Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hang Raspbian's Apache niet aan het net!

27-08-2021, 22:02 door [Account Verwijderd], 16 reacties
Sinds een hele tijd is Apache lek van Raspbian. Ze liggen ver achter met hun versie. In de repo staat 2.4.38 en Apache is bij 2.4.48. Daar hoort een hele serie exploits bij ondertussen.

Nou weet ik dat er binnenkort een nieuwe versie van Raspbian komt en daar zal hopelijk wel een up to date versie van Apache in zitten maar ik weet ook dat nu massa's mensen zo'n ding in hun LAN hebben zitten met een portforward in hun router naar 80 en 433. Die lopen grote risico's! En dus niet alleen voor hun raspberrie maar voor alles wat in dat subnet hangt! Meestal alles wat aan internet hangt. Telefoons, laptops, tv's, wasmachines, kerstbomen en massagestaven.

Komt er onder de streep op neer dat die dingen NIET GESCHIKT ZIJN VOOR INTERNET! De gene die zo'n ding dus wel aan internet heeft hangen, raad ik aan dat ding nu van internet halen zolang die kraters niet gepatched zijn.

Navraag leert dat security geen hoge prioriteit heeft. Het is een oefenboard. En daar is wat voor te zeggen natuurlijk. Het zou dan wel tof van hun zijn als ze dat erbij zeggen. Iets dat ik nog nergens tegen ben gekomen.

Doe er je voordeel mee!

Grtz, Rex!
Reacties (16)
28-08-2021, 00:43 door Anoniem
Waarom niet gewoon Apache en dependencies updaten door repo sourcelist aan te passen en vervolgens apt-get of wget te draaien of zoals het eigenlijk hoort gewoon van source uit te compilen?

Apache is altijd lek dat komt omdat Apache de meest gebruikte webserver software ooit is en honderduizenden hackers constant gaten zitten te prikken in het arme ding 24/7. Dat gezegd is Nginx ook vaak lek net als Litespeed en al die andere mainstream server software. Daarom update je je software binnen je OS en bij dit soort cruciale dingen minimaal per dag. Ik kan me geen dag herrineren dat er geen security advisory voor of HTTP server services of SQL langskomt in mijn dashboard alerts voor onze server clusters. Its part of the "fun" game en heeft niet direct te maken met slecht geschreven code maar gewoon met de winst die criminelen kunnen halen uit het neerhalen of overnemen van gebruikmakende diensten. Al is er ook heel veel slecht geschreven code.


Rasberry PI is altijd opgezet met de gedachte om goedkopere oplossingen te bieden op het leren van programmeren, hardwaretweaking en low cost investments voor voornamelijk derde wereld landen. Dat is echter (net als Ubuntu) een goudmijn gebleken dus toen ging men ook maar het midden segment aanboren onder het excuus van eerstgenoemde maar dan voor scholen die wel geld hebben maar liever niet uitgeven en uiteraard hobbyisten markt zoals je vroeger van die kits had om je eigen radio signaal onderscheppers te maken.

Ik weet niet hoe je dat ooit hebt kunnen missen dat het doel van Rasberry PI educatie was als letterlijk het credo van hun is "Teach, Learn, and Make with Raspberry Pi" Ze hebben een About page waar alleen maar gesproken wordt over educatie. Ze hebben hun jaarlijkse strategie, marketing document waarin het buzzword you guessed it educatie is en de hele community draait om educatie. Wat is je vooronderzoek geweest voor je een Rasberry Pi kocht?


Gooi je iets in je infra dan is het vanaf dat moment jouw verantwoordelijkheid om de beveiliging te regelen. Of je dat nu zelf doet of iemand inhuurt of een support contract regelt does not matter maar regel iets. Risico afweging maak je *voor* je iets in je infra hangt niet achteraf. Wachten op de fabrikant doe je alleen als het een gesloten systeem is waar je geen controle over hebt die vlieger gaat hier niet op.

