https://opennet.ru/openforum/vsluhforumID3/72750.html В списке рассылки разработчиков X.Org разбирается (http://lists.x.org/archives/xorg-devel/2010-November/015824.html) странный инцидент, в результате которого неизвестный злоумышленник внес изменение в Git-репозиторий драйвера xf86-video-radeonhd, удалив некоторые файлы или заменив содержимое на текст "It's dead, Jim". Наибольшее опасение вызывает факт, что владельцем файлов с информацией о коммите (http://cgit.freedesktop.org/xorg/driver/xf86-video-radeonhd/commit/?h=spigot&id=231683e2f111bb064125f64f2da797d744cde7fa) является пользователь root, а не непривилегированный пользователь под которым обычно совершаются операции с Git-репозиторием. Подобная информация свидетельствует о том, что изменения были сделаны от лица пользователя, имеющего root-доступ к одному из серверов инфраструктуры X.Org.<br><br><br>Дополнительно можно отметить, что коммит сделан 2 ноября, но информация о коммите не была отправлена в соответствующий список рассылки. С учетом того, что драйвер radeonhd более активно не р...<br><br>URL: http://www.pho https://opennet.ru/openforum/vsluhforumID3/72750.html#59 Thu, 25 Nov 2010 22:58:50 GMT &gt; уже изложил.<br><br>*Зеваю* Вы "изложили" описание отдельно взятого случая, который ничему из мною сказанного не противоречит. Видите какие-то противоречия - укажите на них. А то, я смотрю, вы взяли моду писать кратко и неконкретно. Не хотите позориться, хотите прилагать минимум усилий для провокаций? Не выйдет, голубчик.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#58 Thu, 25 Nov 2010 22:12:26 GMT уже изложил.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#57 Thu, 25 Nov 2010 18:59:31 GMT &gt; AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?..<br>&gt; и почему этого до сих пор не реализовано в других проектах.<br><br>Потому что сфера применения tripwire и вообще проверки целостности данных на живой системе не охватывает случаи полной компрометации. :) Основные ставки делаются на системы предотвращения вторжений, а не обнаружения.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#56 Thu, 25 Nov 2010 18:55:17 GMT &gt; И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы<br>&gt; (в т.ч. автоматизированные).<br>&gt; Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.<br><br>посмотрел исходники osec, открывается каждый из проверяемых файлов при помощи open() и с него снимается sha1 хэш. Т.е. если стоит руткит на open(), то прога идёт лесом. Сдается мне что также работают и tripwire, AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?.. и почему этого до сих пор не реализовано в других проектах.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#55 Thu, 25 Nov 2010 18:00:32 GMT интересно было бы узнать, что используют крупные компании для которых очень важна ИБ.<br>ведь мы ещё не видели(или не знаем) о взломанном oracle.com например.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#54 Thu, 25 Nov 2010 14:38:37 GMT &gt; правда.<br><br>Я свою точку зрения аргументировал. Есть возражения - излагайте по существу.<br><br>&gt; которые не имееют отношения к разговору, и которые не мешают использовать tripwire.<br><br>То есть, обосновать свою оговорку о "других средствах" и пояснить, почему она уместна, вы не хотите? Или она не имеет отношения к разговору? ;)<br><br>&gt; вот именно. <br><br>Что именно? На момент написания комментария о tripwire ситуация ещё не прояснилась. Кроме того, скрипт рассылки уведомлений шутник отключил, что помешало бы ему обезвредить tripwire?<br><br>&gt; и никто не говорил, что надо применять только tripwire.<br><br>Автор высказывания о tripwire сделал акцент именно на последнем и до сих пор никаких дополнений/поправок не внёс. А о том, что tripwire в некоторых случаях можно использовать вкупе с другими средствами защиты, я сам сказал. Так в чём же суть ваших возражений?<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#53 Thu, 25 Nov 2010 07:54:29 GMT &gt;Короче, но неправда.<br><br>правда.<br>&gt;О каких именно средствах "от" руткитов вы говорите?<br><br>которые не имееют отношения к разговору, и которые не мешают использовать tripwire.<br>&gt;Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен.<br><br>вот именно. и никто не говорил, что надо применять только tripwire.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#52 Thu, 25 Nov 2010 07:53:40 GMT &gt;&gt;В списке рассылки разработчиков X.Org разбирается странный инцидент<br>&gt; Смело меняйте "странный" на "страшный"! :)<br><br>Не-а. Меняйте на "всем пофиг".<br><br>В git-е все файлы числятся по SHA1 _сжатого содержимого. Пусть енти "кульхацкеры" сначала позаботятся о том, чтобы _размер_ (хотя нет, он уже внутри объекта, вроде, хранится...) & SHA1 _сжатого_ файла (объекта git, если точнее) совпал с оригиналом, пото-о-ом уж можно пугаться. И да, все в курсе, что SHA1 был-типа взломан, но для данного случая его более чем достаточно.<br> https://opennet.ru/openforum/vsluhforumID3/72750.html#51 Thu, 25 Nov 2010 07:30:06 GMT И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы (в т.ч. автоматизированные).<br><br>Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.<br>