forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Злоумышленники внесли изменение в Git-репозиторий проекта X.Org, opennews (??), 23-Ноя-10, (0) [смотреть все]

Zed s dead, baby, zed s dead , Аноним (-), 19:15 , 23-Ноя-10, (1) +10 //

Ну какбэ намекают ребятам что заканчивали издеваться над трупом и всей компанией, anonymus (?), 20:10 , 23-Ноя-10, (6) –2
http ru wikipedia org wiki Маккой,_Леонард, anonymous (??), 21:25 , 23-Ноя-10, (16) +1

По пьяни кто-то из админов покуражился , Аноним (-), 19:20 , 23-Ноя-10, (2) +13
Смело меняйте странный на страшный , Аноним (-), 19:34 , 23-Ноя-10, (3) +6 //

Жить вообще страшно Например, вы только представьте себе, никто не гарантирует , User294 (ok), 20:43 , 23-Ноя-10, (8) –5 //

Кирпич с крыши уже не модно, сейчас в моде у молокососов колёсами убиватьhttp , EuPhobos (ok), 07:50 , 24-Ноя-10, (29) +1 //

печальный случай , Лоботряс (?), 08:15 , 24-Ноя-10, (30)
Да, нынче в моде литрбол Пустые бутылки ессно летят прямо из окна И никого не , User294 (ok), 14:28 , 24-Ноя-10, (36)

Не-а Меняйте на всем пофиг В git-е все файлы числятся по SHA1 _сжатого содерж, Andrey Mitrofanov (?), 10:53 , 25-Ноя-10, (52)

Уууу, так давно уже, они там каждый день что-то вносят , xxx (??), 19:47 , 23-Ноя-10, (4) +9
http www youtube com watch v y7Yp2L6c2KM feature related, pavlinux (ok), 20:23 , 23-Ноя-10, (7)
Вспоминающие какого-то Zed а, вы что, не знаете что эта фраза сама по себе мем h, rm_ (ok), 20:44 , 23-Ноя-10, (9) +2 //

У америкосов совершенно нет вкуса Цитаты из фантастического телемыла - уровень , анон (?), 21:06 , 23-Ноя-10, (11) –3
А еще есть футболки с зомби-Споком Весьма забавные навродеhttp www thinkgeek, анонимус (??), 01:47 , 24-Ноя-10, (21)

Ну, hooks post-commit надо мониторить tripware стандартная ошибка, гы (?), 20:45 , 23-Ноя-10, (10) +1 //

А полагаться на tripwire для защиты от взломщика с root-доступом - это , paxuser (ok), 21:12 , 23-Ноя-10, (13) //

Видимо вы не знаете, что такое tripwire в общем-то, это одно из основных его , Петрович (?), 22:19 , 23-Ноя-10, (18) +1 //

Ну конечно, куда мне Tripwire и аналоги полезны для холодного анализа данных, paxuser (ok), 01:56 , 24-Ноя-10, (22) –1

может сразу и объясните тогда страждующим что за масса но , ххх (?), 10:51 , 24-Ноя-10, (32) +2

Если проверять целостность файлов прямо на сервере, то результат проверок может , paxuser (ok), 18:15 , 24-Ноя-10, (39) +1

в общем написать был не прав вам было бы гораздо короче а аргументы просты - в, ананим (?), 19:43 , 24-Ноя-10, (44) –1

Короче, но неправда Вы либо невнимательно читали, что я написал, либо не поняли , paxuser (ok), 21:19 , 24-Ноя-10, (47) –1

правда которые не имееют отношения к разговору, и которые не мешают использовать, ананим (?), 10:54 , 25-Ноя-10, (53)

Я свою точку зрения аргументировал Есть возражения - излагайте по существу То е, paxuser (ok), 17:38 , 25-Ноя-10, (54)

уже изложил , ананим (?), 01:12 , 26-Ноя-10, (58)

