Компания Symantec выявила (http://www.symantec.com/connect/blogs/check-your-sources-tro...) факты распространения поражённых троянским ПО сборок SSH-клиента PuTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/), пользующегося популярностью к пользователей Windows. Вредоносные сборки осуществляют перехват вводимых пользователем паролей, в том числе вводимых в рамках уже установленного сеанса (например, вводимый пароль root), с их последующей отправкой злоумышленникам.
Проблема проявляется только в сборках, распространяемых через сторонние сайты, с расчётом на то, что PuTTY будет загружен с первого попавшегося сайта, предложенного поисковой системой. Пользователям рекомендуется использовать только официальные сборки PuTTY, размещённые (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html) на сайте проекта. Поражённая троянским ПО сборка датирована 29 ноября 2013 года.<center><a href="http://www.symantec.com/connect/sites/default/files/users/us... src="http://www.opennet.ru/opennews/pics_base/0_1432108884.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: http://www.symantec.com/connect/blogs/check-your-sources-tro...
Новость: http://www.opennet.ru/opennews/art.shtml?num=42266
> Пользователям рекомендуется использовать только официальные сборки PuTTY, размещённые на сайте проекта.Нормальные люди так и делают. А идиотов не перевоспитаешь.
Не каждый нормальный человек посчитает chiark.greenend.org.uk/~sgtatham/putty/ официальным сайтом и решиться загружать что-то с него. Допускаю, что многие выберут давно используемую файловую помойку, чем непонятную левую домашнюю страницу.
http://www.putty.org/ - чем не нравится?
Это неофициальный сайт, а созданный непонятно кем редирект с рекламой Bitvise. С него то как раз в самый раз трояны распространять.
Хм, таки да. Вот что значит привычка к репозиториям - вскользь глянул и всё.
Так в репозитариях же сборщики собирают, а не авторы. Хз что они там понавстроят. Т.е. тоже нечто «неофициальное».
Да и сами авторы много чего могут понапихать в своё приложение...
Дистрибутив с его репозиториями - это та сущность, которая более-менее хорошо идентфицируется и которой явно доверяешь и в которой есть более-менее работающие и проыеренные механизмы защиты от подделки, явной кривизны и прочего - от подписей и контрольных сумм до выделенных и известных маинтайнеров, установленных процедур и прочих организационных мероприятий. Из опыта известно, что этого обычно хватает. Уж от проблемы "а не липовая у меня сборка?" защищает стопроцентно.
тем что как раз та самая помойка.
> давно используемую файловую помойкуНу вообще эталон. :D
Этот сайт указан, как официальный, в Педивикии. Заодно можно о проекте почитать, если уж впервые узнал.
С каких это пор википедия - эталон правильности?
> С каких это пор википедия - эталон правильности?Кто-то называл её эталоном? Но в любом случае ей больше доверия, чем левым файлопомойкам. Особенно, если на разных языках будет указан один адрес домашней страницы.
> С каких это пор википедия - эталон правильности?Ссылки и переводы (заголовки статей на разных языках) обычно правильные.
https://ru.wikipedia.org/wiki/PuTTYВсегда ищу официальный сайт в википедии, а не в поисковике.
Я сначала в гугле смотрю адрес, а затем смотрю на википедии, и если первый результат совпадает с википедией, то качаю.
Следующей новостью, видимо, будет "Авторы putty-троянов отредактировали страницу putty в википедии, подставив левый домен в поле 'официальный сайт', 100500 пользователей putty заражено!"
> Не каждый нормальный человек посчитает chiark.greenend.org.uk/~sgtatham/putty/ официальным
> сайтом и решиться загружать что-то с него. Допускаю, что многие выберут
> давно используемую файловую помойку, чем непонятную левую домашнюю страницу.туда им и дорога: безмозглые дегенераты должны страдать.
>> Пользователям рекомендуется использовать только официальные сборки PuTTY, размещённые на сайте проекта.Смотрите в следующих выпусках сериала: проверка цифровых подписей для вендузятников. Будет весело!
