| |
| |
| 3.239, Щекн Итрч (ok), 12:25, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Настоящему коту и в декабре - март ;)
Чем раньше, тем лучше.
Если бы не бразильские братья (а это зверьё ещё то!) я бы так лаптем щи и хлебал бы.
А взломщики меня взбодрили и мотивировали.
И на «кернеле» теперь отработают систему восстановления после взлома и вообще.
| | |
| |
| 4.275, Аноним (-), 20:08, 02/09/2011 [^] [^^] [^^^] [ответить] | –2 +/– | Интересно, почему вы решили что ваши проблем с хлебанием щей волнуют кого-то кро... большой текст свёрнут, показать | | |
| |
| 5.289, Аноним (-), 15:27, 03/09/2011 [^] [^^] [^^^] [ответить] | +/– | Git так устроен что там очень сложно подделать что либо задним числом У всех ес... большой текст свёрнут, показать | | |
| |
| 6.290, Щекн Итрч (ok), 17:55, 03/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>> Git так устроен что там очень сложно подделать...
А при чем тут Git, дорогой агрессивный и малопочтенный собеседник?
Бэкдор это бэкдор.
Или, если Git так неуязвим, пусть бэкдоры остаются? Не жалко, типа? :) :) :)
И технология восстановления системы, не репов, раздающих код, а собственно, системы, на которой Git крутится, не нужна?
| | |
| |
| 7.293, Аноним (-), 06:47, 04/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>> Git так устроен что там очень сложно подделать...
> А при чем тут Git, дорогой агрессивный и малопочтенный собеседник?
> Бэкдор это бэкдор.
> Или, если Git так неуязвим, пусть бэкдоры остаются? Не жалко, типа? :)
> :) :)
> И технология восстановления системы, не репов, раздающих код, а собственно, системы, на
> которой Git крутится, не нужна?
Ты почитай хоть какой кусок текст я процитировал прежде, чем ответ я написал
| | |
| 7.298, Аноним (-), 15:49, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А при чем тут Git, дорогой агрессивный и малопочтенный собеседник?
Какой эпичный набор взаимоисключающих параграфов.
А git тут при том что на kernel.org кроме ядер в гитах - брать толком нечего.
> Бэкдор это бэкдор.
А Капитан это Капитан.
> Или, если Git так неуязвим, пусть бэкдоры остаются? Не жалко, типа? :) :) :)
Так написано же что будет сделан реинсталл.
> И технология восстановления системы, не репов, раздающих код, а собственно, системы, на
> которой Git крутится, не нужна?
Всем давно известна - реинсталл под ноль назывется.
| | |
|
|
|
|
|
|
| 1.2, Wormik (ok), 09:12, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
 Троянское ПО? У разработчика Linux?! Кто-нибудь знает, Касперский для Linux на том же уровне, что и для Windows?
| | |
| |
| 2.10, sndev (ok), 09:33, 01/09/2011 [^] [^^] [^^^] [ответить]
| +11 +/– |
 Может просто не факт, что он подключался с линуховой машины на момент атаки ?
Ну там с лаптопа любимой жены, или еще лучше блондинки любофницы :)
Касперский на том же уровне - это в смысле, что пользоваться системой невозможно ? :)
| | |
| |
| |
| 4.84, sndev (ok), 12:46, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
угу. давно. Лет 10, как минимум, назад. Просто он мне напаркуа не сдался.
| | |
| 4.85, anonymous (??), 12:47, 01/09/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
 > а вы давно касперским пользовались?
не ставится, зараза, под вайном. давно.
| | |
| 4.103, filosofem (ok), 14:06, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >а вы давно касперским пользовались?
Знаю множество несчастных, которым его впарили. Подтверждаю, даже чистая система становится неюзабильной и часто вообще не загружается.
| | |
| |
| 5.184, Аноним (-), 22:23, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Знаю множество несчастных, которым его впарили. Подтверждаю, даже чистая система становится
> неюзабильной и часто вообще не загружается.
Кроме того, его методы защиты являют собой самый обычный руткит, который и защищает антивирус от удаления. Проблема только в том что немелкая блобятина с полномочиями руткита и автоапдейтом в моей операционке душу как-то совсем не греет. Спасибо за такую защиту, конечно, но я лучше пешком постою. А какие у меня основания доверять большому блобу с правами руткита?
| | |
| |
| 6.288, stimpack (?), 09:14, 03/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
Еще оно в грязных вещах хозяина копается без угрызений совести.
