Троян в поставке OpenSSH

2Ogr&Co
Вот как работает метод поиска троянов по сорсу.
Closed-source продуктами вообще пользоваться не безопасно.

Мне кажеться это в очередной раз прикалываються OpenBSDшники - и это реально простой тест blowfishа. хотя всякое бывает ... :)

ну этот openssh в жопу, я пожалуй на родной ssh перейду6 который с www.ssh.org

А как вообще такое может быть? Взломали сервак и положили свои сырцы? или падла живет в проекте?

Это шутка что ли такая ?

www.ssh.org пересылает на www.ssh.com - а насколько я понимаю там коммерческий платный продукт и нету бесплатной версии...

Ну, приконнектился он к 203.62.158.32:6667. Дальше что? Собираю-то я пакет как простой юзер...

ftp://ftp.ssh.com/pub/ssh/

ssh бесплатен для некомерческого использования

Да действительно - информация с Buqtraq http://online.securityfocus.com/archive/1/285490/2002-07-29/2002-08-04/0

А я из RPM ставил - он(троян) будет работать или нет ?

       Вот как работает метод поиска троянов по сорсу. 
       Closed-source продуктами вообще пользоваться не безопасно.

а с чего вы решили, что найдено было по сорсу... судя по всему народ 
запустив сие заметил, что оно полезло куда-то коннектиться и 
файрволл им протрубил... потом они уже в сорцы полезли...
и судя по тому, что только один из перцев сие увидил и обнаружил, то
если бы у него не стоял файрволл, то сия засада еще бы долго торчала
в коде

Может я чего не понял,
но в самом начале статьи написано:
"В поставке OpenSSH 3.4p1 с ftp.openbsd.org был обнаружен троян".
В статье то же: http://online.securityfocus.com/archive/1/285490/2002-07-29/2002-08-04/0

Причем тут народец из openssh.org ?
Притензии к freebsd/openbsd.org.

> Причем тут народец из openssh.org ? Притензии к freebsd/openbsd.org.

OpenSSH - разработка команды OpenBSD.

В самом письме ссылочка есть
http://www.mavetju.org/weblog/weblog.php
Найдено по ошибке при попытке собрать порт FreeBSD,
собственно простая проверка подписи.
Кстати интересно почему подпись не подменили?

да -) прикольно ваще -)

2rathamahata (*) (2002-08-01 19:19:57.013):

> Кстати интересно почему подпись не подменили?

Каким образом? Подпись лежит в портах.

Сорс тащится из инета а файл подписи уже есть локально в портах (идет в поставке)?

Нет, как-раз MD5-хеш лежит в портах - смотрите /usr/ports/что-либо/программа

И при установке порта в FreeBSD make проверяет контрольную сумму. При несовпадении контрольных сумм он вылетает с ошибкой.
Вывод - Порты FreeBSD рулят!
А на прикол OpenSSH.Org это не похоже - те еще-бы контрольную сумму поменяли в портах. Недавно такое-же было и с IRSSI, где злоумышленник исправил только .tar.gz и не поправил контрольную сумму.

С уважением,
Юшкин Сергей Викторович

Если троян не опасен, то имхо ОпенБСД, сделало "тренеровку" админам, чтоб мд5 проверяли на каждом пакете без исключения. ;-)

2GLUK: а до этого была история с трояном в исходниках какого-то ftpd (не помню уже какого и боюсь соврать)... Вообщем это регулярно происходит, только вспоминать об этом не любят... Зато если у одной лбимой фирмы такое случится - годами перемывать косточки готовы...:)

Вышел openssh security advisory так что это не шутка ;) а суровая реальность.

"ато если у одной лбимой фирмы такое случится - годами перемывать косточки готовы...:)
Irsi (*) (2002-08-01 20:06:46.387)"

Если это случается у какого-нибудь фтпд или вот как сейчас то это проказы хакеров, а если такое случится у фирмы офтопика то это будет политика фирмы заведомая.

Вот здесь все подробно изложено: http://slashdot.org/comments.pl?sid=37188&cid=3991288

Пакет подменили и команда OpenBSD об этом не знала. Причем обнаружение (причем очень быстрое --- в течение 6 часов) этой ошибки пользователем стало возможным целиком и полностью потому, что исходные коды открыты. Это понятно из описания процесса обнаружения.

А вот что касается `порты рулят':

"The C code is not that smart. It tries once per hour to connect to port 6667 on the machine 203.62.158.32 which is web.snsonline.net and waits for commands from the person or persons who 0wn3d the machine. Does it get an M, it sleeps for another hour. Does it get an A, it will abort. Does it get an M, it will spawn a shell. Some people will build it "normal" privileges and install it as root: they will get a shell with "normal" privileges. Other people will build it with "root" privileges and the shell will have "root" privileges."

и ниже:

"The building of a port (under FreeBSD at least) is done as root with all its privileges. This is a wrong approach."

В правильно сконфигурированной системе пакеты собираются при помощи fakeroot от простого пользователя. root только устанавливает.

Вывод, трояна заметили исключительно по тому что он куда-то ломился (каждый час), а не потому что смотрели исходники. Вывод - и тут опенсоурс в пролете.

2anonymous (*) (2002-08-01 20:34:18.74): интересно, почему мне при установке из портов рутовые права треба только при make install?
Не читайте /. господа, не надо... Гонят там, постоянно. Желтая пресса это...
И про исходники чушь - Org здесь прав, только благодоря фаерволу и заметили...

На www.openbsd.org теперь вместо гордой надписи - столько то лет без дырки красуется другая: "One remote hole in the default install, in nearly 6 years!"

Круто :-))

Ну это они думают что "one". Если их сервер работает на openbsd, то после такого трояна там их может быть и не one. Если б я был тем хакером, я бы их насовал в каждый второй пакет.

FreeBSD 4.6.1-RC2 успел выйти и вышел бы уже давно релиз, но всё резко затормозилось... Теперь релиз заморожен и под таким номером скорее всего не выйдет. Решили сразу делать 4.6.2

2Ogr

Asshole, read the original slashdot post. They noticed checksum mismatch, not the activity on the firewall. Can you read at all ? Stop FUD.

2anonymous (*) (2002-08-01 21:57:46.227): Nope. They noticed an activity on the firewall, and only after that they checked the MD5 checksum. But even if you are right, it did not make any impact to my point - Open Source has nothing to do in this discovery.

2Ogr The post clearly describes how they figured there was a troyan. The first step was cheking the checksum. Then comparing diffs with the original version etc. Anyway. OpenSSH being OSS helped to issue the patch in six hours after the troyaned tarball was put out. Compare with recent threats of HP to DMCA the hell out of the guy who published a Tru64 exploit a couple of days ago. HP knew about the hole for a while before its description was published but didn't do anything to fix it. ( http://news.com.com/2100-1023-947325.html )

2 anonymous (*) (2002-08-01 21:44:05.325)
Сервер который сломали был под SunOS 4.1 (они хостятся у когото с толстым каналом)

Огр, и тот анонимус с английским - это вообще то, русский сайт, хорош на вражеском разговаривать.

Не знаю как FreeBSD 4.6.2, ядро в CVS ветке 4.6-RELEASE уже давным давно стало 4.6.1, а на сегодняшний день уже 4.6.1-p6

2anonymous (*) (2002-08-01 22:52:00.449): "The post clearly describes how they figured there was a troyan"
It does not matter how they found the trojan. Even MD5 has nothing to do with source availability. Just imagine for a second that a hacker replaced the checksum. Nobody will ever noticed the trojan existance.
"OpenSSH being OSS helped to issue the patch in six hours after the troyaned tarball was put out"
The source availability actually was the reason the trojan made in the package in the first place. The funniest part of this story is the binaries are not affected at all only source code carries the trojan.
"Compare with recent threats of HP to DMCA the hell out of the guy who published a Tru64 exploit a couple of days ago. HP knew about the hole for a while before its description was published but didn't do anything to fix it."
So? Remember there is a big difference between letting know about a flaw and explain how to exploit that flaw. But again these two cases are completely unrelated and I stumble to understand why you ever mentioned it.
2anonymous (*) (2002-08-01 23:35:23.644): "Огр, и тот анонимус с английским - это вообще то, русский сайт, хорош на вражеском разговаривать."
Мне почему-то помнится, что в правилах фидо на эту тему даже есть пунктик, который звучит примерно так: "Отвечать на письмо нужно в той же кодировке и языке, на котором было опубликовано исходное сообщение. Можно отвечать используя другую кодировку и язык, только если вы абсолютно уверены, что тот человек вас поймет"

Огр, да можешь, конечно, отвечать как угодно, это твое право. Можешь даже матом начать ругаться, как другие это делают. Особый язык, знаешь ли.

2anonymous (*) (2002-08-02 02:30:02.843): "Можешь даже матом начать ругаться, как другие это делают. Особый язык, знаешь ли."
Не с матом это не ко мне.
Просто коротко: "заражены" были исходники, а не бинарники. Т.е. если пользовать бинарники проблемым бы будет :)))

А W2K при условии что правильно настроена секьюрити даже не стала бы ставить неподписаный бинарник.

Я уже давно перешел на SSH от OpenBSD и проблем с тех пор небыло.

Надесь всем очевидно что качать в ближайшее время что угодно с openbsd.org с целью установки - весьма небезопасное занятие. Интересно куда еще им там насовали троянов?

"Only one trojan horse in default install in nearly 6 years" ;)

>"Only one trojan horse in default install in nearly 6 years" ;)

дык больше и не надо :)

Переходите на SSH 3.2.0

>They noticed an activity on the firewall,

Опять ты облажался, воинствующий чайник (в народе - ламер), и в который раз уже. Вот с чего все началось:

------------------------------------------------ Easy euh? It went well, except for the second step:

===> Extracting for openssh-portable-3.4p1_7 >> Checksum mismatch for openssh-3.4p1.tar.gz. Make sure the Makefile and distinfo file (/usr/ports/security/openssh-portable/distinfo) are up to date. If you are absolutely sure you want to override this check, type "make NO_CHECKSUM=yes [other args]". *** Error code 1

Euh... I didn't remember seeing a change in the FreeBSD ports regarding this. And I didn't see an announcement for it from the people from OpenSSH... ------------------------------------------------

изменения были обнаружены во время попытки сборки пакета.

(Огр сопит и нервно курит в сторонке)

Если действительно под SunOS 4.1 то все ясно. Оно как бы
unsupported уже совсем давно. И сколько там дырок - одному
черту известно.

Скомпрометирован дистрибутив OpenSSH Вчера в информационной рассылке по безопасности FreeBSD, появилось [http: //docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security] сообщение о том, что самая последняя сборка OpenSSH, находившаяся на FTP сайте OpenBSD.org в своем составе содержит код трояна. Скомпрометированная сборка OpenSSH находилась по адресу: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz Однако следует полагать, что она также могла оказать и на зеркалах этого сайта. Код трояна выполняется только в момент инсталляции. При этом он пытается установить соединение с хостом, имеющим адрес 203.62.158.32 по 6667 порту. Данный адрес принадлежит скомпрометированному хосту. В случае если соединение все-таки удалось установить, то злоумышленник мог повторно инсталлировать на атакуемый хост трояна либо попытаться получить над ним управление. Однако владельцы промежуточного хоста, использовавшегося для атаки были немедленно проинформированы и предприняли все необходимые действия по недопущения использования их хоста в целях атаки. После тщательной проверки всех находившихся на FTP сайте дистрибутивов код трояна так же был выявлен в версиях 3.2.2р1 и 3.4. Скомпрометированные пакеты были немедленно исправлены. Если все-таки был инсталлирована скомпрометированная сборка OpenSSH, то настоятельно рекомендуется перезагрузить хост, удалить потенциально опасную службу. Загрузить проверенный дистрибутив и заново его инсталлировать.

nick

Мне однажды аналогичная зараза попала на САН:
eggdrop - IRC bot.
Подменял ttymon.
Нашел также, мониторя сеть и прибил.

А разве надпись "One remote hole in the default install, in nearly 6 years!" появилась после трояна? Имхо раньше, из-за проблем с секюрностью в версиях Ossh 2.9-3.3 (из-за чего всем предлагалось срочно апдейтиться)

2Ogr:
> Просто коротко: "заражены" были исходники, а не бинарники. Т.е. если пользовать бинарники проблемым бы будет :)))

То-то у меня drweb на почтовом сервере без передышки пашет... Все пользователи Windows ставят свои системы исключительно из бинарников, после чего успешно одаривают друг друга троянами и прочей гадостью.

А троян в пакете от OpenBSD был обнаружен по хешу MD5, подделать который невозможно (ну, как минимум, крайне затруднительно :-). Практически все современные дистрибутивы использую хеши и цифровые подписи для идентификации пакетов. Поэтому при грамотном администрировании системы заразить ее через инсталлируемый бинарный пакет или при сборке оного очень трудно. Чего нельзя сказать о Windows, на которую хочешь-не хочешь, а приходится ставить неподписанные бинарники, например, с новыми драйверами. Которые вполне могут быть затроянены, да не чторонним хакерами, а и самими производителями (неважно, с какими целями). И обнаружить это при отсутствии исходников почти невозможно (файрволл опускаем, троян может эффективно маскироваться).

2anonymous (*) (2002-08-02 16:02:35.296): учат вас, учат, а вы все одно твердите - исходники да исходники. каков процент ошибок, найденных пользователями в исходниках, от общего числа ошибок? да нулевой ИМХО. я что то ни разу не видел сообщения - "Вася Пупкин в исходниках такого то пакета нашел ошибку!"