Зеваю Вы изложили описание отдельно взятого случая, который ничему из мною с, paxuser (ok), 01:58 , 26-Ноя-10, (59)

и чем тогда проверять целостность системы если не tripwire или его аналогами, Полностью Анонимный Аноним (?), 21:05 , 24-Ноя-10, (46)

Можно и tripwire проверять, в надежде, что взломщик упустит это из виду и обнару, paxuser (ok), 21:30 , 24-Ноя-10, (48) –1

Это и так ясно из Если проверять целостность файлов прямо на сервере, то резуль, Полностью Анонимный Аноним (?), 00:01 , 25-Ноя-10, (49)

Чтобы надёжно, на живой системе и в условиях её компрометации - ничем Даже суще, paxuser (ok), 01:39 , 25-Ноя-10, (50)

И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы, Michael Shigorin (ok), 10:30 , 25-Ноя-10, (51)

посмотрел исходники osec, открывается каждый из проверяемых файлов при помощи op, Полностью Анонимный Аноним (?), 21:55 , 25-Ноя-10, (56)
Потому что сфера применения tripwire и вообще проверки целостности данных на жив, paxuser (ok), 21:59 , 25-Ноя-10, (57)

интересно было бы узнать, что используют крупные компании для которых очень важн, Полностью Анонимный Аноним (?), 21:00 , 25-Ноя-10, (55)

В том, что безопасности и контроля много не бывает, в который раз убедились и ра, Аноним (-), 21:07 , 23-Ноя-10, (12) //

Думаю, что не убедились Кто-то заменил одни файлы на другие, безобидные Вред н, paxuser (ok), 21:18 , 23-Ноя-10, (14) //

Если принятые меры широко не анонсировались, то не факт, что они не были приняты, Аноним (-), 02:23 , 24-Ноя-10, (23) //

Не факт, но прецеденты уверенности не вселяют Например, после взлома сервера с , paxuser (ok), 02:41 , 24-Ноя-10, (24)

Много слов а развязка оказалась проще И, кстати, как вы себе представляете защи, User294 (ok), 14:30 , 24-Ноя-10, (37)

Развязка чего Инцидента на fd o, о причинах и деталях которого я не спекулирова, paxuser (ok), 18:26 , 24-Ноя-10, (40)

Представьте, кто-нибудь сделал что-то подобное с Виндами А ведь Хы всего лишь р, vkni (?), 07:25 , 24-Ноя-10, (28) –1 //

Фишка в том, что мы об этом вряд ли узнаем , Аноним (-), 11:03 , 24-Ноя-10, (33)

Зато когда подобное узнаём, все неделю на ушах стоят , Vkni (?), 18:49 , 24-Ноя-10, (42)
Если мне память неизменяет, уже подобное в СМИ просачивалось Лет 5-10 назад , Vkni (?), 18:50 , 24-Ноя-10, (43)

бывает, и очень часто другое дело, что ТОЛКУ от безопасности и контроля много н, 568756784 (?), 21:20 , 23-Ноя-10, (15)

А что, там можно делать коммиты, не подписываясь , Anixx (?), 21:55 , 23-Ноя-10, (17) //

от рута можно все, Аноним (-), 22:36 , 23-Ноя-10, (19) –1

А вот что именно сделал этот нехороший человек, почему то умалчивается , Сергей (??), 23:37 , 23-Ноя-10, (20)
Какой то детский лепет неизвестный злоумышленник внес изменение У них что там, Вася (??), 03:50 , 24-Ноя-10, (25) –2 //

Да, хакер Взламывает сервера, портит документы, ворует сигареты и мочится мимо у, анонимм (?), 04:38 , 24-Ноя-10, (26) +7
Судя по тому, что этот кадр якобы заблокировал себе доступ - наверняка остался к, vkni (?), 07:23 , 24-Ноя-10, (27) //

