Вандализм в Git-репозиторий проекта X.Org (виновник найден)

23.11.2010 19:10

В списке рассылки разработчиков X.Org разбирается странный инцидент, в результате которого неизвестный злоумышленник внес изменение в Git-репозиторий драйвера xf86-video-radeonhd, удалив одни файлы и заменив содержимое других на текст "It's dead, Jim". Наибольшее опасение вызывает факт, что владельцем файлов с информацией о коммите является пользователь root, а не непривилегированный пользователь, под которым обычно совершаются операции с Git-репозиторием. Подобная информация свидетельствует о том, что изменения были сделаны от лица пользователя, имеющего root-доступ к одному из серверов инфраструктуры X.Org.

Дополнительно можно отметить, что коммит сделан 2 ноября, но информация о коммите не была автоматически отправлена в соответствующий список рассылки (скрипт отправки был отключён). С учетом того, что драйвер radeonhd более активно не развивается, а усилия разработчиков сосредоточены на драйвере xf86-video-ati, изменение было обнаружено только сегодня. Мотивы человека, совершившего акт вандализма, пока не ясны; возможно, злоумышленник хотел таким шагом продемонстрировать незащищенность инфраструктуры freedesktop.org и привлечь внимание к необходимости повышения безопасности серверов проекта.

Не исключен также вариант, что действие было произведено одним из администраторов, имеющих root-доступ в силу своих обязанностей. Против версии со взломом указывает корректность оформления коммита.

Дополнение: Адам Джексон (Adam Jackson), один из основателей X.Org, работающий в компании Red Hat, сознался в содеянном, объяснив данный шаг непростительной эмоциональной выходкой, вызванной желанием простимулировать исправление Make-файлов другим разработчиком (изменение было внесено не в master-ветку radeonhd). Понимая, что доверие подорвано, виновник сам заблокировал себе root-доступ на сервер.

исправить +6 +/–

Главная ссылка к новости (http://www.phoronix.com/scan.p...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28745-xorg

Ключевые слова: xorg, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (57)

1.1, Аноним (-), 19:15, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Zed's dead, baby, zed's dead...

2.6, anonymus (?), 20:10, 23/11/2010 [^] [^^] [^^^] [ответить]	–2 +/–
Ну какбэ намекают ребятам что заканчивали издеваться над трупом и всей компанией шли пилить Wayland

2.16, anonymous (??), 21:25, 23/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
http://ru.wikipedia.org/wiki/Маккой,_Леонард

1.2, Аноним (-), 19:20, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+13 +/–
По пьяни кто-то из админов покуражился. :)

1.3, Аноним (-), 19:34, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
>В списке рассылки разработчиков X.Org разбирается странный инцидент Смело меняйте "странный" на "страшный"! :)

2.8, User294 (ok), 20:43, 23/11/2010 [^] [^^] [^^^] [ответить]

–5 +/–

> Смело меняйте "странный" на "страшный"! :)

Жить вообще страшно. Например, вы только представьте себе, никто не гарантирует вам что вас завтра не задавит камаз, что с крыши не свалится кирпич, что вы не провалитесь в колодец с кипятком и прочая. Так что не щелкайте клювами - жизнь полна сюрпризов! И даже за пределами GIT репов :)

3.29, EuPhobos (ok), 07:50, 24/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
> что с крыши не свалится кирпич Кирпич с крыши уже не модно, сейчас в моде у молокососов колёсами убивать http://www.youtube.com/watch?v=8tanonVftZk

4.30, Лоботряс (?), 08:15, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
печальный случай.

4.36, User294 (ok), 14:28, 24/11/2010 [^] [^^] [^^^] [ответить]

+/–

> Кирпич с крыши уже не модно,

Да, нынче в моде литрбол. Пустые бутылки ессно летят прямо из окна. И никого не волнует - идете вы там или нет. Сами свою черепушку берегите, фигли. А кирпичи в случае древних домов могут отвалиться в силу более естественных причин. В том числе и на вашу черепушку, опять же.

