LINUX.ORG.RU

Сайт дистрибутива Linux Mint был взломан, ISO скомпрометированы

 ,


1

3

Сайт Linux Mint был взломан, и Linux Mint ISO были модифицированы взломщиками. Если вы скачивали ISO образы с сайта Linux Mint 20 февраля, вам следует проверить их на оригинальность.

Сигнатуры файлов должны совпадать со следующими:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Что рекомендуется делать, если вы обнаружили у себя зараженный ISO (и уже установились с него):

  1. отключить компьютер от сети;
  2. скопировать любые персональные данные;
  3. переустановить OS с полным переформатированием раздела;
  4. поменять пароли от всех веб сайтов и почты.

>>> Подробности

★★

Проверено: JB ()

А почему для таких вещей не делают цифровую подпись, кто в курсе?

arturpub ★★ ()

А canonical предупреждала про несекурность минта.

Когда пионеры делают свой болген ОС - не стоит ждать чего-то хорошего.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от fornlr

А canonical предупреждала про несекурность минта.

Опять ты, поняшка, пофлудить пришла? При чём тут Минт, когда взломан его сайт?

Sunderland93 ★★★★ ()

у Slackware образы подписаны, у Scientific подписаны SHA образов. у gentoo вообще все что только можно подписано.

здесь что характерно тоже подписанные SHA. если кто-то не проверяет то это, мне кажется, недочет авторов хэндбука.

Slackware_user ★★★★★ ()

Неважная новость.

Ждем подробностей.

Twissel ★★★★★ ()

яндекс:

46b8a14826a53f4cacf56d1132a5184c2132f274aef8103e5e8e8cae9e1cfde0  linuxmint-17.3-cinnamon-32bit.iso
854d0cfaa9139a898c2a22aa505b919ddde34f93b04a831b3f030ffe4e25a8e3  linuxmint-17.3-cinnamon-64bit.iso
506a8e88c83cddc7fadd2b7c5bf25b7e6a15f028e1628004dcd6470084430f17  linuxmint-17.3-mate-32bit.iso
d02bfaae749db966778276a8ae364843c1ffb37b3e1990c205f938bda367ad2a  linuxmint-17.3-mate-64bit.iso
e61ed8f5df9283e86926fb7c414f36f7649ce716517093807a193aaf7d396bb8  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
c149f3f57275e5d64bf0401d12eff5d021b92688dbd21cdbb4111cb3415eda17  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
ba6c4f3e70929f3e90d03fb3063892085b7a0e829579dc0f48723e94a2bc6570  linuxmint-17.3-mate-nocodecs-32bit.iso
71604ef7479855213ae044e4c896f38249ea4bc567f0013bd0157080f3130941  linuxmint-17.3-mate-nocodecs-64bit.iso
48d82518a73962f9b5d9d61383a90132b64ee6fa489a67547468c136c8a27bfd  linuxmint-17.3-cinnamon-oem-64bit.iso
694bf952d68eb5a69560a756e578d85531be1498b08dd30aee6919c9139a7434  linuxmint-17.3-mate-oem-64bit.iso
be64bf240a47df03fedca1b8aeb9357896e3dedd55446a0f87eca4f638c9d28c  linuxmint-17.3-kde-32bit.iso
aa33bf286e92556163c335b258fe5cbd9f65f4ab8490e277fed94cf20d3920e4  linuxmint-17.3-kde-64bit.iso
cebff34e99b071d7237d2cfd2e24719f5a72e9e499a82d424007e850befc755b  linuxmint-17.3-xfce-32bit.iso
83c1796a37582bdea74117193cef369582d72093fd0b5278ae03016bd8685b04  linuxmint-17.3-xfce-64bit.iso
ща буду проверять подпись

Slackware_user ★★★★★ ()
Ответ на: комментарий от Slackware_user

Всё это может быть подписано стотыщмильёном ключей стотыщмильённой разрядности, если никто не проверяет что скачал, какая от этого польза?

Chelobaka ★★ ()
Ответ на: комментарий от fornlr

На каком основании из несекюрности хостинга выводится несекюрность постороннего для хостинга софта(в данном случае дистра)?? Не стоит вот так прямо позорить себя.

FeyFre ★★★ ()

Мде. Ну хоть оповестили и то хорошо. Интересно, кому и зачем нужно было взламывать сайт linux mint?

karton1 ()

Отключить компьютер от сети

А если ноутбук, то аккумулятор вытащить или не надо?

batekman ★★★ ()
Ответ на: комментарий от Chelobaka

Если я сверяю лишь MD5 образов то я у мамы хакир или типичный ламер? Является ли это достаточным условием безопасности если ломанули офсайт?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от FeyFre

из несекюрности хостинга

Звучит как переваливание вины на хостера - это не верно. А сайт им не инопланетяне делали.

выводится

Заявление canonical (и вполне обоснованные) были по поводу секурной политики самого дистрибутива. Но как говорится, если у хозяина бардак в одном месте, то вряд-ли стоит ожидать порядка в других местах.

fornlr ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Если я сверяю лишь MD5 образов то я у мамы хакир или типичный ламер? Является ли это достаточным условием безопасности если ломанули офсайт?

1) MD5 довольно не трудно «подделать» коллизией

2) а MD5 с взломанного оф сайта брать и сверять? :D

fornlr ★★★★★ ()
Ответ на: комментарий от fornlr

а MD5 с взломанного оф сайта брать и сверять

Ну я как раз про это и говорю ;)

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от Slackware_user

Какой хэндбук, окстись. Это Mint, он позиционируется как ещё более убунтовый чем сама убунта.

MrClon ★★★★★ ()
Ответ на: комментарий от fornlr

1) MD5 довольно не трудно «подделать» коллизией

Вообще-то всё-ещё довольно трудно (особенно если тебе нужно получить какой-то полезный бинарник, а не кусок мусора с тем-же хэшем). Но всё-же возможно, и этой возможности достаточно что-бы отвыкать его использовать.

MrClon ★★★★★ ()
Ответ на: комментарий от Slackware_user

у Slackware образы подписаны, у Scientific подписаны SHA образов. у gentoo вообще все что только можно подписано.

с какого это является подписью? Без закрытого ключа это же просто хэш сумма от файла

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

И судя по адресу absentvodka.com, 7 из 10 это были наши приколисты.

Romashev ()
Ответ на: комментарий от fornlr

1) MD5 довольно не трудно «подделать» коллизией

Если я правильно помню, найти коллизию для заданного хэша очень трудно, особенно чтобы получился валидный ISO.

Но, конечно, если взломщики могли заменить саму страницу, то они могли опубликовать и свои собственные суммы.

proud_anon ★★★★★ ()

Побег мышек с тонущего корабля

bookman900 ★★★★ ()
Ответ на: комментарий от proud_anon

особенно чтобы получился валидный ISO

В ISO есть возможность типа NOPов в исполняемых бинарниках?

fornlr ★★★★★ ()
Ответ на: комментарий от proud_anon

суммы подписаны левым ключем. это они и сделали. вопрос тока почему дистроклепатели с ноября молча сидели

Slackware_user ★★★★★ ()
Ответ на: комментарий от MrClon

Да, важная деталь: можно ухитриться сделать некий файл того же размера с мусором и с идентичным MD5. Но можно ли лихо подменить какой-то бинарь и чтобы это была та же убунта с подлянкой но тем же размером файла? А если дописать последовательность в конец ISO-файла и немного увеличить размер но MD5 будет подходить - этого добиться можно?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от fornlr

Могу ошибаться, но вроде если в конец ISO дописать мусор он может оказаться валидным? N байт исходный ISO который работает, а после N байт добавить K байт мусора или данных.

I-Love-Microsoft ★★★★★ ()
Последнее исправление: I-Love-Microsoft (всего исправлений: 1)
Ответ на: комментарий от fornlr

Когда пионеры делают свой болген ОС - не стоит ждать чего-то хорошего.

Эти пионеры делают единственный пригодный для использования незадротом дистр и «человечная» убунта нервно курит в сторонке, судя по статистике.

Alve ★★★★★ ()
Ответ на: комментарий от Slackware_user

и между прочим, какого рожна это мини-новость?

Потому что и не такое ломали. :)

Vinni_Pooh ★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Да не в умамыхакерстве дело. Есть минимальные средства подтверждения достоверности и ими никто не пользуется. И из тех кто скачал, большая часть может никогда не узнать что у них «крякнутая» версия.

Chelobaka ★★ ()

Пусть попросят гентушников поставить им Hardened Gentoo на серверы.

alexferman ()
Ответ на: комментарий от Slackware_user

Не понял тебя. С ноября левым ключом подписано? Т.е. образы на протяжении какого-то времени компрометировались регулярно? или что? В новости вроде как речь про конкретную дату.

xxblx ★★ ()
Последнее исправление: xxblx (всего исправлений: 1)
Ответ на: комментарий от xxblx

в ноябре появился ключ которым сейчас подписано то что лежит на яндексе.

если этот ключ левый то личность в нем указанную надо живьем зарыть.

Slackware_user ★★★★★ ()
Ответ на: комментарий от Sunderland93

При чём тут Минт, когда взломан его сайт?

а сайтик на чем крутился?

gray ★★★★★ ()

Суть не совсем в этом:. Сайт был взломан и произведена подмена ссылок на скачивание образов. Таким образом, на самом сайте c iso ничего не случилось, но пользователям скачивающим их определённым образом подсовывалась ссылка на модифицированные iso, расположенные на другом ресурсе.

grem ★★★★★ ()
Ответ на: комментарий от fornlr

В ISO есть возможность типа NOPов в исполняемых бинарниках?

Ну можно сделать в ISO некий файл, в который записывать произвольные данные, и который ничем использоваться не будет.

Но всё равно, нахождение прообраза по хэшу для MD5 — произвольного прообраза, случайного файла, какой получится — если верить английской Википедии имеет сложность 2¹²³. А тебе нужен ISO-файл.

proud_anon ★★★★★ ()
Ответ на: комментарий от Slackware_user

суммы подписаны левым ключем. это они и сделали. вопрос тока почему дистроклепатели с ноября молча сидели

Насколько я понимаю, эту другая атака. Или просто в тот раз Клемент Лефебр прозевал истечение срока действия своего ключа. Образы ISO ведь не подписаны никаким ключом.

proud_anon ★★★★★ ()
Последнее исправление: proud_anon (всего исправлений: 1)

Сигнатуры файлов должны совпадать со следующими:

Чем докажешь?

anonymous ()

Ну так правильно, нечего пользоваться форком форка, ставьте Убунту.

w1nner ★★★★ ()
Ответ на: комментарий от Alve

Эти пионеры делают единственный пригодный для использования незадротом дистр и «человечная» убунта нервно курит в сторонке, судя по статистике.

И ты получаешь звание... Внебрачный бастард Петросяна! :D

http://cs10643.vk.me/u116602555/l_fe74540f.png

anonymous ()

Что рекомендуется делать, если вы обнаружили у себя зараженный ISO (и уже установились с него):
Скопировать любые персональные данные

Мне кажется, это лишний шаг. Они и так уже скопированы и, вероятно, даже забэкаплены где-нибудь в Эквадоре.

dogbert ★★★★★ ()

the backdoor connects to absentvodka.com

тяжело им без водки

Skullnet ()

Нужна подробная инфа что конкретно поменяли в зараженном iso и какие вирусы добавили

pftBest ★★ ()

Надо скачать посмотреть что подсунули

Dron ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.