Internet of Things wordt niet voor niks Internet of Threats genoemd. We weten ook dat er slapende mega botnets zijn van miljoenen koelkasten tot babyfoons, cameras en andere smart crap om het nog maar niet te hebben over ongepatchde routers en modems. We weten alleen niet wanneer deze ooit een aanval gaan doen en omdat gebruikers niet het besef hebben dat ze verantwoordelijk zijn voor de beveiliging van hun infra en bedrijven liever marge zien dan investeren in veiligere producten groeit dat aantal per dag lekker door.

Een beetje zoals we nu met de coronagroep dealen. We wisten al jaren dat we gevaar liepen we wisten niet wanneer het gevaar zich zou manifesteren en we wisten niet hoe slecht we eigenlijk erop voorbereid waren. En we gaan net doen alsof onze neus bloed bij de volgende pandemie.


De waarheid is helaas als volgt. Niks is geschikt voor het Internet omdat het concept van Internet zoals wij het kennen bedacht is in een tijd dat de dreiging enkel van grootmachten ooit konden komen die graag grote langwerpige objecten verzamelden om te laten zien hoeveel meer stuff ze wel niet hadden.

Toen het concept Internet naar buiten kwam zijn we gigantisch er op nat gegaan en dachten we dit wordt enkel iets voor bedrijven en scholen want de prijs lag op paar duizend tot de kosten van een moderne BMW of soms zelfs een vliegtuig en de bedrijven die de cash ervoor hadden die wouden allemaal gesegmenteerd blijven en enkel hun assets erop. Scholen gebruikte het om hun fysieke netwerk digitaal te koppelen en again koppelingen waren zeer schaars. Tot 1991 ongeveer was het nog allemaal managable maar toen groeide het spinnenweb daarna met een snelheid van 100% per jaar

Sommige gebruikers werden handiger maar de meeste juist onhandiger en kwamen we van onschuldige of iritante grappen in de vorm van virussen uit op een hele lucratieve manier van geld maken door precies te doen wat niemand over had nagedacht.

Sindsdien is het enige wat we nog *kunnen* doen pleister en ducttape plakken op alle internet gerelateerde protocollen en iedereen in de sector weet dat dit hele geheel een zinkend schip is waar we elke keer meer lading op donderen maar we hebben geen beter schip dus we gaan net zolang door tot we gezonken zijn of een nieuwe hebben en doen we naar de passagiers net alsof we geen ijsberg hebben geraakt.


Dus ja ongepatched software is inderdaad vragen om problemen maar je predikt naar de groep die dit weet en elke dag pijnlijk er aan herrinert wordt.
28-08-2021, 02:10 door Anoniem
Zo nu en dan denk ik echt dat ze bij "brand x", in dit geval Raspbian, echt niet de prioriteiten in orde hebben. Misschien is het beter om "brand x" gewoonweg te verlaten en vervangen door "brand y". Maar wat is dan "brand y"? Waar hebben ze wel de duidelijke aanpak? OpenBSD natuurlijk. Maar dan moet je zelf serieus in de command prompt te werk gaan. Is het dat waard? Want je mist zoveel als je OpenBSD gaat gebruiken. Qua veiligheid zit je dan goed maar gebruiksgemak is ook veel waard.

En hoe zit het tegenwoordig met Rust? Is er al een werkende versie van met een alternatief voor Apache 2.x (of 1.x van OpenBSD)? Of is het misschien zo dat Apache zelf ter ziele zou moeten worden gelaten?
28-08-2021, 05:32 door [Account Verwijderd]
Port 443 bedoel ik natuurlijk. #GoeieMorgen
28-08-2021, 06:53 door Anoniem
Raspbian is een afgeleide van Debian, en de versie van apache2 is om precies te zijn 2.4.38-3+deb10u5, dezelfde versie als in Debian "buster" (sinds zeer recent is dat niet meer de stabiele versie maar "oldstable", Debian "bullseye" is uitgekomen). Debian "buster" wordt nog zeker een jaar actief ondersteund.

