[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.

[Martin Seebach]

On Saturday 25 February 2006 22:59, peterg wrote:
> Det er glimrende at Typo3 gør det på BE, men min FTP-klient sender jo
> konstant kodeordet. Vi taler 2006 og FTP uden sikkerhed burde være død.
> Eller i det mindste ikke noget, der skulle koste 1100% ekstra. Lad os nu
> få sikret de forbindelser.
Absolut enig. Og jeg er sikker at jeg ikke er den eneste der kigger på OpenSSH 
og inderligt ønsker mig en sftp med virtuelle brugere. Kom nu ind i kampen ..
Min opposition mod hhv. opdateringer og https/ftps er at det mere end noget 
andet er buzzword-løsninger til et langt simplere problem (usikker kode). 
Både (sikkerhedskritisk - og kun dem!) opdateringer og bundkrypterede 
forbindelser er vigtige, men kun en lille del af problemet.

> Fint med de forslag - bortset fra, at I dag kan jeg ikke vælge. Mad har
> smileys, biler har Euro NCAP stjerner, låsesystemer har SKAFOR klasser.
> Alle steder kan jeg se, hvad jeg får, 3. part udfører audit og jeg kan
> betale på det niveau jeg ønsker. Behøver ikke koste 10x mere.
Jo, det gør det. Også mere end det.
Problemet ligger i forskellen på koncepterne. NCAP klassen for biler fortæller 
dig hvor god bilen er til at håndtere forskellige former for kollisioner - 
det svarer til at du ved at din Apache/PHP og Linux konfiguration med en fin 
firewall er i god stand og kan modstå en lang række kendte angrebstyper.

Men den siger intet om hvor sikker bilen er hvis du kører over en landmine 
eller en psykopat beslutter sig for at tømme en magnum .45 gennem din forrude 
- dette svarer til at du lægger noget vildt usikker PHP kode (f.eks. den 
extension jeg brugte) på din server. 

Grunden til at jeg tør køre rundt i en bil der overhovedet ikke er skudsikker 
er at jeg har en forventning om at hverken landminer eller store håndvåben er 
noget jeg vil møde på min færden.

Anderledes svært er det at lave en tilsvarende risiko-analyse for en 
hjemmeside. Jeg må indrømme at det ikke kom bag på mig at der var nogle 
huller i min hjemmeside, men jeg havde tilladt det, fordi jeg (meget naivt) 
ikke vurderede at den ville være udsat. 

Formålet med min lille lignelse er at illustrere at den eneste formelle 
sikkerhedsklassifikation (ud over alm. sund fornuft i opsætning af en server 
- men det har langt, langt de fleste styr på) der ville give mening, er om du 
har lavet en fuld linje-for-linje codeaudit af hele din toolchain. Og det er 
så hysterisk kostbart.

> Hvis vi har fejl i vores extensions og bliver ramt, så er problemet ret
> isoleret. Det som er svært at acceptere er, når andre laver fejl og vi
> bliver ramt.

Som Jan-Erik pointerede, så er der en risiko for at angrebsvektoren har været 
et andet site på samme server, på hvilket de forskellige sites ikke har være 
behørigt isoleret fra hinanden - hvilket ikke er så smart - men desværre nok 
ret udbredt (det er ret nyt at man kan køre det på en standardiseret måde, så 
vidt jeg ved)

// Martin