Сайт дистрибутива Linux Mint был взломан, ISO скомпрометированы

Будто вордпресс на минте лучше :)

Смотри: для любого алгоритма хэширования (Hash) есть некоторое множество исходных сообщений M для которых Hash(M) = SomeHash. Размер этого множества (в общем случае, справедливо как минимум для всех криптохэшей) зависит только от длинны хэша (величина константная для каждого алгоритма) и максимальной длинны сообщения. Чем короче хэш и больше допустимая длинна подложного сообщения тем больше существует таких сообщений для которых Hash(M) = SomeHash.
Следовательно количество в возможных фэйковых файлов дающих требуемый хэш растёт с увеличением допустимой длинны такого файла. Так-же растёт и число файлов дающих нужный хэш и при этом обладающих какими-то другими нужными нам свойствами.

Впрочем это всё справедливо скорее для сверического хэша в вакууме.

- во-первых в данном случае поменяли линк на образ, а не сам образ и остальное на сайте
- во-вторых — уровень защиты (подписи/хеши и т. п.) чего бы то ни было зависит от самих разработчиков (может теперь минтовцы подумают над этим)
- и в-третьих — на каждое действие есть противодействие и тогда можно или забить на всякую безопасность (как многие, этого не понимая, и делают) или не пользоваться ничем, а самое разумное — просто следовать элементарным правилам безопасности, чтоб это вошло в привычку

Какую ценность имеют хэш-суммы, опубликованные на сайте, если они могли быть изменены так же удачно, как и линки на образы?

если кто-то не проверяет то это, мне кажется, недочет авторов хэндбука.

Mint

хэндбука

next next next finish

хэндбука

Понятно.

хэш-суммы опубликованные в блоге, а не на сайте имеют ту ценность, что скорее всего взяты не со страницы взломанного сайта.

более того, эти же опублиокванные хэш-суммы легко сравниваются с таковыми на зеркалах, которые никак не пострадали.

next next next finish

ты не поверишь, но у OpenSBD, в общем случае, предлагается такой же вариант установки

4.5 - Performing a simple install

OpenBSD's installer is designed to install and configure OpenBSD in a very usable default configuration with very little user intervention. In fact, you can often just hit ENTER a number of times to get a good OpenBSD install, moving your hands to the rest of the keyboard only to enter the root password and to reboot at the end.

Пусть попросят гентушников поставить им Hardened Gentoo на серверы.

Какая ламерская шутка с учётом того, что «ломанули» скорее всего через дыру гораздо более высокого уровня, допущенную разработчиками сайтика.

Сайт дистрибутива Linux Mint был взломан, ISO скомпрометированы (комментарий)

Жду отчёт, интересно что там подсунули.

http://www.opennet.ru/opennews/art.shtml?num=43915

Каждый день ломают сайты,

Каждый день находят дыры,

Что уже не удивляет.

«Также существуют догадки, что причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB»
А тут почему-то все про WordPress говорят. Хотя если ссылку поменяли не на форуме а на сайте то непонятно при-чём тут форум, ведь не от одного-же пользователя они работали?

Да теория мне понятна, мне хотелось бы практику (самый образцовый и лучший пример), типа вот у XXX дистрибутива так и так круто сделано на этот счёт.

Было бы интересно, если бы злоумышленник подменил сам md5sum в дистре. Чтобы было невозможно задетектить образ изнутри.

В этой теории от дистрибутива требуется только подписать ISO/чексуммы своим закрытым ключём, опубликовать свой открытый ключ, и постораться не дать скомпрометировать закрытый.

Вот у Дебиана например есть хэши и подпись. Думаю у всех остальных взрослых дистрибутивов оно тоже есть.

Облом, нет возможности скачать скомпрометированные iso ::(

у большей части так, в том числе и у минта.

у немногих остальных - подписаны сами iso

Не удивлюсь, если просто ментейнеры Минт единственные, кто заметил взлом ISOшников:-)

Значит под линуху тоже вирусня есть... эх...

1) MD5 довольно не трудно «подделать» коллизией

Это совершенно неправильное утверждение. У MD5 легко найти коллизию, которая в данном случае для подделки ничем не поможет, но найти прообраз (в данном случае второй прообраз) все еще трудно.

Пользуясь случаем, хочу передать привет всем обмазывающимся репами packman и rpmfusion, чтобы openSUSE и Fedora хоть как можно было пользоваться на десктопе :)

Продолжайте свято верить в то, что там все честно и стерильно. Свои для своих же делают, чО :)

гыгы https://lists.archlinux.org/pipermail/arch-general/2013-April/033443.html (вообще весь тред там весёлый)

Не понял, к чему ты это? К тому, что неважно левацкие репы или официальные, все равно могут быть протроянены в оригинале у автора?

Если да, то понятное дело полностью тазиком зад не прикрыть. Но зачем добавлять дополнительную сущность, откуда могут поиметь?

Сапожники без сапог. :)

ну так подписи обычно на том же сайте лежат. Что мешает поменять их на свои?

А что не таг?

так ключ то будет другой и gpg ругнется.

Не, ничего. Паранойа, сэр.

А canonical предупреждала про несекурность минта.

А при чем тут сама ос? Думаю, причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB.

Ждем подробностей.

Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подменена. Некоторые пользователи в комментариях отмечают расхождения контрольных сумм загруженных iso-файлов не только для Linux Mint 17.3 Cinnamon, но и для других редакций. Как объясняет Клемент Лефевр, все следы взлома ведут в Болгарию. И да, вот еще

Both lead to Sofia, Bulgaria, and the name of 3 people over there. We don’t know their roles in this, but if we ask for an investigation, this is where it will start.

Совсем уже авторы троянов отчаялись - сколько там компов можно таким способом заразить? Рассылая письма счастья виндузятникам можно за 5 минут набрать, наверное.

А мне вот интересно, кому это выгодно? Мамкинам хацкерам? Нет. Нужно копать по глубже. Неужели в этом замешенная волосатая рука Microsoft?

Кто хранит ключи к исошникам у себя в гпг?

Их скачивают вместе с исошником и суммой. И проверяют исошник суммой, а сумму подписью.

Для начала разберись, кому нужен минт. Никому?

что тут эпичного? Нубам, клепающим гомносборочку поломали сает, и что? Даже кернел.орг хакали... Или это были вы? ;~]]

хочу передать привет всем обмазывающимся репами packman и rpmfusion, чтобы openSUSE и Fedora хоть как можно было пользоваться на десктопе :)

там тоже подписи у пакетов и степень доверия не намного меньше (да, есть разница — обосраться компании или отдельному разработчику), а то что оно не в основных репах всё, это уже к руководству дистрибутивов вопросы и копирастам, законы которых действуют в тех странах где ведётся основная разработка данных дистрибутивов

Продолжайте свято верить в то, что там все честно и стерильно. Свои для своих же делают, чО :)

свято никто и ни во что не верит, а распространение ПО с помощью репозиториев есть максимальная форма в плане безопасности (привет setup.exe)

Сайт упал.

Но зачем добавлять дополнительную сущность, откуда могут поиметь?

затем:

чтобы openSUSE и Fedora хоть как можно было пользоваться на десктопе :)

все и так уже в курсе ваших наклонностей...

плюс этому господину. кто мешал спионерить и блог?

Это паранойя, злоумышленник написал бы что образ давно скомпрометирован, а не один день.

если этот ключ левый то личность в нем указанную надо живьем зарыть.

А, все с тобой ясно.

А мне вот интересно, кому это выгодно? Мамкинам хацкерам? Нет.

скорее всего, каким-нибудь убунту-хейтерам или кому клем тот поднасрал

Нужно копать по глубже. Неужели в этом замешенная волосатая рука Microsoft?

наврядли, тогда уж касперским/нортонам и ко

да, есть разница — обосраться компании или отдельному разработчику

Вот и я про это. Потому что обосрется компания - это репутация и прочее, что там важно для продаж. А обосрется кто-то на стороне - ну что, се ля ви и «никто никому ничего не должен». Поэтому и степень доверия все же не «не намного меньше».

вопросы и копирастам

Вот только из-за этого и сменил openSUSE на Debian. Невозможно пользоваться обрезками (вспомним кастрированный ktorrent). Жаль, что не ориентированы на массового потребителя. Запилили бы «неофициально официальный» реп и бед бы пользователи не знали.

будто дебиан не ломали...

Никому?

Ты так думаешь? А вот я так не думаю.

тогда уж касперским/нортонам и ко

Тоже вариант.

Что ещё можно ожидать от сборки пересборки Дебиана? Такие дистрибутивы то что не нужны, а вредны.

Это вин.

А можно вот для домохозяина объяснить, как должно быть в идеальном мире?

Образы отдаются только по https или торрент файлом, с каждым образом выкладывается отдельный файл с суммами, плюс отдельно pgp .sig файлы для файла с суммами и для образа. Публичные ключи раскидываются по нескольким центрам, публичный ключ таже дублируется на веб-сайте и гитхабе проекта. Когда скачиваешь образ, рядом написано мини how-to как проверить файл под разными ОС. Если уж идти совсем дальше можно еще озаботиться canary. А так из адекватного можно любо подписывать группой лиц, либо наоборот разрешить подписывать только автору проекта или отдельному специальному человеку.
А так все сводится к одному, если человек полностью забил на безопасность, нужно ему хотя-бы по https отдать.