К чему это я? Да к тому что неплохо бы смотреть куда прешься и что получаешь. Если вы из гита что-то получаете и вдруг видите что поменялось эн файлов - хорошо бы чтобы вы еще и понимали "а нафига эти файлы поменяли?". Ну или нафига бы вы из гита что-то сливаете вообще?

2.52, Andrey Mitrofanov (?), 10:53, 25/11/2010 [^] [^^] [^^^] [ответить]

+/–

>>В списке рассылки разработчиков X.Org разбирается странный инцидент
> Смело меняйте "странный" на "страшный"! :)

Не-а. Меняйте на "всем пофиг".

В git-е все файлы числятся по SHA1 _сжатого содержимого. Пусть енти "кульхацкеры" сначала позаботятся о том, чтобы _размер_ (хотя нет, он уже внутри объекта, вроде, хранится...) & SHA1 _сжатого_ файла (объекта git, если точнее) совпал с оригиналом, пото-о-ом уж можно пугаться. И да, все в курсе, что SHA1 был-типа взломан, но для данного случая его более чем достаточно.

1.4, xxx (??), 19:47, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
>Злоумышленники внесли изменение в Git-репозиторий проекта X.Org Уууу, так давно уже, они там каждый день что-то вносят.

1.7, pavlinux (ok), 20:23, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> "It's dead, Jim" http://www.youtube.com/watch?v=y7Yp2L6c2KM&feature=related

1.9, rm_ (ok), 20:44, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Вспоминающие какого-то Zed'а, вы что, не знаете что эта фраза сама по себе мем? https://encrypted.google.com/search?q=It%27s+dead,+Jim

2.11, анон (?), 21:06, 23/11/2010 [^] [^^] [^^^] [ответить]	–3 +/–
У америкосов совершенно нет вкуса. Цитаты из фантастического телемыла - уровень средней школы. Так что пусть лучше будет Zed - он доставляет.

2.21, анонимус (??), 01:47, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
А еще есть футболки с зомби-Споком. Весьма забавные. навроде http://www.thinkgeek.com/tshirts-apparel/unisex/popculture/d00d/

1.10, гы (?), 20:45, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ну, hooks/post-commit надо мониторить tripware ....... стандартная ошибка

2.13, paxuser (ok), 21:12, 23/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Ну, hooks/post-commit надо мониторить tripware ....... > стандартная ошибка А полагаться на tripwire для защиты от взломщика с root-доступом - это...

3.18, Петрович (?), 22:19, 23/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Видимо вы не знаете, что такое tripwire... в общем-то, это одно из основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.

4.22, paxuser (ok), 01:56, 24/11/2010 [^] [^^] [^^^] [ответить]

–1 +/–

> Видимо вы не знаете, что такое tripwire... в общем-то, это одно из

Ну конечно, куда мне...

> основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.

Tripwire и аналоги полезны для "холодного" анализа данных на заведомо чистой системе. В остальных случаях есть масса "но".

5.32, ххх (?), 10:51, 24/11/2010 [^] [^^] [^^^] [ответить]	+2 +/–
может сразу и объясните тогда страждующим что за масса "но"?

6.39, paxuser (ok), 18:15, 24/11/2010 [^] [^^] [^^^] [ответить]

+1 +/–

Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как.

Если получать файлы с сервера (например, через git или сетевую ФС), взломщик может организовать условную передачу разных файлов по одним и тем же URI на своё усмотрение.

Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков).

Махинации с часто изменяемыми файлами, не подлежащими контролю целостности, тоже возможны на уровне хранилища того же git, и нет никаких гарантий, что такие изменения заметит кто-либо из разработчиков, поскольку они обновляют свои репо на основании истории последних изменений, и если взломщик изменил старые файлы, они уйдут только в новые клоны и релизные архивы, собранные из нового клона или из основного скомпрометированного репозитория - то есть, к конечным пользователям в том числе.

7.44, ананим (?), 19:43, 24/11/2010 [^] [^^] [^^^] [ответить]	–1 +/–
в общем написать "был не прав" вам было бы гораздо короче. а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам), руткита не было (а от них есть и другие средства), взлома, подмены или воровства ключей тоже.

8.47, paxuser (ok), 21:19, 24/11/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Короче, но неправда Вы либо невнимательно читали, что я написал, либо не поняли... текст свёрнут, показать

9.53, ананим (?), 10:54, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
правда которые не имееют отношения к разговору, и которые не мешают использоват... текст свёрнут, показать

10.54, paxuser (ok), 17:38, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
Я свою точку зрения аргументировал Есть возражения - излагайте по существу То ... текст свёрнут, показать

11.58, ананим (?), 01:12, 26/11/2010 [^] [^^] [^^^] [ответить]	+/–
уже изложил ... текст свёрнут, показать

12.59, paxuser (ok), 01:58, 26/11/2010 [^] [^^] [^^^] [ответить]	+/–
Зеваю Вы изложили описание отдельно взятого случая, который ничему из мною с... текст свёрнут, показать

7.46, Полностью Анонимный Аноним (?), 21:05, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков). и чем тогда проверять целостность системы???? если не tripwire или его аналогами

8.48, paxuser (ok), 21:30, 24/11/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Можно и tripwire проверять, в надежде, что взломщик упустит это из виду и обнару... текст свёрнут, показать

9.49, Полностью Анонимный Аноним (?), 00:01, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
Это и так ясно из Если проверять целостность файлов прямо на сервере, то резуль... текст свёрнут, показать

10.50, paxuser (ok), 01:39, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
Чтобы надёжно, на живой системе и в условиях её компрометации - ничем Даже суще... текст свёрнут, показать

11.51, Michael Shigorin (ok), 10:30, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы... текст свёрнут, показать

12.56, Полностью Анонимный Аноним (?), 21:55, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
посмотрел исходники osec, открывается каждый из проверяемых файлов при помощи op... текст свёрнут, показать

13.57, paxuser (ok), 21:59, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
Потому что сфера применения tripwire и вообще проверки целостности данных на жив... текст свёрнут, показать

11.55, Полностью Анонимный Аноним (?), 21:00, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
интересно было бы узнать, что используют крупные компании для которых очень важн... текст свёрнут, показать

1.12, Аноним (-), 21:07, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В том, что безопасности и контроля много не бывает, в который раз убедились и разработчики X.Org.

2.14, paxuser (ok), 21:18, 23/11/2010 [^] [^^] [^^^] [ответить]	+/–
> В том, что безопасности и контроля много не бывает, в который раз > убедились и разработчики X.Org. Думаю, что не убедились. Кто-то заменил одни файлы на другие, безобидные. Вред нанесён минимальный, демонстрация слабости защиты неубедительна. Подобные и даже более серьёзные инциденты уже случались в истории других проектов, и никаких существенных предупредительных мер принято не было.

3.23, Аноним (-), 02:23, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
Если принятые меры широко не анонсировались, то не факт, что они не были приняты. Меня каждый раз обуревает паранойя на неделю, когда появляются малейшие подозрения на получение сколь-либо серьезных привилегий на рабочих серверах.

4.24, paxuser (ok), 02:41, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Если принятые меры широко не анонсировались, то не факт, что они не > были приняты. Не факт, но прецеденты уверенности не вселяют. Например, после взлома сервера с репозиторием OpenBSD какие-то адекватные меры, возможно, были приняты без анонсов - тут сказать сложно. А вот когда в репозитории RHEL появились пакеты OpenSSH с трояном, и ключи для подписи обновлены не были, то и без анонсов всё ясно.

5.37, User294 (ok), 14:30, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
Много слов а развязка оказалась проще. И, кстати, как вы себе представляете защиту от легитимного рута? oO

6.40, paxuser (ok), 18:26, 24/11/2010 [^] [^^] [^^^] [ответить]

+/–

> Много слов а развязка оказалась проще. И, кстати, как вы себе представляете

Развязка чего? Инцидента на fd.o, о причинах и деталях которого я не спекулировал? Или упомянутых инцидентов с RHEL и OpenBSD?

> защиту от легитимного рута? oO

А вот кстати хорошо представляю. SELinux и RBAC в Grsecurity (а также другие системы, с которыми я не знаком) позволяют произвольно ограничивать рута в правах до вторичной авторизации в MAC-системе. В случае с Grsecurity и PaX, даже ядро может быть неплохо защищено от взломщика с частичным доступом к привилегированным code paths.

3.28, vkni (?), 07:25, 24/11/2010 [^] [^^] [^^^] [ответить]	–1 +/–
> Думаю, что не убедились. Кто-то заменил одни файлы на другие, безобидные. Вред > нанесён минимальный, демонстрация слабости защиты неубедительна. Представьте, кто-нибудь сделал что-то подобное с Виндами. А ведь Хы всего лишь раз в 50 менее распространены, чем WinXP.

4.33, Аноним (-), 11:03, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Представьте, кто-нибудь сделал что-то подобное с Виндами. Фишка в том, что мы об этом вряд ли узнаем.

5.42, Vkni (?), 18:49, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Фишка в том, что мы об этом вряд ли узнаем. Зато когда подобное узнаём, все неделю на ушах стоят!

5.43, Vkni (?), 18:50, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Фишка в том, что мы об этом вряд ли узнаем. Если мне память неизменяет, уже подобное в СМИ просачивалось. Лет 5-10 назад.

2.15, 568756784 (?), 21:20, 23/11/2010 [^] [^^] [^^^] [ответить]	+/–
бывает, и очень часто. другое дело, что ТОЛКУ от безопасности и контроля много не бывает, это да...

1.17, Anixx (?), 21:55, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А что, там можно делать коммиты, не подписываясь?

2.19, Аноним (-), 22:36, 23/11/2010 [^] [^^] [^^^] [ответить]	–1 +/–
от рута можно все

1.20, Сергей (??), 23:37, 23/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А вот что именно сделал этот нехороший человек, почему то умалчивается...

1.25, Вася (??), 03:50, 24/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Какой то детский лепет "неизвестный злоумышленник внес изменение". У них что там пароль root-а кроме admin-а знает еще кто-то ?

2.26, анонимм (?), 04:38, 24/11/2010 [^] [^^] [^^^] [ответить]

+7 +/–

>У них что там пароль root-а кроме admin-а знает еще кто-то ?

Да, хакер.
Взламывает сервера, портит документы, ворует сигареты и мочится мимо унитаза.

2.27, vkni (?), 07:23, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Какой то детский лепет "неизвестный злоумышленник внес изменение". У них что там > пароль root-а кроме admin-а знает еще кто-то ? Судя по тому, что этот кадр якобы заблокировал себе доступ - наверняка остался кто-то с паролем root'а. В общем, история феерическая, несколько объясняющая то, что творится с Хами.

3.31, mcdebugger (ok), 10:14, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
А может там ключики? :)

4.41, Vkni (?), 18:48, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
А какая разница? Всё равно несколько человек могут зайти под root. ;-)

1.35, Аноним (-), 13:12, 24/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
adam jaxon это крутой чувак. неожиданно.. походу перекурил или перепил.

1.38, Wormik (ok), 16:19, 24/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ну и кто там врал что иксы не развиваются? Все развивается, и регулярно появляются новые версии

2.45, Анонимукс (?), 20:24, 24/11/2010 [^] [^^] [^^^] [ответить]	+/–
Да уж, развивается :) Исходников в три раза больше чем в ядре линукса, по сути это уже стала этакая "операционная система" - девайсы вон детектит например. Параллельно с ядром. Ну мешают они друг другу иногда, что поделаешь, пустяки, не правда ли? Закапывать пора, оно уже никуда не ползёт...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: