The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Оценка причин и последствий взлома kernel.org

07.11.2011 15:00

На проходившем в конце октября саммите разработчиков ядра Linux, один из администраторов kernel.org выступил с докладом, в котором обобщил известные факты о взломе инфраструктуры проекта. Питер Анвин (H. Peter Anvin), автор проекта Isolinux, один из первых администраторов kernel.org и известный разработчик ядра, 28 августа обнаружил факт взлома своего внутреннего сервера. Проверив серверы инфраструктуры kernel.org он выявил, что некоторые из них также имеют следы проникновения злоумышленников.

Судя по результатам расследования, атака на серверы kernel.org была частью активности уже несколько лет существующей автоматизированной сети, созданной для кражи паролей и параметров аутентификации. У атакующих изначально не было цели проникновения на kernel.org и выполнения там каких-то определённых действий, им просто повезло в том, что они смогли получить параметры доступа, перехваченные у одного из неосторожных разработчиков ядра. Так как у всех разработчиков, имеющих доступ к Git-репозиторию, есть полноценный и не изолированный shell, это упростило эксплуатацию одной из уязвимостей, позволившей получить root-доступ. Атакующие действовали тихо, но кроме непосредственно взлома, установки типового руткита Phalanx (запускался через правку одного из скриптов инициализации) и нескрытого SSH-бэкдора (были заменены ssh и sshd), злоумышленники не предприняли каких-либо вредоносных действий. Вся активность была сосредоточена только на перехвате паролей и записи всех действий в консоли.

Есть основание полагать, что взломанные серверы kernel.org лишь ничем не примечательные новички в большом списке взломанных машин, при этом с большой долей вероятности атака носила типовой характер и была произведена автоматически. Проверка целостности файлов на серверах показала, что данные не были изменены, а оборудование не использовалось для совершения таких действий, как рассылка спама.

После выявления взлома администраторам понадобилось более месяца на полный пересмотр стратегии безопасности и реализации новой схемы доступа к Git-репозиториям, при которой разработчикам не предоставляется shell-доступ. Все серверы были переустановлены с нуля. Новая система работы с Git базируется на дополнении Gitolite, поддерживающем отдельную базу виртуальных пользователей, не имеющих системных аккаунтов и получающих доступ, используя SSH-ключи. Gitolite позволит реализовать более гибкие полномочия: возможность доступа только для чтения или разрешение записи в привязке к отдельным веткам, директориям, файлам или даже тегам, а также отдельные права на слияние, создание и удаление веток и тегов.

Для загрузки tar-архивов и создания для них цифровых подписей задействован новый инструмент "kup". Почтовый сервер на kernel.org отныне будет поддерживать только перенаправление на другой email, локальные почтовые ящики больше не поддерживаются. Все списки рассылки перенесены на отдельный хост vger.kernel.org, обслуживанием которого займётся компания Red Hat, имеющая большой опыт в поддержке больших списков рассылки. Несмотря на то, что работа FTP-серверов и Git восстановлена, многие службы по прежнему остаются неактивными. Например, до сих пор не возвращена в строй система отслеживания ошибок (bugzilla.kernel.org), Wiki (wiki.kernel.org) и kerneloops.org.

Дополнительно для всех разработчиков инициирован процесс смены ключей доступа и введены требования по обязательному использованию цифровых подписей при загрузке кода в Git-репозитории kernel.org (вместо централизованного формирования подписи, каждый разработчик теперь будет подписывать код своим личным ключом). Конечной целью является предоставление возможности гарантированной идентификации каждого разработчика по его PGP/GPG ключам. Отдельно рассматривается добавление в git нескольких усовершенствований, направленных на автоматизацию проверки сигнатур в процессе выполнения "git pull". Для реализации данной возможности в "git commit" планируется добавить опцию по встраиванию GPG-сигнатуры в объект коммита. Линус Торвальдс принял решение об ужесточении требований к принимаемым в его ветку патчам: изменения будут загружаться только с доверительных серверов или при наличии PGP/GPG-сигнатуры, доказывающей что код прислан именно тем разработчиком, за которого он себя выдаёт.