> Нормальные люди так и делают. А идиотов не перевоспитаешь.
> Смотрите в следующих выпусках сериала: проверка цифровых подписей для вендузятников. Будет
> весело!А что, не взлетело? Пытались же что-то замутить, пару лет назад, с подписью от МСца (естественно, не за спасибо)?
> Нормальные люди так и делаютНормальные - putty.exe не пользуются. Ибо какая система - такой и софт.
> Нормальные - putty.exe не пользуются. Ибо какая система - такой и софт.https://packages.debian.org/sid/putty
Галактеко в опасносте!
>> Нормальные - putty.exe не пользуются. Ибо какая система - такой и софт.
> https://packages.debian.org/sid/putty
> Галактеко в опасносте!Нет там https://packages.debian.org/sid/i386/putty/filelist .exe. Ж-Р
> Нет там https://packages.debian.org/sid/i386/putty/filelist .exe. Ж-Рделаем sudo mv /usr/bin/putty /usr/bin/putty.exe
и можно смело троллить на опеннете :)
Знаю, юзал, но потом перешёл на кермит.
> Знаю, юзал, но потом перешёл на кермит.Пробовал, не понравилось. Перешел на морзянку.
> Перешел на морзянку.Там-тамы наше фсёё!!! Долой морзянку!!!
Даже если считать, что пуття бывает только на винде - всякое бывает. При выборе "что-то срочно глянуть на удалёнке со смартфона или с чужой виндовой машины" - ответы могут быть очень разными.
Согласен, не зарекаемся. Только после такого приходится очень долго руки мыть. Вантуз долго выводится из организма.
Откуда номальному человеку знать, что www.chiark.greenend.org.uk - официальная страница. Я на такой стремный домен и кликать не стал.
> Откуда номальному человеку знать, что www.chiark.greenend.org.uk - официальная страница.
> Я на такой стремный домен и кликать не стал.Смотря что считать нормальным.
Нормальный IT специалист может посмотреть, что написано в википедии про putty.
> Откуда номальному человеку знать, что www.chiark.greenend.org.uk - официальная страница.это да. ведь глаза у «нормального человека» только для того, чтобы прон смотреть. а мозги вообще лишние, вместе с умением читать. то ли дело — скачать фигню с первого попавшегося «красивого» сайта! вот это нормально, все нормальные люди так делают!
Выводы такие из новости?
1) На сайтах-помойках выкладывают иногда зловредное ПО.
2) Купи symantec и будешь защищён.
Да ничего, сейчас микрософт посмотрит на все это и запилит аналог линуксных репов.Правда, перекрыть установку софта откуда попало они не забудут, а вот возможность подключения каталогов кроме собственного апстора - не запилят. Поэтому вы сможете купить putty.exe по сходной цене, $9.99. И никаких случайностей, никаких левых троянов от мутных типов. Только проверенные бэкдоры от АНБ!
>> Купи symantec и будешь защищён.А теперь скажите это одной конторе, у которых тоже вроде как Касперыч стоял, и сигнатуры новые были, ага. Только вот всё-равно поймали неизлечимую фигню, которую пропустили все антивири.
> А теперь скажите это одной конторе, у которых тоже вроде как Касперыч
> стоял, и сигнатуры новые были, ага. Только вот всё-равно поймали неизлечимую
> фигню, которую пропустили все антивири.Ну так вся защита антивирей - на уровне "мы попытаемся, но ничего не гарантируем!"
Т.е. на самом деле все отлично(для впаривателя) и одновременно очень печально (для пользователя) ;)
>>> Купи symantec и будешь защищён.
> А теперь скажите это одной конторе, у которых тоже вроде как Касперыч
> стоял, и сигнатуры новые были, ага. Только вот всё-равно поймали неизлечимую
> фигню, которую пропустили все антивири.Прям таки и неизлечимую? Небось все оборудование пришлось сжечь включая флешки когда-либо вставленные а зараженные пк?
3) Пошли подальше symantec т.к. наличие троянов в левых сборках и на левых сайтах для них еще большая новость.
