A fura, hogy csak most, vagy csak most vették észre :/
Az érdekelne mit és mennyit hessöltek a különböző szuperszámítógépek

Dolgok amiket utálok: 1. fórumaláírások, 2. irónia, 3. listák

Írja a cikk végén, Monerot.

Ha tényleg a kutatóktól kerültek ki az SSH kulcsaik, tudok nekik gratulálni

[ Szerkesztve ]

35%-ot ingadozott az XMR network hashrateje. Not good, not terrible.

Jelszó? Az minek? A cikkben linkelt cado weblapról:

“I work in HPC in the UK. Yesterday I had to revoke all the SSH certificates on our system because unfortunately some f’ing idiot users have been using private keys without passcodes. These have been used to hop from system to system as many HPC users have accounts on different systems. They are managing local privilege escalation on some systems and then looking for more unsecured SSH keys to jump to other systems. They maybe using one or more methods for the privilege escalation, possibly CVE-2019-15666. Right now the UK national facility ARCHER is off line as they have suffered a root exploit.
The actors are coming from the following IP addresses, 202.120.32.231 and 159.226.161.107, you get zero guesses which country these are from.”

Mondjuk ez az admin se lehetett a helyzet magaslatan, ha azt gondolja szamit milyen IP-rol jon a tamadas...

pont ezen agyaltam

Dolgok amiket utálok: 1. fórumaláírások, 2. irónia, 3. listák

Marhák

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá

"Sújtólégrobbanás" lesz a vége a "bányában". Mehetnek majd követ törni...az nem bitcoinba fizet, jó lesz ha kapnak egy kis vizet

Szabad országban, szabad ember, szabad akaratából azt mond és azt tesz...amit szabad. UDS Ignition.

"A támadók helyzetüket arra használták fel, hogy egy ismert sérülékenységet kihasználva root-hozzáféréshez juttassanak, majd telepítettek egy Monero kriptopénzt bányászó alkalmazást."

De minek kellett volna ehhez bármilyen spéci jogosultság? Egy ilyen programot nem kell telepíteni, csak simán futtatni a saját könyvtárban.

Lehet kvotazas miatt vagy nem nyithat barmilyen socketet, stb. stb..

Mondjuk ha valaki kiadta nekik a kulcsot, akkor a jelszót is adta volna...
(Mondjuk mire gondol passcode alatt? Tokenre? Másodlagos hitelesítésre?)

[ Szerkesztve ]

Mutogatni való hater díszpinty

Én azt nem értem, hogy egyrészt ismert sérülékenységet használtak ki, miután bent voltak (miért nem volt foltozva?). Másrészt miért nem kötelező a fizikai hardverkulcs használata a loginhoz? Nem vérpistike gamer gépéről van szó...

'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!

Ezek az ennek-annak odaadott elérések ELEVE halálra voltak így ítélve, zéró security koncepció.

Az egy dolog, alap minimum, hogy mondjuk egy szuperszámítógépre SSH-t nem teszünk ki a netre. VLAN-okkal dolgozunk, van több féle VLAN definiálva, ezek egyike legyen mondjuk egy "gépnyomkodó tudósok" VLAN és csak itt, csak ezen a VLAN-on lévő interfészen engedjük be az SSH próbálkozásokat. Az SSH-t úgy állítjuk be, ahogy írod, 2FA és ki van védve már ezzel önmagában a szar nagyja. Továbbá az egész stack elé be kéne tenni egy VPN koncentrátort, ergo a tudós ha bent ül irodában, eléri ugyan a VLAN-t, használja védett belső hálón úgy, ahogy akarja, ha meg mondjuk távol van és otthon például, akkor először egy lehetőleg szigorú VPN-en bemegy a cégbe, becsattan az említett hálózatba és csak ezután látja azt az ip címet az ő oldalán, ahova tud majd SSH-zni.

Baszki, ilyen durva gépek és rendszerek, ilyen komoly intézményeknél és kiteszik a publik netre ? WTF. Ezeket az ssh access-eket backend módon kellene kezelni, az infrastruktúra legmélyebb bugyrába eldugva, szénné tűzfalazva, izolálva, IDS/IPS, minden szar, nem kitenni az ablakba, hogy heló, gyertek.

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá

Nem kiadta a kulcsot, hanem elloptak. Egy jelszoval vedett kulcsot egy fokkal nehezebb felhasznalni, mint ha meg jelszo sincs hozza. Minthogy a pancelszekrenyt is el lehet lopni, de azt utana meg ki is kell nyitni.

[ Szerkesztve ]

Akkor meg a user gépek védelme nem jó... Esetleg ilyen esetben lehet jumpservert használni...

De Dißnaeß mondja jól, hogyan lehet ahhoz a géphez kintről SSH-n hozzáférni...

Mutogatni való hater díszpinty

Hat, azt irtak gepek kozott ugraltak, szoval egyaltalan nem biztos, hogy a szuperszamitogep volt kint kozvetlenul a neten.
" These have been used to hop from system to system as many HPC users have accounts on different systems. They are managing local privilege escalation on some systems and then looking for more unsecured SSH keys to jump to other systems."