Wat Debian al tientallen jaren doet is om in een stabiele release in beginsel geen wijzigingen te introduceren die compatibiliteitsproblemen kunnen veroorzaken. Omdat er meestal ruwweg twee jaar zit tussen nieuwe major releases van Debian zie je verouderde pakketversies. Wat Debian wél actief doet doet is security fixes uit nieuwere versies overnemen in de versie die ze voeren. Dat betekent dat je niet zomaar uit (in dit geval) het apache-versienummer kan concluderen dat er kwetsbaarheden zijn, omdat de kwetsbaarheden uit upstream apache 2.4.38 in Debian gerepareerd zijn. Vandaar de Debian-eigen toevoegingen aan het versienummer, 2.4.38-3+deb10u5.

Aangezien Raspbian "buster" hetzelfde versienummer voert als Debian "buster" concludeer ik dat ze qua security patches voor dit pakket bij zijn.

Dat wil niet zeggen dat je geen punt hebt. Het is mij van Raspbian nooit duidelijk geworden hoe snel ze zijn in het bijbenen van de security updates van Debian. Ik heb altijd de indruk gehad dat er vertraging kan optreden, en dan is het inderdaad riskant om zo'n servertje aan het internet te hangen.

Over Raspbian kan verder nog opgemerkt worden dat er ooit twee varianten van waren, die van raspbian.org en die van de Raspberry Pi Foundation. Op raspbian.org kan je lezen dat zij aanraden de versie van de Raspberry Pi Foundation te gebruiken, omdat die beter gesupport wordt. De laatste heet tegenwoordig Raspberry Pi OS. Het is tegenwoordig het meest geïnstalleerde OS op de Raspberry Pi.

https://www.raspberrypi.org/software/operating-systems/

Het moet ook mogelijk zijn om Debian zelf op een Raspberry Pi te installeren, maar dat vergt wel uitzoekwerk en geknutsel, je moet zelf een image produceren om op de SD-kaart te zetten. Raspbian is ooit ontstaan omdat dat helemaal niet kon, maar die situatie is dus inmiddels verbeterd. Als ik een publiek toegankelijke webserver op een Pi zou willen draaien zou ik me daar wel in verdiepen, want bij Debian zelf is wel volkomen duidelijk dat ze werk maken van tijdige security updates.

https://wiki.debian.org/RaspberryPi
28-08-2021, 11:15 door [Account Verwijderd] - Bijgewerkt: 28-08-2021, 12:03
Wat Debian al tientallen jaren doet is om in een stabiele release in beginsel geen wijzigingen te introduceren die compatibiliteitsproblemen kunnen veroorzaken. Omdat er meestal ruwweg twee jaar zit tussen nieuwe major releases van Debian zie je verouderde pakketversies. Wat Debian wél actief doet doet is security fixes uit nieuwere versies overnemen in de versie die ze voeren. Dat betekent dat je niet zomaar uit (in dit geval) het apache-versienummer kan concluderen dat er kwetsbaarheden zijn, omdat de kwetsbaarheden uit upstream apache 2.4.38 in Debian gerepareerd zijn. Vandaar de Debian-eigen toevoegingen aan het versienummer, 2.4.38-3+deb10u5.

Exact! Dus Rexodus, trek je statement even in want het is klinkklare onzin!
28-08-2021, 12:08 door Anoniem
waarom niet gewoon Ubuntu server installeren op de pi?
https://ubuntu.com/download/raspberry-pi
dan heb je via apt gewoon de laatste stable versions, ook van apache2
je moet natuurlijk wel een beetje handig zijn met Bash... maar zo moeilijk is dat nou ook weer niet.
28-08-2021, 12:57 door Anoniem
Door Rexodus: Sinds een hele tijd is Apache lek van Raspbian. Ze liggen ver achter met hun versie. In de repo staat 2.4.38 en Apache is bij 2.4.48. Daar hoort een hele serie exploits bij ondertussen.

Zoals anderen al schreven klopt hier niets van. Het gaat niet om het versienummer maar om de aangebrachte updates.
Wat je dus moet doen is regelmatig updaten of nog beter het "unattended upgrades" pakket installeren EN CONFIGUREREN.
(in bepaalde images is dat default al gedaan)
Doe er je voordeel mee![/quote]
30-08-2021, 07:13 door [Account Verwijderd]
Door Toje Fos:

Exact! Dus Rexodus, trek je statement even in want het is klinkklare onzin!

Ah, hier hebben we iemand die alle exploits getest heeft! Vertel verder. Wat zijn je bevindingen?
30-08-2021, 09:00 door Anoniem
Door Rexodus:
Door Toje Fos:

Exact! Dus Rexodus, trek je statement even in want het is klinkklare onzin!

Ah, hier hebben we iemand die alle exploits getest heeft! Vertel verder. Wat zijn je bevindingen?
28-08-2021, 06:53 hier, op wie Toje Fos reageerde.

Ik ben geen fan van Toje Fos' aanvallende stijl, maar waar hij op reageert is een uitleg van hoe je uit het feit dat Raspbian op Debian is gebaseerd en hoe Debian ermee omgaat in dit geval kan concluderen dat het een veilige versie is, zonder dat je zelf alle exploits hoeft te testen. Heeft die uitleg je misschien iets wijzer gemaakt?
30-08-2021, 09:04 door Anoniem
Door Rexodus:
Door Toje Fos:

Exact! Dus Rexodus, trek je statement even in want het is klinkklare onzin!

Ah, hier hebben we iemand die alle exploits getest heeft! Vertel verder. Wat zijn je bevindingen?

Volgens mij hadden we (in jouw persoon) hier iemand die niet snapt hoe het werkt met updates en versienummers.
Waarom ga je daar niet verder op in?
30-08-2021, 09:56 door Anoniem
Door Rexodus: De gene die zo'n ding dus wel aan internet heeft hangen.
Doen dat zonder gêne.
30-08-2021, 11:22 door Bitje-scheef
Volgens mij hoeven we niet te vingerwijzen en nahnahnahnaaien het is duidelijk.
30-08-2021, 11:53 door [Account Verwijderd] - Bijgewerkt: 30-08-2021, 11:53
Door Bitje-scheef: Volgens mij hoeven we niet te vingerwijzen en nahnahnahnaaien het is duidelijk.

Inderdaad maar het zou mooi zijn als deze Raspbian zwartmakerij formeel ingetrokken zou worden door de bron. Om verdere verwarring over versienummers bij updates te vermijden.
30-08-2021, 12:33 door Anoniem
Is al gezegd hier, maar ik doe ook nog maar even een duit in het zakje.

Een oudere versie van een programma wat nog gewoon updates/security-patches krijgt is niet onveiliger dan de latest and greatest. Sterker nog, kan zelfs veiliger zijn.
31-08-2021, 11:02 door Anoniem
Door Toje Fos:
Door Bitje-scheef: Volgens mij hoeven we niet te vingerwijzen en nahnahnahnaaien het is duidelijk.

Inderdaad maar het zou mooi zijn als deze Raspbian zwartmakerij formeel ingetrokken zou worden door de bron. Om verdere verwarring over versienummers bij updates te vermijden.

Een fool met een tool is nog steeds een.....

Jammer dat dit draadje niet begonnen is met een vraag, maar een "beschuldiging' of 'foute' stelling. De vraagsteller had dan uitleg kunnen krijgen over het verschil en soms noodzaak tussen functionele (versie) upgrades en securioty upgrades (patches)
van een (evt oude) versie van software. Dan wordt ook meteen duiidelijk warom package manegement zo belangrijk is en zelfs Microsoft daar naar toe gaat en Debian releases zo lang duren.
31-08-2021, 19:19 door Anoniem
Door Rexodus:
Door Toje Fos:

Exact! Dus Rexodus, trek je statement even in want het is klinkklare onzin!

Ah, hier hebben we iemand die alle exploits getest heeft! Vertel verder. Wat zijn je bevindingen?

Draai zelf even een vulnerability scanner en laat hier even weten wat je gevonden hebt. Of probeer de bestaande exploits voor de kwetsbare versie eens uit op je servertje.

Is leerzaam voor je kan ik je vertellen.

Ik hoor graag van je.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.