The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Kernel.org подвергся взлому

01.09.2011 08:43

Обнаружен факт взлома нескольких серверов в инфраструктуре Kernel.org, используемых для распространения архивов с исходными текстами и обслуживания Git-репозиториев с ядром Linux. Атакующим удалось получить root-доступ к серверам, модифицировать системное программное обеспечение и организовать перехват паролей разработчиков. В частности, атаковавшие заменили openssh-server и openssh-clients, а также организовали загрузку своего скрипта через систему инициализации.

По предположению администраторов проекта проникновение было совершено через утечку параметров одного из аккаунтов. Данное предположение подтверждает обнаружение троянского ПО на машине одного из разработчиков ядра, который имел доступ к двум взломанным серверам (Hera и Odin1). Тем не менее, пока не ясно как именно удалось поднять свои привилегии в системе, судя по всему был задействован эксплоит для еще публично неизвестной уязвимости. Использование атакующими типового руткита Phalanx и нескрытого SSH-бэкдора, которые администраторы легко смогли вычислить, даёт основание предполагать, что взлом был совершен спонтанно и не является целенаправленной атакой, преследующей цель внедрения троянских вставок в код ядра.

Факт взлома был выявлен 28 августа. Проникновение было совершено не позднее, чем 12 августа, при этом как минимум 17 дней злоумышленники оставались незамеченными. Наличие проникновения было выявлено после того, как администраторы заметили в логе упоминание ошибки доступа к /dev/mem со стороны Xnest, в то время как Xnest не был установлен на серверах. После выявления взлома серверы были отключены от сети и инициирована их полная переустановка. В будущем в профилактических целях планируется полностью переустановить систему и на остальных серверах. На серверах инфраструктуры присутствует 448 аккаунтов разработчиков и администраторов, для которых начат процесс смены параметров аутентификации и ключей SSH. В будущем планируется пересмотреть политику безопасности и методы организации доступа.

Несмотря на проникновение и получение полного контроля над серверами, разработчики ядра уверены, что атакующие не могли внести скрытые изменения в код ядра, так как целостность Git-репозиториев и архивов с кодом обеспечивается надежными хэшами SHA-1. Кроме того, было инициировано несколько проверок целостности кода с задействованием других, параллельно созданных, хэшей, а также проведение детального аудита всех последних изменений в коде. Система управления исходными текстами Git имеет встроенные криптографические средства защиты, позволяющие гарантировать неизменность уже внесенных изменений, т.е. код нельзя исправить задним числом. Кроме того, Git является распределенной системой и копии репозиториев разбросаны по всему миру на нескольких тысячах машин разработчиков и пользователей. Внесение дополнительных коммитов в репозитории сразу бы оказалось на виду при очередной синхронизации внешнего репозитория с репозиторием на Kernel.org (все новые коммиты отображаются).

  1. Главная ссылка к новости (https://www.kernel.org/...)
Лицензия: CC-BY
Тип: Интересно / К сведению
Короткая ссылка: https://opennet.ru/31651-linux
Ключевые слова: linux, kernel, hack, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (273) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Вова (?), 09:09, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Немного жаль, что сегодня 1е сентября, а не апреля.
     
     
  • 2.8, Alen (??), 09:29, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +28 +/
    Настоящему коту и в декабре - март ;)
     
     
  • 3.239, Щекн Итрч (ok), 12:25, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Настоящему коту и в декабре - март ;)

    Чем раньше, тем лучше.
    Если бы не бразильские братья (а это зверьё ещё то!) я бы так лаптем щи и хлебал бы.
    А взломщики меня взбодрили и мотивировали.
    И на «кернеле» теперь отработают систему восстановления после взлома и вообще.

     
     
  • 4.275, Аноним (-), 20:08, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Интересно, почему вы решили что ваши проблем с хлебанием щей волнуют кого-то кро... большой текст свёрнут, показать
     
     
  • 5.289, Аноним (-), 15:27, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Git так устроен что там очень сложно подделать что либо задним числом У всех ес... большой текст свёрнут, показать
     
     
  • 6.290, Щекн Итрч (ok), 17:55, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Git так устроен что там очень сложно подделать...

    А при чем тут Git, дорогой агрессивный и малопочтенный собеседник?
    Бэкдор это бэкдор.
    Или, если Git так неуязвим, пусть бэкдоры остаются? Не жалко, типа? :) :) :)

    И технология восстановления системы, не репов, раздающих код, а собственно, системы, на которой Git крутится, не нужна?

     
     
  • 7.293, Аноним (-), 06:47, 04/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Git так устроен что там очень сложно подделать...
    > А при чем тут Git, дорогой агрессивный и малопочтенный собеседник?
    > Бэкдор это бэкдор.
    > Или, если Git так неуязвим, пусть бэкдоры остаются? Не жалко, типа? :)
    > :) :)
    > И технология восстановления системы, не репов, раздающих код, а собственно, системы, на
    > которой Git крутится, не нужна?

    Ты почитай хоть какой кусок текст я процитировал прежде, чем ответ я написал

     
     
  • 8.297, Аноним (-), 15:44, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы криво процитировали, в результате этот наивный чукотский юноша и перепутал дв... текст свёрнут, показать
     
  • 7.298, Аноним (-), 15:49, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А при чем тут Git, дорогой агрессивный и малопочтенный собеседник?

    Какой эпичный набор взаимоисключающих параграфов.
    А git тут при том что на kernel.org кроме ядер в гитах - брать толком нечего.

    > Бэкдор это бэкдор.

    А Капитан это Капитан.

    > Или, если Git так неуязвим, пусть бэкдоры остаются? Не жалко, типа? :) :) :)

    Так написано же что будет сделан реинсталл.

    > И технология восстановления системы, не репов, раздающих код, а собственно, системы, на
    > которой Git крутится, не нужна?

    Всем давно известна - реинсталл под ноль назывется.

     

  • 1.2, Wormik (ok), 09:12, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Троянское ПО? У разработчика Linux?! Кто-нибудь знает, Касперский для Linux на том же уровне, что и для Windows?
     
     
  • 2.10, sndev (ok), 09:33, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Может просто не факт, что он подключался с линуховой машины на момент атаки ?
    Ну там с лаптопа любимой жены, или еще лучше блондинки любофницы :)

    Касперский на том же уровне - это в смысле, что пользоваться системой невозможно ? :)

     
     
  • 3.50, all_glory_to_the_hypnotoad (ok), 11:03, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Может просто не факт, что он подключался с линуховой машины на момент атаки ?

    гнать таких разработчиков

     
  • 3.81, cybermax (?), 12:26, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    а вы давно касперским пользовались?
     
     
  • 4.84, sndev (ok), 12:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    угу. давно. Лет 10, как минимум, назад. Просто он мне напаркуа не сдался.
     
  • 4.85, anonymous (??), 12:47, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > а вы давно касперским пользовались?

    не ставится, зараза, под вайном. давно.

     
  • 4.103, filosofem (ok), 14:06, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >а вы давно касперским пользовались?

    Знаю множество несчастных, которым его впарили. Подтверждаю, даже чистая система становится неюзабильной и часто вообще не загружается.

     
     
  • 5.184, Аноним (-), 22:23, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Знаю множество несчастных, которым его впарили. Подтверждаю, даже чистая система становится
    > неюзабильной и часто вообще не загружается.

    Кроме того, его методы защиты являют собой самый обычный руткит, который и защищает антивирус от удаления. Проблема только в том что немелкая блобятина с полномочиями руткита и автоапдейтом в моей операционке душу как-то совсем не греет. Спасибо за такую защиту, конечно, но я лучше пешком постою. А какие у меня основания доверять большому блобу с правами руткита?

     
     
  • 6.288, stimpack (?), 09:14, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еще оно в грязных вещах хозяина копается без угрызений совести.
    поймал гада за руку на принудительной кривой и нахер не нужной перекодировке символов у юзера пришедшего через почтовый клиент html-письма. Видимо, готовил report для отсылки в центральную базу и сразу правил-резал на живом письме. Или просто баловался, надувал щеки и симбурде.
     
  • 2.83, BratSinot (?), 12:29, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что такого? Трояны и черви есть на любой ОС, просто в *nix сложность в правах доступа.
     
     
  • 3.87, Аноним (-), 12:51, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Скорее в том что просто выложить их на варезник - недостаточно для скачки и запуска юзерами. А убедить майнтайнеров добавить в репы троян - задачка нетривиальная.
     
     
  • 4.126, brother anon (?), 15:11, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее в том, что десктопный линукс это неуловимый Джо.
    Будет популярность будет и "rpm бесплатно скачать ильхам зюлькорнеев".
     
     
  • 5.188, Аноним (-), 22:27, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Будет популярность будет и "rpm бесплатно скачать ильхам зюлькорнеев".

    В паре с инструкцией как инстальнуть gpg ключ или форсануть инсталл недоверяемого пакета, да? И какой процент хомяков это осилит? :)

    А тот кто это осилит - скорее такой файл отощлет антивирусникам + зарепортит сайт с малварью и браузеры начнут дико выть еще при входе на оный. При том большая красная табличка надежно отпугивает даже полного хомяка :)

     
     
  • 6.240, brother anon (?), 12:32, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В паре с инструкцией как инстальнуть gpg ключ или форсануть инсталл недоверяемого
    > пакета, да? И какой процент хомяков это осилит? :)

    А какие проблемы? Мы же о user-friendly дистрибутивах говорим, правда?

    Вот возьмем например дружественную пользователю opensuse.
    В ней есть one click install: пользователь скачивает специальный файлик в котором написано из какого репозитория и какой пакет надо установить. Если репозиторий ещё не подключён он подключается, в этом случае система спрашиват у пользователя надо доверять этому репо.
    Как думаешь нажмёт ли хомячок кнопку "Да"?

     
     
  • 7.281, Аноним (-), 23:59, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как думаешь нажмёт ли хомячок кнопку "Да"?

    К счастью я не юзаю опенсусь и не знаю хомяков с ней. А хомяки с убунтой от такой напасти избавлены.

     
  • 5.264, Клыкастый (ok), 19:29, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Скорее в том, что десктопный линукс это неуловимый Джо.

