LINUX.ORG.RU

Сайт дистрибутива Linux Mint был взломан, ISO скомпрометированы

 ,


1

3

Сайт Linux Mint был взломан, и Linux Mint ISO были модифицированы взломщиками. Если вы скачивали ISO образы с сайта Linux Mint 20 февраля, вам следует проверить их на оригинальность.

Сигнатуры файлов должны совпадать со следующими:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Что рекомендуется делать, если вы обнаружили у себя зараженный ISO (и уже установились с него):

  1. отключить компьютер от сети;
  2. скопировать любые персональные данные;
  3. переустановить OS с полным переформатированием раздела;
  4. поменять пароли от всех веб сайтов и почты.

>>> Подробности

★★

Проверено: JB ()
Последнее исправление: CYB3R (всего исправлений: 9)
Ответ на: комментарий от I-Love-Microsoft

Смотри: для любого алгоритма хэширования (Hash) есть некоторое множество исходных сообщений M для которых Hash(M) = SomeHash. Размер этого множества (в общем случае, справедливо как минимум для всех криптохэшей) зависит только от длинны хэша (величина константная для каждого алгоритма) и максимальной длинны сообщения. Чем короче хэш и больше допустимая длинна подложного сообщения тем больше существует таких сообщений для которых Hash(M) = SomeHash.
Следовательно количество в возможных фэйковых файлов дающих требуемый хэш растёт с увеличением допустимой длинны такого файла. Так-же растёт и число файлов дающих нужный хэш и при этом обладающих какими-то другими нужными нам свойствами.

Впрочем это всё справедливо скорее для сверического хэша в вакууме.

MrClon ★★★★★
()
Последнее исправление: MrClon (всего исправлений: 1)
Ответ на: комментарий от fornlr

- во-первых в данном случае поменяли линк на образ, а не сам образ и остальное на сайте
- во-вторых — уровень защиты (подписи/хеши и т. п.) чего бы то ни было зависит от самих разработчиков (может теперь минтовцы подумают над этим)
- и в-третьих — на каждое действие есть противодействие и тогда можно или забить на всякую безопасность (как многие, этого не понимая, и делают) или не пользоваться ничем, а самое разумное — просто следовать элементарным правилам безопасности, чтоб это вошло в привычку

amorpher ★★★★★
()

Какую ценность имеют хэш-суммы, опубликованные на сайте, если они могли быть изменены так же удачно, как и линки на образы?

tarabo
()
Ответ на: комментарий от Slackware_user

если кто-то не проверяет то это, мне кажется, недочет авторов хэндбука.

Mint

хэндбука

next next next finish

хэндбука

Понятно.

zezic ★★★★
()
Ответ на: комментарий от tarabo

хэш-суммы опубликованные в блоге, а не на сайте имеют ту ценность, что скорее всего взяты не со страницы взломанного сайта.

более того, эти же опублиокванные хэш-суммы легко сравниваются с таковыми на зеркалах, которые никак не пострадали.

grem ★★★★★
()
Ответ на: комментарий от zezic

next next next finish

ты не поверишь, но у OpenSBD, в общем случае, предлагается такой же вариант установки

4.5 - Performing a simple install

OpenBSD's installer is designed to install and configure OpenBSD in a very usable default configuration with very little user intervention. In fact, you can often just hit ENTER a number of times to get a good OpenBSD install, moving your hands to the rest of the keyboard only to enter the root password and to reboot at the end.

grem ★★★★★
()
Ответ на: комментарий от Deleted

Пусть попросят гентушников поставить им Hardened Gentoo на серверы.

Какая ламерская шутка с учётом того, что «ломанули» скорее всего через дыру гораздо более высокого уровня, допущенную разработчиками сайтика.

zezic ★★★★
()

Каждый день ломают сайты,

Каждый день находят дыры,

Что уже не удивляет.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)

«Также существуют догадки, что причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB»
А тут почему-то все про WordPress говорят. Хотя если ссылку поменяли не на форуме а на сайте то непонятно при-чём тут форум, ведь не от одного-же пользователя они работали?

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Да теория мне понятна, мне хотелось бы практику (самый образцовый и лучший пример), типа вот у XXX дистрибутива так и так круто сделано на этот счёт.

fornlr ★★★★★
()

Было бы интересно, если бы злоумышленник подменил сам md5sum в дистре. Чтобы было невозможно задетектить образ изнутри.

iamweasel
()
Ответ на: комментарий от fornlr

В этой теории от дистрибутива требуется только подписать ISO/чексуммы своим закрытым ключём, опубликовать свой открытый ключ, и постораться не дать скомпрометировать закрытый.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Облом, нет возможности скачать скомпрометированные iso ::(

Dron ★★★★★
()
Ответ на: комментарий от MrClon

у большей части так, в том числе и у минта.

у немногих остальных - подписаны сами iso

Slackware_user ★★★★★
()

Не удивлюсь, если просто ментейнеры Минт единственные, кто заметил взлом ISOшников:-)

anonymous
()
Ответ на: комментарий от fornlr

1) MD5 довольно не трудно «подделать» коллизией

Это совершенно неправильное утверждение. У MD5 легко найти коллизию, которая в данном случае для подделки ничем не поможет, но найти прообраз (в данном случае второй прообраз) все еще трудно.

trycatch ★★★
()

Пользуясь случаем, хочу передать привет всем обмазывающимся репами packman и rpmfusion, чтобы openSUSE и Fedora хоть как можно было пользоваться на десктопе :)

Продолжайте свято верить в то, что там все честно и стерильно. Свои для своих же делают, чО :)

gutaper ★★★★★
()
Ответ на: комментарий от fornlr

Не понял, к чему ты это? К тому, что неважно левацкие репы или официальные, все равно могут быть протроянены в оригинале у автора?

Если да, то понятное дело полностью тазиком зад не прикрыть. Но зачем добавлять дополнительную сущность, откуда могут поиметь?

gutaper ★★★★★
()

Сапожники без сапог. :)

slamd64 ★★★★★
()
Ответ на: комментарий от fornlr

А canonical предупреждала про несекурность минта.

А при чем тут сама ос? Думаю, причиной взлома стал движок форума Linux Mint, на котором использовалась уязвимая версия phpBB.

Odalist ★★★★★
()
Ответ на: комментарий от Twissel

Ждем подробностей.

Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подменена. Некоторые пользователи в комментариях отмечают расхождения контрольных сумм загруженных iso-файлов не только для Linux Mint 17.3 Cinnamon, но и для других редакций. Как объясняет Клемент Лефевр, все следы взлома ведут в Болгарию. И да, вот еще

Both lead to Sofia, Bulgaria, and the name of 3 people over there. We don’t know their roles in this, but if we ask for an investigation, this is where it will start.

Odalist ★★★★★
()
Последнее исправление: Odalist (всего исправлений: 1)

Совсем уже авторы троянов отчаялись - сколько там компов можно таким способом заразить? Рассылая письма счастья виндузятникам можно за 5 минут набрать, наверное.

ptarh ★★★★★
()

А мне вот интересно, кому это выгодно? Мамкинам хацкерам? Нет. Нужно копать по глубже. Неужели в этом замешенная волосатая рука Microsoft?

Odalist ★★★★★
()
Ответ на: комментарий от Slackware_user

Кто хранит ключи к исошникам у себя в гпг?

Их скачивают вместе с исошником и суммой. И проверяют исошник суммой, а сумму подписью.

AVL2 ★★★★★
()
Ответ на: комментарий от gutaper

хочу передать привет всем обмазывающимся репами packman и rpmfusion, чтобы openSUSE и Fedora хоть как можно было пользоваться на десктопе :)

там тоже подписи у пакетов и степень доверия не намного меньше (да, есть разница — обосраться компании или отдельному разработчику), а то что оно не в основных репах всё, это уже к руководству дистрибутивов вопросы и копирастам, законы которых действуют в тех странах где ведётся основная разработка данных дистрибутивов

Продолжайте свято верить в то, что там все честно и стерильно. Свои для своих же делают, чО :)

свято никто и ни во что не верит, а распространение ПО с помощью репозиториев есть максимальная форма в плане безопасности (привет setup.exe)

amorpher ★★★★★
()

Сайт упал.

anonymous
()
Ответ на: комментарий от gutaper

Но зачем добавлять дополнительную сущность, откуда могут поиметь?

затем:

чтобы openSUSE и Fedora хоть как можно было пользоваться на десктопе :)

amorpher ★★★★★
()
Ответ на: комментарий от Slackware_user

плюс этому господину. кто мешал спионерить и блог?

Это паранойя, злоумышленник написал бы что образ давно скомпрометирован, а не один день.

если этот ключ левый то личность в нем указанную надо живьем зарыть.

А, все с тобой ясно.

kwinto
()
Ответ на: комментарий от Odalist

А мне вот интересно, кому это выгодно? Мамкинам хацкерам? Нет.

скорее всего, каким-нибудь убунту-хейтерам или кому клем тот поднасрал

Нужно копать по глубже. Неужели в этом замешенная волосатая рука Microsoft?

наврядли, тогда уж касперским/нортонам и ко

amorpher ★★★★★
()
Ответ на: комментарий от amorpher

да, есть разница — обосраться компании или отдельному разработчику

Вот и я про это. Потому что обосрется компания - это репутация и прочее, что там важно для продаж. А обосрется кто-то на стороне - ну что, се ля ви и «никто никому ничего не должен». Поэтому и степень доверия все же не «не намного меньше».

вопросы и копирастам

Вот только из-за этого и сменил openSUSE на Debian. Невозможно пользоваться обрезками (вспомним кастрированный ktorrent). Жаль, что не ориентированы на массового потребителя. Запилили бы «неофициально официальный» реп и бед бы пользователи не знали.

gutaper ★★★★★
()
Ответ на: комментарий от amorpher

тогда уж касперским/нортонам и ко

Тоже вариант.

Odalist ★★★★★
()

Что ещё можно ожидать от сборки пересборки Дебиана? Такие дистрибутивы то что не нужны, а вредны.

filosof ★★
()
Ответ на: комментарий от fornlr

А можно вот для домохозяина объяснить, как должно быть в идеальном мире?

Образы отдаются только по https или торрент файлом, с каждым образом выкладывается отдельный файл с суммами, плюс отдельно pgp .sig файлы для файла с суммами и для образа. Публичные ключи раскидываются по нескольким центрам, публичный ключ таже дублируется на веб-сайте и гитхабе проекта. Когда скачиваешь образ, рядом написано мини how-to как проверить файл под разными ОС. Если уж идти совсем дальше можно еще озаботиться canary. А так из адекватного можно любо подписывать группой лиц, либо наоборот разрешить подписывать только автору проекта или отдельному специальному человеку.
А так все сводится к одному, если человек полностью забил на безопасность, нужно ему хотя-бы по https отдать.

anonymous_sama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.