Сайт дистрибутива Linux Mint был взломан, ISO скомпрометированы

Теперь понятно..
дело не в Минте, а в его типичном пользователе - неопытных людях, которые несерьёзно относятся ко всяким контрольным суммам или просто не в курсе.

«Who the f**k checks those anyway?» the hacker said.

Он забыл добавить: «Кто из новичков». Короче, это + популярность Linux Mint = успех в создании заражённой сети и продаже доступа к ней на сетевом чёрном рынке.
Остаётся странным только хищение базы данных форума и её продажа за 85 долларов. Насколько понимаю, владелец botnet заинтересован в том, чтобы пользователи заражённых машин оставались в неведении как можно дольше. А хищение и попытка сбыта базы форума непременно повлечёт огласку, и план по созданию botnet, скорее всего, будет раскрыт.

Вы уверены в этом?
Из интервью со взломщиком, ссылку на которое предоставил Odalist, мы узнаём следующее:

On Saturday, the hacker replaced one of the 64-bit Linux distribution images (ISO) with one that was modified by adding a backdoor, and later decided to «replace all mirrors» for every downloadable version of Linux on the site with a modified version of their own.

Что это может значить? Получается, он подменил именно «один из образов», а не путь к нему? А далее: "...А потом решил подменить все пути".
Поскольку не указано, какой именно образ был подменён (мы только догадываемся об этом вместе с организаторами и содержателями linuxmint.com, которые говорят «As far as we know»), до официального объявления о том, что всё «was back to normal» не стоило бы пороть горячку с берискачивай..

стоит различать одну новость от другой

Я и написал, что на зеркалах ничего не случилось. Но из текста интервью вообще выглядит так, что он меня не ссылки, а именно iso даже на зеркалах, так как именно про пути во фрагменте интервью ни слова. В таком случае непонятно причём здесь вообще левый адрес на закачку. Скорее всего доступа к самому «зеркалу» он не получил. Хотя я так и не понял где там основная ссылка на закачку: при попытке скачать - он просто выдаёт список зеркал по странам, без какого-то приоритетного по умолчанию, как обычно.

BTW, статья по теме:

Hacker explains how he put «backdoor» in hundreds of Linux Mint downloads

http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-lin...

Хакнутый linuxmint-17.3-cinnamon-64bit.iso имеет md5sum = 7d590864618866c225ede058f1ba61f0

1) MD5 довольно не трудно «подделать» коллизией

Какая чушь собачья. Немного думай что ты несешь и хоть приблизительно ознакомься с предметом. А то выставляешь себя в дурном свете.

окей, буду ознакамливаться глубже http://www.mathstat.dal.ca/~selinger/md5collision/

Остаётся странным только хищение базы данных форума и её продажа за 85 долларов. Насколько понимаю, владелец botnet заинтересован в том, чтобы пользователи заражённых машин оставались в неведении как можно дольше. А хищение и попытка сбыта базы форума непременно повлечёт огласку, и план по созданию botnet, скорее всего, будет раскрыт.

О разработчиках Mint можно конечно много нехорошего сказать, но чтоб факт (и весьма палевный с явными изменениями) взлома сайта оставался незамеченным продолжительное время - это нонсенс.

А какое время он оставался незамеченным? Откуда вести отсчёт: с момента взлома или момента подмены служебных файлов/информации на сервере?

В 2008 был весьма палевный факт подмены некоторых пакетов openssh с их подписанными ключами у redhat. Каждый год что-нибудь ломают и у более матёрых проектов. Странно, что из данной новости некоторые делают такое событие.

То есть полная информация отсылается в компетентные органы?

Именно так. Вся информация сразу уходит твоему лечащему психиатру.

Для кого слово «безопасность» не пустой звук, принципиально не будет пользоваться российскими дистрибутивами.

Для кого слово «безопасность» не пустой звук, принципиально не будет пользоваться российскими дистрибутивами.

Серьёзно? Ты сам это придумал? Ну-ка, предоставь доказательства.

У меня наша российская «Роса» установлена и у меня нет проблем с безопасностью.

Лол, ты просто не знаешь о них. А так все уже записано, кто надо уже знает. Если про путлера не дай то бже что не то писать будешь, те вот которые другие кто надо приедет за тобой ага. xD

У меня наша российская «Роса» установлена и у меня нет проблем с безопасностью.

Ты просто пока о них не знаешь.

Ты просто пока о них не знаешь.

Доказательство предоставь.

единственный пригодный для использования незадротом дистр и «человечная» Убунта нервно курит в сторонке, судя по статистике.

По какой статистике?

По любой статистике. Сходи на дистровотч, например.

Сходил. Статистики распространенности дистрибутивов ГНУ не нашел. Ткните носом, пожалуйста.

врёт и ниправильный

Это не новость, впрочем. Вот нормальная статистика:

https://stats.wikimedia.org/archive/squid_reports/2015-06/SquidReportOperatin...

Выборка в статистике дистровотч репрезентативна, но ввиду того, насколько эта выборка мала, ее легко «поправить», читай, накрутить. Вот википедия не врет.

Что рекомендуется делать

не использовать минт никогда

Могли бы хотя бы страницу-заглушку повесить, типа «Сайт чинится, скоро поднимется!»... Или у них уже домен увели?

Нет, добавить в статус соцсети «Je suis Mint»

Ответ на комментарий:

Справедливости вообще нет, тем более на ЛОР'е. Просто забей.

У тебя синдром выученной беспомощности, как и у большинства жителей постсовка.

Гуру педикивии, успокойся. От того, что ты прочёл новую статью, ничего не изменилось. Жизнь человека подефу не имеет смысла.

у Slackware образы подписаны, у Scientific подписаны SHA образов.

Патрег на столько суров, что подписывает образы без вычисления хэша?! o_O

Невозможно пользоваться обрезками (вспомним кастрированный ktorrent)

А что там в зузе с кторрентом не так? Что именно урезано?

В плане чуши, которую он несёт про государственный УЦ. А судя по его биографии и его тусовки на эхе мацы, эта тема поднята исключительно для выбивания грантов, повышения рукопожатности и развода людей, которые в вопросе не разбираются.

Грубо говоря в выводах про УЦ и «государство хакирь» он просто врёт.

Имеет. А если ты его не знаешь и не стремишься узнать - горе тебе, невежа!

опубликовать свой открытый ключ

если место публикации взломано, то злоумышленник просто подменит опубликованный ключ и всё

см. выше

Знаю и стремлюсь. Но я серьёзно. Будь у тебя хоть миллион, хоть ничего, один фиг помрешь!

Хэши md5 и подпись если правильно помню

Ага. И тут начинается веселье под названием «подтверждение открытого ключа» которое превращает простую и надёжную асимметричную криптографию в цирк с конями который мы наблюдаем на рынке сертификатов.

Но я серьёзно. Будь у тебя хоть миллион, хоть ничего, один фиг помрешь!

Вот в этом и суть появления явления выученной беспомощности. Ты считаешь что зачем тебе жить, если ты всё равно умрёшь. И не пытаешься прожить жизнь так чтобы тебе было хорошо, ты предпочитаешь страдать, потому что тебе внушили что от страданий избавиться невозможно, ты даже не хочешь сопротивляться. Как раз по задумке большевиков и «модераторов».

Сайт ожил! Ура! ^___^

Вифсеврёти!

Ватя, ты тут пытаешься убедить разбирающихся в вопросе людей в своем бездоказательном бреде? Иди лучше по зомбоящику Киселя смотри, блинов с лопаты поешь, путинкой запей... Чего ты на ЛОРе-то забыл?

Ватя, ты тут пытаешься убедить разбирающихся в вопросе людей в своем бездоказательном бреде? Иди лучше по зомбоящику Киселя смотри, блинов с лопаты поешь, путинкой запей... Чего ты на ЛОРе-то забыл?

Ты адресатом не промахнулся?

А я хорошо живу, в достатке. Просто очевидно, что конец один - смерть.

Патрег настолько суров, что подписывает образы в уме...

А я хорошо живу, в достатке.

А, ясно, ты провинциальный пролетарий. Не о чем с тобой разговаривать, весь твой смысл жизни это работа, какая нибудь зарплата, запой в выходной, пенсия, смерть.

очевидно, что конец один - смерть

Но нет! Вы отдаете предпочтение мирской жизни,

хотя Последняя жизнь — лучше и дольше.

и уклонится от него самый несчастный,

который войдет в Огонь величайший.

Не умрет он там и не будет жить.

Может ты и прав

Доказательство предоставь.

Очень смешно, спасибо.
Если так, то предоставьте доказательства существования следующей уязвимости в openssl.

Снова фашистская мразота с окраины впаривает геббельсовские байки на лоре.

Подпись - это всего навсего зашифрованный закрытым ключем хэш. Не важно какой. Поэтому «подписать образ» означает вычислить его хэш и зашифровать закрытым ключем. А проверка подписи заключается в том, что опять вычисляется хэш и сравнивается с расшифрованной открытым ключем подписью.

Простите, вот эти ваши подсчёты - вы представляете, сколько времени нужно «подбирать» md5 под файл такого размера и на каких мощностях? Ну загуглите про Rainbowtables - да, для паролей можно пробовать. Для маленького файла - можно попытаться. Но не для исошника такого здорового.