Изначально kernel.org создавался исключительно для обмена информацией между разработчиками, но позднее стал обрастать дополнительными сервисами: была интегрирована поддержка Git, запускались всё новые и новые web-службы (bugzilla, patchwork, wiki и т.д.). Система усложнялась, но развивалась стихийно - многие вещи делались наспех, без изоляции от уже запущенных служб. Росло число пользователей, имеющих доступ к kernel.org. В ситуации, когда перехват пароля у одного из 448 аккаунтов мог привести к беспрепятственному shell-доступу, взлом стал делом времени.

После модернизации kernel.org доступ к shell будет иметь всего несколько администраторов проекта (в данный момент один). Различные сервисы теперь выполняются изолированно в разных виртуальных серверах. В прошлом архитектура kernel.org была построена вокруг одной централизованной системы, на которой были сосредоточены все сервисы. Новая архитектура проекта подразумевает децентрализацию и разделение функциональности на различные хосты, некоторые из которых могут быть запущенны с использованием виртуализации.

Все процессы управления над kernel.org переданы организации Linux Foundation, которая намерена нанять дополнительный персонал, который будет отвечать за обслуживание инфраструктуры, вместо привлечения к данной работе добровольцев. Доступ к серверам будет только у нескольких официально принятых на работу администраторов. Дополнительно организация Linux Foundation приняла решение о создании специальной рабочей группы, которая будет заниматься вопросами безопасности кода ядра Linux и процессов, связанных с разработкой ядра.

  1. Главная ссылка к новости (http://lwn.net/Articles/464233...)
  2. OpenNews: Обновление ядра Linux 3.0.6. Возвращение в строй kernel.org
  3. OpenNews: Из-за недоступности kernel.org в ядре linux-next не хватает 89 веток
  4. OpenNews: Статус возрождения kernel.org: доступ к Git будет организован без shell доступа
  5. OpenNews: Исполнилось 20 лет с момента первого выпуска ядра Linux. Kernel.org опять недоступен
  6. OpenNews: Kernel.org подвергся взлому
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/32226-kernel
Ключевые слова: kernel, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (83) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, alltiptop (ok), 16:10, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    а что стояло у того самого разработчика?
     
     
  • 2.30, Аноним (-), 19:53, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а что стояло у того самого разработчика?

    Дано: реквизиты для доступа были похищены у некоего разработчика неким троянцем.
    Вопрос: какая же это единственная и неповторимая ОС, под которую существуют троянцы?

     
     
  • 3.44, ан0нимус (?), 00:58, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Раз разговор идёт о Кернел.ОРГ, то логично предположить, что у разработчика ядра стоял Линукс.
     
     
  • 4.67, Аноним (-), 15:41, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Раз разговор идёт о Кернел.ОРГ, то логично предположить, что у разработчика ядра стоял Линукс.

    Ничего логичного. Как известно, PuTTY - лучшая программа для администрирования серверов (как любит повторять один мой знакомый фряшник).

    Кроме того, покажите мне хоть одного троянца под линукс, который бы смог установиться без непосредственной помощи администратора системы.

     
     
  • 5.71, Michael Shigorin (ok), 00:38, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Знаю я таких фряшников, что с них взять вопрос общественности у них помимо ... большой текст свёрнут, показать
     
     
  • 6.79, Andrey Mitrofanov (?), 10:56, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо себе ни в чём отказывать После фокусов с ssh netcat только _логично ... большой текст свёрнут, показать
     
     
  • 7.80, Michael Shigorin (ok), 13:32, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не надо себе ни в чём отказывать!

    Надо-надо -- тяжело в учении, легко в бою.

    > google://ssh connect 443 proxy
    > connect-proxy - Establish TCP connection using SOCKS4/5 or HTTP tunnel
    > corkscrew - tunnel TCP connections through HTTP proxies

    На всякий о постановке задачи:
    - озаботился после столкновения с прокси в минской интернет-кафушке (теперь есть byfly);
    - т.е. предпринимать что-то можно было в лучшем разе на удалённой стороне и у себя,
      но не посредине;
    - с тех пор коллега подсказал рецепт и для более клинического случая (MS ISA),
      но применять, по счастью, не довелось :)

    > Такой рецепт :) полегче будет, чем сборка putty?