    Либо парням из kernel.org показалось, либо вы неправы.

     
  • 2.272, Аноним (-), 19:54, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто-нибудь знает, Касперский для Linux на том же уровне, что и для Windows?

    Тормозам типа вас никакой каспер не поможет, особенно если атакующий задался целью вздуть именно вас. Как вы думаете, насколько сложно упаковать даже общеизвестный троян пакером так что антивирус перестанет его опознавать? Замена мозгу нужна только тем у кого его нет. Правда, такие интересны только как ресурсный придаток и потому сколь-нибудь скоординированную атаку на таких как вы никто делать не станет - вы из себя ценности не прдставляете.

     

  • 1.3, поцанчик (ok), 09:13, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и прально, в следующий раз не будут зевать.
     
     
  • 2.35, bezopasnik.org (ok), 10:37, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –60 +/
    > Ну и прально, в следующий раз не будут зевать.

    Да дело даже не в том что зевали
    После фразы:
    > В будущем в профилактических целях планируется полностью переустановить систему и на остальных серверах

    Очередной раз поражаюсь дибилизму среди луноходов
    Еще несколько лет назад задавал вопрос одному луноходу - а что делать после того как выявлен факт взлома ?
    он мне не задумываясь ответил - переставлять систему
    просто крындец, безмозглость

     
     
  • 3.41, Ващенаглухо (ok), 10:48, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +7 +/
    это первое, что нужно сделать. В чем тут безмозглось? или вас не волнуют руткиты?
     
  • 3.42, anton7811 (ok), 10:53, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Раскажите свой вариант, что делать.
     
     
  • 4.48, anonymous (??), 10:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Раскажите свой вариант, что делать.

    видимо, расслабиться и получать удовольствие. и не мешать руткиту работать, он же делом занят.

     
  • 4.59, bezopasnik.org (ok), 11:15, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –18 +/
    > Раскажите свой вариант, что делать.

    Существуют как минимум 4 способа проверки целостности на изменение файлов в системе
    да хотя б для начала контрольные суммы собрать со всей системы, дату изменения конечно можно подставить свои.
    SELinux на кой Вам ???

     
     
  • 5.60, anonymous (??), 11:21, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ты живой руткит-то видел хоть раз? "проверка целостности файлов", ага. с неизвестным руткитом.
     
  • 5.61, PereresusNeVlezaetBuggy (ok), 11:24, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Только все эти способы НЕ ГАРАНТИРУЮТ, что вы всё вычистите. Вы так уверены, что ничего не пропустите? Вы уверены, что нарушители спокойствия не воспользовались какой-то неизвестной вам (и, возможно, практически всему человечеству) возможностью? Вы так уверены, что где-то не осталось нечаянно включённой в прошлый раз дырки, через которую (тоже) можно попасть в систему?

    Полная переустановка — единственный надёжный способ. В любой операционной системе. Всё остальное, весь контроль целостности, нужен для диагностики.

     
     
     
    Часть нити удалена модератором

  • 7.68, anonymous (??), 11:37, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +7 +/
    господа модераторы! не трогайте его, пожалуйста. веселит же. бесплатный клоун на выезде.
     
  • 7.108, Аноним (-), 14:24, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Я согласен что есть руткиты которые сидят только в памяти но такое можно определить в считанные секунды

    Дядя Женя Касперский нервно курит в сторонке.

     
  • 7.170, Анон (?), 18:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и собирай тогда бинари вручную, ептыть, в чем проблема? Можешь даже свой локальный реп создать закрытый от внешней среды и из него ставиться.
     
  • 7.201, Аноним (-), 23:27, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Он может и на диске сидеть Что если бяка, получив управление, немного допатчит ... большой текст свёрнут, показать
     
     
  • 8.210, PereresusNeVlezaetBuggy (ok), 23:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Справедливости ради поправлю по двум пунктам Есть уже прототипы, которые себя в... большой текст свёрнут, показать
     
     
  • 9.246, Аноним (-), 12:46, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну cih стирал только мамки с чипсетом Intel TX Это был самый популярный в тот м... большой текст свёрнут, показать
     
     
  • 10.250, PereresusNeVlezaetBuggy (ok), 14:07, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И тем не менее шороху наделал изрядно Ведь для зловредов 171 массового пораже... большой текст свёрнут, показать
     
     
  • 11.278, Аноним (-), 23:43, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я склонен его считать просто удачным PoC ом и плосковатой шуткой над пользовате... большой текст свёрнут, показать
     
     
  • 12.287, PereresusNeVlezaetBuggy (ok), 01:21, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Лет ещё десять назад это было хакерство в исконном смысле этого слова А сейча... большой текст свёрнут, показать
     
     
  • 13.306, Аноним (-), 01:59, 07/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    и в силу этого изменился качественно-количественный состав малвари В ботнет... большой текст свёрнут, показать
     
     
  • 14.308, Michael Shigorin (ok), 13:51, 07/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    JFYI, не очень давно lxc-шный рут в контейнере без своей сети вполне мог уложить... текст свёрнут, показать
     
     
  • 15.311, Аноним (-), 04:17, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тут где-то рядом кто-то припомнил про tun драйвер еще В общем на контейнеры на... текст свёрнут, показать
     
  • 7.265, Клыкастый (ok), 19:36, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Только все эти способы НЕ ГАРАНТИРУЮТ, что вы всё вычистите.
    > Я согласен что есть руткиты которые сидят только в памяти но такое
    > можно определить в считанные секунды,

    Серьёзно? А я всегда считал, что одна из первейших целей руткита - сокрытие себя любимого. Но если руткит определяется за несколько секунд, то видимо я ошибался: цель руткита другая. Возможно мир во всём мире. Или коррекция оси Галактики.

    Товарисч. Вы правы только в одном. Сначала надо разобраться, что это было, и как оно туда попало, дабы на свежей машине не наступить на те же грабли. Но потом - переустановка скомпрометированной системы и усиление мер по безопасности.


     
  • 6.72, Аноним (-), 12:01, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Полная переустановка возвращает систему в исходное состояние, со всеми УЖЕ ИЗВЕС... большой текст свёрнут, показать
     
     
  • 7.75, anonymous (??), 12:07, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    а без переустановки дыры магически исчезают, надо полагать. ещё один клоун.
     
     
  • 8.152, Аноним (-), 17:27, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что, они магически исчезают при переустановке Если уязвимость неизвестна, что... текст свёрнут, показать
     
     
  • 9.156, anonymous (??), 17:32, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а ты попробуй почитать пару нитей рядом может, сможешь понять если хорошо подн... текст свёрнут, показать
     
  • 9.157, Andrey Mitrofanov (?), 17:36, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В этой новости не было удалённой уязвимости Разработчикам, прошляпившим ключи и... текст свёрнут, показать
     
  • 7.124, Phake (?), 14:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И что? Ну вернётся система в исходное состояние с уязвимостями... Только чтобы до них по новой добраться, надо ещё одну учетку скомпрометировать...
    Пока будут искать такую учетку, и уязвимость всплывёт из привата, как старая, и софт весь 10 раз обновится. В итоге скомпрометировав ещё 1 учетку через пару месяцев, лишь 20-30% вероятность, что эта уязвимость ещё работает.

    Поэтому естественно после анализа происшествия, система переустанавливается, ставятся последние апдейты и докручивается безопасность. Благо анализ происшествия позволяет выявить наиболее уязвимые места в защите...

     
     
  • 8.202, Аноним (-), 23:28, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В конкретно этой новости я не вижу пока анонсов о уязвимостях ... текст свёрнут, показать
     
     
  • 9.253, Phake (?), 14:36, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот анонс предполагаемой уязвимости О ней и речь ... текст свёрнут, показать
     
     
  • 10.255, Andrey Mitrofanov (?), 15:21, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    На kernel org написано За фантазии про публично неизвестной уязвимости скажите... текст свёрнут, показать
     
  • 7.160, Xasd (ok), 17:54, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Полная переустановка возвращает систему в исходное состояние, со всеми УЖЕ ИЗВЕСТНЫМИ дырами

    ну да, всё верно...

    ....при условии -- если переустанавливать систему с тогоже самого диска "Реаниматор 2002: Microsoft Windows XP SP1" :-D

     
  • 6.74, Аноним (-), 12:05, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Полная переустановка не спасёт, если "пока не ясно, как именно удалось поднять свои привилегии в системе, судя по всему, был задействован эксплоит для еще публично не известной уязвимости" (кстати, исправьте текст новости). В таком случае установят с нуля уже скомпрометированную систему, содержащую уязвимость.
    "В будущем планируется пересмотреть политику безопасности и методы организации доступа." А вот это уже правильнее, организационные методы здесь эффективнее технических мер.
     
     
  • 7.76, PereresusNeVlezaetBuggy (ok), 12:09, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы вообще читаете написанное Или реагируете на отдельные ключевые слова Во-пер... большой текст свёрнут, показать
     
     
  • 8.100, Аноним (-), 13:58, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Написанное читаю, реагирую на идеи и мысли, а не отдельные слова вне контекста ... текст свёрнут, показать
     
     
  • 9.102, PereresusNeVlezaetBuggy (ok), 14:02, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Любую хорошую идею можно по-дурацки претворить в жизнь, кто ж спорит ... текст свёрнут, показать
     
  • 8.105, Аноним (-), 14:09, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тут коллега ниже предложил способ повышения безопасности инфраструктуры kernel o... текст свёрнут, показать
     
     
  • 9.107, PereresusNeVlezaetBuggy (ok), 14:24, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Насчёт привязки 8212 и вам спасибо скажут разработчики, которые регулярно пер... большой текст свёрнут, показать
     
     
  • 10.122, Аноним (-), 14:53, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Написано же выше Немного топорно, не так гибко, как хотелось бы жёсткая привя... большой текст свёрнут, показать
     
     
  • 11.125, PereresusNeVlezaetBuggy (ok), 15:00, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гм А чем VPN-сервер с жёсткими политиками принципиально отличается от SSH-серве... большой текст свёрнут, показать
     
     
  • 12.128, anonymous (??), 15:19, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    добавляется дополнительная прослойка со своими багами и уязвимостями очевидно, ... текст свёрнут, показать
     
     
  • 13.130, Аноним (-), 16:15, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не разбираетесь в теме - не тратьте время на сообщения VPN IPSec ни в чём не ус... текст свёрнут, показать
     
     
  • 14.135, anonymous (??), 16:54, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    желаю видеть демонстрацию работы этого монстра с git ... текст свёрнут, показать
     
  • 14.149, Michael Shigorin (ok), 17:17, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, Вам что-то говорят буковки ASN 1 и архивы багтрака секунии на их тему ... текст свёрнут, показать
     
     
  • 15.223, Аноним (-), 00:50, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Постоянно не слежу, но на уязвимости в продуктах с применением ssh натыкаюсь сто... текст свёрнут, показать
     
  • 7.77, anonymous (??), 12:10, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    зато как минимум позволит гарантировать, что на свежей системе нет руткита. да, возможно, он появится, когда систему выпустят в сеть. с другой стороны, это позволяет наладить специализированые средства аудита, которые могут помочь в отлове зверушки, и которые не применялись в силу тормознутости, усложнения работы до совершенно неудобоваримой и так далее. база же.
     