А может там ключики , mcdebugger (ok), 10:14 , 24-Ноя-10, (31) //

А какая разница Всё равно несколько человек могут зайти под root - , Vkni (?), 18:48 , 24-Ноя-10, (41)

adam jaxon это крутой чувак неожиданно походу перекурил или перепил , Аноним (-), 13:12 , 24-Ноя-10, (35)
Ну и кто там врал что иксы не развиваются Все развивается, и регулярно появляют, Wormik (ok), 16:19 , 24-Ноя-10, (38) –1 //

Да уж, развивается Исходников в три раза больше чем в ядре линукса, по сути эт, Анонимукс (?), 20:24 , 24-Ноя-10, (45)

Сообщения [Сортировка по времени | RSS]

13. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от paxuser (ok), 23-Ноя-10, 21:12

> Ну, hooks/post-commit надо мониторить tripware .......
> стандартная ошибка
А полагаться на tripwire для защиты от взломщика с root-доступом - это...

Ответить | Правка | Наверх | Cообщить модератору

18. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +1 +/–

Сообщение от Петрович (?), 23-Ноя-10, 22:19

Видимо вы не знаете, что такое tripwire... в общем-то, это одно из основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.

Ответить | Правка | Наверх | Cообщить модератору

22. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." –1 +/–

Сообщение от paxuser (ok), 24-Ноя-10, 01:56

> Видимо вы не знаете, что такое tripwire... в общем-то, это одно из
Ну конечно, куда мне...
> основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.
Tripwire и аналоги полезны для "холодного" анализа данных на заведомо чистой системе. В остальных случаях есть масса "но".

Ответить | Правка | Наверх | Cообщить модератору

32. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +2 +/–

Сообщение от ххх (?), 24-Ноя-10, 10:51

может сразу и объясните тогда страждующим что за масса "но"?

Ответить | Правка | Наверх | Cообщить модератору

39. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +1 +/–

Сообщение от paxuser (ok), 24-Ноя-10, 18:15

Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как.
Если получать файлы с сервера (например, через git или сетевую ФС), взломщик может организовать условную передачу разных файлов по одним и тем же URI на своё усмотрение.
Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков).
Махинации с часто изменяемыми файлами, не подлежащими контролю целостности, тоже возможны на уровне хранилища того же git, и нет никаких гарантий, что такие изменения заметит кто-либо из разработчиков, поскольку они обновляют свои репо на основании истории последних изменений, и если взломщик изменил старые файлы, они уйдут только в новые клоны и релизные архивы, собранные из нового клона или из основного скомпрометированного репозитория - то есть, к конечным пользователям в том числе.

Ответить | Правка | Наверх | Cообщить модератору

44. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." –1 +/–

Сообщение от ананим (?), 24-Ноя-10, 19:43

в общем написать "был не прав" вам было бы гораздо короче.
а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам), руткита не было (а от них есть и другие средства), взлома, подмены или воровства ключей тоже.

Ответить | Правка | Наверх | Cообщить модератору

47. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." –1 +/–

Сообщение от paxuser (ok), 24-Ноя-10, 21:19

> в общем написать "был не прав" вам было бы гораздо короче.
Короче, но неправда.
> а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам),
Вы либо невнимательно читали, что я написал, либо не поняли.
> руткита не было (а от них есть и другие средства), взлома,
О каких именно средствах "от" руткитов вы говорите?
> подмены или воровства ключей тоже.
Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен.

Ответить | Правка | Наверх | Cообщить модератору

53. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от ананим (?), 25-Ноя-10, 10:54

>Короче, но неправда.
правда.
>О каких именно средствах "от" руткитов вы говорите?
которые не имееют отношения к разговору, и которые не мешают использовать tripwire.
>Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен.
вот именно. и никто не говорил, что надо применять только tripwire.

Ответить | Правка | Наверх | Cообщить модератору

54. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от paxuser (ok), 25-Ноя-10, 17:38

> правда.
Я свою точку зрения аргументировал. Есть возражения - излагайте по существу.
> которые не имееют отношения к разговору, и которые не мешают использовать tripwire.
То есть, обосновать свою оговорку о "других средствах" и пояснить, почему она уместна, вы не хотите? Или она не имеет отношения к разговору? ;)
> вот именно.
Что именно? На момент написания комментария о tripwire ситуация ещё не прояснилась. Кроме того, скрипт рассылки уведомлений шутник отключил, что помешало бы ему обезвредить tripwire?
> и никто не говорил, что надо применять только tripwire.
Автор высказывания о tripwire сделал акцент именно на последнем и до сих пор никаких дополнений/поправок не внёс. А о том, что tripwire в некоторых случаях можно использовать вкупе с другими средствами защиты, я сам сказал. Так в чём же суть ваших возражений?

Ответить | Правка | Наверх | Cообщить модератору

58. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от ананим (?), 26-Ноя-10, 01:12

уже изложил.

Ответить | Правка | Наверх | Cообщить модератору

59. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от paxuser (ok), 26-Ноя-10, 01:58

> уже изложил.
*Зеваю* Вы "изложили" описание отдельно взятого случая, который ничему из мною сказанного не противоречит. Видите какие-то противоречия - укажите на них. А то, я смотрю, вы взяли моду писать кратко и неконкретно. Не хотите позориться, хотите прилагать минимум усилий для провокаций? Не выйдет, голубчик.

Ответить | Правка | Наверх | Cообщить модератору

46. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от Полностью Анонимный Аноним (?), 24-Ноя-10, 21:05

> Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков).
и чем тогда проверять целостность системы???? если не tripwire или его аналогами

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

48. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." –1 +/–

Сообщение от paxuser (ok), 24-Ноя-10, 21:30

> и чем тогда проверять целостность системы???? если не tripwire или его аналогами
Можно и tripwire проверять, в надежде, что взломщик упустит это из виду и обнаружит себя, но тут надежда только на случай. На системах, мало интересных серьёзным взломщикам, эти надежды порой себя оправдывают. К слову, fd.o к таким системам едва ли можно отнести.

Tripwire или AIDE хороши для обнаружения следов проникновения с правами непривилегированных пользователей или рута, соответственно ограниченного в правах посредством MAC-систем.

Ответить | Правка | Наверх | Cообщить модератору

49. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от Полностью Анонимный Аноним (?), 25-Ноя-10, 00:01

Это и так ясно из "Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как."
И с этим нельзя не согласиться. Но вопрос остается чем тогда мониторить целостность?...

Ответить | Правка | Наверх | Cообщить модератору

50. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от paxuser (ok), 25-Ноя-10, 01:39

> И с этим нельзя не согласиться. Но вопрос остается чем тогда мониторить
> целостность?...
Чтобы надёжно, на живой системе и в условиях её компрометации - ничем. Даже существующие аппаратные решения в живой системе во многих случаях можно программно обойти (не писать файлы на диск, хранить руткит в NVRAM, задействовать IOMMU для перехвата обращений в рамках заданных регионов памяти и т.п.). Результаты проверки целостности всегда вероятностные: то ли всё в порядке, то ли нас за нос водят. Банальность скажу, но защита должна быть многоуровневой, чтобы остановить или обнаружить взломщика до того, как он достигнет своей цели.

Ответить | Правка | Наверх | Cообщить модератору

51. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от Michael Shigorin (ok), 25-Ноя-10, 10:30

И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы (в т.ч. автоматизированные).
Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.

Ответить | Правка | Наверх | Cообщить модератору

56. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от Полностью Анонимный Аноним (?), 25-Ноя-10, 21:55

> И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы
> (в т.ч. автоматизированные).
> Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.
посмотрел исходники osec, открывается каждый из проверяемых файлов при помощи open() и с него снимается sha1 хэш. Т.е. если стоит руткит на open(), то прога идёт лесом. Сдается мне что также работают и tripwire, AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?.. и почему этого до сих пор не реализовано в других проектах.

Ответить | Правка | Наверх | Cообщить модератору

57. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от paxuser (ok), 25-Ноя-10, 21:59

> AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?..
> и почему этого до сих пор не реализовано в других проектах.
Потому что сфера применения tripwire и вообще проверки целостности данных на живой системе не охватывает случаи полной компрометации. :) Основные ставки делаются на системы предотвращения вторжений, а не обнаружения.

Ответить | Правка | Наверх | Cообщить модератору

55. "Злоумышленники внесли изменение в Git-репозиторий проекта X...." +/–

Сообщение от Полностью Анонимный Аноним (?), 25-Ноя-10, 21:00

интересно было бы узнать, что используют крупные компании для которых очень важна ИБ.
ведь мы ещё не видели(или не знаем) о взломанном oracle.com например.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	13. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от paxuser (ok), 23-Ноя-10, 21:12
	> Ну, hooks/post-commit надо мониторить tripware ....... > стандартная ошибка А полагаться на tripwire для защиты от взломщика с root-доступом - это...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+1 +/–
	Сообщение от Петрович (?), 23-Ноя-10, 22:19
	Видимо вы не знаете, что такое tripwire... в общем-то, это одно из основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	–1 +/–
	Сообщение от paxuser (ok), 24-Ноя-10, 01:56
	> Видимо вы не знаете, что такое tripwire... в общем-то, это одно из Ну конечно, куда мне... > основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур. Tripwire и аналоги полезны для "холодного" анализа данных на заведомо чистой системе. В остальных случаях есть масса "но".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+2 +/–
	Сообщение от ххх (?), 24-Ноя-10, 10:51
	может сразу и объясните тогда страждующим что за масса "но"?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+1 +/–
	Сообщение от paxuser (ok), 24-Ноя-10, 18:15
	Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как. Если получать файлы с сервера (например, через git или сетевую ФС), взломщик может организовать условную передачу разных файлов по одним и тем же URI на своё усмотрение. Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков). Махинации с часто изменяемыми файлами, не подлежащими контролю целостности, тоже возможны на уровне хранилища того же git, и нет никаких гарантий, что такие изменения заметит кто-либо из разработчиков, поскольку они обновляют свои репо на основании истории последних изменений, и если взломщик изменил старые файлы, они уйдут только в новые клоны и релизные архивы, собранные из нового клона или из основного скомпрометированного репозитория - то есть, к конечным пользователям в том числе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	–1 +/–
	Сообщение от ананим (?), 24-Ноя-10, 19:43
	в общем написать "был не прав" вам было бы гораздо короче. а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам), руткита не было (а от них есть и другие средства), взлома, подмены или воровства ключей тоже.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	–1 +/–
	Сообщение от paxuser (ok), 24-Ноя-10, 21:19
	> в общем написать "был не прав" вам было бы гораздо короче. Короче, но неправда. > а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам), Вы либо невнимательно читали, что я написал, либо не поняли. > руткита не было (а от них есть и другие средства), взлома, О каких именно средствах "от" руткитов вы говорите? > подмены или воровства ключей тоже. Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от ананим (?), 25-Ноя-10, 10:54
	>Короче, но неправда. правда. >О каких именно средствах "от" руткитов вы говорите? которые не имееют отношения к разговору, и которые не мешают использовать tripwire. >Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен. вот именно. и никто не говорил, что надо применять только tripwire.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от paxuser (ok), 25-Ноя-10, 17:38
	> правда. Я свою точку зрения аргументировал. Есть возражения - излагайте по существу. > которые не имееют отношения к разговору, и которые не мешают использовать tripwire. То есть, обосновать свою оговорку о "других средствах" и пояснить, почему она уместна, вы не хотите? Или она не имеет отношения к разговору? ;) > вот именно. Что именно? На момент написания комментария о tripwire ситуация ещё не прояснилась. Кроме того, скрипт рассылки уведомлений шутник отключил, что помешало бы ему обезвредить tripwire? > и никто не говорил, что надо применять только tripwire. Автор высказывания о tripwire сделал акцент именно на последнем и до сих пор никаких дополнений/поправок не внёс. А о том, что tripwire в некоторых случаях можно использовать вкупе с другими средствами защиты, я сам сказал. Так в чём же суть ваших возражений?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от ананим (?), 26-Ноя-10, 01:12
	уже изложил.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от paxuser (ok), 26-Ноя-10, 01:58
	> уже изложил. Зеваю Вы "изложили" описание отдельно взятого случая, который ничему из мною сказанного не противоречит. Видите какие-то противоречия - укажите на них. А то, я смотрю, вы взяли моду писать кратко и неконкретно. Не хотите позориться, хотите прилагать минимум усилий для провокаций? Не выйдет, голубчик.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от Полностью Анонимный Аноним (?), 24-Ноя-10, 21:05
	> Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков). и чем тогда проверять целостность системы???? если не tripwire или его аналогами
	Ответить \| Правка \| К родителю #39 \| Наверх \| Cообщить модератору