    Да ладно, что там той сборки: http://sisyphus.ru/srpm/putty/spec

    PS: спасибо, на всякий заархивировал -- не пропадать же трудам :)

     
  • 7.89, Аноним (-), 23:02, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > google://ssh connect 443 proxy

    А можно openvpn туда воткнуть. Сжатие и шифрование всего трффа несложно делается + оно умеет отдавать настоящие SSL соединения на HTTPS сервер, если надо.

     
  • 6.85, arisu (ok), 23:24, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > склонность влазить в долги и не возвращать их тоже общая?

    есть такое, да.

     
  • 6.88, Аноним (-), 23:01, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я таких маркирую как заведомо untrusted и поэтому черта с два в долг таким что... большой текст свёрнут, показать
     
     
  • 7.90, Michael Shigorin (ok), 00:48, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> нормальный ssh куда практичней.
    > Наверное они на винды намекали

    Эт понятно, но можно ж прикинуться шлангом. :)

    >> К сожалению, их есть.
    > Факт. Как минимум phalanx же установился на кернелорге.

    И нам как специалистам недопустимо утыкать голову в песок -- не помогает.  Тем более других в заблуждение вводить.

     
  • 6.96, гыук (?), 11:50, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Но как майнтейнер пакета putty в альте ответственно заявляю: собирал на всякий
    > случай ради продирания через прокси с CONNECT на заготовленный :443, а
    > нормальный ssh куда практичней.

    о_0  я и не знал что это есть под линукс да ещё и в репозитариях Альта...  надо посмотреть будет :)
    зыЖ  хотя мне и обычного ssh в консоли хватает обычно.

     
     
  • 7.97, Michael Shigorin (ok), 12:42, 19/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > о_0  я и не знал что это есть под линукс да
    > ещё и в репозитариях Альта...  надо посмотреть будет :)

    Как минимум в archlinux, debian, fedora, opensuse, ubuntu тоже наблюдаю :)

    > зыЖ  хотя мне и обычного ssh в консоли хватает обычно.

    Аналогично, для того редкий use case описал.

     
  • 4.81, alltiptop (ok), 17:31, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    может он линукс просто в виртуалке запускал для компиляций и проверок
     

  • 1.2, Аноним (-), 16:17, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    не важно что стояло, важен результат )
     
  • 1.3, Rin (??), 16:18, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Одному мне это напоминает возни в муравейнике, если туда ткнуть палкой?
    Хотя действия верные, но всё же.
     
     
  • 2.5, Rin (??), 16:23, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    возню*
     
  • 2.6, Hety (??), 16:35, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Ну это действительно был лишь вопрос времени. Они просто не хотят повторить подобное через пару лет. Лучше сразу сделать архитектуру без одной машины, на которую все завязано, ужесточить все, что нельзя не оставить. И потом спокойно поддерживать все это дело. Так, по факту, быстрее.
     
     
  • 3.49, анонимус (??), 01:21, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Ну это действительно был лишь вопрос времени. Они просто не хотят повторить
    > подобное через пару лет. Лучше сразу сделать архитектуру без одной машины,
    > на которую все завязано, ужесточить все, что нельзя не оставить. И
    > потом спокойно поддерживать все это дело. Так, по факту, быстрее.

    А кто мешал это сделать с самого начала? Опять Масдайка виновата?

    Думаю, что теперь, после таких крутых заявлений о неприступности защиты , непременно найдутся последователи и завалят они Кернел.ОРГ уже осознанно и в скором будущем, дабы утерететь. Посмотрим какие объяснения будут вывешены на всеобщее обозрение в следующий раз и как это будет объяснено, местными аналитиками.

     
     
  • 4.54, Аноним (-), 02:55, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > будущем, дабы утерететь. Посмотрим какие объяснения будут вывешены на всеобщее обозрение
    > в следующий раз и как это будет объяснено, местными аналитиками.

    А DigiNotar'у после ComodoHacker уже никакие объяснения не помогут: они уже банкроты. И скажите еще что там маздайка не виновата. Перец получил ремотной атакой SYSTEM, по сети, через неизвестный 0day. Что-то на фоне этого кернелорг совсем не выглядит эпичным. Совершенно уныленький взлом через утекший логин.

     
  • 4.64, ghj (?), 11:34, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А кто мешал это сделать с самого начала?

    А что мешало прочитать статью, а потом начать комментировать? Там вообще-то написано, почему ничего не переделывалось в процессе. И причины взлома подробно описаны.

     
  • 4.70, Dmitry (??), 16:57, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А кто мешал это сделать с самого начала? Опять Масдайка виновата?

    Очевидно что бюджет. Сервисы поднимались с минимальными временными (=денежными) затратами. Когда возник инцидент стало очевидно что расходов не избежать. Отсюда и месяц работы + доп персонал, который будет оплачиваться.

    Система не дает абсолютной надежности, она позволяет достичь определенного процента надежности. С Linux это дешевле, но все же чего-то да стоит.

     

  • 1.4, Аноним (-), 16:19, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Я бы удивился, если бы написали какое-то другое оправдение.
     
  • 1.7, k_bx (?), 16:36, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А https://btrfs.wiki.kernel.org как лежал так и лежит...
     
     
  • 2.29, Аноним (-), 19:51, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И хорошо.
     
  • 2.68, Аноним (-), 16:37, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А https://btrfs.wiki.kernel.org как лежал так и лежит...

    уже заработал

     

  • 1.8, Andrew Kolchoogin (?), 16:43, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да не, всё нормально.

    Открываю всему opennet.ru Великую Тайну: если ваш компьютер подключен к Интернету -- то его взлом -- лишь дело времени.

     
     
  • 2.15, Zenitur (ok), 17:29, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Если Linux и закрытые порты, либо и известные на текущую дату уязвимости закрыты, то нет.
     
     
  • 3.20, Харитон (?), 18:15, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Любой ПК к которому есть доступ - потенциально взломан.
     
     
  • 4.61, Zenitur (ok), 08:52, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну иди взломай пентагон.
     
     
  • 5.69, 1 (??), 16:57, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ломать пентагон уже давно не модно...
     
  • 3.45, анонимус (??), 01:02, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Если Linux и закрытые порты, либо и известные на текущую дату уязвимости
    > закрыты, то нет.

    Повторять по пять раз за полчаса перед едой и двадцать раз на сон грядущий и безопасность обеспечена навсегда и с гарантией близкой к 256 процентам.

     
  • 2.24, Xasd (ok), 18:38, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    вы наверно великий теоретик один из тех кто много говорит глобальных вещщей но ... большой текст свёрнут, показать
     
     
  • 3.38, Антонина (?), 23:10, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Он прав, по сути. Влом лишь дело времени. Но это время можно очень сильно увеличить.
     
     
  • 4.55, Аноним (-), 03:00, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Он прав, по сути. Влом лишь дело времени.

    Просто иногда это время - астрономическое :)

     
  • 2.36, Ytch (?), 22:22, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > если ваш компьютер подключен к Интернету -- то его взлом -- лишь дело времени.

    Просто срыв покровов какой-то. Можно и дальше развивать подобное:

    если ваш компьютер включен -- то его взлом -- лишь дело времени.

    если у вас есть компьютер -- то его взлом -- лишь дело времени.

    Помянув всуе, про себя, квантовую физику можно даже нести в массы глубокую мысль, что существует отличная от нуля вероятность, что ваш компьютер будет взломан, даже если его у вас нет.

     

  • 1.9, антоним (?), 16:54, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У атакующих изначально не было цели проникновения на kernel.org и выполнения там каких-то определённых действий, им просто повезло в том, что они смогли получить параметры доступа, перехваченные у одного из неосторожных разработчиков ядра. Так как у всех разработчиков, имеющих доступ к Git-репозиторию, есть полноценный и не изолированный shell, это упростило эксплуатацию одной из уязвимостей, позволившей получить root-доступ.