поймал гада за руку на принудительной кривой и нахер не нужной перекодировке символов у юзера пришедшего через почтовый клиент html-письма. Видимо, готовил report для отсылки в центральную базу и сразу правил-резал на живом письме. Или просто баловался, надувал щеки и симбурде.
| | |
|
|
|
|
| 2.83, BratSinot (?), 12:29, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А что такого? Трояны и черви есть на любой ОС, просто в *nix сложность в правах доступа.
| | |
| |
| 3.87, Аноним (-), 12:51, 01/09/2011 [^] [^^] [^^^] [ответить]
| +4 +/– |
Скорее в том что просто выложить их на варезник - недостаточно для скачки и запуска юзерами. А убедить майнтайнеров добавить в репы троян - задачка нетривиальная.
| | |
| |
| 4.126, brother anon (?), 15:11, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Скорее в том, что десктопный линукс это неуловимый Джо.
Будет популярность будет и "rpm бесплатно скачать ильхам зюлькорнеев".
| | |
| |
| 5.188, Аноним (-), 22:27, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Будет популярность будет и "rpm бесплатно скачать ильхам зюлькорнеев".
В паре с инструкцией как инстальнуть gpg ключ или форсануть инсталл недоверяемого пакета, да? И какой процент хомяков это осилит? :)
А тот кто это осилит - скорее такой файл отощлет антивирусникам + зарепортит сайт с малварью и браузеры начнут дико выть еще при входе на оный. При том большая красная табличка надежно отпугивает даже полного хомяка :)
| | |
| |
| 6.240, brother anon (?), 12:32, 02/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В паре с инструкцией как инстальнуть gpg ключ или форсануть инсталл недоверяемого
> пакета, да? И какой процент хомяков это осилит? :)
А какие проблемы? Мы же о user-friendly дистрибутивах говорим, правда?
Вот возьмем например дружественную пользователю opensuse.
В ней есть one click install: пользователь скачивает специальный файлик в котором написано из какого репозитория и какой пакет надо установить. Если репозиторий ещё не подключён он подключается, в этом случае система спрашиват у пользователя надо доверять этому репо.
Как думаешь нажмёт ли хомячок кнопку "Да"?
| | |
| |
| 7.281, Аноним (-), 23:59, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Как думаешь нажмёт ли хомячок кнопку "Да"?
К счастью я не юзаю опенсусь и не знаю хомяков с ней. А хомяки с убунтой от такой напасти избавлены.
| | |
|
|
| 5.264, Клыкастый (ok), 19:29, 02/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Скорее в том, что десктопный линукс это неуловимый Джо.
Либо парням из kernel.org показалось, либо вы неправы.
| | |
|
|
|
| 2.272, Аноним (-), 19:54, 02/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Кто-нибудь знает, Касперский для Linux на том же уровне, что и для Windows?
Тормозам типа вас никакой каспер не поможет, особенно если атакующий задался целью вздуть именно вас. Как вы думаете, насколько сложно упаковать даже общеизвестный троян пакером так что антивирус перестанет его опознавать? Замена мозгу нужна только тем у кого его нет. Правда, такие интересны только как ресурсный придаток и потому сколь-нибудь скоординированную атаку на таких как вы никто делать не станет - вы из себя ценности не прдставляете.
| | |
|
| |
| 2.35, bezopasnik.org (ok), 10:37, 01/09/2011 [^] [^^] [^^^] [ответить]
| –60 +/– |
 > Ну и прально, в следующий раз не будут зевать.
Да дело даже не в том что зевали
После фразы:
> В будущем в профилактических целях планируется полностью переустановить систему и на остальных серверах
Очередной раз поражаюсь дибилизму среди луноходов
Еще несколько лет назад задавал вопрос одному луноходу - а что делать после того как выявлен факт взлома ?
он мне не задумываясь ответил - переставлять систему
просто крындец, безмозглость
| | |
| |
| 3.41, Ващенаглухо (ok), 10:48, 01/09/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
 это первое, что нужно сделать. В чем тут безмозглось? или вас не волнуют руткиты?
| | |
| |
| 4.48, anonymous (??), 10:59, 01/09/2011 [^] [^^] [^^^] [ответить]
| +8 +/– | |
> Раскажите свой вариант, что делать.
