MyCity » IT dešavanja u svetu » Bezbednosni upad na distribucioni sajt Linux kernela

Bezbednosni upad na distribucioni sajt Linux kernela

Napisano na dan: 8.9.2011
1

Bezbednosni upad na distribucioni sajt Linux kernela
Sledeća strana Pagination

Idi na vrh

Poslao: 08 Sep 2011 14:31
Idi na vrh
offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Nije najsvezija vest, ali vidim da niko nije preneo. Smile

Nepoznati napadac je uspeo da dobije root pristup na nekoliko najvaznijih servera na kernel.org, glavnog sajta za distribuciju Linux kernela kao i softvera vezano za Linux. Izmenjen je sistemski softver za sigurni udaljeni pristup, i belezene su lozinke i akcije korisnika na serverima. Po jedan malware je nadjen na licnom kompjuteru jednog od kernel hakera, kao i na ostala dva servera.
Citat:Multiple servers used to maintain and distribute the Linux operating system were infected with malware that gained root access, modified system software, and logged passwords and transactions of the people who used them, the official Linux Kernel Organization has confirmed.

The infection occurred no later than August 12 and wasn't detected for another 17 days, according to an email John "'Warthog9" Hawley, the chief administrator of kernel.org, sent to developers on Monday. It said a trojan was found on the personal machine of kernel developer H Peter Anvin and later on the kernel.org servers known as Hera and Odin1. A secure shell client used to remotely access servers was modified, and passwords and user interactions were logged during the compromise.
Upad je ostao neotkriven skoro 17 dana, i otkriven je slucajno, kada se na jednoj od masina pojavila neobicna greska vezana za Xnest softver, deo X-a, koji uopste nije ni bio instaliran na sistemu. Nije potvrdjeno, ali je verovatno koriscen Phalanx - self-injecting kernel rootkit. Serveri jos uvek nisu aktivni, tako da je i Linus Torvalds odlucio da (privremeno?) prebaci Linux kernel kod na Github.


Vest iz vise izvora:

http://www.theregister.co.uk/2011/08/31/linux_kernel_security_breach/
http://www.h-online.com/open/news/item/Security-br.....34642.html



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Poslao: 08 Sep 2011 17:25
Idi na vrh
offline
  • C# and PHP Developer
  • Pridružio: 16 Feb 2011
  • Poruke: 1630
  • Gde živiš: Pancevo

Najzad neki crnjak i za linux Very Happy
Konstantno upadi na win, prepucavanja itd...

Iz cele price bas neobicno kako je lik uspeo uopste da pristupi tako velikom serveru... Ili je znao pass ili ko zna sta je...

Do sada nisam cuo da linux moze da ima propusta i zato ga koristim za poslovne svrhe jer je bezbedniji..
Iskreno mislio sam da takvih gluposti nema za njega...

Cek a kako su oni utvrdili da je hakovano? Mozda je neko od zaposlenih instalirao taj program i nesto zeznuo i eto greske... Sada i ja malo se zezam ali sve je moguce...



Poslao: 08 Sep 2011 17:32
Idi na vrh
offline
  • Pridružio: 02 Sep 2008
  • Poruke: 4094
  • Gde živiš: Bg

Interesantno, ali ipak mislim da nije nešto zabrinjavajuće u pitanju.

Bilo kakav kod sa strane teško je ubaciti u kernel Linux-a, čak i sa root privilegijama. Sve komponente kernela pri izdavanju koriste kriptografski hash, a isti je zapisan na koznakoliko drugih stranica po netu.

Poslao: 08 Sep 2011 17:35
Idi na vrh
offline
  • C# and PHP Developer
  • Pridružio: 16 Feb 2011
  • Poruke: 1630
  • Gde živiš: Pancevo

Ali eto vidis ipak se desilo... Lik je upao sada mogu da se cesu.. Mada iskreno opet kazem mozda i nije ni bilo nikakvog napada od strane druge osobe.
Jer nekako mi cudno pored svih prica o linux-ovoj bezbednosti sada se desi ovako nesto i to glavnima...

Bas se secam pre jedno 10 godina sam u nekoj knjizi za racunare procitao
Citat:Najbezbedniji racunar je onaj koji zakopan 10 metara ispod zemlje i iskljucen iz struje LOL
Tako nesto ali slatko sam se nasmejao sada kada sam video ovo... Ima malo istine

Poslao: 08 Sep 2011 20:04
Idi na vrh
offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

klodovik ::Interesantno, ali ipak mislim da nije nešto zabrinjavajuće u pitanju.

Bilo kakav kod sa strane teško je ubaciti u kernel Linux-a, čak i sa root privilegijama. Sve komponente kernela pri izdavanju koriste kriptografski hash, a isti je zapisan na koznakoliko drugih stranica po netu.
Hma, jeste zabrivnjavajuce. Smile Kod JESTE bio ubacen, preko kernel rootkita (po trenutno dostupnim informacijama). Hash-evi jesu generisani, ali na ISTOM serveru, ima negde informacija o tome. Sta ako je napadac izmenio hash-eve? Sta ako je ubacio zlonamerni kod u kernel i taj kod je skinulo na hiljade ljudi? Proverilo hash-em koji je napadac postavio? Shavate vec... Smile
Naidjoh na informaciju da je "krivac" zapravo propust u vezi OpenSSL kljuceva (secate se propusta u PRNG na Debianu od pre 2 godine?) koji je Phalanx vec iskoriscavao. Ako se ispostavi kao tacnim, bice to jos veca sramota. Mada mi nije bas verovatno da nisu izmenili kljuceve toliko dugo, i posle tog dogadjaja. Sacekajmo analizu. Wink

@_iKaC

Nemoj da se cudis, svaki sistem je ranjiv. Ne postoji "najsigurniji sistem". Kao sto kazu: "security is not a product, it's a process". Wink

Poslao: 08 Sep 2011 20:48
Idi na vrh
offline
  • Pridružio: 02 Sep 2008
  • Poruke: 4094
  • Gde živiš: Bg

soxxx :: Kod JESTE bio ubacen, preko kernel rootkita (po trenutno dostupnim informacijama). Hash-evi jesu generisani, ali na ISTOM serveru, ima negde informacija o tome. Sta ako je napadac izmenio hash-eve? Sta ako je ubacio zlonamerni kod u kernel i taj kod je skinulo na hiljade ljudi? Proverilo hash-em koji je napadac postavio? Shavate vec... Smile


Hash je kao što rekoh upisan u x drugih stranica na netu i nemoguće je uneti promenu na način na koji bi se dobio isti hash važećem.

Kako misliš na istom serveru? Može li link ka toj informaciji? Hash tabele mogu biti svuda, nije to samo Hera server u pitanju.

Poslao: 08 Sep 2011 21:10
Idi na vrh
offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Kod u Git-u je mozda tesko izmeniti bez da prodje neopazeno, ali je server sadrzao likove ka tar arhivama koje sadrze kod, i koje je se proveravaju putem pgp potpisa koji se generise na jendom od servera. Pise o tome na istom linku koji sam postavio.

Kao sto rekoh, bolje da sacekamo zvanicnu analizu. Wink

Poslao: 08 Sep 2011 22:46
Idi na vrh
offline
  • Pridružio: 26 Avg 2010
  • Poruke: 10622
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

Pitam se da li je ovo povezano sa nedavno otkrivenim upadom u DigiNotarove sisteme.

Poslao: 09 Sep 2011 00:17
Idi na vrh
offline
  • C# and PHP Developer
  • Pridružio: 16 Feb 2011
  • Poruke: 1630
  • Gde živiš: Pancevo

Jos uvek se utvrdjuje, ni oni sami nisu sigurni... Pa verovatno ce da uporedjuju sa DigiNotarov

@soxxx
Naravno da je svaki ranjiv ali linux je mnogo manje za razliku od widnowsa..

Poslao: 09 Sep 2011 05:40
Idi na vrh
offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

_iKaC ::Naravno da je svaki ranjiv ali linux je mnogo manje za razliku od widnowsa..



Zna se i zasto je to tako ...

MyCity » IT dešavanja u svetu » Bezbednosni upad na distribucioni sajt Linux kernela

Ko je trenutno na forumu
 

Ukupno su 1158 korisnika na forumu :: 1 registrovan, 0 sakrivenih i 1157 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: pacika