    Так и запишем - ядра на кернел.орг не обновляют. Куда только Грег КХ смотрит который в каждом минорном релизе подчеркивает обязательность обновления?

     
     
  • 2.46, анонимус (??), 01:05, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Так и запишем - ядра на кернел.орг не обновляют. Куда только Грег
    > КХ смотрит который в каждом минорном релизе подчеркивает обязательность обновления?

    Куда, куда ? Он хотел посмотреть, уже собрался идти к серваку, да тут сначала Торвальдс, а потом Поттеринг перезвонили, короче говоря задурили Грегу голову левыми вопросами вот он и позабыл куда шёл.

     
  • 2.60, фклфт (ok), 08:45, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Так как у всех разработчиков, имеющих доступ к Git-репозиторию, есть полноценный
    > и не изолированный shell, это упростило эксплуатацию одной из уязвимостей, позволившей
    > получить root-доступ.

    Вы совершенно правильно говорите
    Ни что не мешает стать тем же самым разработчиком что бы потом гадить в это ядро - выхлопа гораздо больше от такого инсайда
    А то что в Ядро Линуха сейчас пихают все подряд и без разбора то существует очень большая вероятность что в ядре уже дырочки имеются

     
     
  • 3.66, Michael Shigorin (ok), 13:14, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ни что не мешает стать тем же самым разработчиком что бы потом
    > гадить в это ядро - выхлопа гораздо больше от такого инсайда

    А Вы попробуйте, теоретик.

    > А то что в Ядро Линуха сейчас пихают все подряд и без разбора

    Да-да, конечно.  Спросите у того, кто это рассказал, откуда знает и проверял ли сам.

     
  • 3.72, Аноним (-), 02:27, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > гадить в это ядро - выхлопа гораздо больше от такого инсайда

    Угу, в 2003 или 2004 кто-то уже пробовал. Как-то не очень успешно.

     

  • 1.10, Zenitur (ok), 17:00, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На ЛОРе в последнее время часто об этом пишут. Вот за этот месяц:

    http://www.linux.org.ru/forum/admin/6917196
    http://www.linux.org.ru/forum/general/6901042

    Суть в том, что кто-то подбирает пароль SSH в автоматическом режиме, например 240 раз в день за несколько минут, и отключаются.

     
     
  • 2.12, Аноним (-), 17:12, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Суть в том, что кто-то подбирает пароль SSH в автоматическом режиме, например
    > 240 раз в день за несколько минут, и отключаются.

    Странно все это - изменить номер порта и ограничить адреса,с которых возможен доступ, SSH вроде позволяет.

     
     
  • 3.16, Аноним (-), 17:29, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Менять порт и ограничивать по айпи - крайне не удобно и не всегда возможно.
     
     
  • 4.51, AdVv (ok), 02:47, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В чем проблема со сменой порта ? Отсекает 99.9% ботов.
     
     
  • 5.57, kshetragia (ok), 05:32, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    если атака не целенаправленная.
     
     
  • 6.92, AdVv (ok), 22:57, 14/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > если атака не целенаправленная.

    А что, боты вас так ненавидят, что атакуют целенаправленно ? :)

     
  • 3.17, Zenitur (ok), 17:39, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Там или это предлагают, или fail2ban обычно.
     
     
  • 4.73, Аноним (-), 02:29, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Там или это предлагают, или fail2ban обычно.

    Проще порткнок настроить. А то нынче модно так: берется 100500 машин, и каждая раз в час проверяет по паролю на вашем компе. Интенсивность в пересчете на 1 айпи недругов - никакая. А вот в сумме эта орава постоянно держит с десяток активных сессий, прилично жрущих проц.

     
  • 3.22, stimpack (?), 18:25, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    разве запрет входа по паролю и вход только по ключу - не обычная практика для боевых серверов?
     
     
  • 4.32, vlad (??), 21:02, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это хорошо только при:
    1. Постоянном физическом доступе к боевым серверам.
    2. Минимальной текучкой в коллективе тех, кому надо предоставлять доступ.
    3. Небольшом количестве серверов.
     