  • 7.171, Sem (ok), 19:05, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Полная переустановка не спасёт, если "пока не ясно, как именно удалось поднять свои привилегии в системе, судя по всему, был задействован эксплоит для еще публично не известной уязвимости" (кстати, исправьте текст новости). В таком случае установят с нуля уже скомпрометированную систему, содержащую уязвимость.

    Я смотрю, у вас огромный опыт по расследованиям взломов :)))
    С машины снимается образ и после этого в эмуляторе, в безопасных условиях исследуется. А сервер возвращается в строй ASAP.

     
  • 6.256, коксюзер (?), 15:47, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Полная переустановка — единственный надёжный способ. В любой операционной системе.

    Расскажите это любителям писать руткиты в память BIOS материнок и видеокарт.

     
     
  • 7.280, Аноним (-), 23:53, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Расскажите это любителям писать руткиты в память BIOS материнок и видеокарт.

    А можно мне дампов отсыпать с такими? Хочу на ЭТО посмотреть. CIH не предлагать.

     
  • 5.90, Аноним (-), 12:56, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Существуют как минимум 4 способа проверки целостности на изменение файлов в системе

    А что собственно помешает руткиту при проверке подпихнуть исправный вариант файла?

    > да хотя б для начала контрольные суммы собрать со всей системы,

    Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.

    > дату изменения конечно можно подставить свои.

    Вы просто не представляете себе возможности по нае...ву серьезных руткитов. Безопасник хренов!

    > SELinux на кой Вам ???

    Отключается ядерными сплойтами.

     
     
  • 6.97, ZloySergant (ok), 13:41, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.

    В системе подгруженной, скажем с livecd, при проверке файловой системы подмонтированной с noexec,noatime,nodev,ro?
    UPD: Хотя, можно и не монтировать, а жестк. диск проверять сразу, если шифрования нет.

     
     
  • 7.111, Аноним (-), 14:29, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.
    > В системе подгруженной, скажем с livecd, при проверке файловой системы подмонтированной
    > с noexec,noatime,nodev,ro?
    > UPD: Хотя, можно и не монтировать, а жестк. диск проверять сразу, если
    > шифрования нет.

    livecd на сервере не труъ.

     
     
  • 8.174, Аноним (-), 19:17, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    замени на pxe... текст свёрнут, показать
     
  • 7.205, Аноним (-), 23:40, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, на CD пакость конечно физически не запишется но в памяти сможет развлекат... большой текст свёрнут, показать
     
     
  • 8.257, ZloySergant (ok), 16:04, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, да От руткита, имхо, либо снос и переустановка, либо ректальная тонсило... текст свёрнут, показать
     
  • 6.98, aurved (?), 13:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А что собственно помешает руткиту при проверке подпихнуть исправный вариант файла?

    Ну наверное помешает ему то, что руткит не будет запущен при подключении этого "винта" к другой  чистой системе и загрузке именно с нее и проверки целостности именно из под чистой системы. Ну или проверки при загрузке с Live-CD (DVD).

     
  • 6.129, Anonimas (?), 16:05, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А что собственно помешает руткиту при проверке подпихнуть исправный вариант файла?
    > Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.

    Для тех кто на бронике !!!
    Самый простой способ проверки системы:
    Устанавливаем, все настраиваем - сервак имеется в виду,
    Потом этот сервак загружается с загрузочной флешки на которой или линух или BSD и снимаются контрольные суммы  со всех файлов в системе, заодно можно скопировать и всю систему на всякий пожарный.
    Ломают сервак, всегда есть резервная копия, всегда есть контрольные суммы всех файлов
    Существует же какая то утилита для сверки контрольных сумм - покрайней мере в портах FreeBSD, в линухе уже не встречал пока что...

     
     
  • 7.134, Аноним (-), 16:48, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Угу, взяли и побежали флешку в сервер втыкать, который за тридевядь земель. *facepalm*
     
     
  • 8.137, anonymous (??), 16:56, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    админы локалхоста атакуют ... текст свёрнут, показать
     
  • 8.141, Аноним (-), 16:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    заходим на ipmi консоль - говорим - вот у нас этот образ и грузимся с него вуал... текст свёрнут, показать
     
     
  • 9.145, Michael Shigorin (ok), 17:12, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то то, куда тычутся ipmiview или браузером с jws, и которое делает iKVM и... текст свёрнут, показать
     
  • 8.266, Клыкастый (ok), 19:40, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Дай заплюсую ... текст свёрнут, показать
     
  • 7.172, Sem (ok), 19:07, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Для тех кто на бронике !!!
    > Самый простой способ проверки системы:

    А обновления?

     
  • 5.132, Аноним (-), 16:29, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –5 +/
    вы кст зря гражданина bezopasnik заминусовали . все верно говорит
     
     
  • 6.133, Michael Shigorin (ok), 16:38, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > вы кст зря гражданина bezopasnik заминусовали . все верно говорит

    В данном разе -- отнюдь, он в корне неправ и взялся судить человека, который в обсуждаемом вопросе обладает явно бОльшими квалификацией и/или опытом.

    ЕСЛИ ПРОЛОМИЛИ СИСТЕМУ И ПРЕДПОЛАГАЕТСЯ ВОЗМОЖНОСТЬ ПОЛУЧЕНИЯ EUID==0
    -- ЭТУ СИСТЕМУ НЕОБХОДИМО УСТАНАВЛИВАТЬ ИЛИ ГЕНЕРИРОВАТЬ ЗАНОВО.

    Старый корень стоит брать на forensics, но вышенакапсанного это не отменяет.

     
     
  • 7.182, Аноним (-), 22:19, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ЕСЛИ ПРОЛОМИЛИ СИСТЕМУ И ПРЕДПОЛАГАЕТСЯ ВОЗМОЖНОСТЬ ПОЛУЧЕНИЯ EUID==0
    > -- ЭТУ СИСТЕМУ НЕОБХОДИМО УСТАНАВЛИВАТЬ ИЛИ ГЕНЕРИРОВАТЬ ЗАНОВО.

    Факт. Хотя по опыту знаю, что если нет возможности перевести на резерв, так не делают.

     
     
  • 8.208, Аноним (-), 23:44, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и сидите с руткитами, кому хуже то А нормальные спецалисты на авось не по... текст свёрнут, показать
     
  • 8.276, Michael Shigorin (ok), 20:38, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное я делал, когда в openssh оказался remote root и возникло смутное под... текст свёрнут, показать
     
  • 6.138, anonymous (??), 16:57, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > вы кст зря гражданина bezopasnik заминусовали . все верно говорит

    ещё один админ локалхоста нарисовался.

     
  • 5.241, Щекн Итрч (ok), 12:33, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Раскажите свой вариант, что делать.
    > Существуют как минимум 4 способа проверки целостности на изменение файлов в системе
    > да хотя б для начала контрольные суммы собрать со всей системы, дату
    > изменения конечно можно подставить свои.
    > SELinux на кой Вам ???

    Хозяин бэкдора не станет коцать файло.
    Трипвайр на раз его запалит.
    Это круто, что в логе нашли сообщение неподнятого сервиса.

    Бэкдор, да на таком проекте, станет вести себя оооооочень незаметно.

     
     
  • 6.267, Клыкастый (ok), 19:43, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Хозяин бэкдора не станет коцать файло.
    > Трипвайр на раз его запалит.

    Трипвайр запалит бекдор, не подпёртый руткитом. Руткит на то и руткит, чтобы всем объяснять, что его нет.


     
     
  • 7.282, Аноним (-), 00:02, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Трипвайр запалит бекдор, не подпёртый руткитом. Руткит на то и руткит, чтобы
    > всем объяснять, что его нет.

    Просто руткит в желании сныкаться иногда перемудряет и демаскирует себя как раз странными глюками. У них вон вообще тачка в панику упала + еще и срач в лог левым доступом к памяти.

     
     
  • 8.304, Клыкастый (ok), 21:59, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    не стоит рассчитывать что и в следующий раз попадётся криворукий автор руткита... текст свёрнут, показать
     
     
  • 9.327, Аноним (-), 03:46, 18/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А это вытекает не из кривизны рук автора руткита Есть теорема, что нельзя напис... текст свёрнут, показать
     
     
  • 10.330, U (??), 09:01, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит выпинывает Тут уже говорилось о восстановлении Разное Например, ср... большой текст свёрнут, показать
     
     
  • 11.331, Michael Shigorin (ok), 11:47, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    С этанолом, говорите это довыясняться до зелёных зловредов, что ли - ... текст свёрнут, показать
     
  • 11.332, Клыкастый (ok), 23:12, 27/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    про этанол это сильно этанол вообще многие проблемы решает ... текст свёрнут, показать
     
  • 3.88, Аноним (-), 12:52, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > он мне не задумываясь ответил - переставлять систему
    > просто крындец, безмозглость

    Вот у вас - и правда безмозглость поражающая. Вы знаете что такое руткиты?
    И что, имеете наглость утверждать что ВСЕ их обнаружите, одной левой?

     
     
  • 4.91, anonymous (??), 12:56, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > И что, имеете наглость утверждать что ВСЕ их обнаружите, одной левой?

    конечно, обнаружит. ведь он до сих пор не видел ни одного необнаруженого ним руткита!

     
     
  • 5.209, Аноним (-), 23:44, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > конечно, обнаружит. ведь он до сих пор не видел ни одного необнаруженого ним руткита!

    Руткит он как суслик: ты его не видишь, а он есть ;))))

     
  • 3.115, Michael Shigorin (ok), 14:35, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > просто крындец, безмозглость

    Меняйте ник, потому как любой специалист по безопасности информационных систем Вам подтвердит: доверять проломленной до рута системе не стоит ни после какого анализа.  Поэтому чтобы задействовать аппаратное обеспечение, программное устанавливается начисто -- с переносом только данных и, возможно, конфигурационных файлов (после надлежащей проверки и по возможности в минимальном объёме).

     
     
  • 4.140, vi (?), 16:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если был сохранен отпечаток системных файлов, сделанный ну скажем в Integrit... большой текст свёрнут, показать
     
     
  • 5.163, szh (ok), 18:06, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А если был сохранен отпечаток "системных" файлов, сделанный ну скажем в Integrit или Tripware (или как он там называется), и сохранен на CD-R в отдельном сейфе.

    ага-ага, и после этого не обновляем никакой софт полгода, чтобы после взлома с CD-R сравнивать.

     
     
  • 6.176, vi (?), 20:49, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да, согласен с Вами Это добавляет несколько шагов в процесс обновления сам кон... большой текст свёрнут, показать
     
     
  • 7.178, szh (ok), 21:17, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > сам конечно так не делаю, а жаль

    Совершенно верно, сложно/дорого

    > Вероятность залета очень мала.

    Вероятность залета вообще никакая, если грузиться в спец ранлевел в котором все сервисы не стартуют

    > Спать (более) спокойно!

    Для этого проще сходить к психологу, чем тратить полдня на каждое обновление :). Время можно с большей пользой провести в этой жизни.

    Вообще можно это все делать с виртуализацией удаленно (с ограничением входа на хост с 1 IP), полуавтоматически, т е попутно занимаясь другими делами, а хост систему проверять уже можно не на каждый update, а раз в полгода.

     
  • 5.243, Щекн Итрч (ok), 12:40, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если был сохранен отпечаток "системных" файлов, сделанный ну скажем в Integrit
    > или Tripware(или как он там называется)

    Tripware или как он там называется -- КЛЮЧЕВОЕ ВЫРАЖЕНИЕ в дискуссии :) :) :)

     
     
  • 6.299, Аноним (-), 15:57, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Tripware

    Он Tripwire вообще-то.

     
  • 5.263, DeadLoco (ok), 18:43, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А если был сохранен отпечаток "системных" файлов, сделанный ну скажем в Integrit или Tripware

    Дык, если есть рут и доступ к бинарнику ядра, то можно сделать все, что угодно. Включая подмену файлов на чистые оригиналы при открытии дескрипторов. Или, например, пишешь ls -l, а стартует rm -rf. ПРОФИТ!

     
  • 4.268, Клыкастый (ok), 19:46, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ...любой специалист по безопасности...
    > доверять проломленной до рута системе не стоит ни после какого анализа.

    возможно он виндовсятник с верой в силу и мощь Касперского?

     
  • 3.144, Daemontux (ok), 17:10, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не существует математически доказанного способа откатить взломанную систему в безопасное состояние.Остается только востановление из бекапа или переустановка.
     
     
  • 4.165, Мяут (ok), 18:19, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не существует математически доказанного способа откатить взломанную систему в безопасное
    > состояние.Остается только востановление из бекапа или переустановка.

    Запускать в Bochs и трассировать выполнение покомандно :) Ну для истинных любителей конечно :)

     
     
  • 5.168, anonymous (??), 18:34, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не существует математически доказанного способа откатить взломанную систему в безопасное
    >> состояние.Остается только востановление из бекапа или переустановка.
    > Запускать в Bochs и трассировать выполнение покомандно :) Ну для истинных любителей
    > конечно :)

    не работает. сначала надо доказать тождественность боша и железа. и безошибочность работы железа, на котором запущен бош. и…

     
  • 4.195, Аноним (-), 23:02, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не существует математически доказанного способа откатить взломанную систему в безопасное
    > состояние.

    В принципе, откат снапшотов на незараженное состояние - довольно близко к именно этому способу, особенно в реализации как у виртуализаторов, когда CoW применяется к вообще всей области диска и может быть откачено все, вплоть до бутсекторов [актуально если развивать паранойю и бояться и буткитов до кучи] :).

     
     
  • 5.244, Щекн Итрч (ok), 12:43, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не существует математически доказанного способа откатить взломанную систему в безопасное
    >> состояние.
    > В принципе, откат снапшотов на незараженное состояние - довольно близко к именно
    > этому способу

    Осталось понять, где в стоге лент «незараженное состояние» :) :) :)

     
     
  • 6.245, anonymous (??), 12:45, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Осталось понять, где в стоге лент «незараженное состояние» :) :) :)

    определить по запаху.

     
  • 6.283, Аноним (-), 00:10, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Осталось понять, где в стоге лент «незараженное состояние» :) :) :)

    Почему сразу лент? Можно и просто на диске. Заведомо незараженное - сразу после инсталла или если удалось понять дату взлома - до нее.

     
     
  • 7.291, Щекн Итрч (ok), 18:00, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Осталось понять, где в стоге лент «незараженное состояние» :) :) :)
    > Почему сразу лент? Можно и просто на диске. Заведомо незараженное - сразу
    > после инсталла или если удалось понять дату взлома - до нее.

    Осталось «понять дату взлома» :)

     
     
  • 8.292, Аноним (-), 01:21, 04/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так логи на что Хотя можно и без разборов сразу на послеинсталляционный вари... текст свёрнут, показать
     
  • 3.193, Аноним (-), 22:51, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Очередной раз поражаюсь дибилизму среди луноходов

    Oh sh-! Капитан сообщает: вы установили новый антирекорд опеннета по зрительским симпатиям, сделав даже господина Трухина. Эпично!!!

    > просто крындец, безмозглость

    Вы не представляете себе что могут руткиты, и почему следует переставить систему в случае взлома, но при этом называетесь bezopasnik.org?! Поздравляю, вы победили в номинации "EPIC FAIL года" на опеннете! Ппцъ^2!

     

     ....большая нить свёрнута, показать (97)

  • 1.4, Аноним (-), 09:17, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Совсем расслабились.
     
  • 1.6, Анонимо (?), 09:25, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    История с титаником людей так ничему и не научила, все думали что он непотопляемый, а он взял и пустил пузыри.
     
     
  • 2.269, Клыкастый (ok), 19:47, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > История с титаником людей так ничему и не научила, все думали что
    > он непотопляемый, а он взял и пустил пузыри.

    Чукча не читатель, чукча - писатель? Кратко о главном: люди пролюбили доступы на сервер.


     

  • 1.7, Аноним (-), 09:27, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    linux уже ломают на заказ
     
     
  • 2.13, Аноним (-), 09:52, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Не верю, что кто-то из Linux-хакеров (а кроме них некому такой взлом осуществить) станет ломать свой же родной Линукс кому-то на заказ. Скорее всего ради лулзов, ну, или потролить Торвальдса (может Гномеры обиделись:)).
     
     
  • 3.16, Аноним (-), 09:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А кто говорит про Linux-хакеров? Тут все посерьезнее будет.
     
     
  • 4.34, mihon73 (?), 10:34, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    что вы все намеками да намеками. Есть предположения, есть что сказать - говорите. Нету, то и писать не стоит. Кому тут интересно согласны ли вы с утверждением или нет?
     
     
  • 5.40, Аноним (-), 10:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Скрытая реклама git. Хы
     
  • 5.211, Аноним (-), 23:47, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > что вы все намеками да намеками. Есть предположения, есть что сказать -
    > говорите. Нету, то и писать не стоит.

    За любым действием стоит тот кому это нужно. Так что намеки - вполне могут быть обоснованы.

     
  • 4.38, Аноним (-), 10:45, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Мелкософт и иже с ним, КГБ?
     
     
  • 5.112, Fantomas (??), 14:30, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да нет, сам Сатанаил лично :-)
     
  • 3.20, Аноним (-), 10:11, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Не верю, что кто-то из Linux-хакеров (а кроме них некому такой взлом
    > осуществить) станет ломать свой же родной Линукс кому-то на заказ. Скорее
    > всего ради лулзов, ну, или потролить Торвальдса (может Гномеры обиделись:)).

    Родной Linux? Он им чего, мама?

     
     
  • 4.131, Moomintroll (ok), 16:27, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Родной Linux? Он им чего, мама?

    Жена. Со всеми вытекающими... ;-)

     
  • 3.270, Клыкастый (ok), 19:51, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что такое "родной Линукс?" Есть задача. Или заказ. Вот они - "родные". А Маша, Петя, Линукс, Виндовс, BSD - это всё вторично.

     

  • 1.9, Аноним (-), 09:32, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какой дистрибутив стоял на серверах ?
    Не иначе RedHat в котором нет уязвимостей :)
     
     
  • 2.19, Аноним (-), 10:10, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимостей нет, есть исправления.
     
     
  • 3.73, Аноним (-), 12:02, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Уязвимостей нет, есть исправления.

    Ты еще скажи, что их не бывает, уязвимостей-то, в Линуксе священном. Только исправления - исправления ЧЕГО? Сам-то понял, какую ересь ляпнул?

     
     
  • 4.114, Аноним (-), 14:31, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Уязвимостей нет, есть исправления.
    > Ты еще скажи, что их не бывает, уязвимостей-то, в Линуксе священном. Только
    > исправления - исправления ЧЕГО? Сам-то понял, какую ересь ляпнул?

    КО говорит, это был сарказм.

     
  • 2.185, Аноним (-), 22:24, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Веб-сервер kernel.org обслуживает Fedora... В этом нетрудно убедиться самому.
     
  • 2.194, crypt (??), 22:54, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А какой дистрибутив стоял на серверах ?
    > Не иначе RedHat в котором нет уязвимостей :)

    На Fedora там все: и зевс1, и зевс2. Все-таки вменяемые админы на сервера Федору не ставят.

     

  • 1.11, Аноним (-), 09:33, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    > По предположению администраторов проекта проникновение было совершено через утечку параметров одного из аккаунтов. Данное предположение подтверждает обнаружение троянского ПО на машине одного из разработчиков ядра, который имел доступ к двум взломанным серверам (Hera и Odin1).

    А говорили под Linux троянов не бывает. Как же так ?! неужели обманывали ?

     
     
  • 2.12, sndev (ok), 09:41, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А как же руткиты ? Это в принципе троянское ПО как на него не смотри.
     
     
  • 3.57, СуперАноним (?), 11:12, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всё-таки, есть существенное отличие троянов от руткитов. Чаще всего, ламеры сами добровольно троянов ставят под благовидным предлогом: хранители экрана, Skype, Adobe Flash, ...
     
  • 3.101, nuclight (ok), 13:58, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А как же руткиты ? Это в принципе троянское ПО как на
    > него не смотри.

    Не бывает "доброго" и "троянского" ПО. Это всего лишь инструмент, и всё дело в целях использования - ножом можно хлеб резать, а можно и человека убить. Сниффером можно пароли воровать, но можно и проблемы сети диагностировать. Сканеры портов - типичные "хакерские инструменты" - используются для аудита безопасности, наряду со средствами, проверяющими на наличие удаленных дырок (можно сказать, ломают, но чисто технически). И так - абсолютно во всём. Каково благонамеренное применение руткитов, оставляю подумать в качестве домашнего задания.

     
     
  • 4.120, sndev (ok), 14:50, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    A давайте, для начала, в качестве домашнего задания, вы прочитаете хотя бы определение слова rootkit ?
     
     
  • 5.123, PereresusNeVlezaetBuggy (ok), 14:57, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > A давайте, для начала, в качестве домашнего задания, вы прочитаете хотя бы
    > определение слова rootkit ?

    Тёзка, начинаем подсчёт лопухов? :)

     
  • 5.192, nuclight (ok), 22:34, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > A давайте, для начала, в качестве домашнего задания, вы прочитаете хотя бы
    > определение слова rootkit ?

    Выпендриться хочется, а думать не хочется? Понимаю, бывает. Ну ничего, с годами и ростом кругозора это проходит. Могу посоветовать почитать про IPS/IDS, которые сами используют rootkit-технологии (для самозащиты от злонамеренного софта). Вот на http://northsecuritylabs.com/ru/ хороший образчик, например.

     
     
  • 6.213, Аноним (-), 23:54, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > хороший образчик, например.

    Мне не нравится этот тип, но он тем не менее прав.

    Например, каспер - по сути сам руткит: заворачивает все системные вызовы которые могут ему повредить. Виртуализаторы с мониторингом гуеста их "невидимого" хоста - тоже этакий руткит наоборот. Технологии применяемые в руткитах могут и на админа работать, если превентивно "забэкдорить" систему в пользу админа но против хакера :))

     
  • 2.33, FSA (ok), 10:32, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кто говорил, что не бывает? Бывают. Просто для того, чтобы написать приличный троян нужно найти уязвимость, которая позволит повысить привилегии на машине, иначе дальше домашней папки пользователя троян не уйдёт. В Windows при ограничении привилегий работать становится практически невозможно. Вылавливание всех веток реестра и каталогов, куда пишут программы, отнимает кучу времени. Поэтому все дома сидят под админами. В результате любая программа может делать всё, что хочет.
    Ваш КО.
     
     
  • 3.78, Аноним (-), 12:12, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В Windows при ограничении привилегий работать становится практически невозможно.

    Там уже давно все точно так же, как в линухе. Пароль вводить надо только для установки/удаления программ или для изменения системных настроек.

    > Поэтому все дома сидят под админами.

    ССЗБ.

     
     
  • 4.79, anonymous (??), 12:17, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Там уже давно все точно так же, как в линухе.

    не прошло и ста лет, угу.

     
  • 4.147, vi (?), 17:16, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> В Windows при ограничении привилегий работать становится практически невозможно.
    > Там уже давно все точно так же, как в линухе. Пароль вводить
    > надо только для установки/удаления программ или для изменения системных настроек.

    А кто их там перед установкой проверяет на соответствие заявленным функциям и фактически выполняемым. Или кто то из производителей подписался "на зуб", а? Канделябры еще конечно же производить не перестали, но гонятся уж больно накладно выходит. Да еще в кутузку можно загреметь за самоуправство. Хотя иногда для профилактики это просто необходимость.

    > ССЗБ.

     
  • 2.186, crypt (??), 22:26, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А говорили под Linux троянов не бывает. Как же так ?! неужели
    > обманывали ?

    Трояны бывают. Массовых эпидемий под 2 миллиона не бывает.

     
  • 2.271, Клыкастый (ok), 19:54, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А говорили под Linux троянов не бывает. Как же так ?! неужели
    > обманывали ?

    Вася пролюбил ключ от квартиры. В квартиру попал Ваня и поставил жучок. "Ай, какие плохие двери". вы либо тролль, либо не вникли в суть новости. есть третий вариант, но он обидный и сообщение вытрут.

     

  • 1.15, Fomalhaut (?), 09:56, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    ПО без ошибок практически несуществует (если только "Hello world!" и то не факт, что компилятор не ступит).
    Но вопрос не в количестве уязвимостей (это лучший членомер для многих), а в сроках их исправления, а так же сложности, т.е. архитектурных ограничениях.
     
  • 1.17, Аноним (-), 10:03, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >судя по всему был задействован эксплоит для еще публично не известной уязвимости.

    А вот это самое интересное. Тоесть есть какая то дыра про которую еще даже не знают. А хакеры активно юзают :)

     
  • 1.18, ioim (?), 10:08, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Порадовало название сервера "Odin1" :)
     
     
  • 2.22, crunch (??), 10:15, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Hera тоже ничего :)
     
     
  • 3.26, Василий (??), 10:23, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И правда удивительно, мешали и немецкую и древнегреческую мифологию вместе. :)
     
     
  • 4.56, Живот (?), 11:12, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вот и поплатились
     
     
  • 5.62, PereresusNeVlezaetBuggy (ok), 11:28, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот и поплатились

    Египетские боги воспользовались известным принципом «разделяй и властвуй»?

     
     
  • 6.104, emg81 (ok), 14:08, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я думал, римские боги будут этим так орудовать...
     
     
  • 7.119, PereresusNeVlezaetBuggy (ok), 14:47, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > я думал, римские боги будут этим так орудовать...

    Я тоже, но их, поди, отличи от древнегреческих. С другой стороны, опыт перенимать никто не мешает. :)

     
  • 3.187, crypt (??), 22:26, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Hera тоже ничего :)

    Как сервер назовешь...

     

  • 1.21, Аноним (-), 10:13, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Больше всего удивило упоминание 448 аккаунтов. Даже предположить не мог, что ума хватит разместить хостинг для страниц обычных пользователей (userweb.kernel.org) на первичном сервере, через который раздается ядро. Судя по всему даже chroot-а отдельного не создали и все 448 могли входить по SSH и запускать что душе угодно с любых IP. На такие системы нужно пускать только нескольких ключевых администраторов только с одной шлюзовой машины внутри сети к которой пускать только с конкретных IP, а не светить SSH на весь интернет.
     
     
  • 2.25, Анон (?), 10:21, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Сис. Админов на них нехватает!!!
     
  • 2.86, Денис (??), 12:51, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а не светить SSH  на весь интернет.

    Хотел добавить что простым пользователям, не админам нужно предоставлять доступ не на реальный сервер kernel.org а на виртуальную машину которая на этом kernel.org будет крутиться, а реальная машина уже все ip покажет.

    Хотя я считаю что все было случайно - никакого целенаправленного взлома не было, просто пользователь kernel.org зашел на сервер, не из дома, а из гостей, через скажем putty, а на этом компе была винда с трояном-клавиатурным-шпионом, вот и все.
    Все как всегда тупо и банально...


     
     
  • 3.116, Fantomas (??), 14:41, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У меня так было. Позвонили. Нужно было срочно залезть. Ядерного чемоданчика (лаптопа) с собой небыло. Поставил там где был на машину Путти и полез. В последствии пользуясь случившимся заодно поменял и железо.
     
     
  • 4.142, Michael Shigorin (ok), 17:02, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У меня так было. Позвонили. Нужно было срочно залезть. Ядерного чемоданчика (лаптопа)
    > с собой небыло. Поставил там где был на машину Путти

    Уж лучше загрузочный телефон с собой таскать.

     
     
  • 5.146, Andrey Mitrofanov (?), 17:14, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >загрузочный телефон

    Джеймс Бонд... ботинок-телефон... Или это был не Бонд? Ж)

     

  • 1.24, Атребатов (?), 10:21, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    я уверен что взлом осуществлял сотрудник спецслужбы... им щас мало платят, они ведут скрытый шпионаж с целью получения информации о финансовых возможностей пользователей и место дислокации оных... потом дожидаются удобное время, например день получки или поход разрабатываемого лоха к банку и грабят используя черную рабочую силу в виде запуганных прежде завербованных агентов с криминальной архитектурой психики... я уверен в этом на 100%.
     
     
  • 2.27, FractalizeR (ok), 10:24, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Еще одна теория заговора...
     
     
  • 3.220, askh (ok), 00:28, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Люди, которые видят во всём теории заговора, выглядят, мягко говоря, странно Од... большой текст свёрнут, показать
     
     
  • 4.222, anonymous (??), 00:33, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    заслуженый ветеран секретных операций Вещает.
     
     
  • 5.231, askh (ok), 08:57, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > заслуженый ветеран секретных операций Вещает.

    Нет, просто человек со здравым смыслом. Если у кого-то есть возможность, есть мотив, и если этот кто-то может действовать скрытно, что это означает? Что он не действует? Нелогично ведь, но примерно это и имеют в виду те, кто скептически пишут "очередная теория заговора".

     
  • 4.237, FractalizeR (ok), 10:56, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Люди, которые видят во всём теории заговора, выглядят, мягко говоря, странно. Однако
    > не менее странно выглядят и люди, которые уверены, что никаких заговоров
    > в принципе не существует.

    А кто все эти люди? :)

    > любая разведка высоко оценила бы возможность внедрить известный только им бэкдор в софт

    Конечно. Только пост, на который я отвечал, вовсе не об этом. Прочитайте его снова и оцените, о чем там речь идет.

    А внедрять супер-функциональный-никому-неизвестный-бекдор в файлы, лежащие в Git и думать, что это не обнаружится, может кто угодно, только не сотрудники спецслужб. Во всяком случае, я искренне надеюсь, что они не настолько тупы.

     
     
  • 5.238, askh (ok), 11:46, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, я сам не согласен с тем постом, но не согласен и с вашим аргументом Еще од... большой текст свёрнут, показать
     
     
  • 6.251, FractalizeR (ok), 14:14, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Еще одна теория заговора - это уж конечно не аргумент вовсе Почитайте http ... большой текст свёрнут, показать
     
     
  • 7.252, anonymous (??), 14:20, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Для того, чтобы внедрить бекдор, проще кого-нибудь из разработчиков пошантажировать
    > или самому стать доверенным разработчиком.

    кроме этого — заставить молчать *всех*, кто может прочитать (и читает, и иногда патчит) ядро. в каждой из стран, где такие есть.

    согласен, некоторое время оно может жить. а потом неизбежно всплывёт, и будет скандал. нет, даже СКАНДАЛ. именно поэтому вряд ли кто-то будет трогать подобные вещи, это слишком топорно. и если это понимаю я, то вне сомнения понимают и работники спецслужб. которые вовсе не тупые солдафоны.

     
     
  • 8.258, FractalizeR (ok), 16:07, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да, все верно Хотя, может быть, принципиально возможно оставить уязвимость, кот... текст свёрнут, показать
     
  • 2.29, Аноним (-), 10:26, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Бред. Сам ты псих.
    Это очередной just for fun.

     

  • 1.30, Аноним (-), 10:26, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так что там за дистрибутив был? у меня c такими же симптомами центос пару лет назад ломали. вот тут обсуждалось
    http://www.webhostingtalk.com/showthread.php?t=873301

    но с тех пор ничего не поменялось, увы

     
     
  • 2.190, Аноним (-), 22:31, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > так что там за дистрибутив был? у меня c такими же симптомами
    > центос пару лет назад ломали. вот тут обсуждалось

    Админский сайт, е-мае... Не могут зайти на http://kernel.org и посмотреть. Fedora там.

     
     
  • 3.215, Аноним (-), 23:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Админский сайт, е-мае... Не могут зайти на http://kernel.org и посмотреть. Fedora там.

    Что настораживает - перец подозревал openssh 0day но его кажется с тех пор никто не нашел. А что если openssh не настолько уж и S, и матрица нас все-таки имеет?  


     

  • 1.32, Tito (??), 10:29, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    на Kernel.org написано:

    "We have notified authorities in the United States and in Europe to assist with the investigation"

    Почемуто думается что как раз "authorities"  и организаторы.

     
     
  • 2.39, Аноним (-), 10:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тем легче им будет "to assist"
     

  • 1.37, centosuser (ok), 10:41, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Кроме того, было инициировано несколько проверок целостности кода с задействование других, параллельно созданных, хэшей, а также проведение детального аудита всех последних изменений в коде.

    Чем то они похожи на нашу милицию, тех пока за яйца не прижмут, они будут врать, что мы не виноваты. А когда появятся неопровержимые факты, что отмазываться уже будет глупо - появляется козёл отпущения.

    Какое там ядро было до 12 августа ?

     
     
  • 2.166, szh (ok), 18:20, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чем то они похожи на нашу милицию

    какие больные ассоциации


     

  • 1.45, lalolim (?), 10:56, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А собственно зачем ломать? Исходники и так доступны.

    Или там хотели незаметно внедрить код чтобы 1% пользователей таки можно было вирусами заражать?

     
     
  • 2.58, Frank (ok), 11:14, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ну это же очевидно - хотели иксы туда поставить!
     
  • 2.191, Аноним (-), 22:32, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А собственно зачем ломать? Исходники и так доступны.
    > Или там хотели незаметно внедрить код чтобы 1% пользователей таки можно было
    > вирусами заражать?

    Ты забыл про 60% веб-серверов...

     

  • 1.69, Аноним (-), 11:47, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > судя по всему был задействован эксплоит для еще публично неизвестной уязвимости.

    Ядро стало таким большим и содержит столько дыр что такие новости уже не удивляют. Печально...

    Единственный плюс, можно смело обновлять свой Android и быть уверенным что и для новой прошивки можно будет получить root :)

     
     
  • 2.70, x (?), 11:56, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ... быть уверенным что и для новой прошивки можно будет получить root.

    Ну пока еще не совсем понятно как его получать. Пока только избранные могут поюзать любой Linux-сервер в своих целях и всего-то.

    Интересно DigiNotar тоже на Linux крутился?

     
     
  • 3.167, Аноним (-), 18:33, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ... быть уверенным что и для новой прошивки можно будет получить root.
    > Ну пока еще не совсем понятно как его получать. Пока только избранные
    > могут поюзать любой Linux-сервер в своих целях и всего-то.
    > Интересно DigiNotar тоже на Linux крутился?

    Вряд ли.

    HTTP/1.1 200 OK
    Content-Length: 437
    Content-Type: image/gif
    Last-Modified: Mon, 31 Aug 2009 12:59:08 GMT
    Accept-Ranges: bytes
    Etag: "07699d33a2aca1:117e"
    Server: Microsoft-IIS/6.0
    X-Powered-By: ASP.NET
    Date: Thu, 01 Sep 2011 15:44:59 GMT

     
     
  • 4.169, anonymous (??), 18:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Server: Microsoft-IIS/6.0
    > X-Powered-By: ASP.NET

    и вот *это* было «довереным центром»? правильно, правильно я их все превентивно выкидываю, не разбираясь, где кто.

     
     
  • 5.284, Аноним (-), 00:14, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот их хакеры тоже не оставили без внимания.
     

  • 1.82, user (??), 12:28, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >проникновения было выявлено после того, как администраторы заметили в логе упоминание ошибки доступа к /dev/mem со стороны Xnest, в то время как Xnest не был установлен на серверах

    Прелесть какая.... а сколько там еще троянов необнаруженых висит...

    Опубликуйте ВСЕЬ список установленного на сервере софта, чтоб в следующий раз парням не палицца так по глупому...

     
     
  • 2.204, crypt (??), 23:31, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>проникновения было выявлено после того, как администраторы заметили в логе упоминание ошибки доступа к /dev/mem со стороны Xnest, в то время как Xnest не был установлен на серверах
    > Прелесть какая.... а сколько там еще троянов необнаруженых висит...

    Да уж, было сложно не заметить, что что-то не так:

    http://www.spinics.net/lists/kernel/msg1229170.html

     
     
  • 3.207, crypt (??), 23:42, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/

    http://www.spinics.net/lists/kernel/msg1229170.html


    20110823.log:Aug 23 17:22:52 console1 port05  RXDATA: [   70.626511] Program Xnest tried to access /dev/mem between 0->8000000.
    20110823.log:Aug 23 17:22:53 console1 port05  RXDATA: [   71.610908] Xnest[4485]: segfault at 7f51210dfaa8 ip 000000000040c544 sp 00007fffdadb5970 error 6 in .p-2.5f[400000+15000]
    20110823.log:Aug 23 17:22:54 console1 port05  RXDATA: Fedora release 14 (Laughlin)
    20110823.log:Aug 23 17:22:54 console1 port05  RXDATA: Kernel 3.1.0-rc2+ on an x86_64 (/dev/ttyS0)
    20110823.log:Aug 23 17:22:55 console1 port05  RXDATA: hera.kernel.org login:

    Xnest (pid 4485) попытался обратиться по запрещенному адресу и упал. Запущен был из
    .p-2.5f - это признак руткита phalanx 2.5f , который не детектится rkhunter

     
     
  • 4.217, Аноним (-), 00:03, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ы, походу руткит себя паниками палил :).Странно что его сразу тогда же и не поймали.
     

  • 1.99, hummermania (ok), 13:47, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и что? Ситуацию проанализируют, разрабам софта через который был взлом дадут Pull Request - те поправят и никто не получит вероятно модифицированное ядро. Если его вообще удалось как-то испортить. Кроме того на месте с кернел.org мог бы быть любой сервер в мире. И взлом линукс серверов чаще всего происходит из-за уязвимостей в софте-окружении, и где недоглядели админы. Вот и все. Инцидент исчерпает себя через пару дней. Обычная рабочая обстановка.
     
  • 1.106, nuclight (ok), 14:11, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам модифицировать Git так, чтобы левый патч внедрился в коммит незаметно от разработчика _перед_ подсчетом хэша. Всё, хэш будет корректен, никаких изменений задним числом (зачем править старое, когда можно внести новое? они не так уж мало времени там торчали) не требуется - чего инструменту подсунули, то он и посчитал-подписал.
     
     
  • 2.109, PereresusNeVlezaetBuggy (ok), 14:26, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам
    > модифицировать Git так, чтобы левый патч внедрился в коммит незаметно от
    > разработчика _перед_ подсчетом хэша. Всё, хэш будет корректен, никаких изменений задним
    > числом (зачем править старое, когда можно внести новое? они не так
    > уж мало времени там торчали) не требуется - чего инструменту подсунули,
    > то он и посчитал-подписал.

    Имелось в виду, что при попытке обновиться из «подправленного» репозитория, о факте изменений узнали бы все, кто уже ранее его загружал.

     
     
  • 3.180, nuclight (ok), 22:06, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам
    >> модифицировать Git так, чтобы левый патч внедрился в коммит незаметно от
    >> разработчика _перед_ подсчетом хэша. Всё, хэш будет корректен, никаких изменений задним
    >> числом (зачем править старое, когда можно внести новое? они не так
    >> уж мало времени там торчали) не требуется - чего инструменту подсунули,
    >> то он и посчитал-подписал.
    > Имелось в виду, что при попытке обновиться из «подправленного» репозитория,
    > о факте изменений узнали бы все, кто уже ранее его загружал.

    Так репозиторий-то "подправлять" и не требуется. Достаточно пропатчить working copy в начале фазы коммита, и скрыть эти изменения в выводе. Задел на будущее, старое править - смысл?..

     
     
  • 4.197, Аноним (-), 23:16, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ключевое выражение и скрыть эти изменения в выводе Это физически невозможно т... большой текст свёрнут, показать
     
     
  • 5.206, nuclight (ok), 23:41, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Неубедительно Так радужно описывается, причем с довольно нехилой такой бюрократ... большой текст свёрнут, показать
     
     
  • 6.218, Аноним (-), 00:04, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > (кто-то их при таком аудите значит проморгал)?..

    Почему-то все дыры имеют такое свойство: их кто-то проморгал :)

     
  • 6.232, Michael Shigorin (ok), 09:41, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто даст гарантию, что такой сценарий внесения закладки действительно невозможен

    Working copy не живёт на сервере.  Там живёт bare repo.  Не чекаутнутый. (можно и не bare, но это именно что добавляет возможностей нечаянно "сделать вторжение" со всеми вытекающими в плане отказа удалённых клиентов pull/push'ить)

    PS: Вадим, стыдно объяснять Вам _настолько_ элементарные вещи.  Уже ж все нужные ссылки дали, а Вы вроде бы как способный к RTFM специалист.

     
     
  • 7.314, nuclight (ok), 14:53, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кто даст гарантию, что такой сценарий внесения закладки действительно невозможен
    > Working copy не живёт на сервере.  Там живёт bare repo.  
    > Не чекаутнутый. (можно и не bare, но это именно что добавляет
    > возможностей нечаянно "сделать вторжение" со всеми вытекающими в плане отказа удалённых
    > клиентов pull/push'ить)
    > PS: Вадим, стыдно объяснять Вам _настолько_ элементарные вещи.  Уже ж все
    > нужные ссылки дали, а Вы вроде бы как способный к RTFM
    > специалист.

    Михаил, опять гордыню включаете, не замечая, что именно с чьей стороны было (guts от меня), а что нет (оргвопросы, где именно working copy) ? Ваше дело, конечно, но можно же было бы и подумать тогда - а зачем последние коммиты таки перепроверяют, если всё реально надежно? Вы дадите гарантию?

     
     
  • 8.322, Michael Shigorin (ok), 20:47, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Извините, если не по адресу Но Я понял Ваш комментарий 206 так, что такой ... большой текст свёрнут, показать
     
  • 6.242, anonymous (??), 12:38, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    показательное выступление товарища из стана BSD с номером «демонстрация обычного стиля общения товарища из стана BSD». в программе: безапелляционность, невежественность, хамство, игнорирование указаний на ошибки в рассуждениях, нежелание изучать предмет, о котором идёт речь.

    в принципе, можно не спешить смотреть, они всегда такие. кто пропустил — увидите в следующий раз.

     
     
  • 7.248, PereresusNeVlezaetBuggy (ok), 13:31, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    показательное выступление товарища из стана Linux с номером 171 демонстрация о... большой текст свёрнут, показать
     
     
  • 8.249, anonymous (??), 13:39, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    попытка не то, чтобы плохая 8212 глупая просто но группа поддержки набигает,... текст свёрнут, показать
     
  • 8.259, vle (ok), 17:19, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый Линуксоид радуется как дится, когда у BSD возникают какие-нибудь проблем... текст свёрнут, показать
     
     
  • 9.260, anonymous (??), 17:21, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    это весело, к тому же дисциплина Специальной Олимпиады ... текст свёрнут, показать
     
     
  • 10.261, vle (ok), 17:31, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да все и так знают, что русскоязычные в этой олимпийской дисциплине безоговорочн... текст свёрнут, показать
     
     
  • 11.300, Аноним (-), 16:06, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В остальном мире на BSD как-то так дружно забили уже и олимпиады не получается п... текст свёрнут, показать
     
  • 5.214, PereresusNeVlezaetBuggy (ok), 23:55, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Так репозиторий-то "подправлять" и не требуется. Достаточно пропатчить working copy в начале
    >> фазы коммита, и скрыть эти изменения в выводе. Задел на будущее,
    >> старое править - смысл?..
    > Ключевое выражение "и скрыть эти изменения в выводе". Это физически невозможно так
    > как будет новый коммит

    Не поэтому. Новый коммит как раз палится на раз. Когда речь идёт о подмене исходников, пытаются подправить старый коммит. Но при обновлении с такого репозитория, git там, _куда_ идёт обновление, заорёт.

     
     
  • 6.315, nuclight (ok), 15:17, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не поэтому. Новый коммит как раз палится на раз. Когда речь идёт
    > о подмене исходников, пытаются подправить старый коммит. Но при обновлении с
    > такого репозитория, git там, _куда_ идёт обновление, заорёт.

    Что ж вас всех так прицепило-то к "подправить старый коммит" ?.. Не единственный способ же. А недооценивать врага (злоумышленников), считая, что таки единственный (или что-нибудь еще считая) - скажем так, в перспективае чревато.

     
     
  • 7.324, PereresusNeVlezaetBuggy (ok), 20:22, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не единственный Но подумайте сами, что и зачем можно было подправить - Код в р... большой текст свёрнут, показать
     
  • 4.233, Andrey Mitrofanov (?), 09:45, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Так репозиторий-то "подправлять" и не требуется. Достаточно пропатчить working copy в начале
    > фазы коммита, и скрыть эти изменения в выводе.

    Фантазёр, чесслово. Какие нафинг воркинг копи на kernel.org?.....

     
     
  • 5.286, Аноним (-), 00:22, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Фантазёр, чесслово. Какие нафинг воркинг копи на kernel.org?.....

    Этот шутник запалился на том что не понимает как работает git. Обалдеть, линуксные технологии настолько ушли вперед что разработчик бсд не способен понять 1 простую вещь: это РАСПРЕДЕЛЕННАЯ система. В ней все равноправны. У всех есть история коммитов. Сервер - лишь один из, чисто для удобства. А не единственный и неповторимый.

    Чтобы вбросить в гит левак - надо или синхронно пропатчить базы гита у ВСЕХ участников или синхронно заменить им всем гит на пробэкдореный, что возможно в теории, но совершенно нереально сделать на практике.

     
     
  • 6.317, nuclight (ok), 15:41, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Этот аноним запалился на том, что не понимает, как технические решения не могут ... большой текст свёрнут, показать
     
     
  • 7.318, Andrey Mitrofanov (?), 15:50, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > что не видят, как разработчики бсд тоже используют git

    [.]
    > Чтобы сделать линукс неломаемой системой - надо синхронно пропатчить головы ВСЕХ разработчиков,
    > что возможно в теории, но совершенно нереально сделать на практике.

    За безопасность б3д мы спокойны! Её разработчики проходят лоботомию в обязательном порядке.

    :D

     
     
  • 8.320, vle (ok), 17:00, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Воздержитесь, Митрофанов, воздержитесь, от обобщений подобного рода Не пять же ... текст свёрнут, показать
     
     
  • 9.325, Andrey Mitrofanov (?), 12:03, 12/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Слова вашего приятеля, повёрнутые в вашу сторону, говорят о _моей_ невоздержанно... текст свёрнут, показать
     
     
  • 10.326, vle (ok), 11:32, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он мне не приятель, мы не знакомы Тебе обязательно опускаться до его уровня ... текст свёрнут, показать
     
  • 7.323, Michael Shigorin (ok), 20:52, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > безопасность - МНОГОСТОРОННЯЯ штука.

    Может, Вы наконец порадуете мир proof of concept'ом вместо безудержного пустого трёпа?

    > Чтобы сделать линукс неломаемой системой

    ...и таких вот съездов с инфраструктуры на содержимое.

    > надо синхронно пропатчить головы ВСЕХ разработчиков

    Это утверждение тоже неверно, что самое смешное.  Рекомендую пустырник, работает. :)

     
  • 2.113, Аноним (-), 14:30, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    дядя на сервер заливается уже подписанное
     
  • 2.117, Вова (?), 14:41, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я хоть и не фанат гита, но как можно обновиться из репозитария и не заметить этого? В конце концов, даже если предположить, что были молча обновлены какие-то файлы, но ведь при сборке-то этого никак не пропустишь, исключая вариант make >/dev/null/ 2>errors
     
     
  • 3.121, Andrey Mitrofanov (?), 14:52, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я хоть и не фанат гита, но как можно обновиться из репозитария и не заметить этого?

    Более того, даже при push-е в изменённый реп. это _очень заметно.
    http://git-blame.blogspot.com/2011/08/how-to-inject-malicious-commit-to-git.h

    +++
    Id головы является хешем _всей _истории. Студентам смотреть видео с Торвальдсом на Гугле Коде (первое, не второе -- во втором про ветки-мержи, маленьким рано ещё).

     
  • 2.139, Michael Shigorin (ok), 16:59, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая наивная уверенность

    *sigh*

    Сейчас: http://lwn.net/Articles/417856/
    На досуге: http://los-t.livejournal.com/tag/git%20guts (особенно part 7)

    Не спешите опростоволоситься.

     
     
  • 3.181, nuclight (ok), 22:18, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Михаил, ну уж Вы-то могли бы не уподобляться красноглазым крикунам и понять, что... большой текст свёрнут, показать
     
     
  • 4.183, anonymous (??), 22:21, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику

    …а теперь предположим, что высадился недружественный десант марсиан…

     
     
  • 5.235, Andrey Mitrofanov (?), 09:49, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику
    > …а теперь предположим, что высадился недружественный десант марсиан…

    +1 А ещё говорят Конецц Света на носу и вообще Солнце взорвётся!!! Как старшно жить, девочки-и-и-и!!?

     
  • 4.198, Аноним (-), 23:20, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику, чтобы

    Здесь есть одно НО. Чтобы это сработало, git-должен быть пропатчен у всех разработчиков. Кстати, это идея ! Аудит кода Git проводится не так интенсивно, как аудит кода ядра. Внедрить туда троянский код куда проще. А потом уже можно скрыто провести троян для ядра.

     
     
  • 5.200, Аноним (-), 23:24, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, это открывает интересные горизонты. Достаточно при определенных обстоятельствах поменять логику проверок по SHA или хэш считать не над всеми данными. А затем под видом какого-нибудь обновления бинарного firmware продвинуть троян.

     
  • 5.203, nuclight (ok), 23:29, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику, чтобы
    > Здесь есть одно НО. Чтобы это сработало, git-должен быть пропатчен у всех
    > разработчиков. Кстати, это идея ! Аудит кода Git проводится не так
    > интенсивно, как аудит кода ядра. Внедрить туда троянский код куда проще.
    > А потом уже можно скрыто провести троян для ядра.

    Зачем у всех? Остальным достаточно доверять нашему разработчику и не заметить некоторые мелочи. Тут социальные факторы работают больше технических. Хотя идея внедрить код в git для таких сокрытий тоже неплоха.

     
     
  • 6.216, PereresusNeVlezaetBuggy (ok), 00:02, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Не забывайте, это DVCS Разработчик работает с _собственным_ репозиторием, ... большой текст свёрнут, показать
     
  • 4.219, myself (?), 00:25, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле, такую фиговину прокрутить (т.е. внедриться на уровне исходников, перехватив момент коммита) можно запросто, вопрос в том, что это достаточно нетривиально на уровне модификации самих исходников -- т.е. это контекстно-зависимая модификация, сама по себе достаточно сложная. Более того, такую вставку надо делать очень аккуратно, ибо запалят.
    Но теоретически... конечно можно.
     
     
  • 5.221, PereresusNeVlezaetBuggy (ok), 00:32, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > На самом деле, такую фиговину прокрутить (т.е. внедриться на уровне исходников, перехватив
    > момент коммита) можно запросто, вопрос в том, что это достаточно нетривиально
    > на уровне модификации самих исходников -- т.е. это контекстно-зависимая модификация, сама
    > по себе достаточно сложная.

    Если только не воспользоваться наработками какого-нибудь coccinelle :)

    > Более того, такую вставку надо делать очень аккуратно, ибо запалят.

    Во многих языках достаточно сделать после разделителя операций (точка с запятой, или что там ещё) много-много пробелов, и дальше писать что угодно. Главное, чтобы код использовался часто, а менялся редко.

    > Но теоретически... конечно можно.

     
     
  • 6.224, myself (?), 00:58, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тут надо хитр0 работать, такие хреновины типа точки с запятой ловятся на раз-два и привет (можешь прогнать тест самолично, благо git grep -E позволяет).
     
     
  • 7.225, PereresusNeVlezaetBuggy (ok), 01:02, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут надо хитр0 работать, такие хреновины типа точки с запятой ловятся на
    > раз-два и привет (можешь прогнать тест самолично, благо git grep -E
    > позволяет).

    Так я и говорю: если код (плюс-минус три строчки) не меняется, то в патчах он светиться не будет. С отладчиком сложнее, но опять таки — если этот кусок кода не правится, значит, он уже отлажен, и трассировать его вряд ли кто-то будет.

    Вот в Whitespace (да и Brainfuck с компанией) таки да, закладки выявить будет проблематично. :)

     
     
  • 8.227, myself (?), 01:12, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Угу Правда поскольку взлом относительно недавно произошел будем считать априор... текст свёрнут, показать
     
  • 4.234, Michael Shigorin (ok), 09:47, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Читая, надеялся, что незнакомы Как бы это попроще объяснить Попробуйте подме... большой текст свёрнут, показать
     
     
  • 5.316, nuclight (ok), 15:26, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Я это даже комментировать не буду Просто запишу в образ... большой текст свёрнут, показать
     
     
  • 6.321, Michael Shigorin (ok), 20:23, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да сделайте уж скидку на скудоумие, прокомментируйте по существу, а не лирикой ... большой текст свёрнут, показать
     
  • 2.285, Аноним (-), 00:16, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам
    > модифицировать Git так, чтобы левый патч внедрился в коммит незаметно

    Угу. Осталось всего-то синхронно его заменить всем юзерам, чтобы они не заметили подвоха. Как вы себе это представляете на практике?

     

     ....большая нить свёрнута, показать (46)

  • 1.175, Ктожеев (?), 19:20, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    просто почаще надо бекапы делать... зачем переустанавливать? сделал вовремя снимок файловой системы и спи спокойно... Но я все равно уверен что это диверсия ФСБ...!!
     
     
  • 2.196, evgeny_t (ok), 23:16, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    почему не фбр ?
     
     
  • 3.199, bircoph (ok), 23:23, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    скорее АНБ
     
  • 3.212, PereresusNeVlezaetBuggy (ok), 23:50, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > почему не фбр ?

    ФБР — контрразведка. Внешней разведкой занимается ЦРУ, ну и военные. Плюс АНБ обеспечивает техническую поддержку.

     

  • 1.226, Аноним (-), 01:02, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я наверное из вымиряющих видов. Если б мне упали рут доступы серверов kernel.org я бы нацарапал письмо админам этих серверов..
     
     
  • 2.230, тигар (ok), 08:17, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Я наверное из вымиряющих видов. Если б мне упали рут доступы
    > серверов kernel.org я бы нацарапал письмо админам этих серверов..

    а не проще ли в motd и wall написать p0wnd by anonymous_from_opennet.ru?;)

     

  • 1.236, vitlva (?), 10:12, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    при этом как минимум 17 дней злоумышленники оставались незамеченными.

    ----
    А скриптик на проверку контрольных сумм для системных файлов было конечно слабо написать.

     
  • 1.247, z (??), 13:18, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >А скриптик на проверку контрольных сумм для системных файлов было конечно слабо написать.

    т.е. пытаться перехитрить руткит из юзерспейса? продолжайте =)

     
     
  • 2.273, Клыкастый (ok), 19:55, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. пытаться перехитрить руткит из юзерспейса? продолжайте =)

    вы взываете к разуму. в данном случае - это наивность ;)

     

  • 1.294, Аноним (-), 09:08, 04/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Много странного в этой истории. Слишком явны и нескрыты некоторые вещи. Такое ощущение, что rootkit, ssh-бэкдор и ругань про xnest в логе лишь отвлекающий маневр, чтобы сбить администраторов с толку и вселить уверенность в контроле за ситуацией. Хотя не исключено, что это сделано преднамеренно, чтобы могли  вычислить примерную дату атаки и не углубляться в более ранний период.

    Атак могло быть две - одна скрытая и осторожная, а вторая, через несколько месяцев после того как все задачи атакующих выполнены, заметная и путающая следы.

     
  • 1.295, colibrys (ok), 16:16, 04/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Развлекаются ребята)
     
  • 1.296, uldus (ok), 22:15, 04/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бьюсь об заклад, пароль утянули во время LinuxCon в середине августа. По времени очень хорошо совпадает с датой взлома. На пару недель раньше на Black Hat очень весело демонстративно сниффили пароли и ломали ноутбуки участников этой конференции. Халявный Wifi на конференциях - зло.
     
     
  • 2.301, Аноним (-), 16:11, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Халявный Wifi на конференциях - зло.

    Он просто должен использоваться с включением мозга. Вы выстреливаете данные в эфир, это следует понимать.

     
     
  • 3.302, uldus (ok), 17:46, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Халявный Wifi на конференциях - зло.
    > Он просто должен использоваться с включением мозга. Вы выстреливаете данные в эфир,
    > это следует понимать.

    От ошибки никто не застрахован, а суета конференции очень сильно способствует таким ошибкам. А тем кто сниффит достаточно одно оплошности. Проверил почту без шифрования, скопировал по FTP, залез в свой аккаунт без HTTPS и все, под колпаком. Хоть один из нескольких сотен разработчиков да споткнётся.

     
     
  • 4.303, anonymous (??), 18:08, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    поэтому надо готовиться заранее. пароли не вводить. браузер нулёвый без кукишей. если надо что-то и куда-то — ssh до «домашнего» сервера, оттуда уже совершать все действия. и пусть снифят до посинения.

    взрослые, вроде бы, люди, а как дети: лишь бы сунуть, о предозранении думать нет желания.

     
  • 4.309, Аноним (-), 20:09, 07/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Единственной ошибкой тут является туго работающий мозг Если вы стреляете чувств... большой текст свёрнут, показать
     
  • 4.312, Ы (?), 10:38, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Чего только народ не наплетет лишь бы не признавать, что в Linux есть дыры. :-)
     

  • 1.305, Alan (??), 00:44, 07/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Атакующим удалось получить root-доступ к серверам, модифицировать системное >программное обеспечение и организовать перехват паролей разработчиков. Тем не >менее, пока не ясно как именно удалось поднять свои привилегии в системе, судя >по всему был задействован эксплоит для еще публично неизвестной уязвимости.

    По скорее бы узнать, что это за хитрую и непубличную уязвимость в системе нашли злоумышленники, что-бы поднять права доступа. Вот это заслуживает любых аплодисментов.

     
     
  • 2.307, Andrey Mitrofanov (?), 09:47, 07/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    #255 выше:
    | На kernel.org написано
    |
    | >>>> how they managed to exploit that to root access is currently unknown and is being investigated.
    |
    | За фантазии про "публично неизвестной уязвимости" скажите отдельное спасибо автору текста новости и больше не повтооряйте ерунду.
    |
    | Разницу-то осилите?
     
     
  • 3.310, Аноним (-), 20:56, 07/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > | За фантазии про "публично неизвестной уязвимости" скажите отдельное спасибо автору
    > текста новости и больше не повтооряйте ерунду.
    > |
    > | Разницу-то осилите?

    На kernel.org недоговаривают. В рассылках был разбор, что удалось перехватить сессию взлома и воссоздать эксплоит, который работает для последнего релиза ядра.

     
     
  • 4.313, Andrey Mitrofanov (?), 11:48, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> | Разницу-то осилите?
    > На kernel.org недоговаривают.

    Допускаю. Но скорее просто молчат, пока расследование не закончено, до опубликования полного отчёта.

    > В рассылках был разбор, что удалось перехватить сессию взлома
    > и воссоздать эксплоит, который работает для последнего релиза ядра.

    Не верю.** Подробнее? Пруф? Линк??

    ** =что опубликовали и это ещё не на всех новостных сайтах, и что опубликовали до окончания расследования.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру