LINUX.ORG.RU

Внимание: совершено вторжение на сервера сайта freebsd.org

 ,


3

3

Команда обеспечения безопасности внутренней инфраструктуры сайта http://www.freebsd.org/ сообщает о состоявшемся вторжении на два узла кластера, обеспечивающего работу CVS-репозиториев сторонних пакетов. На данный момент довольно большое количество машин отключены от сети и проходят внутреннее инспектирование и анализ.

Взлом был обнаружен лишь 11 ноября, хотя само вторжение, скорее всего, произошло еще 19 сентября. Как полагают исследователи, злоумышленникам удалось заполучить SSH-ключ одного из разработчиков дистрибутива. Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.

На данный момент на вопрос модификации проверены Subversion-репозитории Source, Ports и Documentation, изменений в них не было. Кроме этого, базовая часть системы FreeBSD также признана не затронутой хакерами. Все релизы и пакеты FreeBSD на официальном FTP-сервере также не содержат модификаций. Однако, набор пакетов для грядущего релиза FreeBSD 9.1-RELEASE был полностью пересобран, так как выявить изменения в нём оказалось невозможно.

В основном, в зону риска попадают пользователи, скачавшие пакеты из портов, полученных не с сервера svn.freebsd.org и его зеркал в период с 19 сентября по 11 ноября.

Всем пользователям FreeBSD даны следующие рекомендации:

  • если вы использовали cvsup/csup, больше этого не делайте;
  • если вы использовали cvsup/csup для получения портов, срочно переходите на использование portsnap(8), разработчики уже давно работают с Subversion;
  • если вы использовали cvs/anoncvs/cvsup/csup для получения src, также переходите на Subversion или скачивайте бинарные пакеты через freebsd-update(8);
  • если вы использовали portsnap(8), выполните команду
    portsnap fetch && portsnap extract
    для получения актуального образа репозитория;
  • следуйте нашим советам по обеспечению безопастности вашей системы, проверьте её на наличие модификаций;
  • все пакеты, установленные в период с 19 сентября по 11 ноября, считайте подозрительными.

Разработчики и администраторы проекта FreeBSD вынесли для себя выводы из сложившейся ситуации и планируют улучшить защиту серверной инфраструктуры для предотвращения возможных атак. Для этого многие неактуальные сервисы будут признаны устаревшими и нерекомендованными к применению, а вместо них по умолчанию будут использоваться современные реализации.

Всем пользователям FreeBSD рекомендуется следить за развитием событий.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Binary (всего исправлений: 4)
Ответ на: комментарий от flareguner

Доподлинно известно, что FreeBSD основана на кодовой базе BSD, в разработке которой участвовал Маршал Кирк МакКузик (Marshall Kirk McKusick). Также доподлинно известно, что оный является сексуальным партнёром соавтора FreeBSD и разработчика sendmail — Эрика Олмана (Eric Allman), с коим открыто сожительствует в течение over 20 лет в любви и согласии.

В частности, среди трезвосмыслящих линухоидов распространена известная шутка:

Вопрос: Какой пидорас изобрёл ебанутый формат конфигов Sendmail? (вариант: протокол syslog, по которому можно передать сообщение длиной не больше 1 Кб, etc.)
Ответ: Eric Allman.

Надо сказать, что сам Олман не только спокойно относится к таким шуткам, но и сам подшучивает над ситуацией, сказав однажды: «There is some sort of perverse pleasure in knowing that it’s basically impossible to send a piece of hate mail through the Internet without its being touched by a gay program. That’s kind of funny.», что переводится так: «Есть определенно некое извращенное удовольствие от осознания того, что невозможно послать письмо ненависти через Интернет без того, чтоб его не тронула гейская программа. Это забавно»[2].

McKusick, кстати, по внешнему виду — образцовый завсегдатай гей-клубов, не хватает только фуражки и кожанки, оттого бытует мнение что он — актив, а Allman, как не трудно догадаться, нет.

Пруф с фоточкой мамы и папы: http://lurkmore.to/Файл:A_kiss_from_Eric_Paul_Allman.jpg

P.S.: если что на счёт любовника и провокатора я пошутил :)

soko1 ★★★★★
()

Мда... дожили - уже unix-ы ломают: сначала kernel.org ломанули, теперь freebsd. Куда катится мир? А ведь хулиганы не стали бы таким заниматься: работали профессионалы, возможно спецслужбы. Вопрос: зачем?

GladAlex ★★★★★
()
Ответ на: комментарий от GladAlex

работали профессионалы, возможно спецслужбы. Вопрос: зачем?

[капитан на проводе] Противостояние ФРС и тех, кто пытаются быть свободными (по крайней мере, в сфере ПО).

nbw ★★★
()
Ответ на: комментарий от GladAlex

Да блин, при чём тут ОС вообще? Сказали же украли ключ. Тут скорее человеческая тупость и безответственность. А вот вопрос кому это надо - интересный.

soko1 ★★★★★
()
Ответ на: комментарий от GladAlex

А что бы их не ломать? Когда создавали unix о безопасности никто даже и не думал. Архаическая двухуровневая система «безопасности» используется вот уже более 30 лет.

Reset ★★★★★
()

зачем оное?

AVL2 ★★★★★
()
Ответ на: комментарий от swwwfactory

На сайте используется гиф - потенциальная дыра и закрытый формат.
гиф
закрытый формат

Щито???!!! С каких это пор? Если ты думаешь, что ты вебмастер, программист или сисадмин — забудь сейчас же.

shimon ★★★★★
()
Ответ на: комментарий от tazhate

tazhate

Вот и все, а кто-то тут орал, что сервера на фряхе не ломали :)

Надеюсь, участники олимпиады yandex.root тут ни при чем ;)

Deleted
()
Ответ на: комментарий от tazhate

Вот и все, а кто-то тут орал, что сервера на фряхе не ломали :)

С таким же успехом можно назвать сломанным сервер, пароль к которому получен с помощью терморектального алгоритма.

alman ★★★
()
Ответ на: комментарий от Deleted

А может не надо?

чтобы усыпить бдительность врага? это да )) Но демонстрация потенциала - это для тех кто поймет, а не выпячивание для показухи. Слабый демонстрирует силу - сильный прикидывается слабаком. Но как бы не прятались - все равно можно «прочитать меж строк»

swwwfactory ★★
()
Ответ на: комментарий от shimon

эм - уже забыл вмиг))

Так зачитался новостью, что не уточнил детали. Имелось в виду конечно лицензионная закрытость (точнее ограниченность) как противоположность png, но и регулярные проблемы с безопасностью. Избегаю юзать гиф.

swwwfactory ★★
()
Ответ на: комментарий от shimon

«Срок действия последнего патента на GIF истёк 11 августа 2006 года.»

насчет гифа был не прав - стойкая паранойя))

что ты вебмастер, программист или сисадмин — забудь сейчас же.

Было дело.

swwwfactory ★★
()
Ответ на: комментарий от swwwfactory

«Срок действия последнего патента на GIF истёк 11 августа 2006 года.»

насчет гифа был не прав - стойкая паранойя))

Ггг, я тоже сразу же на вики полез)) Странно кстати что эпл не взялась запатентовать GIF повторно *trollface.gif*

soko1 ★★★★★
()
Ответ на: комментарий от nbw

В противостоянии с монополией MS (читай Госдепа и ФРС)

Ты бы полечился.

anonymous
()
Ответ на: комментарий от soko1

этот формат, если погуглить имеет регулярные проблемы с безопасностью (в большей степени анимированный (была вроде история, когда туда запихнули код - вантуз-проблемы)), так-же впрочем как jpeg - png с этим как-то получше, но тоже не идеален. На гиф все забили давно уже - но это благодатная почва для новых открытий. Еще есть svg - который только набирает популярность, там тоже запросто могут быть дыры.

Дело собственно не в гифе и сайтах - а в людях и применяемых технологиях. Мне думается, что взлом фри как-то косвенно связан с влиянием на них со стороны apple...

Странно кстати что эпл не взялась запатентовать GIF повторно *trollface.gif*

Действительно, запахло криокамерой - был уверен на 99%, что там патенты. Но еще не вечер, хотя гиф никому не нужен сейчас. Эпплу не та лошадка нужна - точнее ей эта лошадка не интересна. Патенты на все и вся до хорошего не доведут - это говорит лишь о том что потенциал новаторства иссякает. Но это для них не страшно - заработали столько, что хватит на ошибки. Соизмеримо с погашеним штрафов BP думаю))

swwwfactory ★★
()

Я правильно понял, что тут просто получили доступ к ключу одного из разработчиков, в отличие от нашумевшего взлома линукса, где кроме ключа удалось ещё и повысить привилегии до рута и установить несколько пакетов на сервер?

Кстати, кто-нибудь в курсе? Тот баг в линукс-ядре с повышением привилегий уже исправили, или решили просто не давать кому попало ssh-доступ на свои сервера и фактически приравняли «ssh-доступ» к «рутовому ssh-доступу»?

pv4 ★★
()
Ответ на: комментарий от swwwfactory

Как плохо что на ЛОРе нет личных сообщений. Зайди плиз на неправославный хабрахабр - я тебе (надеюсь) сообщение написал :) Или добавь меня плз в гталке, я там nullbsd.

Это сообщение удалю через пару минут, чтобы не засорять тред)

soko1 ★★★★★
()
Ответ на: комментарий от anonymous

Так будет с каждым кто до сих пор использует CVS.

С этой иглы тривиально не слезть.

swwwfactory ★★
()
Ответ на: комментарий от pv4

Тот баг в линукс-ядре с повышением привилегий уже исправили,

Какой «тот»? Эти баги каждый месяц находят, поэтому нефиг кому попало давать ssh-доступ.

Reset ★★★★★
()
Ответ на: комментарий от anonymous

А http://www.microsoft.com/ был когда-нибудь скомпроментирован?

Кстати не интересовался. Но сравнивать уровень администрирования не корректно. На kernel.org до инцидента не было даже оплачиваемых на полную ставку админов, не говоря уже о мониторинге 24/7.

Buy ★★★★★
()
Ответ на: комментарий от tazhate

Разве такое возможно? Стопроцентно надёжных систем не бывает, и быть не может(пока их пишут люди). Да и хорошие специалисты проводят взлом чисто, без следов. А эти наследили, значит не так уж они и круты...

lucentcode ★★★★★
()

Сервера OpenBSD не ломали ещё. Вот где стабильность и неуловимость!:)

Stalin ★★★★★
()
Ответ на: комментарий от nbw

Простите, не поверю. Не могут они все быть сплошь дизайнерами и проектировщиками. Просто виндоюзеры.

Я юрист, например. Но выбор венды на работе зависит совсем не от меня. Я бы с удовольствием сменил, ибо дома линукс с 2003, а с 2009 даже в дуалбуте не появляется, только в виртуалке. А с работы я тоже сюда хожу. Так что статистику порчу сайту, да. Но ничего не могу поделать.

another ★★★★★
()

все стихло - иду спать всем спасибо за интересную дискуссию

swwwfactory ★★
()
Ответ на: комментарий от renya

Зато представьте какой пиар! Какая реклама! :)

не то слово)) - нынче модно напоминать о себе таким способом.

Как в комедии «Василий Иваныч» - ...А ведь обокрали...

swwwfactory ★★
()

man 7 security в ОС FreeBSD

Спасибо ins3y3d за оперативное добавление новости.

С целью поддержания дискуссии добавляю несколько цитат из инструкции man 7 security :

  • Безопасность системы обеспечивается от начала и до конца системным администратором. Security is a function that begins and ends with the system administrator.
  • Системный администратор может наращивать защищенность системы до тех пор, пока возможно обеспечить комфортные условия работы для рядовых пользователей. Machines are only as secure as you make them, and security concerns are ever competing with the human necessity for convenience.
  • Безопасность системы лучше всего реализуется путем добавления дополнительных уровней защиты. Нужно создать столько уровней, сколько удобно для вас, а затем внимательно следить за системой с целью обнаружения вторжений. Security is best implemented through a layered onion approach. In a nutshell, what you want to do is to create as many layers of security as are convenient and then carefully monitor the system for intrusions.
  • Компрометация учетной записи пользователя системы встречается чаще, чем атака DoS. Внимательный системный администратор должен просматривать журнал удаленных сеансов с целью поиска источника подозрительного подключения, даже если данное подключение привело к успешному входу в систему. The attentive system administrator will analyze his remote access logs looking for suspicious source addresses even for successful logins.
  • Возможность использования атакующим учетной записи рядового пользователя не всегда обеспечивает ему доступ к аккаунту суперпользователя. Это важно, так как без использования привелегий «root» взломщик не может замести все следы своих действий и в крайнем случае ему удастся испортить файлы рядовых пользователей, либо вызвать сбой в работе компьютера. However, the reality is that in a well secured and maintained system, access to a user account does not necessarily give the attacker access to root. The distinction is important because without access to root the attacker cannot generally hide his tracks and may, at best, be able to do nothing more than mess with the user's files or crash the machine.
  • В процессе использования открытого и закрытого ключа совместно с SSH вы обязаны обеспечить базовую защищиту рабочей станции, со стороны которой произодится подключение. When you use a public/private key pair with SSH, you must generally secure the machine you are logging in from (typically your workstation).
  • Последний уровень защиты является, пожалуй самым важным - обнаружение вторжений в систему. Если администратору не удалось установить факт вторжения, остальные средства защиты могут оказаться бесполезными, даже придавать ему ложное ощущение безопасности. Уровни защиты обеспечивают затруднение и замедление действий атакующего, вместе с тем система обнаружения дает возможность поймать его с поличным. The last layer of your security onion is perhaps the most important - detection. The rest of your security is pretty much useless (or, worse, presents you with a false sense of safety) if you cannot detect potential incursions. Half the job of the onion is to slow down the attacker rather than stop him in order to give the detection layer a chance to catch him in the act.
  • Немного паранойи никогда не повредит :) A little paranoia never hurts.
Deleted
()
Ответ на: man 7 security в ОС FreeBSD от Deleted

добавляю несколько цитат из инструкции man 7 security :

документация супер и Ъ Получается, что они не дочитали собственные маны. Там все толково ведь расписано и показано как в армейском уставе.

Кстати, когда начинал с 4.х - первое что меня поразило во фре это качество и понятность документации. Жаль, что они отстали от линукса. На гит скорее надо переходить им (или уже перешли?).

swwwfactory ★★
()
Ответ на: drweb от anonymous

самое время доктор вэб для фряхи делать

Давно есть.

madcore ★★★★★
()
Ответ на: комментарий от swwwfactory

Сижу на генте.

Камрад, а у меня установщик Gentoo отказывается монтировать sda1 и sda2 — засим останавливается. Железо 1,5-годичной давности, нетбук на атоме. ЧЯДНТ?

Bagrov ★★★★★
()
Ответ на: комментарий от CYB3R

хехе

быстро, это когда два месяца сайт лежал?

по теме: решето

insider ★★★
()
Ответ на: комментарий от Bagrov

Камрад, а у меня установщик Gentoo отказывается монтировать

Что такое «установщик Gentoo»?

Присматривался я к Фре, но потом подумал: админских вакансий больше с Линуксом,

Какое отношение имеет твой локалхост к админским вакансиям?

madcore ★★★★★
()

если кому-то очень надо куда-то попасть, то его ничто не остановит вопрос времени

Deleted
()
Ответ на: комментарий от res2500

А то у них как-то не получалось пересадить народ на portsnap + freebsd-update + pkgNG.

ты не поверишь, использую эти три вещи, все работает

Ну, если тебе хватает - я рад.

А вот мне на еще не переведенном с фри как раз стандартные пакеты/ядро/мир не подходят.

В пакетах - опции сборки другие нужны (+патчи иногда), в ядре есть годами не пофикшенные вещи (с имеющимися патчами) + сторонние патчи + регрессии, из сборки мира кое-что исключаю тоже...

portsnap я еще как-нить пережую. А вот исходники буду с git-репозитариев, видимо, которых несколько имеют место быть.

sergv
()
Ответ на: комментарий от sergv

Fix (из теории заговора): Кто-то в команде FreeBSD решил всерьёз закопать CVSup.

Неправ я, однако:

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=6166 0 archive/2012/freebsd-secu...

Checks are being made, but CVS makes it slow work.

It's incredibly unlikely that there will be a problem, but the Project has to be cautious in recommendations.

sergv
()
Ответ на: комментарий от tazhate

Вот и все, а кто-то тут орал, что сервера на фряхе не ломали :)

Я у тебя заберу аттестат и не отдам, пока читать не научишься.

Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости.

IPR ★★★★★
()
Ответ на: комментарий от sergv

Fix (из теории заговора): Кто-то в команде FreeBSD решил всерьёз закопать CVSup.

Тоже об этом подумал в первую очередь. Очень уж подозрительно: сначала всех гнали с cvsup'а, теперь якобы что-то взломали и снова не используйте cvsup. Запугать нас решили. И блин, получилось :( Только как теперь получать дерево исходников? :(

IPR ★★★★★
()
Ответ на: комментарий от swwwfactory

Это надо проявить какое лошарство, чтобы увели ключи...

Балбес, это человеческий фактор. И такое было во всех проектах, включая линукс и виндоус.

Сверх-защищенная ос.

Балбес, учись читать. Никакой уязвимости нет.

IPR ★★★★★
()
Ответ на: комментарий от anonymous

А http://www.microsoft.com/ был когда-нибудь скомпроментирован?

Такого не помню, но знаю что Уиндоус 2000 случайно стала опен сорс.

IPR ★★★★★
()
Ответ на: комментарий от swwwfactory

Почитал твои сообщения в этом топике. Такого детского бреда и идиотизма давно не читал. Посмеялся.

IPR ★★★★★
()
Ответ на: комментарий от nbw

Как мило! Некропетросянище. А казался адекватным человеком...

Кто, он? Ты его сообщения почитай, - типичный пятизвёздочный дурачок всея лора.

IPR ★★★★★
()
Ответ на: комментарий от swwwfactory

Мне думается, что взлом фри как-то косвенно связан с влиянием на них со стороны apple...

Не думай больше, пожалуйста. И постарайся больше сюда не писать, пока не научишься отличать взлом от вторжения.

IPR ★★★★★
()
Ответ на: комментарий от AGUtilities

вот что нужно делать с устаревшим ПО - ломать! к sysvinit это тоже относится...

Ну да, его надо ломать. А новое - оно и без посторонней помощи падает =)

segfault ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.