>кто-то счел эти ресурсы достойными чемоданчика зелени

Или ящика пива, а сам ресурс был взломан на спор. Смотря как дела с безопасностью обстояли.

Взлом CA, взлом kernel.org — совпадение или нет?

Как-то странно, что вслед за взломом CA последовали не менее громкие взломы kernel.org, linux.com и т.д. Сразу возникает подозрение о наличии причинно-следственной связи. Поскольку в DigiNotar на взломанных серверах использовался Windows, сложно обосновать версию о его взломе через уязвимость в Linux, а вот взлом серверов, связанных с Linux теоретически мог быть осуществлён при помощи информации, перехваченной с использованием фальшивых сертификатов. Например, теоретически кто-то мог читать почту разработчиков, которые обсуждали ещё неисправленные уязвимости, считая что их переписка достаточно защищена. Или, если на взломанных серверах использовался какой-либо веб-интерфейс, доступный по HTTPS, то опять же пароли могли быть перехвачены при помощи фальшивых сертификатов.

Хотя, даже если окажется, что причина в этом, то это не значит, что всё в порядке. Видимо эти случаи дадут толчок развитию микроядерных операционных систем.

Вот тебе и OpenSSH. Вот тебе и OpenBSD. Вот тебе и две удаленные уязвимости за десять лет - две удалили, стопицот оставили.

Федора же.

Начали за здравие... Перехват паролей с помощью атаки man-in-the-middle на протокол https с использованием фальшивых сертификатов - интересная и правдоподобная версия. Но при чём тут микроядерные ОС? Дело в стандарте X.509, который позволяет любому CA подписывать любые сертификаты. В то время как CA должны иметь каждый свою зону ответственности и свой уровень доверия к.

>Вот тебе и OpenSSH. Вот тебе и OpenBSD. Вот тебе и две удаленные уязвимости за десять лет - две удалили, стопицот оставили.

Вот вот. А в треде все обвиняют линукс.

> Начали за здравие... Перехват паролей с помощью атаки man-in-the-middle на протокол https с использованием фальшивых сертификатов - интересная и правдоподобная версия. Но при чём тут микроядерные ОС?

При том, что даже если окажется, что данные взломы связаны с утечкой информации из-за фальшивых сертификатов (что лишь версия), всё равно фактом остаётся наличие уязвимостей. Хорошо если их вовремя закрывают, но ещё лучше если их не будет вообще, ну или будет на порядок меньше :-) А этого можно добиться только используя другую архитектуру, и само собой напрашивается слово «микроядро». Конечно это не панацея, но вероятно это позволит сделать ещё более безопасную систему.

Пока только повышение привилегий при атаке на kernel.org говорит об уязвимости в ядре. Да и то, не факт, что эта уязвимость - результат программистской ошибки, а не результат ловкого подбрасывания в ядро злонамеренного кода купленным или засланным и втёршимся в доверие разработчиком. От такого микроядро никак не спасёт.

> Пока только повышение привилегий при атаке на kernel.org говорит об уязвимости в ядре.

А пожарники/пожарные создают пожары, да? Этот разум точно не искусственный? Кто это выпустил из песочницы?

Да и то, не факт, что эта уязвимость - результат программистской ошибки, а не результат ловкого подбрасывания в ядро злонамеренного кода купленным или засланным и втёршимся в доверие разработчиком.

Ух-ты, мышление прорезывается! Пока в зачаточном состоянии и сложные категории в сознании не вмещаются, да и выводы интеллектом не блещут, но прорезывается же! Эволюционирует! Прогресс.

От такого микроядро никак не спасёт.

Боже ж мой! Уже умных слов нахватался! Хотя, да, что означают слова пока не понимает, но всё равно, прогресс!

Ещё одни дурики додержали сервера на федорке. А ведь я им говорил: ребята, ставьте уже дебиан, а то мало ли.

Зачем? Анонимус что желает смерти опенсурсу окончательно? У дебиана этот багнутый софт в репах появится спустя тока 2 года. И это не считая того багнутого софта которой у него уже есть.

О чём вы говорите? С убунтой всё понятно, разговорчики на тему «убунта отстой», а здесь что? Беглый обзор не дал понять.

> >Ещё одни дурики додержали сервера на федорке. А ведь я им говорил: ребята, ставьте уже дебиан, а то мало ли.

Зачем? Анонимус что желает смерти опенсурсу окончательно? У дебиана этот багнутый софт в репах появится спустя тока 2 года. И это не считая того багнутого софта которой у него уже есть.

В Debian софт содержит исправления обнаруженных ошибок. То есть там будет не «этот багнутый софт», а софт, в котором эти баги будут исправлены.

А есть основания полагать, что микроядерность в данном случае помогла бы?

А почему например не экзоядро? Тащемто моднее вроде.

Еще пару таких случаев, и все ключевые домены окажутся под управлением ubuntu-server.

Аноним намекает, что в микроядрах мало кода? Так и поддержки железа и прочих плюшек пока тоже мало. Да и пишутся они по боьшей части на тех же сях.

> Нет как поставил ее так и стоит она. Или для тебя удивительно что винда может годами работать без переустановок?

для меня — нет

у меня ХР стоит в дуалбуте с 2005 года без переустановок, активного использования в сумме не менее 1000 дней

но стабильность ее работы сильно зависит от пользователя

у __МЕНЯ__ она может так работать, а у хомячков, даже если система и не переставлялась и вроде работает, все может кишеть вирусами (и обычно так оно и есть)

а теперь перейдем к обсуждению тебя

в твоем посте Владельцы Apple iPad используют больше интернет-трафика, чем все пользователи Linux тебе не хватило мозгов пройти по ссылкам до http://marketshare.hitslink.com/report.aspx?qprid=10&qptimeframe=M&qp... , и увидеть, что речь шла не об интернет-трафике, а о веб-трафике

подсчет этого трафика — это просто ПЕСНЯ

1. в числе прочих, вместе с линуксом и виндами, фигурирует платформа Х11

2. но это не все, в числе плаформ оказывается Pike v7.8 release 517

простое гугление дает нам, что эта строка выдается оперой мини на айфоне по запросу Navigator.platform

так что эти идиоты, видимо, считают только веб-трафик с рабочим ява-скриптом

______________________________________

*именно* в то время как я писал этот пост, димез забанил данного юзера

хотя, наверно, вру — не идиоты, а наборот, умные искажатели

Всё выглядит как компрометация не только kernel.org и прочей инфраструктуры Linux Foundation, но и как наличие трояна у кого-то из высокопоставленных админов.
Что-то я торможу, ведь уже известно, что так оно и было.

Пускай настраивают SELinux/PaX/grsecurity/RSBAC

Затроянили виндовую машину разработчика, кейлогером выяснили пароль для SSH и пароль администратора. Всё, весь взлом.
Откуда информация о том, что он пользовался и Windows?

смешно, да

на ms сайте я только одну xss видел, году этак в 2004 помоему

вообще то даже если хеши утекли - это уже компрометация паролей

a) Школьники балуются во внеурочное время;

видимо действительно серьезный ресурс, раз школьники могут поиметь его

Говорят, что виной OpenSSH. [Для Ъ] :)

а если еще оно решит проверить свои ntfs диски, то это на полчаса может затянутся.
Ext3 давно проверял?

> > GNU/Hurd. %)

А там хотя бы консоль уже работает?

Работает, но не долго. Примерно минуть десять после загрузки.

Я не ОС имел в виду а тему обсуждения.

>> чтобы сделать переустановку

А искать дыру типа не надо? Опять ведь поимеют, и, возможно, не только их

А умом подумать типа не надо?
Это ж не винда-а... Тут всё просто: слил-стёр-поставил.
Причём, если умом думать, то после первичной установки и настройки можно сделать бэкап (да, да, и в винде так тоже можно!), в таких вот аварийных случаях меняем HDD и включаем.
А потом можно (и нужно!) и разбираться.

Решето! [fat mode] А почему сервера M$ не взламывают и не компрометируют?

будут ломать и остальных до тех пор, пока дыру, обнаруженную на кернел.орг не замажут

просто МС про это молчит :)

просто МС про это молчит :)

Что-то сомневаюсь я в этом.
Взломщики не умолчали бы.

Я предполагаю, что Майкрософт и по сей день держит свои сервера на FreeBSD.

Я предполагаю что их сервера стоят за аппаратно-софтовым файрволлом.

их сервера стоят за аппаратно-софтовым файрволлом.

Вот именно, что за файрволлом. А самые надежные файрволлы создают на основе BSD.

Debian предлагает обновить linux-base linux-headers-2.6.32-5-amd64 linux-headers-2.6.32-5-common linux-image-2.6.32-5-amd64 linux-libc-dev linux-source-2.6.32 чет я даже и не знаю после таких новостей =/

интересно,а google хоть раз ломали?

интересно,а google хоть раз ломали?

Да-да, говорят, что сам Арни ломал его однажды.

Ленивые админы, однако.

А где-то выкладываются отчёты об идущих расследованиях? Хотя бы под вечер могли писать о результатах рабочего дня.

Репутация линукса подмочена основательно, ещё забавно будет, если и после переустановки сломают, т.к. через какую дыру были повышены привилегии - до сих пор непонятно =)

это его личные выдумки, пруфлинков нет

с чего ты взял что там привилегии были повышены?

> а как же хеширование паролей, нескомпрометированные алгоритмы вроде blowfish и так называемая соль ?

Стандартные рекомендации по безопасности. Даже если утёк солёный хеш, при наличии терпения и везения пароль можно подобрать. Поэтому приходится считать, что любой утёкший пароль расшифрован. И менять их все.

Просто не представляю, как надо извратиться, чтобы заставить Федору/Центос хранить пароли плейнтекстом.

> Что за «Linux Foundation» ещё?

Контора, через которую платят Торвальдсу за работу над ядром :)

> через какую дыру были повышены привилегии - до сих пор непонятно

Вообще-то способ повышения привилегий нашли сразу. И сразу оказалось, что он не работает на последних релиз-кандидатах ядра.

Who next? LOR?

>Вообще-то способ повышения привилегий нашли сразу. И сразу оказалось, что он не работает на последних релиз-кандидатах ядра.

где про это можно почитать в деталях?

>с чего ты взял что там привилегии были повышены?

В сообщении на (тогда ещё живом) kernel.org это указывалось