видимо, расслабиться и получать удовольствие. и не мешать руткиту работать, он же делом занят.
| | |
| 4.59, bezopasnik.org (ok), 11:15, 01/09/2011 [^] [^^] [^^^] [ответить]
| –18 +/– | |
> Раскажите свой вариант, что делать.
Существуют как минимум 4 способа проверки целостности на изменение файлов в системе
да хотя б для начала контрольные суммы собрать со всей системы, дату изменения конечно можно подставить свои.
SELinux на кой Вам ???
| | |
| |
| 5.60, anonymous (??), 11:21, 01/09/2011 [^] [^^] [^^^] [ответить]
| +5 +/– |
ты живой руткит-то видел хоть раз? "проверка целостности файлов", ага. с неизвестным руткитом.
| | |
| 5.61, PereresusNeVlezaetBuggy (ok), 11:24, 01/09/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Только все эти способы НЕ ГАРАНТИРУЮТ, что вы всё вычистите. Вы так уверены, что ничего не пропустите? Вы уверены, что нарушители спокойствия не воспользовались какой-то неизвестной вам (и, возможно, практически всему человечеству) возможностью? Вы так уверены, что где-то не осталось нечаянно включённой в прошлый раз дырки, через которую (тоже) можно попасть в систему?
Полная переустановка — единственный надёжный способ. В любой операционной системе. Всё остальное, весь контроль целостности, нужен для диагностики.
| | |
| |
| |
| Часть нити удалена модератором |
| 7.68, anonymous (??), 11:37, 01/09/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
господа модераторы! не трогайте его, пожалуйста. веселит же. бесплатный клоун на выезде.
| | |
| 7.108, Аноним (-), 14:24, 01/09/2011 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Я согласен что есть руткиты которые сидят только в памяти но такое можно определить в считанные секунды
Дядя Женя Касперский нервно курит в сторонке.
| | |
| 7.170, Анон (?), 18:59, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ну и собирай тогда бинари вручную, ептыть, в чем проблема? Можешь даже свой локальный реп создать закрытый от внешней среды и из него ставиться.
| | |
| 7.201, Аноним (-), 23:27, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Он может и на диске сидеть Что если бяка, получив управление, немного допатчит ... большой текст свёрнут, показать | | |
| |
| |
| 9.246, Аноним (-), 12:46, 02/09/2011 [^] [^^] [^^^] [ответить] | +5 +/– | Ну cih стирал только мамки с чипсетом Intel TX Это был самый популярный в тот м... большой текст свёрнут, показать | | |
| |
| |
| 11.278, Аноним (-), 23:43, 02/09/2011 [^] [^^] [^^^] [ответить] | +/– | Я склонен его считать просто удачным PoC ом и плосковатой шуткой над пользовате... большой текст свёрнут, показать | | |
|
|
|
|
| 7.265, Клыкастый (ok), 19:36, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Только все эти способы НЕ ГАРАНТИРУЮТ, что вы всё вычистите.
> Я согласен что есть руткиты которые сидят только в памяти но такое
> можно определить в считанные секунды,
Серьёзно? А я всегда считал, что одна из первейших целей руткита - сокрытие себя любимого. Но если руткит определяется за несколько секунд, то видимо я ошибался: цель руткита другая. Возможно мир во всём мире. Или коррекция оси Галактики.
Товарисч. Вы правы только в одном. Сначала надо разобраться, что это было, и как оно туда попало, дабы на свежей машине не наступить на те же грабли. Но потом - переустановка скомпрометированной системы и усиление мер по безопасности.
| | |
|
| 6.72, Аноним (-), 12:01, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Полная переустановка возвращает систему в исходное состояние, со всеми УЖЕ ИЗВЕС... большой текст свёрнут, показать | | |
| |
| 7.75, anonymous (??), 12:07, 01/09/2011 [^] [^^] [^^^] [ответить]
| +6 +/– |
а без переустановки дыры магически исчезают, надо полагать. ещё один клоун.
| | |
| 7.124, Phake (?), 14:59, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
И что? Ну вернётся система в исходное состояние с уязвимостями... Только чтобы до них по новой добраться, надо ещё одну учетку скомпрометировать...
Пока будут искать такую учетку, и уязвимость всплывёт из привата, как старая, и софт весь 10 раз обновится. В итоге скомпрометировав ещё 1 учетку через пару месяцев, лишь 20-30% вероятность, что эта уязвимость ещё работает.
Поэтому естественно после анализа происшествия, система переустанавливается, ставятся последние апдейты и докручивается безопасность. Благо анализ происшествия позволяет выявить наиболее уязвимые места в защите...
| | |
| 7.160, Xasd (ok), 17:54, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Полная переустановка возвращает систему в исходное состояние, со всеми УЖЕ ИЗВЕСТНЫМИ дырами
ну да, всё верно...
....при условии -- если переустанавливать систему с тогоже самого диска "Реаниматор 2002: Microsoft Windows XP SP1" :-D
| | |
|
| 6.74, Аноним (-), 12:05, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Полная переустановка не спасёт, если "пока не ясно, как именно удалось поднять свои привилегии в системе, судя по всему, был задействован эксплоит для еще публично не известной уязвимости" (кстати, исправьте текст новости). В таком случае установят с нуля уже скомпрометированную систему, содержащую уязвимость.
"В будущем планируется пересмотреть политику безопасности и методы организации доступа." А вот это уже правильнее, организационные методы здесь эффективнее технических мер.
| | |
| |
| 7.77, anonymous (??), 12:10, 01/09/2011 [^] [^^] [^^^] [ответить]
| +5 +/– |
зато как минимум позволит гарантировать, что на свежей системе нет руткита. да, возможно, он появится, когда систему выпустят в сеть. с другой стороны, это позволяет наладить специализированые средства аудита, которые могут помочь в отлове зверушки, и которые не применялись в силу тормознутости, усложнения работы до совершенно неудобоваримой и так далее. база же.
| | |
| 7.171, Sem (ok), 19:05, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >Полная переустановка не спасёт, если "пока не ясно, как именно удалось поднять свои привилегии в системе, судя по всему, был задействован эксплоит для еще публично не известной уязвимости" (кстати, исправьте текст новости). В таком случае установят с нуля уже скомпрометированную систему, содержащую уязвимость.
Я смотрю, у вас огромный опыт по расследованиям взломов :)))
С машины снимается образ и после этого в эмуляторе, в безопасных условиях исследуется. А сервер возвращается в строй ASAP.
| | |
|
| 6.256, коксюзер (?), 15:47, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Полная переустановка — единственный надёжный способ. В любой операционной системе.
Расскажите это любителям писать руткиты в память BIOS материнок и видеокарт.
| | |
| |
| 7.280, Аноним (-), 23:53, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Расскажите это любителям писать руткиты в память BIOS материнок и видеокарт.
А можно мне дампов отсыпать с такими? Хочу на ЭТО посмотреть. CIH не предлагать.
| | |
|
|
| 5.90, Аноним (-), 12:56, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Существуют как минимум 4 способа проверки целостности на изменение файлов в системе
А что собственно помешает руткиту при проверке подпихнуть исправный вариант файла?
> да хотя б для начала контрольные суммы собрать со всей системы,
Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.
> дату изменения конечно можно подставить свои.
Вы просто не представляете себе возможности по нае...ву серьезных руткитов. Безопасник хренов!
> SELinux на кой Вам ???
Отключается ядерными сплойтами.
| | |
| |
| 6.97, ZloySergant (ok), 13:41, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.
В системе подгруженной, скажем с livecd, при проверке файловой системы подмонтированной с noexec,noatime,nodev,ro?
UPD: Хотя, можно и не монтировать, а жестк. диск проверять сразу, если шифрования нет.
| | |
| |
| 7.111, Аноним (-), 14:29, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.
> В системе подгруженной, скажем с livecd, при проверке файловой системы подмонтированной
> с noexec,noatime,nodev,ro?
> UPD: Хотя, можно и не монтировать, а жестк. диск проверять сразу, если
> шифрования нет.
livecd на сервере не труъ.
| | |
| 7.205, Аноним (-), 23:40, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Ну да, на CD пакость конечно физически не запишется но в памяти сможет развлекат... большой текст свёрнут, показать | | |
|
| 6.98, aurved (?), 13:46, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А что собственно помешает руткиту при проверке подпихнуть исправный вариант файла?