	48. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	–1 +/–
	Сообщение от paxuser (ok), 24-Ноя-10, 21:30
	> и чем тогда проверять целостность системы???? если не tripwire или его аналогами Можно и tripwire проверять, в надежде, что взломщик упустит это из виду и обнаружит себя, но тут надежда только на случай. На системах, мало интересных серьёзным взломщикам, эти надежды порой себя оправдывают. К слову, fd.o к таким системам едва ли можно отнести. Tripwire или AIDE хороши для обнаружения следов проникновения с правами непривилегированных пользователей или рута, соответственно ограниченного в правах посредством MAC-систем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от Полностью Анонимный Аноним (?), 25-Ноя-10, 00:01
	Это и так ясно из "Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как." И с этим нельзя не согласиться. Но вопрос остается чем тогда мониторить целостность?...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от paxuser (ok), 25-Ноя-10, 01:39
	> И с этим нельзя не согласиться. Но вопрос остается чем тогда мониторить > целостность?... Чтобы надёжно, на живой системе и в условиях её компрометации - ничем. Даже существующие аппаратные решения в живой системе во многих случаях можно программно обойти (не писать файлы на диск, хранить руткит в NVRAM, задействовать IOMMU для перехвата обращений в рамках заданных регионов памяти и т.п.). Результаты проверки целостности всегда вероятностные: то ли всё в порядке, то ли нас за нос водят. Банальность скажу, но защита должна быть многоуровневой, чтобы остановить или обнаружить взломщика до того, как он достигнет своей цели.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от Michael Shigorin (ok), 25-Ноя-10, 10:30
	И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы (в т.ч. автоматизированные). Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от Полностью Анонимный Аноним (?), 25-Ноя-10, 21:55
	> И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы > (в т.ч. автоматизированные). > Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается. посмотрел исходники osec, открывается каждый из проверяемых файлов при помощи open() и с него снимается sha1 хэш. Т.е. если стоит руткит на open(), то прога идёт лесом. Сдается мне что также работают и tripwire, AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?.. и почему этого до сих пор не реализовано в других проектах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от paxuser (ok), 25-Ноя-10, 21:59
	> AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?.. > и почему этого до сих пор не реализовано в других проектах. Потому что сфера применения tripwire и вообще проверки целостности данных на живой системе не охватывает случаи полной компрометации. :) Основные ставки делаются на системы предотвращения вторжений, а не обнаружения.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Злоумышленники внесли изменение в Git-репозиторий проекта X...."	+/–
	Сообщение от Полностью Анонимный Аноним (?), 25-Ноя-10, 21:00
	интересно было бы узнать, что используют крупные компании для которых очень важна ИБ. ведь мы ещё не видели(или не знаем) о взломанном oracle.com например.
	Ответить \| Правка \| К родителю #50 \| Наверх \| Cообщить модератору