LINUX.ORG.RU
 
sched

Помимо взлома Kernel.org были скомпрометированы системы некоторых разработчиков


0

2

В рассылке LKML известный разработчик ядра Greg Kroah-Hartman сообщил, что после изучения взлома kernel.org и связанных с ним ресурсов в конце августа, стало очевидно, что были также взломаны системы некоторых разработчиков ядра.

Поскольку безопасность является одним из приоритетов, Greg призывает всех разработчиков проверить свои системы. Далее в рассылке следует большой список советов как обнаружить взлом.

30 сентября другой известный разработчик ядра, Peter Anvin написал в LKML о необходимости генерирования новых PGP/GPG ключей.

Тем временем исследование взлома продолжается, и Greg обещал написать отчёт по завершении всех работ.

>>> Подробности


1 2 3
[#]  
Kompilainenn

так что было раньше? курица или яйцо? сначала ломанули разрабов и от их данных сплясали на костях кернел.орг? или наоборот?

** ()
[#]  
Tok

Эхх я так понял не скоро kernel.org. откроется ):

** ()
[#]  
ostin
>>-----Цитата---->>

Тем временем исследование взлома продолжается

<<-----Цитата----<<

Чего его расследовать, у Линуса пароль "sex" был, вот и поломали всех.

*** ()
[#]  
franchukroman

Интересно, а чего они так долго делают?

PS. Видел тред без ни единого поста :)

** ()
[#]  

Решето уже упомянули?

* ()
[#]  
lenivec333

>kernel.org

>Maintenance

>Down for maintenance

А я всё жду, когда же они поднимут его.

* ()
[#]  

>Далее в рассылке следует большой список советов как обнаружить взлом. Пункт 75. Если после запуска на вашем мониторе появляется голый Стив Балмер и надпись "Ваша Федора заблокирована за нарушение 1475 патентов корпорации Майкросовт. Отправьте смс на короткий номер для расблокировки" то вас скорее всего взломали.

anonymous ()
[#]  
Axon

Какая крутая детективная история. Так обидно, что Главного Злодея в конце, скорее всего, так и не найдут...

*** ()
[#] Ответ на: комментарий от Kompilainenn 01.10.2011 22:52:08  
sched

В рассылке кажется один из управляющих пообещал запустить kernel.org в начале октября. Сейчас не могу найти.

Подробный отчёт обещают выложить после полного расследования.

Кстати ранее Anvin пообещал закрыть shell доступ (https://lkml.org/lkml/2011/9/23/357). Действительно, возможно сервер взломали через какого-то разработчика.

()
[#]  
insider

просто у этих разработчиков лежит код pof, которым они похечили сервер, чтобы зайти в папку /root/pron, а Greg наивно предполагает, что они заражены

* ()
[#]  
maxcom

кстати, а где теперь живет git для longterm ядер? На гитхабе у Линуса нет

***** ()
[#] Ответ на: комментарий от ostin 01.10.2011 22:52:42  
alltiptop

и доступ ко всем разработчикам

*** ()
[#]  
pekmop1024

А откуда тарболы релизов качать? Хотел для арчефлэшки собрать с PAE 32-битовое ядро и обломался.

*** ()
[#]  
yoghurt

PWNED

***** ()
[#] Ответ на: комментарий от pekmop1024 01.10.2011 23:18:06  
x3al

С гитхаба, он умеет тарболлы.

**** ()
[#] Ответ на: комментарий от luke 01.10.2011 23:23:36  
yoghurt

>почему не open?

Ты действительно хочешь это? :]

***** ()
[#] Ответ на: комментарий от maxcom 01.10.2011 23:37:26  
pekmop1024

Спасибо, это то, что нужно. Как-то не пришло в голову, что они не только репозитории зеркалят.

*** ()
[#] Ответ на: комментарий от Axon 01.10.2011 23:00:57  
f1xmAn

>Какая крутая детективная история. Так обидно, что Главного Злодея в конце, скорее всего, так и не найдут...

Подозреваю, что круг подозреваемых не такой уж и большой.

** ()
[#]  
Slimer

Из пункта 2:

>>-----Цитата---->>

Verify that your package signatures match what your package manager thinks they are.

To do this on a rpm-based system, run the following command:

rpm --verify --all

Please read the rpm man page for information on how to interpret the output of this command.

...

If you have a source-based system (Gentoo, LFS, etc.) you presumably know what you are doing already.

<<-----Цитата----<<

Это такой троллинг гентушников? ;)

()
[#] Ответ на: комментарий от Slimer 02.10.2011 0:07:10  

+ скрытый троллинг арчеводов, которые пакеты не подписыва(ли?)ют.
мой арчик как-раз на kernel.org был настроен

* ()
[#]  
Reset

о, уже оказывается поимели gpg ключи, не удивлюсь, если потом окажется, что вредоносный код внедрен в репозитории популярных дистрибутивов

***** ()
[#]  

Линус запил?

***** ()
[#]  

Вендузятники с сарказмом предлагают уложить Microsoft.com

* ()
[#]  

можно я поведаю правду?

успех в подобных взломах заключается в правильной sql-инъекции + локал сплойту к старому ядру / glibc

информация инсайдерская

кто не верит - тот при желании может найти какие ядра стояли на kernel.org например и на mysql.com

если кому то лень читать - вкратце - любой линукс сервер, который не апдейтится, можно порутать локально.

* ()
[#] Ответ на: комментарий от ostin 01.10.2011 22:52:42  

>Чего его расследовать, у Линуса пароль "sex" был, вот и поломали всех.

даже если его пароль сбрутили, его локальная учетная запись не могла дать привилегии рута.

все дело в лени администраторов

* ()
[#] Ответ на: комментарий от xtraeft 02.10.2011 1:39:18  
shimon

> успех в подобных взломах заключается в правильной sql-инъекции

Как ты будешь делать SQL-инъекцию на Git или шелл, где отродясь RDBMS не было? Правдоруб несчастный...

**** ()
[#] Ответ на: комментарий от shimon 02.10.2011 1:42:25  

там может быть вполне и не скуля, но ядро старое

найдешь сам скрины с mysql.com всех веб серверов?

если нет желания/возможности - я могу дать

я уважительно отношусь к линуксу, и опенсурсу, но безалаберные администраторы портят безопасность любому крупному проекту

* ()
[#]  
Umberto

>призывает всех разработчиков проверить свои системы.
>необходимости генерирования новых PGP/GPG ключей.

Ню-ню, эж-но сколько кода проверить? Я бы начисто занулил всё что было на серверах и призвал разработчиков выгружать их локальные копии. Иииили да, писать заново.

А так, боюсь что эхо этого взлома будет витать ещё лет 10 в тех или иных zero-day.

* ()
[#] Ответ на: комментарий от Umberto 02.10.2011 1:47:50  

ну, раньше и без утечек каких либо были эпичные сплойты - например http://www.securityfocus.com/bid/36038/exploit

сорцы у кернела открытые - если кто то найдет хороший баг - он будет долго витать

* ()
[#] Ответ на: комментарий от xtraeft 02.10.2011 1:45:30  
shimon

> найдешь сам скрины с mysql.com всех веб серверов?

mysql.com меня с некоторых пор не интересует. Покажи лучше MySQL и его инъекции на kernel.org.

**** ()
[#]  
firsttimeuser

> Далее в рассылке следует большой список советов как обнаружить взлом.

советовать надо было до. Профилактика.

***** ()
[#] Ответ на: комментарий от shimon 02.10.2011 2:06:44  

>Покажи лучше MySQL и его инъекции на kernel.org.

там может быть вполне и не скуля

вполне хватало любого доступа, хоть ssh разработчика, хоть веб шелла с правами веб-сервера

видимо вошло в привычку не обновлять ядро на боевых серверах центральных проектов.

* ()
[#]  
splinter

Кто то из разрабов по пьяне язык держать не умеет, за недопитую бутылку бургундского свой шелл отдал.

***** ()
[#] Ответ на: комментарий от xtraeft 02.10.2011 1:39:18  
Alsvartr

>если кому то лень читать - вкратце - любой линукс сервер, который не апдейтится, можно порутать локально.

BREAKING NEWS

*** ()
[#]  
wintrolls

Помимо взлома Kernel.org были скомпрометированы системы некоторых разработчиков

А микрософт ведь предупреждал…

* ()
[#] Ответ на: комментарий от xtraeft 02.10.2011 2:12:26  
>>-----Цитата---->>

видимо вошло в привычку не обновлять ядро на боевых серверах центральных проектов

<<-----Цитата----<<

Кому с этим охота связываться? У нас, например, на некоторых серверах систему обновляют лишь после смены железа.

**** ()
[#] Ответ на: комментарий от Kompilainenn 01.10.2011 22:52:08  
valich

> так что было раньше? курица или яйцо? сначала ломанули разрабов и от их данных сплясали на костях кернел.орг? или наоборот?

Сейчас важно другое. Куча сторонних заинтересованных наблюдателей видят, что Linux взломан. Это как если бы на http://www.microsoft.com выложили порно-картинки, а все уютные максимальные купленные до 1 августа занимаются рассылкой спама, предварительно сделав несанкционированые резервные копии кодов кредитных карточек каждого пользователя.

*** ()
[#] Ответ на: комментарий от valich 02.10.2011 4:09:26  

>Это как если бы на http://www.microsoft.com выложили порно-картинки

было такое в 2004 через мегахитрожопую xss

* ()
[#] Ответ на: комментарий от valich 02.10.2011 4:09:26  
winddos

Зря ты напрягаешься.
Большинство людей не знают ни о каком kernel.org, как к слову их не заботил бы взлом microsoft.com.
Тут только троллям раздолье.


А в остальном - одно дело ломать статичный сайт (типа майкросовтовский) висящий в кластере на куче машин, где нету ни ftp, ни ssh, а серверы с кодом или БД стоят даааалеко в бекенде.

И совсем другое среду разработки к которой имеют ssh доступ сотни людей.
Хотя если бы о безопасности думали заранее, то наверняка могли бы избежать этого взлома.

* ()
[#] Ответ на: комментарий от xtraeft 02.10.2011 1:39:18  
kraftello

Дык неоднократно ломали красношапку без обновлений. Как говориццо ССЗБ.

*** ()
[#] Ответ на: комментарий от Kompilainenn 01.10.2011 22:52:08  

Kompilainenn> так что было раньше? курица или яйцо? сначала ломанули разрабов и от их данных сплясали на костях кернел.орг? или наоборот?

Сначала было наплевательское отношение к безопасности.

**** ()
[#]  

SQL инекция в ядро? NO WAY!

()
[#]  

кто то из разрабочиков ядра по ночам, тайком от жены, програмировал на пхп вот и результат

()
[#]  
true_admin

> безопасность является одним из приоритетов

"the OpenBSD crowd is a bunch of masturbating monkeys" (с) сами-знаете-кто. Поздно опомнились.

***** ()
[#] Ответ на: комментарий от valich 02.10.2011 4:09:26  
true_admin

> Куча сторонних заинтересованных наблюдателей видят, что Linux взломан.

Кстати, да, они жутко с этим ступили. Надо было хотя бы главную вернуть. Херовый это знак.

***** ()
[#] Ответ на: комментарий от pekmop1024 01.10.2011 23:18:06  
franchukroman

github позволяет качать не весь репозитарий, а тарбол конкретной ревизии.

** ()
1 2 3
Безопасность