  • 4.74, Аноним (-), 02:30, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > разве запрет входа по паролю и вход только по ключу - не
    > обычная практика для боевых серверов?

    Не понял, какая разница трояну, стырить пароль или ключ. Примерно однофигственно, ключ даже попроще тырить, пожалуй.

     
     
  • 5.83, анонимус (??), 22:16, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    какбэ... незапароленный ключ, лежащий локально - это моветон. Это во первых.

    А во вторых - суть ключей в том, что боту(ам) придется перебирать 2**1024 комбинаций для однокилобитного ключа. Что вообще-то сильно много, во всяком случае несколько дольше, чем пароль по словарю или комбинированный.
    Кстати, вот сколько лет понадобится (с учетом високосных) на перебор всех вариантов килобитного ключа если подбирать по ключу в секунду
    ~ $ python <<< 'print (2**1024)/(60*60*24*(365*4+1))/4.'
    3.56034112001e+299
    Для справки - людей на данный момент на земле чуть больше чем 0.7e+10.

     

  • 1.11, emg81 (ok), 17:10, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    знатоки, скажите - это и есть те результаты проверки, которую столько времени ждали или нет?

    если да - почему так мало подробностей, как мне кажется?
    или я не прав?
    просто хочу понять.


    > У атакующих изначально не было цели проникновения на kernel.org и выполнения там каких-то определённых действий, им просто повезло в том, что они смогли получить параметры доступа

    что ещё хуже, на мой взгляд, чем если бы получили целенаправленно, прилагая усилия для взлома kernel.org. а тут "автоматизированно" выловили. мда.

     
     
  • 2.35, Аноним (-), 22:21, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >  а тут "автоматизированно" выловили. мда.

    Еще хуже то, что на линуксовых серверах, видимо, таки есть бот-сети, если их отлавливают автоматически

     

  • 1.13, Пиу (?), 17:16, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >упростило эксплуатацию одной из уязвимостей, позволившей получить root-доступ.

    это уже так смешно, что даже грустно, что даже смешно >_<
    нельзя было чтоли накатывать последние секурные апдейты на инфраструктуру?

     
  • 1.14, Ваня (?), 17:16, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "им [хакерам] просто повезло в том, что они смогли получить параметры доступа"

    Хех, кому повезло, тем хакерам кто несколько лет подбирал, потом 2 года юзал во все дыры или тем горе-админам у которых хакеры ничего не удалили?

     
     
  • 2.56, Michael Shigorin (ok), 03:05, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > или тем горе-админам у которых хакеры ничего не удалили?

    О святая простота.  Когда удаляют -- палятся.  Когда втихую тырят креденшалы -- куда хуже.

    PS: впрочем, туповатые ботостудентопартнёры Microsoft палятся ещё проще.

     
     
  • 3.59, aleks (??), 07:23, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Когда-то давно попала мне в руки книга, что-то о безопасности в компьютерных сетях. Мелкософт ттогда всеми правдами и неправдами выжимал новелл. Автор (естественно, из-за бугра) очень эмоционально расписывал ужасы ситуации, когда злоумышленнику станет известен пароль супервизора в Новелл. Сердце сжималось, но в следующей главе автор успокаивал, что не всё так полохо, описывая какая великолепная зашита в виндузе (тогда NT 3.51). Однако я там так и не нашёл, что же будет, если жулику станет известен пароль администратора.
    Это я к тому, что определённая категория, что бы ни произошло, даже если кто-то сам передал бы реквизиты учётной записи, всё равно орала бы о дырявом линуксе и т.п.
     
     
  • 4.75, Аноним (-), 02:33, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда-то давно попала мне в руки книга, что-то о безопасности в компьютерных
    > сетях. Мелкософт ттогда всеми правдами и неправдами выжимал новелл.

    А теперь вот ComodoHacker узнал пароль администратора домена в DigiNotar. Результат? Хакер переломал все что мог. Ну а DigiNotar теперь банкрот. Домен им больше не понадобится, ха-ха. Тем более что после кражи креденшлов доменного админа - потенциально хакер может заразить все машины домена вообще. Вплоть до масс-инсталла малвари через групповые политики. Централизованное управление имеет и свои минусы: если вам сломали "командный центры" - вы просираете вообще все полимеры и становитесь чужим в своей же инфраструктуре, лол :)))

     
     
  • 5.93, AdVv (ok), 23:04, 14/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > больше не понадобится, ха-ха. Тем более что после кражи креденшлов доменного
    > админа - потенциально хакер может заразить все машины домена вообще. Вплоть
    > до масс-инсталла малвари через групповые политики. Централизованное управление имеет
    > и свои минусы: если вам сломали "командный центры" - вы просираете
    > вообще все полимеры и становитесь чужим в своей же инфраструктуре, лол
    > :)))

    Кэп, старина, как ты там, не хвораешь ? Т.е. ты хочешь сказать что достаточно жахнуть американцам в командный бункер с генштабом внутри, и победа в третьей мировой у нас в кармане ? Так плевое же ей богу дело, как мы раньше то не догадались.

     
  • 4.95, AdVv (ok), 23:13, 14/11/2011 [^] [^^] [^^^] [ответить]  
  • +/

    > Это я к тому, что определённая категория, что бы ни произошло, даже
    > если кто-то сам передал бы реквизиты учётной записи, всё равно орала
    > бы о дырявом линуксе и т.п.
    > бы о дырявом майкрософте и т.п.
    > бы о дырявом новелле и т.п.
    > бы о дырявой БСД и т.п.

    И дальше по аналогии. Всегда найдутся желающие поорать.

     
  • 3.62, Ваня (?), 10:02, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Форматнуть диски с резервными, а затем с мастер-копиями. И можно писать бестселлер.
     
     
  • 4.65, Michael Shigorin (ok), 13:10, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Форматнуть диски с резервными, а затем с мастер-копиями.

    Гитов-то? (бэкапились ли, куда и как там данные _других_ сервисов -- самому интересно)

     
  • 4.76, Аноним (-), 02:38, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Форматнуть диски с резервными, а затем с мастер-копиями. И можно писать бестселлер.

    Для гита это не поможет, у каждого разработчика лежит полноценная копия репа. Каждый разработчик сам себе система контроля версий. Сервер с гитом - лишь "один из". Чисто техническая приблуда, сугубо для удобства обмена. Архитектурно он гиту вообще не требуется. Да, это вам не всякие ваши TFS каменноугольного периода и прочие раритеты, мистер пиарщик MS-а. Вас за версту видно: если кто в IT пытается впарить древнее, убогое, бестолковое и ни с чем не совместимое (а чаще всего все и сразу) - 99% что он имеет отношение к MS.

     

  • 1.19, Одмин (?), 18:09, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из текста получается что свалить kernel.org могут даже "новички".
     
     
  • 2.34, тоже Аноним (ok), 22:10, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вас плохо научили читать. Попробуйте внимательнее прочитать абзац вокруг слова "новички".
    В употребленном контексте это слово синонимично, например, идиоме "первые ласточки".
     

  • 1.23, name (??), 18:27, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    стечение обстоятельств, в реальной жизни так же падают самолеты, иногда все гибнут, иногда без жертв.
     
  • 1.25, Аноним (-), 18:44, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >это уже так смешно, что даже грустно, что даже смешно >_<
    >нельзя было чтоли накатывать последние секурные апдейты на инфраструктуру?

    Вы же о костылях сейчас говорите (а-ля сервис-паки)? Тут нужен был фундаментальный подход в решению проблем (что мы и увидели на выходе). Это конечно заняло достаточно времени, но зато результат впечатляющий. Браво!

     
  • 1.26, mikevmk (??), 18:44, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А круто наверно быть админом kernel.org. Единственным. Такой, знаете ли, старший ключник казначейства Римской Империи..
     
     
  • 2.27, Andrey Mitrofanov (?), 18:51, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А круто наверно быть админом kernel.org.

