritaire aanpak RWA.
RWA heb je van mij, daar heb ik recent wat over gepost. Je laat tot nu toe niet blijken begrepen te hebben waar het over gaat. Je gebruikt het duidelijk niet om inzicht op te doen maar alsof je een knuppeltje gevonden hebt waarmee je wild om zich heen kan zwaaien om lekker te intimideren, zonder door te hebben dat niemand geïntimideerd is en menigeen geen idee heeft wat RWA is, maar dat lijkt voor jou allemaal van ondergeschikt belang te zijn. Misschien voel je je superieur als jij weet waar een afkorting voor staat en een ander niet.

Steunt je gevoel voor eigenwaarde werkelijk op dit soort zielig gedoe? Triest.
23-05-2020, 16:54 door Anoniem
Door souplost: Valt op hoe weinig de windowsgemeenschap weet hoe ssh keys en identity worden gemanaged in een enterprise.
En dat terwijl MS nu ook SSH werkend probeert te krijgen door OSS project te forken: https://github.com/PowerShell/openssh-portable

On Red Hat Enterprise Linux, the System Security Services Daemon (SSSD) can be configured to cache and retrieve host SSH keys so that applications and services only have to look in one location for host keys. Because SSSD can use Identity Management as one of its identity information providers, Identity Management provides a universal and centralized repository of keys. Administrators do not need to worry about distributing, updating, or verifying host SSH keys
Doe je het liever via een webgui: https://www.freeipa.org/page/Main_Page.
Een ander booming tool (wat men ook onder windows aan de praat probeert te krijgen is Ansible. SSH keys weggooien terwijl je niet weet waar ze zitten, Geen enkel probleem:
https://docs.ansible.com/ansible/latest/modules/authorized_key_module.html
Leuk voor de servers die je beheerd. Werkt alleen niet als de public key op niet jouw beheerde servers is gebruikt.
Dotdat je een multi customer omgeving moet beheren.
23-05-2020, 20:25 door Anoniem
Verder wat achtergrond aangaande security in HPC land:

http://www.prace-project.eu/IMG/pdf/wp79.pdf

Kijk ARCHER , en de supers in Julich, barcelona en zwitserland zijn allemaal onderdeel van PRACE en vallen hieronder.

Toch heeft dit papierwerk het incident niet voorkomen. Dat is iets wat ik wel vaker constateer, papier werk op orde betekent niet meteen reeele wereld van de systemen op orde. De mismatch tussen beleid en realiteit. Het enige wat er dan vaak op orde lijkt is dat van top-down de blame gepaast kan worden.

Ook kun je hierin lezen

" The Information Security Policy, if it exists, is based on internal procedures rather than known standards or norms such as, for example, ISO27001. "

en als HPCer kan ik dat beamen want ga je wel full-blown isotje dittem en dattum doen, dan heb je geen HPC omgeving meer over kan ik je verzekeren. Je krijgt dan een std IT omgeving voor kantoor automatiseren en laat HPC nu net iets anders zijn wat niet meer op je std server en PC kan. Dat zit hem niet alleen in de hardware, maar ook in de setup: veel HPC gebruikers komen met hun eigen codes die geoptimaliseerd en geparalleliseerd zijn en moeten locaal met systeem specifieke libraries gelinked worden om bijv Infiniband te gebruiken via een batch queue of de MKL oid om de performances te verkrijgen waarvoor je die dure hardware met spceifieke CPU instructies en GPUs hebt gekocht in de eerste plaats. Nou, nou, een server waarbij een externe gebruiker van een ander instituut of organisatie zomaar binaries mag maken en runnen? poeh poeh menig std ITer gaat hierover de rooie dan maar dat is nu net het dagelijkse werk in HPC land. Die wereld waar nu Linux koning is en Microsoft totaal afwezig is (top500.org). Dat is geen mening maar een gegeven en je zou je dus eens kunnen afvragen waarom... maar dat allemaal maakt je niet imuun voor hackers, net zo min een formeel beleid an-sich.
23-05-2020, 20:28 door Anoniem
Leuk voor de servers die je beheerd. Werkt alleen niet als de public key op niet jouw beheerde servers is gebruikt.
Dotdat je een multi customer omgeving moet beheren.

precies hetzelfde probleem als met gebruik van (al dan niet compromised) wachtwoorden... nietwaar?
24-05-2020, 09:05 door karma4 - Bijgewerkt: 24-05-2020, 09:25
Door Anoniem: RWA heb je van mij, daar heb ik recent wat over gepost. … maar dat lijkt voor jou allemaal van ondergeschikt belang te zijn. Misschien voel je je superieur als jij weet waar een afkorting voor staat en een ander niet.
Steunt je gevoel voor eigenwaarde werkelijk op dit soort zielig gedoe? Triest.
Maakt weinig uit voor mijn insteek Ik heb het over evangelisme waarbij degenen die zich niet conformeren aan de opgelegde ideeën verketterd worden. Dat woord heeft de inquisitie als herkomst. Er zijn nogal wat figuren die dat rode pillietje met alle angsten en onzekerheden eng vinden, liever voor doe blauwe gaan. Dat is precies de kern van de volgelingen ofwel autoriteits aanhangers. Op dit moment is dat bij OSS als de enige juiste (right) als een uiterste. De RWA aanduiding is daarbij prima op zijn plek. Het gebeuren blijft identiek.

Wat anders:
https://www.archer.ac.uk/documentation/data-management/transfer-keys.php Opslaan van private keys welke zo gedeeld kunnen worden. Het is niet veilig bij design.

http://www.prace-project.eu/IMG/pdf/wp79.pdf Fraai richtlijntje het heeft de neiging niet te landen / te verwateren.
"Last but not least, a security area that is also worth considering is the Information Security Policy that should be formalised and updated on a regular basis, so the non-technical aspects of maintaining a decent level of security. One might say it is the Achilles heel of most companies or organisations, including the surveyed HPC centres. The Information Security Policy, if it exists, is based on internal procedures rather than known standards or norms such as, for example, ISO27001. "

Inderdaad krijg je voor het weet fanatici die van alles blokkeren voor het noodzakelijke gebruik voor de organisatie dan wel gebruikers omdat zij geloven dat het niet goed is. Weinig verschil in de commerciële en wetenschappelijke wereld. Ook commerciële organisaties gaan met dataonderzoeken aan de slag. Het heet data science.
HPC hardware zijn de kosten niet. Naast die OS fanatici heb je nog te maken met de vraag rond de te gebruiken gegevens. Archer was bezig met covid onderzoek... Contactracing geospatial temporal met PII?
24-05-2020, 09:39 door Anoniem
"Wat anders:
https://www.archer.ac.uk/documentation/data-management/transfer-keys.php Opslaan van private keys welke zo gedeeld kunnen worden. Het is niet veilig bij design."

je laat duidelijk zien dat je geen HPC ervaring hebt :).

deze locale ssh key pairs worden binnen de HPC omgeving gebruikt om van de ene compute node je sommen te kunnen starten op de andere. dat is een functionele must want anders heb je geen HPC dus.

dat is een (relatief eenvoudige) manier om dat te doen door iedere gebruiker een key-pair te geven [en die zie zou je regelmatig kunnen verversen per gebruiker (cron job elke week oid)]. maar als je goed nadenkt is het kunnen bemachtigen van die key pairs niet zo interresant want je bent dan al binnen als minstens die gebruiker en die sleutels laten je niet toe naar een ander extern systeem te hoppen.

een andere manier is host-base authentication op te zetten met ssh voor alle nodes van je systeem:

https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Host-based_Authentication

maar dat wordt door veel mensen als een tricky setup ervaren omdat er nog wat extra details op RHEL systemen zijn die in de bovenstaande link niet behandeld worden ivm SELinux en zo meer.
24-05-2020, 09:51 door Anoniem
http://www.prace-project.eu/IMG/pdf/wp79.pdf Fraai richtlijntje het heeft de neiging niet te landen / te verwateren.
"Last but not least, a security area that is also worth considering is the Information Security Policy that should be formalised and updated on a regular basis, so the non-technical aspects of maintaining a decent level of security. One might say it is the Achilles heel of most companies or organisations, including the surveyed HPC centres. The Information Security Policy, if it exists, is based on internal procedures rather than known standards or norms such as, for example, ISO27001. "

Inderdaad krijg je voor het weet fanatici die van alles blokkeren voor het noodzakelijke gebruik voor de organisatie dan wel gebruikers omdat zij geloven dat het niet goed is. Weinig verschil in de commerciële en wetenschappelijke wereld. Ook commerciële organisaties gaan met dataonderzoeken aan de slag. Het heet data science.
HPC hardware zijn de kosten niet. Naast die OS fanatici heb je nog te maken met de vraag rond de te gebruiken gegevens. Archer was bezig met covid onderzoek... Contactracing geospatial temporal met PII?

dat is niet correct, ik probeer je steeds te vertellen, dat richtlijnen zoals dit opgezet worden hoog-over zonder alle details goed te weten en kennen en vaak tegenstrijdige situaties opleveren zodra je daadwerklijke die richtlijnen probeert te implementeren. uit ervaring weet ik als je daar dan over in discussie gaat (wat een volwassen persoon dan doet om tot een oplossing te komen), dan krijg je een dikke NEE, maar tegelijkertijd wel de OPDRACHT een werkend systeem op te leveren. Je krijgt dus die non-sense zoals in de video: https://www.youtube.com/watch?v=BKorP55Aqvg (maar die begreep je ook al niet want daar zag je ook al weer ene OSS probleem in: projecteren).

kortom, je hebt dan de keuze enkele richtlijnen inderdaad als RICHTlijnen te zien ipv absolute regels, en een werkend systeem op te zetten zo goad als het kan, of, het alternatief, tegen je baasje zeggen 'nee moelijk kan niet'. Dat baasje gaat dan bij een ander vragen die het nog minder nauw neemt met security en die vlugge consultant zegt dan 'ja hoor kom maar door, hier is het factuurtje'. Die plempt een systeem neer en zorgt ervoor contractueel dat na overdracht van beheer, hij/zij niet meer verantwoordelijk kan gehouden worden van wat er met dat systeem gebeurt. Leuk he?

btw, ARCHER wordt voor veel meer gebruikt dan nu de PR stunt corona hoor! en dat covid onderzoek hoeft niet met data sciene te gebeuren perse. Er zijn plenty simulatie modellen voor eiwitten die op dat virus kunnen zitten interacteren met celwand eiwitten. Een noodzakelijk fundamenteel mechanisme dat je moet weten en snappen voordat je een anti-stof of vaccin kunt designen. Je moet niet steeds met je eigen bril op naar dingen kijken, ga niets nieuws zien of leren!
24-05-2020, 11:37 door Anoniem
Door Anoniem: "Wat anders:
https://www.archer.ac.uk/documentation/data-management/transfer-keys.php Opslaan van private keys welke zo gedeeld kunnen worden. Het is niet veilig bij design."

je laat duidelijk zien dat je geen HPC ervaring hebt :).

deze locale ssh key pairs worden binnen de HPC omgeving gebruikt om van de ene compute node je sommen te kunnen starten op de andere. dat is een functionele must want anders heb je geen HPC dus.

dat is een (relatief eenvoudige) manier om dat te doen door iedere gebruiker een key-pair te geven [en die zie zou je regelmatig kunnen verversen per gebruiker (cron job elke week oid)]. maar als je goed nadenkt is het kunnen bemachtigen van die key pairs niet zo interresant want je bent dan al binnen als minstens die gebruiker en die sleutels laten je niet toe naar een ander extern systeem te hoppen.

een andere manier is host-base authentication op te zetten met ssh voor alle nodes van je systeem:

https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Host-based_Authentication

maar dat wordt door veel mensen als een tricky setup ervaren omdat er nog wat extra details op RHEL systemen zijn die in de bovenstaande link niet behandeld worden ivm SELinux en zo meer.

follow up om het iets te verduidelijken:

er zijn dus vaak al locale ssh key-pairs nodig om het HPC system te laten werken. als ARCHER heb je verder geen controle over externe servers die niet van jouw zijn, dus als een gebruiker een public key part van zo een locale ARCHER key pair op zijn eigen externe systeem zet, dan doet hij dat gewoon. dat er dan vanuit ARCHER zonder password een ssh / scp naar dat externe systeem kan, is eerder een security dingetje bij de externe partij. zou je dat blokeren technisch, werkt ARCHER meteen niet meer.

bij ARCHER zijn ze zich daar goed van bewust en er zijn legitime momenten en situaties te bedenken (en die worden beschreven in je linkje) waarbij dat de enige manier is om data uit te wisselen van een compute node naar een externe machine. Daarom geven ze bij ARCHER in ieder geval nog de instructies hoe je dat het beste kunt doen, want dat technisch verbieden is niet mogelijk vanuit ARCHER, met geen enkel protocol / systeem eigenlijk (maakt conceptueel niet uit of het nu ssh of rdp of wat dan ook is).

de angel van dit verhaal zit hem in dat je data MOET kunnen uitwisslen tussen twee partijen die niet in dezelfde security boundary en beheersomgevingen zitten. geen data kunnen uitwisselen => geen HPC systeem waar je je antwoorden uit terug krijgt of sommen in kunt duwen. wel data kunnen uitwisselen => hebt geen controle over wat extrene partij doet.

dit is dus zo een situatie waarbij richtlijnen, als die letterlijk genomen worden, resulteren in een niet werkend systeem dat niet gebruikt kan worden.
24-05-2020, 12:39 door Anoniem
Door karma4: Maakt weinig uit voor mijn insteek Ik heb het over evangelisme waarbij degenen die zich niet conformeren aan de opgelegde ideeën verketterd worden. Dat woord heeft de inquisitie als herkomst. Er zijn nogal wat figuren die dat rode pillietje met alle angsten en onzekerheden eng vinden, liever voor doe blauwe gaan. Dat is precies de kern van de volgelingen ofwel autoriteits aanhangers. Op dit moment is dat bij OSS als de enige juiste (right) als een uiterste. De RWA aanduiding is daarbij prima op zijn plek. Het gebeuren blijft identiek.
Je slaat over dat er net zo goed mensen zijn die weglopen met de propriëtaire wereldjes van IBM, Oracle, Microsoft en andere bedrijven. Dit soort gedrag is echt niet uniek voor OSS-aanhangers, en bij al die platforms geldt dat je het over een minderheid hebt, dat echt niet iedereen die er waardering voor heeft meteen een idolate fanatiekeling is. Dat er op deze website een paar mensen actief zijn die wel in dat beeld passen maakt niet dat je iedereen over die kam kan gaan scheren.

Trouwens, als je van The Authoritarians niet selectief tot je door zou laten dringen wat je kan gebruiken om wild om je heen te slaan, maar de boodschap werkelijk tot je zou laten doordringen, dan zou je op moeten vallen dat het denken in in-groups en out-groups typisch is voor mensen die hoog op de RWA-schaal scoren. Jouw eindeloze tirade tegen veronderstelde OSS-evangelisten is een sterk voorbeeld van een out-group zien en je daartegen keren. Je herkent kennelijk niet dat je zelf RWA-gedrag vertoont. Andere voorbeelden zijn onlogisch denken en sterk gecompartimentaliseerd denken. Je hebt al ettelijke keren volkomen duidelijk gemaakt dat dat bij jou zo diep zit dat je zelf niet eens doorhebt hoe sterk je aan dat beeld voldoet.

Nu met die SSH-keys ben je alles naar wat er mis mee kan zijn toe aan het redeneren, wegwuivend wat mensen met kennis van zaken aangeven over hoe het een stuk beter geregeld kan worden dan hier kennelijk is gebeurd. Daarmee ben je geen haar beter dan The FOSS die alles aan Windows toeredeneert naar de spaghetticode die hij daarin veronderstelt en elk tegenargument wegwuift.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.