Спустя полгода с момента случая (https://www.opennet.ru/opennews/art.shtml?num=43996) с подстановкой вредоносного ПО в официальную сборку BitTorrent-клиента Transmission для платформы macOS, инцидент повторился (https://transmissionbt.com/keydnap_qa/). Как и в прошлый раз установочный пакет для платформы macOS был заменён. 28 и 29 августа с официального сайта (https://transmissionbt.com/) проекта распространялась сборка Transmission 2.92 с вредоносным ПО OSX/Keydnap (http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malw.../), осуществляющим кражу паролей. Всем пользователям macOS, установившим Transmission в указанный период требуется предпринять меры по удалению вредоносное ПО из системы.
По предварительным данным, подмена была осуществлена в результате взлома сервера проекта, произошедшего 28 августа. Для предотвращения подобных инцидентов в будущем разработчики перенесли компоненты сайта и все бинарные файлы с собственных серверов на GitHub. В дальнейшем все бинарные архивы и сайт (включая, контрольные суммы) будут разнесены в разные репозитории. Содержимое всех серверов проекта будет перенесено на новые системы.
Определить внедрение вредоносного ПО можно по наличию активных процессов icloudproc, License.rtf, icloudsyncd и /usr/libexec/icloudsyncd -launchd netlogon.bundle. Для очистки системы необходимо завершить эти процессы в Activity Monitor, после чего удалить следующие файлы и директории:- /Library/Application Support/com.apple.iCloud.sync.daemon/
- /Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Users/$USER/Library/Application Support/com.apple.iCloud.sync.daemon/
- /Users/$USER/Library/Application Support/com.geticloud/
- /Users/$USER/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Users/$USER/Library/LaunchAgents/com.geticloud.icloud.photo.plistПосле этого нужно удалить Transmission и установить корректную сборку, проверив её по контрольной сумме.
URL: https://www.esetnod32.ru/company/press/center/eset-torrent-k.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=45082
Ну такое...
Ну не могут макинтошники в безопасность, увы. Я уж им писал чтобы юзали гит и освоили цифровые подписи по типу gpg, бл. Но до некоторых к сожалению доходит только по плохому :\.
Вендопроблемы уже на макакоси.
> Вендопроблемы уже на макакоси.Они там давно:
http://arstechnica.com/apple/2014/10/apple-updates-definitio.../
http://www.computerworld.com/article/2472812/security0/bigge...
> Biggest Apple botnet discovered: 600K+ Macs infectedhttps://nakedsecurity.sophos.com/2011/09/28/flashbackmac-bac.../
https://nakedsecurity.sophos.com/2011/09/23/mac-os-x-trojan-.../
> The OSX/Revir-B Trojan plays on this by posing as a PDF file.просто яблоко из природной скромности предпочитает молчать, а фанаты старательно делают вид, что ничего такого не существует: ;)
https://discussions.apple.com/thread/2769560?start=0&tstart=0
> I was informed by my internet provider that they had detected botnet on my computer. What are my options for getting rid of it?
>--
> Are you running MS Windows on your computer or are you only running OS X? If you're only running OS X I suspect your ISP is in error. If you're running MS Windows you need to load some antivirus software and see what it locates.
> просто яблоко из природной скромности предпочитает молчатьhttps://support.apple.com/kb/PH18931?locale=ru_RU&viewlocale...
https://support.apple.com/kb/PH18656?locale=ru_RU
>> просто яблоко из природной скромности предпочитает молчать
> https://support.apple.com/kb/PH18931?locale=ru_RU&viewlocale...
> https://support.apple.com/kb/PH18656?locale=ru_RUЕсли без некоторого провоцирования разрыв^W флейма, то да, вы правы, "политика партии" на этот счет начала менятся (видимо не хотят повторять печальный опыт МС). Но таки относительно недавно, а до этого:
https://www.youtube.com/watch?v=eF7habaTvAY
А что не так? Это ролик 2006 года.
Учитывая ещё какой уровень безопасности тогда был у MS во времена застоя увындовс ИКСПИ...
Ну нету тут вранья. Хотя сейчас такое выпускать действительно не очень было бы.