    Это настолько скучно и неинтересно, что L.F. решила, что за это нужно платить.

     

  • 1.31, Аноним (-), 19:54, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пока гром не грянет — мужик не перекрестится.
     
  • 1.33, Аноним (-), 22:00, 07/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    зашибись надежно защитились В следующий раз троян на компе разработчика вместе с... большой текст свёрнут, показать
     
     
  • 2.41, тоже Аноним (ok), 23:43, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уверены, что для получения полного контроля над Россией достаточно спереть у Путина печать?
     
     
  • 3.42, Аноним Предыдущий (?), 23:58, 07/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если чиновник-исполнитель государевой воли заявит, что для подтверждение аутентичности государева указа используется "печать Путина", то да, конечно, для "контроля над Россией" в объеме полномочий исполнителя достаточно этой самой печати.
     
     
  • 4.58, Аноним (-), 06:50, 08/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >если чиновник-исполнитель государевой воли заявит, что для подтверждение аутентичности государева указа используется "печать Путина", то да, конечно, для "контроля над Россией" в объеме полномочий исполнителя достаточно этой самой печати.

    Тока для контроля непосредственно над этим "чиновником-исполнителем" (можете спереть себе печать) ! ;)

     
  • 4.77, Аноним (-), 02:39, 09/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > если чиновник-исполнитель государевой воли заявит, что для подтверждение аутентичности
    > государева указа используется "печать Путина", то да, конечно, для "контроля над
    > Россией" в объеме полномочий исполнителя достаточно этой самой печати.

    А Путин, конечно же, будет смотреть как от его лица законы шлепают и не скажет ни слова, да? А вы я так смотрю оптимист :)

     

  • 1.43, Аноним (-), 00:20, 08/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А не пробовали установить, КТО это делает?
     
  • 1.84, arisu (ok), 23:24, 09/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в общем-то, даже хорошо, что «поломали». а то мужики бы так и не почесались переделать всё нормально.
     
  • 1.86, Омммм (?), 19:59, 10/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я просто в шоке с людей, мало того что, здесь никто статью не прочитал, так даже в коментариях оригинальной статьи нашлись такие дятлы, которые ни сном ни… клювом не поняли, КАК все произошло :D


    доступ к серверу кернел орг получили после того, как Питер зашел на него из под троянского ssh (который и стырил пароль, и да, был бы ключ - стырил бы и ключ, и да ПОСЛЕ дешифровки когда в памяти готовенький лежал)

    тоесть вначале вломили (как-то) сервер Питера, протроянили его, а он уже спалился и по цепочке протроянили кернел орг

    покажите мне откуда там взялся руткит ??? нигде упоминаний о нем нету
    и какой именно уязвимостью словили рута на кернеле ??? не исключено что это, что-то приватное и неизвестное !

    Что они там месяц изучали не понятно…  

     
     
  • 2.87, Аноним (-), 22:20, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > покажите мне откуда там взялся руткит ??? нигде упоминаний о нем нету

    http://threatpost.com/en_us/blogs/kernelorg-attackers-may-have-slipped-090111
    "...they used a known Linux rootkit called Phalanx that the admins were able to detect"


    http://www.theregister.co.uk/2011/08/31/linux_kernel_security_breach/
    "Fellow security researcher Dan Rosenberg said he was also briefed that the attackers used Phalanx to compromise the kernel.org machines."

     
     
  • 3.91, Омммм (?), 00:58, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарствую. Почитал. Даже исходники этого руткита нарыл, понятно теперь почему их нашли, руткит старый как мир и срет в логи как маршрутка на дизеле.
    ...а могли бы делов наделать на кернел орге, аматоры, тьфу ! :D
     
     
  • 4.94, AdVv (ok), 23:08, 14/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Благодарствую. Почитал. Даже исходники этого руткита нарыл, понятно теперь почему их нашли,
    > руткит старый как мир и срет в логи как маршрутка на
    > дизеле.
    > ...а могли бы делов наделать на кернел орге, аматоры, тьфу ! :D

    Да ладно, все, кто хотел, давно уже все что нужно сделали ;).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру