Сайт дистрибутива Linux Mint был взломан, ISO скомпрометированы

1

3

Сайт Linux Mint был взломан, и Linux Mint ISO были модифицированы взломщиками. Если вы скачивали ISO образы с сайта Linux Mint 20 февраля, вам следует проверить их на оригинальность.

Сигнатуры файлов должны совпадать со следующими:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Что рекомендуется делать, если вы обнаружили у себя зараженный ISO (и уже установились с него):

отключить компьютер от сети;
скопировать любые персональные данные;
переустановить OS с полным переформатированием раздела;
поменять пароли от всех веб сайтов и почты.

>>> Подробности

Ссылка

←	Wine 1.9.4

Уязвимость в Linux, позволяющая выполнить произвольный код с USB устройства

→

← 1 2 3 4 5 6 →

А почему для таких вещей не делают цифровую подпись, кто в курсе?

~~arturpub~~ ★★
(21.02.16 14:11:35 MSK)

Ответ на: комментарий от arturpub 21.02.16 14:11:35 MSK

Потому что дистрибутив для домохозяек.

HeipaVai1o ★
(21.02.16 14:20:11 MSK)

Ссылка

А canonical предупреждала про несекурность минта.

Когда пионеры делают свой болген ОС - не стоит ждать чего-то хорошего.

fornlr ★★★★★
(21.02.16 14:23:10 MSK)
Последнее исправление: fornlr 21.02.16 14:23:26 MSK (всего исправлений: 1)

Ответ на: комментарий от fornlr 21.02.16 14:23:10 MSK

А canonical предупреждала про несекурность минта.

Опять ты, поняшка, пофлудить пришла? При чём тут Минт, когда взломан его сайт?

Sunderland93 ★★★★★
(21.02.16 14:26:40 MSK)

у Slackware образы подписаны, у Scientific подписаны SHA образов. у gentoo вообще все что только можно подписано.

здесь что характерно тоже подписанные SHA. если кто-то не проверяет то это, мне кажется, недочет авторов хэндбука.

Slackware_user ★★★★★
(21.02.16 14:29:17 MSK)

Неважная новость.

Ждем подробностей.

~~Twissel~~ ★★★★★
(21.02.16 14:29:23 MSK)

яндекс:

46b8a14826a53f4cacf56d1132a5184c2132f274aef8103e5e8e8cae9e1cfde0  linuxmint-17.3-cinnamon-32bit.iso
854d0cfaa9139a898c2a22aa505b919ddde34f93b04a831b3f030ffe4e25a8e3  linuxmint-17.3-cinnamon-64bit.iso
506a8e88c83cddc7fadd2b7c5bf25b7e6a15f028e1628004dcd6470084430f17  linuxmint-17.3-mate-32bit.iso
d02bfaae749db966778276a8ae364843c1ffb37b3e1990c205f938bda367ad2a  linuxmint-17.3-mate-64bit.iso
e61ed8f5df9283e86926fb7c414f36f7649ce716517093807a193aaf7d396bb8  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
c149f3f57275e5d64bf0401d12eff5d021b92688dbd21cdbb4111cb3415eda17  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
ba6c4f3e70929f3e90d03fb3063892085b7a0e829579dc0f48723e94a2bc6570  linuxmint-17.3-mate-nocodecs-32bit.iso
71604ef7479855213ae044e4c896f38249ea4bc567f0013bd0157080f3130941  linuxmint-17.3-mate-nocodecs-64bit.iso
48d82518a73962f9b5d9d61383a90132b64ee6fa489a67547468c136c8a27bfd  linuxmint-17.3-cinnamon-oem-64bit.iso
694bf952d68eb5a69560a756e578d85531be1498b08dd30aee6919c9139a7434  linuxmint-17.3-mate-oem-64bit.iso
be64bf240a47df03fedca1b8aeb9357896e3dedd55446a0f87eca4f638c9d28c  linuxmint-17.3-kde-32bit.iso
aa33bf286e92556163c335b258fe5cbd9f65f4ab8490e277fed94cf20d3920e4  linuxmint-17.3-kde-64bit.iso
cebff34e99b071d7237d2cfd2e24719f5a72e9e499a82d424007e850befc755b  linuxmint-17.3-xfce-32bit.iso
83c1796a37582bdea74117193cef369582d72093fd0b5278ae03016bd8685b04  linuxmint-17.3-xfce-64bit.iso

ща буду проверять подпись

Slackware_user ★★★★★
(21.02.16 14:32:32 MSK)

Ответ на: комментарий от Slackware_user 21.02.16 14:29:17 MSK

Всё это может быть подписано стотыщмильёном ключей стотыщмильённой разрядности, если никто не проверяет что скачал, какая от этого польза?

Deleted
(21.02.16 14:34:41 MSK)

Ответ на: комментарий от fornlr 21.02.16 14:23:10 MSK

На каком основании из несекюрности хостинга выводится несекюрность постороннего для хостинга софта(в данном случае дистра)?? Не стоит вот так прямо позорить себя.

FeyFre ★★★★
(21.02.16 14:35:51 MSK)

Мде. Ну хоть оповестили и то хорошо. Интересно, кому и зачем нужно было взламывать сайт linux mint?

karton1 ★★★★★
(21.02.16 14:36:15 MSK)

Отключить компьютер от сети

А если ноутбук, то аккумулятор вытащить или не надо?

batekman ★★★
(21.02.16 14:37:25 MSK)

Ссылка

Ответ на: комментарий от Deleted 21.02.16 14:34:41 MSK

глянь новость. там суммы другие.

Slackware_user ★★★★★
(21.02.16 14:38:20 MSK)

Ссылка

Ответ на: комментарий от Deleted 21.02.16 14:34:41 MSK

Если я сверяю лишь MD5 образов то я у мамы хакир или типичный ламер? Является ли это достаточным условием безопасности если ломанули офсайт?

I-Love-Microsoft ★★★★★
(21.02.16 14:40:16 MSK)

Ответ на: комментарий от FeyFre 21.02.16 14:35:51 MSK

из несекюрности хостинга

Звучит как переваливание вины на хостера - это не верно. А сайт им не инопланетяне делали.

выводится

Заявление canonical (и вполне обоснованные) были по поводу секурной политики самого дистрибутива. Но как говорится, если у хозяина бардак в одном месте, то вряд-ли стоит ожидать порядка в других местах.

fornlr ★★★★★
(21.02.16 14:40:36 MSK)

Ссылка

Ответ на: комментарий от I-Love-Microsoft 21.02.16 14:40:16 MSK

Если я сверяю лишь MD5 образов то я у мамы хакир или типичный ламер? Является ли это достаточным условием безопасности если ломанули офсайт?

1) MD5 довольно не трудно «подделать» коллизией

2) а MD5 с взломанного оф сайта брать и сверять? :D

fornlr ★★★★★
(21.02.16 14:42:28 MSK)

Ответ на: комментарий от fornlr 21.02.16 14:42:28 MSK

а MD5 с взломанного оф сайта брать и сверять

Ну я как раз про это и говорю ;)

I-Love-Microsoft ★★★★★
(21.02.16 14:43:27 MSK)

Ссылка

Ответ на: комментарий от Slackware_user 21.02.16 14:29:17 MSK

Какой хэндбук, окстись. Это Mint, он позиционируется как ещё более убунтовый чем сама убунта.

MrClon ★★★★★
(21.02.16 14:44:53 MSK)

Ссылка

Ответ на: комментарий от fornlr 21.02.16 14:42:28 MSK

1) MD5 довольно не трудно «подделать» коллизией

Вообще-то всё-ещё довольно трудно (особенно если тебе нужно получить какой-то полезный бинарник, а не кусок мусора с тем-же хэшем). Но всё-же возможно, и этой возможности достаточно что-бы отвыкать его использовать.

MrClon ★★★★★
(21.02.16 14:48:01 MSK)

Ответ на: комментарий от Slackware_user 21.02.16 14:29:17 MSK

у Slackware образы подписаны, у Scientific подписаны SHA образов. у gentoo вообще все что только можно подписано.

с какого это является подписью? Без закрытого ключа это же просто хэш сумма от файла

fornlr ★★★★★
(21.02.16 14:50:29 MSK)
Последнее исправление: fornlr 21.02.16 14:52:17 MSK (всего исправлений: 1)

Ссылка

на stackoverflow висит вопрос че делать с ключиком.

http://stackoverflow.com/questions/33598679/invalid-signature-when-apt-get-update/33987138

мне кажется или взлом был в ноябре?

Slackware_user ★★★★★
(21.02.16 14:50:32 MSK)

И судя по адресу absentvodka.com, 7 из 10 это были наши приколисты.

Deleted
(21.02.16 14:53:04 MSK)

Ответ на: комментарий от Slackware_user 21.02.16 14:50:32 MSK

и между прочим, какого рожна это мини-новость?

Slackware_user ★★★★★
(21.02.16 14:54:06 MSK)

Ответ на: комментарий от fornlr 21.02.16 14:42:28 MSK

1) MD5 довольно не трудно «подделать» коллизией

Если я правильно помню, найти коллизию для заданного хэша очень трудно, особенно чтобы получился валидный ISO.

Но, конечно, если взломщики могли заменить саму страницу, то они могли опубликовать и свои собственные суммы.

proud_anon ★★★★★
(21.02.16 14:55:21 MSK)

Побег мышек с тонущего корабля

bookman900 ★★★★★
(21.02.16 14:56:17 MSK)

Ссылка

Ответ на: комментарий от proud_anon 21.02.16 14:55:21 MSK

особенно чтобы получился валидный ISO

В ISO есть возможность типа NOPов в исполняемых бинарниках?

fornlr ★★★★★
(21.02.16 14:56:34 MSK)

Ответ на: комментарий от proud_anon 21.02.16 14:55:21 MSK

суммы подписаны левым ключем. это они и сделали. вопрос тока почему дистроклепатели с ноября молча сидели

Slackware_user ★★★★★
(21.02.16 14:57:37 MSK)

Ответ на: комментарий от MrClon 21.02.16 14:48:01 MSK

Да, важная деталь: можно ухитриться сделать некий файл того же размера с мусором и с идентичным MD5. Но можно ли лихо подменить какой-то бинарь и чтобы это была та же убунта с подлянкой но тем же размером файла? А если дописать последовательность в конец ISO-файла и немного увеличить размер но MD5 будет подходить - этого добиться можно?

I-Love-Microsoft ★★★★★
(21.02.16 14:58:41 MSK)

Ответ на: комментарий от fornlr 21.02.16 14:56:34 MSK

Могу ошибаться, но вроде если в конец ISO дописать мусор он может оказаться валидным? N байт исходный ISO который работает, а после N байт добавить K байт мусора или данных.

I-Love-Microsoft ★★★★★
(21.02.16 14:59:59 MSK)
Последнее исправление: I-Love-Microsoft 21.02.16 15:00:56 MSK (всего исправлений: 1)

Ответ на: комментарий от fornlr 21.02.16 14:23:10 MSK

Когда пионеры делают свой болген ОС - не стоит ждать чего-то хорошего.

Эти пионеры делают единственный пригодный для использования незадротом дистр и «человечная» убунта нервно курит в сторонке, судя по статистике.

~~Alve~~ ★★★★★
(21.02.16 15:00:19 MSK)

Ответ на: комментарий от Slackware_user 21.02.16 14:54:06 MSK

и между прочим, какого рожна это мини-новость?

Потому что и не такое ломали. :)

Vinni_Pooh ★★★★★
(21.02.16 15:01:21 MSK)

Ответ на: комментарий от Vinni_Pooh 21.02.16 15:01:21 MSK

ну я на своей памяти не припомню такого эпика.

Slackware_user ★★★★★
(21.02.16 15:04:03 MSK)

Ответ на: комментарий от I-Love-Microsoft 21.02.16 14:40:16 MSK

Да не в умамыхакерстве дело. Есть минимальные средства подтверждения достоверности и ими никто не пользуется. И из тех кто скачал, большая часть может никогда не узнать что у них «крякнутая» версия.

Deleted
(21.02.16 15:06:43 MSK)

Ссылка

Пусть попросят гентушников поставить им Hardened Gentoo на серверы.

Deleted
(21.02.16 15:08:15 MSK)

Ответ на: комментарий от Slackware_user 21.02.16 14:57:37 MSK

Не понял тебя. С ноября левым ключом подписано? Т.е. образы на протяжении какого-то времени компрометировались регулярно? или что? В новости вроде как речь про конкретную дату.

xxblx ★★★
(21.02.16 15:08:16 MSK)
Последнее исправление: xxblx 21.02.16 15:09:09 MSK (всего исправлений: 1)

Ответ на: комментарий от xxblx 21.02.16 15:08:16 MSK

в ноябре появился ключ которым сейчас подписано то что лежит на яндексе.

если этот ключ левый то личность в нем указанную надо живьем зарыть.

Slackware_user ★★★★★
(21.02.16 15:11:45 MSK)

Ссылка

Ответ на: комментарий от Sunderland93 21.02.16 14:26:40 MSK

При чём тут Минт, когда взломан его сайт?

а сайтик на чем крутился?

gray ★★★★★
(21.02.16 15:11:49 MSK)

Суть не совсем в этом:. Сайт был взломан и произведена подмена ссылок на скачивание образов. Таким образом, на самом сайте c iso ничего не случилось, но пользователям скачивающим их определённым образом подсовывалась ссылка на модифицированные iso, расположенные на другом ресурсе.

grem ★★★★★
(21.02.16 15:17:29 MSK)

Ссылка

Ответ на: комментарий от fornlr 21.02.16 14:56:34 MSK

В ISO есть возможность типа NOPов в исполняемых бинарниках?

Ну можно сделать в ISO некий файл, в который записывать произвольные данные, и который ничем использоваться не будет.

Но всё равно, нахождение прообраза по хэшу для MD5 — произвольного прообраза, случайного файла, какой получится — если верить английской Википедии имеет сложность 2¹²³. А тебе нужен ISO-файл.

proud_anon ★★★★★
(21.02.16 15:18:17 MSK)

Ссылка

Ответ на: комментарий от Slackware_user 21.02.16 14:57:37 MSK

суммы подписаны левым ключем. это они и сделали. вопрос тока почему дистроклепатели с ноября молча сидели

Насколько я понимаю, эту другая атака. Или просто в тот раз Клемент Лефебр прозевал истечение срока действия своего ключа. Образы ISO ведь не подписаны никаким ключом.

proud_anon ★★★★★
(21.02.16 15:20:06 MSK)
Последнее исправление: proud_anon 21.02.16 15:20:47 MSK (всего исправлений: 1)