> А что не так? Это ролик 2006 года.Renepo/Opener (2004)
https://www.symantec.com/security_response/writeup.jsp?docid...
или Leap 2006
http://www.macworld.com/article/1049440/oompa.html
А еще была "классика вантуза" т.е. с двойным окончанием файла:
http://www.geek.com/news/new-mac-os-x-trojan-windows-help-ex.../
https://www.symantec.com/security_response/writeup.jsp?docid...
только повезло, что это был PoC, а не настоящая малварь ;)> Учитывая ещё какой уровень безопасности тогда был у MS во времена застоя
> увындовс ИКСПИ...Учитывая фейлы с флешбеками в последние годы, это была скорее "безопасность" неуловимого Джо )
> Ну нету тут вранья.
Ага, просто жонглирование словами и понятиями, благо мало кто из "неойтишников" знает, что вирус это далеко не любая малварь.
Тогда да, чисто технически "настоящих" вирусов (т.е. заражающих бинарники с сохранением работоспособности последних) для маков возможно и не было — однако тогда и для окошек их было не то чтобы сильно много, т.к. это дело, в отличии от клепания очередного супертрояна или уводильщика паролей на вижуалбазиках с дельфями, требовало знания формата PE с асмами ;)
И? В реальном соотношении - это были реально крохи. Да, в том числе принцип неуловимого Джо.> заражающих бинарники с сохранением работоспособности последних
Это вполне можно сделать и под OS X. Но реальность такова, что выбирают попсовую венду, потому что про неё есть кучу материалов, да и распространенность её выше.
> благо мало кто из "неойтишников" знает, что вирус это далеко не любая малварь.
Nobody cares :P Так и в авлабах называют.
Это же как "папка" vs "директория", x64 (что там ещё?) - ну не волнует. :D
тут что-то про позерство заикались, вот ты - образцовый позер.
Недавно на Linux Mint те же проблемы были. Забыли?
Маководам теперь троянчиков поставляют.
Ну что за позерство... Как бэ давно. Основное распространение - это всё же пиратские васянские источники.
Наличие зловредного ПО - это неотъемлемое свойство зрелой платформы. Победить которое можно разве что золотой клеткой по принципу пользователь дурак - не давать ему свободу действий, но естественно не каждого пользователя это устроит.
> Наличие зловредного ПО - это неотъемлемое свойство зрелой платформы.Перезрелой и подгнивающей изнутри, где баги это фичи, а мнение манагера, что должно быть красивенько и удобненько важнее здравого смысла.
> Победить которое можно разве что золотой клеткой по принципу пользователь дурак
То есть сейчас у пользователя есть выбор, чтоле, какие системные компоненты выпилить, а какие оставить, но спрятать, где-нибудь, в изолированном контейнере..
Ну да, ну да, позерство, смотреть как убогие платят за ось, потом за антивирь, а потом и за расшифровку собственных файлов, забавные такие.
Наличие зловредного ПО - это неотъемлемое свойство зрелой платформы.Или незрелого общества? :)
Все-таки репозитории классная штука.
что мешает репы взломать?
Здравый смысл: всё их содержимое подписано ключами мэйнтейнеров, которые автоматически проверяются пакетным менеджером.Собственно, по этой причине я большой осторожностью качаю авторские сборки программ, предпочитая им либо исходный код и самостоятельную сборку, либо сборки от мэйнтейнеров дистрибутивов.
Как будто нельзя ключ упереть, и как будто это защищает от недобросовестных мантейнеров. Нет, бинарниками нельзя пользоваться ни в каком виде.
пффф, вы все исходники перечитываете перед тем как собрать?
> Как будто нельзя ключ упереть, и как будто это защищает от недобросовестных
> мантейнеров. Нет, бинарниками нельзя пользоваться ни в каком виде.Классика же: UnrealIRCd
http://lwn.net/Articles/392099/
> Gentoo alert 201006-21 (unrealircd)
> * The vendor reported that the distributed source code
> of UnrealIRCd was compromised and altered to include
> a system() call that could be called with arbitrary user input.