Давно не было известий от Symantec...
если бы вантузянику, которому нужно putty, имя официального сайта показалось официальнее остальных помоек, было бы совсем хорошо
http://www.putty.org/ - куда официальнее? А страница загрузки частенько бывает невесть где расположена.
Выше уже обсудили, повторю:Официальный - www.chiark.greenend.org.uk/~sgtatham/putty
Один из неофициальных - putty.org
Вирусня распространяется через неофициальные и такие клоуны, как ты, в зоне риска.
>Один из неофициальных - putty.orgПо ссылке Download отлично переходится на оригенальную страницу загрузки.
сегодня переходит отлично, а завтра будет подсовывать версию с трояном. а может вчера подсовывал.
> а может вчера подсовывал.А может и сегодня, но только "Васе Пупкину". ;-)
> Официальный - www.chiark.greenend.org.uk/~sgtatham/putty
> Один из неофициальных - putty.orgВот как-то так всё в маздае и работает - "попробуй разобраться кто из них не отгружает троян".
> Вирусня распространяется через неофициальные и такие клоуны, как ты, в зоне риска.
Как хорошо что я линухом пользуюсь, там если софт из репов качаешь - более-менее уверен что это не левак какой-то :)
>Вирусня распространяется через неофициальные и такие клоуны, как ты, в зоне риска.Как самокритично
Да, сорри, ошибся - удобство и надёжность линуксовых репозиториев развращают. Впрочем, обо мне можешь не беспокоиться - я оф. страницу загрузки помню с давних времён, когда, молодой и глупый, сидел в винде ради foobar2000.
> с давних времён, когда, молодой и глупый, сидел в винде ради
> foobar2000.А что, с тех пор для Linux появилось что-то хотя бы сравнимое по качеству и возможностям?
С того времени (foobar 0.8.3) фубар превратился во что-то довольно странное, я оброс пачкой перловых скриптов для того, что я делал через его морду и появился deadbeef, которого мне скорее хватает, чем нет, и который без проблем умеет играть Monkey Audio с cuesheet. Хотя какое-то время у меня вообще фубар в вайне крутился, потом mpd жил c частью коллекции, ещё какие-то эксперименты... В принципе можно было взять амарок и не мучаться (он тогда нормальный был), но DE у меня отродясь не было - вроде и не гармонично амарок без кед...А вообще - с тех пор до меня дошло, что мне не нужны комбайны, сравнимые по возможностям. Пожалуйста, мухи отдельно, котлеты отдельно. А с качеством проблем никогда и не было.
Нет качества - нет и проблем, оно понятно, глядя, например, на то когда впилили поддержку DSD (два месяца назад, https://github.com/lintweaker/xmos-native-dsd).
Ну и сюда можно заодно http://forum.vegalab.ru/showthread.php?t=50840&p=1388677&vie...
Я не аудиофил, мне золотые провода, DSD (с соневским DRM впридачу), 48/96 и подобная маркетинговая чушь ни к чему. Другое дело, что для SACD, насколько я знаю, сведение делали иной раз получше - это да. Но обычно это же можно найти и на AudioCD, если уж сильно хочется. А бит-перфект и прочее - оно для обработки звука нужно, а не для прослушивания. Даже если не говорить о качестве слуха слушателя, обработке комнаты и т.д. - весь идеализм кончается, как только выходим за пределы недавно записанной классической музыки и недавно записанной не-музыкальной электронщины. начиная с тридцатилетнего возраста (а это весь нормальный джаз, например) - можно не дёргаться.А ещё - _музыку_ надо слушать, а не аппаратуру. Тогда меньше будет клинить на оборудовании, а больше - на переданных эмоциях. А более-менее достойное качество получить - не так уж сложно, если не заигрываться.
"mp3 ought to be enough for anybody.", понятно.
Нет качества - нет проблем, я ж говорю.
Отнюдь. Просто, в отличие от некоторых, я когда-то не поленился ознакомиться с теоретической базой (и нашел, например, вполне вменяемые обоснования, почему при грамотном сведении достаточно Red Book, а так же кучу занятных историй вроде случая с вешалкой).Ещё я тогда озаботился слепым прослушиванием - Благо, салонов, где можно послушать принесённый с собой диск, хватает, а попросить друга накидать на болванку записи в случайном порядке и записать его - не проблема. Поэтому я, к примеру, точно знал, где я переставал отличать тот же mp3 от lossless (ответ - нигде - в mp3 звук "размазывался") и есть ли что-то получше (ответ - mpc - на ~200kbps прозрачен на всех разновидностях музыки, что у меня есть). Закончилось, впрочем, всё равно lossless - просто потому, что морочить голову с перекодировкой особого желания нет, а кроме стационара я нигде музыку не слушаю.
Так что о чём говорю - я более-менее знаю. Но - удачи в кормлении соневских копирастов и прочих торговцев золотыми проводами своими кровными.
By the way - насколько я помню, соотношение вклада помещения, акустики и всего остального вместе взятого в звучание - где-то 20/10/1. В итоге стоны по bit perfect выводу звучат довольно смешно.
Да я не собирался с вами спорить, слушайте, как говорится, ваши валенки. Хоть через трёхпрограмник. Удовольствие можно и от этого получать, почему нет.Просто спросил, вдруг появилось что для Linux, что с foobar2000 может как-то конкурировать. Выяснил что нет, так и не. Ну и ладно, Wine есть.
Когда говоришь о теоретической базе и слепых прослушиваниях, а в ответ тебе о валенках - действительно, о чём здесь говорить.
Так зачем о базе?
DSD есть? DSD нет (даже то что сделали 2 месяца назад - это DoP, DSD over PCM всего лишь)
SACD ISO есть? SACD ISO нет.
bit perfect есть? иногда-иногда.
И далее по списку.
Зачем пользоваться тем в чём ничего нет, когда есть foobar2000, в котором всё есть?
А зачем делать то, что является маркетинговым/аудиофильским бредом? База как раз утверждает, что у DSD нет никаких преимуществ перед перед PCM 22.1/16 в контексте прослушивания музыки человеком, а не летучими мышами.Впрочем, что касается SACD - я этими жертвами DRM не стану пользоваться вообще ни при каких обстоятельствах.
Bit-perfect - невелика сложность. Ну да, в зависимости от карты может понадобиться слегка поколдовать с настройками альсы (и в данном случае - это действительно слегка, в отличие, скажем, от разрезания вывода 5.1 на 3 по 2.0) - больше никаких сложностей не вижу. Но так как у меня звук играет джульетка, а не внешнее оборудование через SPDIF - то я последние пару лет даже не проверял, сохранился ли этот самый bit perfect после всех апдейтов.
Вот и получается, что нет у меня нужды в фубаре в плане воспроизведения. Я по его плейлистам - и то больше скучаю, но уж это точно не причина гонять вайн или, тем более, винду.
Ну понятно, понятно. В колбасе сегодня потребности нет, советские учёные убедительно доаказали что брюква на вкус ничем не хуже, а даже и полезней.
Во-первых, я о себе говорил. Уж я как-нибудь могу разобраться, в чём у меня потребность есть, а в чём - нет. К примеру, тот же отдельный DAC я себе покупать не стану - для того, чтобы это имело смысл, надо довольно много вложить в отделку комнаты - в наушниках сидеть здоровье не позволяет.Во-вторых - ну да, почти любой "хай-энд" - не важно, будет это аудио, собирательство марок или ещё что - построен на том, что теряется здравый смысл и начинается гонка за какими-то абсолютно незначимыми с практической стороны критериями. От того, что в кресле сидела королева Виктория в нем удобнее зад не разместится, "голубой Маврикий" не умеет телепортировать почту на Луну, и так далее. Что маркетологи активно такие вещи провоцируют вроде тоже не новость. Так что остаётся полагаться на здравый смысл и ту самую теоретическую базу. мне сейчас обсолютно неохота искать все обсуждения DSD, бессмысленности для слушателя сверхвысоких разрешений и прочего - я всё это перекопал лет десять назад и с меня хватит. Хотите морочить себе голову - ваше дело. Не хотите - можете повторить изыскания. Из первого, что вспомнилось и нашлось - http://www.hydrogenaud.io/forums/index.php?showtopic=40134 - всё разобрано раза четыре.
> Ну понятно, понятно. В колбасе сегодня потребности нет, советские учёные убедительно доаказали
> что брюква на вкус ничем не хуже, а даже и полезней.что характерно: оппонент пишет телеги, поясняет, явно готов привести более технические аргументы по просьбе — а в ответ ему «понятно‐понятно, у тебя нет — вот тебе и не надо!»
очень чёткий и яркий признак аудиложоества у «понятно‐понятного» просматривается.
И все эти телеги, что характерно, исключительно о том что в колбасе у меня потребности
а) нет
б) быть не должно
в) это буржуазные излишества
> И все эти телеги, что характерно, исключительно о том что в колбасе
> у меня потребности
> а) нет
> б) быть не должно
> в) это буржуазные излишестваи скорее всего так оно и есть.
Это каждый сам себе решит - в чём у него потребность есть, а в чём нету.
И, что характерно, решит понятно как - достаточно сравнить очереди желающих эмигрировать в КНДР и в более другие страны.
moc
>> с давних времён, когда, молодой и глупый, сидел в винде ради
>> foobar2000.
> А что, с тех пор для Linux появилось что-то хотя бы сравнимое
> по качеству и возможностям?mpv. отлично играет всё, что я ему подсовываю.
ну, или deadbeef для тех, кто совсем без гуя не может жить.
> есть ли у вас что-то сравнимое с автомобилем?
> лошадь. отлично довозит меня до сельпо и обратно
>> есть ли у вас что-то сравнимое с автомобилем?
>> лошадь. отлично довозит меня до сельпо и обратнои ведь действительно — сравнимо. и лошадь таки может в некоторых сравнениях победить.
Конечно может. Я там выше про трёхпрограмник не зря написал - вполне можно удовольствие получать. Особенно если хороший радиоспектакль, например, взять на http://www.staroeradio.ru.Только вопрос-то был о другом - насчёт сравнимости возможностей. В невырожденном случае
Зачем вообще нужны эти логины и пароли?! Прошлый век! Они: ненадёжны, плохо запоминаются, легко перехватываются. Другое дело — сертификаты, публичные ключи.Предлагаю поставить под запрет использование логинов и паролей для доступа к удалённым сервисам. Приватный мастер-ключ должен генерировать на основе биометрических данных (на основе отпечатков пальцев, сканирования сетчатки глаза, анализа фрагмента ДНК)!
>Приватный мастер-ключ должен генерировать на основе биометрических данныхТы купил экзамен по дискретной математике?
> ненадёжны, плохо запоминаются, легко перехватываются.А файл с ключом так сложно сп..ть, так сложно сп..ть, что всякие пользователи putty.exe ключи всегда и пролюбливают почему-то.
> Другое дело — сертификаты, публичные ключи.
А ты легко запоминаешь 2048-битный приватный ключ? А что, выступишь на какой-нибудь секурити конференции, зачитав в демонстрационных целях парочку ключей по памяти? :)
> Предлагаю поставить под запрет использование логинов и паролей для доступа к удалённым
> сервисам.Поставь. А я на твои запреты на своих сервисах положу.
> основе отпечатков пальцев, сканирования сетчатки глаза, анализа фрагмента ДНК)!
Фошизд с автоматом, проверяющий паспорт - понадежнее будет. А то датчик сканера отпечатков выдает такое количество битов энтропии, что хаксоры просто подберут брутфорсом. Не говоря о том что копы, погранцы и прочие могут про...ть подобные базы. Ну и просто заваливаться на сервера, если захотят. Имеючи твой отпечаток пальцев в базе - ввалиться на твой сервак вообще как два байта переслать.
> Приватный мастер-ключ должен генерироватьгенерироваться
неужели жаба-бсдишнеки уверены, что отослать приватные ключи сложнее, чем перехваченные пароли?
>Приватный мастер-ключ должен генерировать на основе биометрических данных (на основе отпечатков пальцев, сканирования сетчатки глаза, анализа фрагмента ДНК)!ся. Но тогда его легко будет увести. Трудно будет потом сменить ДНК. :)
>>анализа фрагмента ДНК)!
> Трудно будет потом сменить ДНК.
> :)Язефиру можно. Биореактор решает.
Как будто закрытый ключ из Венды нельзя умыкнуть.
"На дурака не нужен нож"...
> "На дурака не нужен нож"...Без дополненея-капитанитга типа "ССЗБы" ваш намек слишком тонок (и, как тут недавно в другом треде выяснили - только для гребаных "рудитов"!) :)
Ничего страшного, так и задумано - надо ж выпендриться :-) Когда я пишу, стараясь обойтись без тонких намёков - это обычно видно по используемым эпитетам.Впрочем, выше по треду я сам попался, сочтя putty.org офф. сайтом - так что, в каком-то смысле, тот самый дурак - я сам. Что поделаешь - в линуксе о таких проблемах думать отвыкаешь.
бинарщина во всей своей красе..."аттавизм"
Лол, о чём можно говорить с таким кошмарным официальным URL'ом? Он сам по себе выглядит как подстава, а запомнить его чтобы потом знать что скачал нормальную сборку вообще нереально. Так что как обычно, не надо проблему кривого вендора перекладывать на юзеров.
дык можно жеж из исходников собрать.
Это жеж нужно жеж разбираться ещё как с MinGW работать.
... и где этот самый mingw скачать... wait, o-shi~
Можно. А теперь поднимите руку, кто так сделал.
> Лол, о чём можно говорить с таким кошмарным официальным URL'ом?...
> надо проблему кривого вендора перекладывать на юзеров."Вендор" конечно кривой, но совсем не поэтому.
А вы идите дальше на фконтактики, котиков смотреть, потрибитель вы наш, мнение имеющий :)
ZverPutty
> ZverPuttyВсё изобретено http:/opennews/art.shtml?num=32477 Могучим Майкрософтом давным-давно.
Давно сделал следующие:На серверах ключи создать ключи ECDSA 520 bit
Pytty элиптического шифрования не умеет ибо им запретили делать!
Все кто от работы с вантузом не могут оторваться ставят http://ttssh2.osdn.jp/
И по ходу инструменты связанные с шифрованием лучше брать европейские, японские или на крайняк канадские...
Ты, это, с наркотой завязывай. http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/e... - кривые есть в снапшоте. О пурге насчёт "запретили" и советах по выбору стран - скромно умолчу.
> На серверах ключи создать ключи ECDSA 520 bitИ завтра там будет тусоваться все АНБ. Потому что в ECDSA используются NISTовские кривые, которые предположительно могут содержать бэкдор.
ИМХО тогда уж проще ключи 25519 использовать. Бернштейн все-таки не NIST.
Давно kerberos юзаю для аутентификации.
> Давно kerberos юзаю для аутентификации.Да, отличный протокол. Где слом сервера авторизации ведет к слому вообще всех остальных систем которые им пользовались.
Diginitar тоже пользовался, AD называлось. Получили полностью скомпрометированный энтерпрайз. Так и обанкротились.
FreeBSD в опасности !!!
Я что то новость не понял, а что были времена когда putty.exe на файлопомойках лежал без троянов и прочей грязи?
Symantec то ли из криокамеры вылез, то ли по пиариться решил.
Таких новостей в день по пачке нагенерить можно.
Короче надо юзать kitty
Это не страшно :)Вводить пароли к UNIX на венде...? Там как не один троян-кейлогер так другой пароль стырит.
Одна из сказочек линуксового манямирка: "На Windows существуют только вирусы и трояны!1 Стоит тебе только поставить Windows на свой компьютер - и вся система уже в вирусах!11 Проходу не дают!!!"