Ha megnezel egy kisebb egyetemet, akkor ott egy szuperszamitogep nem egy akkora dolog, BME-n is csak 30 gepes allomanyrol van szo. Van akinek nagyobb VGA farmja van otthon. Ezeknel a vedelem sem kell olyan szofisztikalt legyen, mert nem vedenek akkora erteket.

[ Szerkesztve ]

Gépek között ugráltak -> cluster tagjai pl., vagy több nagygép hálóban.
Kint van - az egyetemi hálóról érhető el, az tök elég, oda már VPN kell, esetleg ha bérbeadnak kapacitást, akkor arra egy külön. Direktben kintről az SSH, az durva.

Mutogatni való hater díszpinty

Nálunk pl. 100-120 darab gtx1080ti kártyán mennek a kvantumszíndinamikai számolások, oszt nem BME.

Ahelyett, hogy csinálnátok valami értelmes dolgot is, például kripto..

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá

Hat ja, a 1080ti eleg olcso kari, abbol lehet sokat venni. De mondanom se kell, hivatalosan nem lehet, mert tiltja a driver EULA-ja

[ Szerkesztve ]

ezeket a nagygepeket nem csak localban hasznaljak. lehet berelni gepidot, es akkor a vilag barmely pontjan levo tudos futtathatja rajta a cuccat. (cikkben is irtak hogy kinai, lengyel és kanadai kutatoktol loptak). ha meg adsz vpnt, akkor annak az elereset is viszik a tudostol, tehat mind1 hogy van-e vagy sem.

A VPN-t pl. lehet húszféleképpen védeni, és akkor
- nincs kint a gép közvetlenül SSH-val a neten
- aki bement a VPN-re, az már tud használni kulcsot a bejelentkezésekhez, ami sokkal kényelmesebb, mint jelszavazni (meg azért egy 3 havonta cserélt 4k-s SSH kulcs elég erős titkosítás)

Mutogatni való hater díszpinty

Így van.

Meg mondjuk amikor a világ végéről jön a tudós kísérletezni a cuccba, lehet odáig is vinni, hogy Live eszközről jön be, legyen az egy szimpla Ubuntu, ami minden egyes indításkor boot-ol és a saját gépe gyakorlatilag csak eszköz (ráadásul vírus, ransomware és keylogger mentes), és mire bejut a célgépben egy session-be, már csak lényegében egy buta vékony kliens a tényleges munkához.

Sokféle lehetőség van a világ bármely pontja számára elérhetővé tenni szuperbiztonságosan kritikus IT rendszereket. Csak két lehetőség marad nyitva ilyen esetek megtörténtéhez:

1. full dilettáns IT és annak security-je, halvány lilájuk nincs a védelemről, még alap szinten sem (és ez a szomorú).

2. egyik rendszer sem volt kellő súllyal féltve-őrizve, így még ha volt is tudás hozzá, hogy rendesen biztonságossá tegyék, nem volt meg a driver, a cél, hogy ezt véghez is vigyék. Szóval betörtek és vállat vont mindenki, de amikor megvették őket, akkor is valszeg így álltak az egészhez. Kérdés ilyenkor, hogy e gépek nem 10 Ft-os beszerzését ki finanszírozza és most tényleg nem egy Pistike legószerver parkról beszélek, mert ha van benne adófizető pénz, onnantól kezd jönni meg úgy igazán az íze a sztorinak.

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá

Szerintem utóbbi. Ilyen helyekre nem szoktak hülyéket felvenni.

Az a vékonyklienses jó ötlet

Amúgy a 3. : Valaki eladta a hozzáférését. A social engineering durvább dolog, mint a hackelés... Jól meg kell nézni azt is, kinek adsz hozzáférést.

[ Szerkesztve ]

Mutogatni való hater díszpinty

Gondolom azt nem olvasták.

Sok cegnel meg kb. a szaszorosat koltik securityra annak,amibe egy ilyen leallas,foltozas kerul.
Arrol nem is beszelve, hogy sokszor a hetkoznapi munka is teljesen ellleheteltenul bizonyos biztonsagi funkciok miatt. Vagy le kell cserelni, a hardverben meg kb. 10 evig boven jo motyot,egy tobb tizezer dollaros masikra, csak azert,mert van valami vulnerability, vagy jovore mar nem jon secu patch hozza.

Szerintem teljesen alap,hogy ide bejutottak, a secu fo fokusza az amikor ugyfeladatokat kezel a rendszer (bankok,szolgaltatok). Ott milliardos karokat okozhat 1-1 ilyen tamadas, foleg ha kiderul.

(#23) komolyabb cegeknel nem csak secu osztaly van,de kulsosoket is megbiznak ethical hackingel es vulnerability scannel.
Szerintem ezek a helyek nem taroltak olyan adatokat,ami indokoltta tette volna ezen elkpesztoen draga szolgaltasok megvasarlasat.

[ Szerkesztve ]

Mi kell az alaplapba? Procibol egy, Rambo 2. <> Egyetlen vizmolekulaban tobb hidrogen atom van,mint ahany csillag az egesz naprendszerben