Исходники тоже могут подменить. АААААААААААА!!!!!!!!!
>Здравый смысл: всё их содержимое подписано ключами мэйнтейнеровСнимитесь с ручника, выше в новости простым русским языком было написано, пакет был подписан ключом основного репозитария мантейнера оси (не ключом распространителя пакетов приложения). :)
На самом деле там написано что пакет подписан валидным ключом другого разраба.
> что мешает репы взломать?Цифровые подписи файлов. При том майнтайнеры относятся к ключам куда менее раздолбайски чем разработчики в гейоси.
Традиционная национальная забава - радоваться пожару соседа с сопереживанием на лице? То что серверную инфраструктуру открытого проекта поимели - это вроде как ерунда, а вот то что таргетировали итоговую атаку на макосные сборки - вот это обсуждать бегом, да.Вроде в школу почти всех аналитиков уже забрали, ан нет, прогульщики то остались...
Проприетарщики должны страдать.
В данном случае страдает репутация открытого проекта Transmission — это ведь их инфраструктуру второй раз изнасиловали. Что тут хорошего совершенно непонятно.
Ничего хорошего, много поучительного. Те, кто радуются вирусне под мак все равно ни за что не отвечали и этот опыт им ничего бы не дал.
> Ничего хорошего, много поучительного. Те, кто радуются вирусне под мак все равно
> ни за что не отвечали и этот опыт им ничего бы
> не дал.Не знаю, насчёт поучительности. Второй раз ведь уже одно и то же.
P.S. Все радости насчёт вирусни под макось — это по принципу «У соседа корова сдохла. Мелочь, а приятно.»
Угу нечто подобное было и с kernel.org
> Угу нечто подобное было и с kernel.orgА в том случае кто радовался, если тут подавляющее большинство — линуксоиды? Клоун что ли, с Изей на пару?
>> Угу нечто подобное было и с kernel.org
> А в том случае кто радовался, если тут подавляющее большинство — линуксоиды?
> Клоун что ли, с Изей на пару?А линуксоиды что, никогда не ошибаются и вообще святее папы римского? Они такие же, как и те - в таких же телогреечках.
> А линуксоиды что, никогда не ошибаются и вообще святее папы римского? Они
> такие же, как и те - в таких же телогреечках.Я не говорил про ошибки, я удивился тому, что кто-то на ОпенНете мог радоваться взлому кернелорговских серверов.
Ну я вот радовался, когда Mint отхлобучили.
Ибо они делают какое-то болгенОСное непотребство, на которое многие ведутся.
Хорошо, чтобы их во все дыры...
Единственный юзабельный десктопный Линукс.
Неправда. Их нет ни одного. А когда появляется популярность, то Линукс тут же рвут как тряпку - Андроид. Когда нужно для статистики "победы", то он Линукс, когда указывается на то, что Андроид по безопасности порван на британский флаг - он сразу не Линукс. Ложь, демагогия и ещё раз ложь - три краеугольных камня на которых зыждется "сообщество" спо.
>Вроде в школу почти всех аналитиков уже забрали, ан нет, прогульщики то осталисьс развитием мобильного интернета аналитики могут высказывать своё мнение в любое время суток
> что серверную инфраструктуру открытого проекта поимели - это вроде как ерунда,Я их предупредил в багтрекере об очевидных упущениях в процессе, как то svn который легко незаметно пропатчить задним числом и отсутствие цифровых подписей типа gpg на большинстве файлов. Это конечно не панацея при такой культуре безопасности как у тамошних макосников. Но я пытался, правда. Если они решили пропустить это мямленье мимо ушей - ну, ок. Они также должны были понимать что в инфраструктуре или рабочих процессах есть серьезные проблемы. По всем признакам - что-то утекло у кого-то из макосных разработчиков. Но нет, некоторые хотят упасть лицом на асфальт второй раз. Даже и не знаю что сказать. Пожалеть? За собственную глупость и раздолбайство жалеют на darwinawards. Сказать что хакеры редиски? Ок, хакеры редиски и их следует посадить. Но редисок в интернете много - придет следующая партия редисок и если выводы не сделаны то процесс повторится еще раз.
Отличная новость, в очередной раз подтверждает что ПО не должно распространяться в бинарниках. Никогда.
> Отличная новость, в очередной раз подтверждает что ПО не должно распространяться в бинарниках. Никогда.Долбанутый вывод. Ибо так же можно и исходники подправит на нужное тебе, если ты хаканул их распространялку.
А ревизией исходников постоянно никто в режиме 24/7 не занимается.
А исходники в приличных проектах - с подписью коммитов.
> А исходники в приличных проектах - с подписью коммитов.и толку?
Будет оно подписано валидным ключем рукожопого главного разработчика, и чего?Все эти "взломы" - от банального неумения разработчиков пользоваться презервативами и мыть руки до, а не после еды. Повезло, в этот раз - взломал макоеб, которому остальное было не слишком интересно. (или не повезло - взломал кто-то более хитрый, замаскировавшись под макоеба, и подарочек уже лежит прямо в модном-новом без-истории перенесенном на гитхаб, ага - только вот о нем, в отличии от бинарника, еще никто не знает)
> Будет оно подписано валидным ключем рукожопого главного разработчика, и чего?А ничего. Исходники мы читаем. По коммитам. Кто, чего и зачем. Только с svn это херово получается: система контроля версий дерьмово контролирует версии и разбирать покоммитово кто и что в свине крайне мучительно.
А в гите нормальненько так: git log -p и понеслась. Все как под микроскопом.
Что, все исходники читаешь прежде чем скомпилировать себе в систему. С полтычка разбираешься во всём, видишь, где там тебе вирусяку подложили? Смешной дурак и лгун.
> Что, все исходники читаешь прежде чем скомпилировать себе в систему.Вот конкретно трансмишна - читаю. По патчам. Только с svn это делать мучительно, git rulz.
> С полтычка разбираешься во всём, видишь, где там тебе вирусяку подложили?
У меня есть эн интересных мне проектов где я знаю что, что и почему. И если кто думает что сможет туда вкоммитить вирусяку и я не замечу - у меня другие идеи на этот счет.
Естественно смотреть на ВСЕ программы сложно. Но у меня одни любимые программы и либы а у Васьки другие. А вместе - coverage улучшается. Тех же acidbitches в unreal спалили довольно быстро как я помню. Автор к тому же не лыком шит и выводы сделал. В отличие от сабжевых мягкотелых макосников.
> Смешной дурак и лгун.
Завидуй молча, проприерас. Тебя все натягивают по будням, а меня - только если сильно не повезло, по большим праздникам. Экосистемы у нас зело разные.
> Вот конкретно трансмишна - читаю. По патчам. Только с svn это делать мучительно, git rulz.А это не помогает?
git svn ...
git config svn-remote.<ветка svn>.url ...
git replace <ревизия откуда отпочковалась ветка svn> <ревизия ветки svn>
> А это не помогает?
> git svn ...Спасибо но что-то не хочется.
> Отличная новость, в очередной раз подтверждает что ПО не должно распространяться в
> бинарниках. Никогда.Тарболы можно и пропатчить, как acidbitches vs unreal ircd. Да и svn пропатчить задним числом не особая проблема. Git сложнее, как и файлы с подписями, но то ж макосники....
> Второй взлом инфраструктуры BitTorrent-клиента TransmissionВыкинул на его в первый раз в пользу aria2c
Очевидно, теперь все должны ужаснуться трансмишыну и последовать вашему примеру?
Нет, просто держу тебя в курсе.
Держите нас в... Wait, what?!
>> Второй взлом инфраструктуры BitTorrent-клиента Transmission
> Выкинул на его в первый раз в пользу aria2cНадеюсь, что Вы, как приличный человек, не забываете про опцию --seed-ratio=0.0, и не забываете перезапустить загруженные Вами торренты после перезагрузки системы. ;)
Взлом kernel.org уже все забыли?
google: готтентотская мораль
Обычное дело и уже не первый раз такими извращением занимаются, только вопрос: зачем гадить СПО ?
> Обычное дело и уже не первый раз такими извращением занимаются, только вопрос:
> зачем гадить СПО ?Обоснуйте разницу для кракеров от лицензии бинаре-носителя до пользователя-цели?? </янеоченьсложно?>
Проприетарное П.О.:
1. В меньшей степени меня волнует.
2. С лёгкостью может содержать бэкдуры (и никто обратное гарантировать не может), взломщики находят и используют бэкдуры пока не "наиграются". ( к примеру тот же Тупо-Link в котором есть бэкдор на "прямое управление" и каждый может делать с ним что угодно ).
Для СПО который практически никогда не использует "маркетинг" - это может быть очень сильным ударом, особенно в глазах новичков.
> зачем гадить СПО ?Гадят всё-таки не программам. Гадят пользователям.
А уж свободная программа или проприетарная -- это кракерам до лампочки. Их цель -- юзер.
>> зачем гадить СПО ?
> Гадят всё-таки не программам. Гадят пользователям.
> А уж свободная программа или проприетарная -- это кракерам до лампочки. Их
> цель -- юзер.Недалёкий юзер может просто уйти с этого ПО, потому что есть платное и хорошо пропиаренное...
> Недалёкий юзер может просто уйти с этого ПО, потому что есть платное
> и хорошо пропиаренное...Так проприетарщики первым делом и гадят пользователям. Рекламой, нежелательной функциональностью и изменениями которые хрен отменишь даже если сильно хочется.
> нежелательной функциональностью и изменениями которые хрен отменишь даже если сильно хочетсяИдиотическую функциональность и изменения в ГНОМ 3 уже хрен отменишь, потому что ГНОМ 2 давно не поддерживается. Так спошники гадят своим пользователям. А они ведь им ничего не должны. И материальной заинтересованности у них тоже нет.
Гном 2.32 продолжает развитие в mate, недавно на gtk3 перевод завершили.
> Идиотическую функциональность и изменения в ГНОМ 3 уже хрен отменишь, потому что
> ГНОМ 2 давно не поддерживается.Те кому нужен гном 2 - в своем праве его поддерживать. Кому сильно надо было - пошли пилить всякие mate и cinnamon.
> Так спошники гадят своим пользователям. А они ведь им ничего не должны.
Пользователям никто ничего не должен. Но у них по крайней мере не отбирают спасательный круг, фигача веслом по башке, как это обычно делают проприетарщики.
> И материальной заинтересованности у них тоже нет.
Так и проприетарщики дружно пишут в EULA - AS IS. Единственное отличие только в том что лох еще и сотни денег платит. Нуачо, кому нравится икспа и не нравится интерфейс восьмерки или зонды десятки - могут писать в спортлото. Отфоркать икспу как гнома в mate - они не смогут.
у меня вопрос, а могу взломать репозиторий дистра какого? что бы прям весь целиком? и подложить в любой файл вирус?
> у меня вопрос, а могу взломать репозиторий дистра какого? что бы прям
> весь целиком? и подложить в любой файл вирус?Нет, не можете.
помнится федорено горе ломали пару раз.. просто крали ключ разраба.
> у меня вопрос, а могу взломать репозиторий дистра какого? что бы прям весь целиком? и подложить в любой файл вирус?Можешь-можешь. Но только когда уроки выучишь.
Ах ты ж маленикий мамир какер!
> у меня вопрос, а могу взломать репозиторий дистра какого? что бы прям
> весь целиком? и подложить в любой файл вирус?Так попробуй. Если сможешь - это не твоя заслуга а недоработка майнтайнеров и разработчиков.
Макакось? Хехе, что тут говорить если до сих вот что у них там творилось: http://ilyabirman.ru/meanwhile/all/finder-folders-first/
Да сколько ж можно?!
> Да сколько ж можно?!Вы всё перепутали: новость про адобе рядом.
а кто сказал, что это взлом? просто авторы osx не любят :)(недеюсь, transmission всё-таки делают для osx, а не для macos, пользователей которой в разы меньше, чем OS/2)
Захотелось сменить на винде transmission после такой новости.
> Захотелось сменить на винде transmission после такой новости.Оставь при себе свои вендузячьи мыльные переживания.