Ну наверное помешает ему то, что руткит не будет запущен при подключении этого "винта" к другой чистой системе и загрузке именно с нее и проверки целостности именно из под чистой системы. Ну или проверки при загрузке с Live-CD (DVD).
| | |
| 6.129, Anonimas (?), 16:05, 01/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А что собственно помешает руткиту при проверке подпихнуть исправный вариант файла?
> Руткит может подсунуть исправный вариант файла, но фактически все будет несколько иначе.
Для тех кто на бронике !!!
Самый простой способ проверки системы:
Устанавливаем, все настраиваем - сервак имеется в виду,
Потом этот сервак загружается с загрузочной флешки на которой или линух или BSD и снимаются контрольные суммы со всех файлов в системе, заодно можно скопировать и всю систему на всякий пожарный.
Ломают сервак, всегда есть резервная копия, всегда есть контрольные суммы всех файлов
Существует же какая то утилита для сверки контрольных сумм - покрайней мере в портах FreeBSD, в линухе уже не встречал пока что...
| | |
| |
| 7.134, Аноним (-), 16:48, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
Угу, взяли и побежали флешку в сервер втыкать, который за тридевядь земель. *facepalm*
| | |
| 7.172, Sem (ok), 19:07, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Для тех кто на бронике !!!
> Самый простой способ проверки системы:
А обновления?
| | |
|
|
| 5.132, Аноним (-), 16:29, 01/09/2011 [^] [^^] [^^^] [ответить]
| –5 +/– |
вы кст зря гражданина bezopasnik заминусовали . все верно говорит
| | |
| |
| 6.133, Michael Shigorin (ok), 16:38, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > вы кст зря гражданина bezopasnik заминусовали . все верно говорит
В данном разе -- отнюдь, он в корне неправ и взялся судить человека, который в обсуждаемом вопросе обладает явно бОльшими квалификацией и/или опытом.
ЕСЛИ ПРОЛОМИЛИ СИСТЕМУ И ПРЕДПОЛАГАЕТСЯ ВОЗМОЖНОСТЬ ПОЛУЧЕНИЯ EUID==0
-- ЭТУ СИСТЕМУ НЕОБХОДИМО УСТАНАВЛИВАТЬ ИЛИ ГЕНЕРИРОВАТЬ ЗАНОВО.
Старый корень стоит брать на forensics, но вышенакапсанного это не отменяет.
| | |
| |
| 7.182, Аноним (-), 22:19, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ЕСЛИ ПРОЛОМИЛИ СИСТЕМУ И ПРЕДПОЛАГАЕТСЯ ВОЗМОЖНОСТЬ ПОЛУЧЕНИЯ EUID==0
> -- ЭТУ СИСТЕМУ НЕОБХОДИМО УСТАНАВЛИВАТЬ ИЛИ ГЕНЕРИРОВАТЬ ЗАНОВО.
Факт. Хотя по опыту знаю, что если нет возможности перевести на резерв, так не делают.
| | |
|
| 6.138, anonymous (??), 16:57, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> вы кст зря гражданина bezopasnik заминусовали . все верно говорит
ещё один админ локалхоста нарисовался.
| | |
|
| 5.241, Щекн Итрч (ok), 12:33, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Раскажите свой вариант, что делать.
> Существуют как минимум 4 способа проверки целостности на изменение файлов в системе
> да хотя б для начала контрольные суммы собрать со всей системы, дату
> изменения конечно можно подставить свои.
> SELinux на кой Вам ???
Хозяин бэкдора не станет коцать файло.
Трипвайр на раз его запалит.
Это круто, что в логе нашли сообщение неподнятого сервиса.
Бэкдор, да на таком проекте, станет вести себя оооооочень незаметно.
| | |
| |
| 6.267, Клыкастый (ok), 19:43, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Хозяин бэкдора не станет коцать файло.
> Трипвайр на раз его запалит.
Трипвайр запалит бекдор, не подпёртый руткитом. Руткит на то и руткит, чтобы всем объяснять, что его нет.
| | |
| |
| 7.282, Аноним (-), 00:02, 03/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Трипвайр запалит бекдор, не подпёртый руткитом. Руткит на то и руткит, чтобы
> всем объяснять, что его нет.
Просто руткит в желании сныкаться иногда перемудряет и демаскирует себя как раз странными глюками. У них вон вообще тачка в панику упала + еще и срач в лог левым доступом к памяти.
| | |
| |
| |
| |
| 10.330, U (??), 09:01, 23/09/2011 [^] [^^] [^^^] [ответить] | +/– | Что значит выпинывает Тут уже говорилось о восстановлении Разное Например, ср... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 3.88, Аноним (-), 12:52, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> он мне не задумываясь ответил - переставлять систему
> просто крындец, безмозглость
Вот у вас - и правда безмозглость поражающая. Вы знаете что такое руткиты?
И что, имеете наглость утверждать что ВСЕ их обнаружите, одной левой?
| | |
| |
| 4.91, anonymous (??), 12:56, 01/09/2011 [^] [^^] [^^^] [ответить]
| +12 +/– | |
> И что, имеете наглость утверждать что ВСЕ их обнаружите, одной левой?
конечно, обнаружит. ведь он до сих пор не видел ни одного необнаруженого ним руткита!
| | |
| |
| 5.209, Аноним (-), 23:44, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> конечно, обнаружит. ведь он до сих пор не видел ни одного необнаруженого ним руткита!
Руткит он как суслик: ты его не видишь, а он есть ;))))
| | |
|
|
| 3.115, Michael Shigorin (ok), 14:35, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> просто крындец, безмозглость
Меняйте ник, потому как любой специалист по безопасности информационных систем Вам подтвердит: доверять проломленной до рута системе не стоит ни после какого анализа. Поэтому чтобы задействовать аппаратное обеспечение, программное устанавливается начисто -- с переносом только данных и, возможно, конфигурационных файлов (после надлежащей проверки и по возможности в минимальном объёме).
| | |
| |
| 4.140, vi (?), 16:59, 01/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | А если был сохранен отпечаток системных файлов, сделанный ну скажем в Integrit... большой текст свёрнут, показать | | |
| |
| 5.163, szh (ok), 18:06, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > А если был сохранен отпечаток "системных" файлов, сделанный ну скажем в Integrit или Tripware (или как он там называется), и сохранен на CD-R в отдельном сейфе.
ага-ага, и после этого не обновляем никакой софт полгода, чтобы после взлома с CD-R сравнивать.
| | |
| |
| 6.176, vi (?), 20:49, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Да, согласен с Вами Это добавляет несколько шагов в процесс обновления сам кон... большой текст свёрнут, показать | | |
| |
| 7.178, szh (ok), 21:17, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> сам конечно так не делаю, а жаль
Совершенно верно, сложно/дорого
> Вероятность залета очень мала.
Вероятность залета вообще никакая, если грузиться в спец ранлевел в котором все сервисы не стартуют
> Спать (более) спокойно!
Для этого проще сходить к психологу, чем тратить полдня на каждое обновление :). Время можно с большей пользой провести в этой жизни.
Вообще можно это все делать с виртуализацией удаленно (с ограничением входа на хост с 1 IP), полуавтоматически, т е попутно занимаясь другими делами, а хост систему проверять уже можно не на каждый update, а раз в полгода.
| | |
|
|
| 5.243, Щекн Итрч (ok), 12:40, 02/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А если был сохранен отпечаток "системных" файлов, сделанный ну скажем в Integrit
> или Tripware(или как он там называется)
Tripware или как он там называется -- КЛЮЧЕВОЕ ВЫРАЖЕНИЕ в дискуссии :) :) :)
| | |
| 5.263, DeadLoco (ok), 18:43, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > А если был сохранен отпечаток "системных" файлов, сделанный ну скажем в Integrit или Tripware
Дык, если есть рут и доступ к бинарнику ядра, то можно сделать все, что угодно. Включая подмену файлов на чистые оригиналы при открытии дескрипторов. Или, например, пишешь ls -l, а стартует rm -rf. ПРОФИТ!
| | |
|
| 4.268, Клыкастый (ok), 19:46, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ...любой специалист по безопасности...
> доверять проломленной до рута системе не стоит ни после какого анализа.
возможно он виндовсятник с верой в силу и мощь Касперского?
| | |
|
| 3.144, Daemontux (ok), 17:10, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Не существует математически доказанного способа откатить взломанную систему в безопасное состояние.Остается только востановление из бекапа или переустановка.
| | |
| |
| 4.165, Мяут (ok), 18:19, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Не существует математически доказанного способа откатить взломанную систему в безопасное
> состояние.Остается только востановление из бекапа или переустановка.
Запускать в Bochs и трассировать выполнение покомандно :) Ну для истинных любителей конечно :)
| | |
| |
| 5.168, anonymous (??), 18:34, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Не существует математически доказанного способа откатить взломанную систему в безопасное
>> состояние.Остается только востановление из бекапа или переустановка.
> Запускать в Bochs и трассировать выполнение покомандно :) Ну для истинных любителей
> конечно :)
не работает. сначала надо доказать тождественность боша и железа. и безошибочность работы железа, на котором запущен бош. и…
| | |
|
| 4.195, Аноним (-), 23:02, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Не существует математически доказанного способа откатить взломанную систему в безопасное
> состояние.
В принципе, откат снапшотов на незараженное состояние - довольно близко к именно этому способу, особенно в реализации как у виртуализаторов, когда CoW применяется к вообще всей области диска и может быть откачено все, вплоть до бутсекторов [актуально если развивать паранойю и бояться и буткитов до кучи] :).
| | |
| |
| 5.244, Щекн Итрч (ok), 12:43, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Не существует математически доказанного способа откатить взломанную систему в безопасное
>> состояние.
> В принципе, откат снапшотов на незараженное состояние - довольно близко к именно
> этому способу
Осталось понять, где в стоге лент «незараженное состояние» :) :) :)
| | |
| |
| 6.245, anonymous (??), 12:45, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Осталось понять, где в стоге лент «незараженное состояние» :) :) :)
определить по запаху.
| | |
| 6.283, Аноним (-), 00:10, 03/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Осталось понять, где в стоге лент «незараженное состояние» :) :) :)
Почему сразу лент? Можно и просто на диске. Заведомо незараженное - сразу после инсталла или если удалось понять дату взлома - до нее.
| | |
| |
| 7.291, Щекн Итрч (ok), 18:00, 03/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Осталось понять, где в стоге лент «незараженное состояние» :) :) :)
> Почему сразу лент? Можно и просто на диске. Заведомо незараженное - сразу
> после инсталла или если удалось понять дату взлома - до нее.
Осталось «понять дату взлома» :)
| | |
|
|
|
|
| 3.193, Аноним (-), 22:51, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Очередной раз поражаюсь дибилизму среди луноходов
Oh sh-! Капитан сообщает: вы установили новый антирекорд опеннета по зрительским симпатиям, сделав даже господина Трухина. Эпично!!!
> просто крындец, безмозглость
Вы не представляете себе что могут руткиты, и почему следует переставить систему в случае взлома, но при этом называетесь bezopasnik.org?! Поздравляю, вы победили в номинации "EPIC FAIL года" на опеннете! Ппцъ^2!
| | |
|
|
| 1.6, Анонимо (?), 09:25, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
История с титаником людей так ничему и не научила, все думали что он непотопляемый, а он взял и пустил пузыри.
| | |
| |
| 2.269, Клыкастый (ok), 19:47, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> История с титаником людей так ничему и не научила, все думали что
> он непотопляемый, а он взял и пустил пузыри.
Чукча не читатель, чукча - писатель? Кратко о главном: люди пролюбили доступы на сервер.
| | |
|
| |
| 2.13, Аноним (-), 09:52, 01/09/2011 [^] [^^] [^^^] [ответить]
| –5 +/– |
Не верю, что кто-то из Linux-хакеров (а кроме них некому такой взлом осуществить) станет ломать свой же родной Линукс кому-то на заказ. Скорее всего ради лулзов, ну, или потролить Торвальдса (может Гномеры обиделись:)).
| | |
| |
| |
| 4.34, mihon73 (?), 10:34, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
что вы все намеками да намеками. Есть предположения, есть что сказать - говорите. Нету, то и писать не стоит. Кому тут интересно согласны ли вы с утверждением или нет?
| | |
| |
| 5.211, Аноним (-), 23:47, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> что вы все намеками да намеками. Есть предположения, есть что сказать -
> говорите. Нету, то и писать не стоит.
За любым действием стоит тот кому это нужно. Так что намеки - вполне могут быть обоснованы.
| | |
|
|
| 3.20, Аноним (-), 10:11, 01/09/2011 [^] [^^] [^^^] [ответить]
| –4 +/– |
> Не верю, что кто-то из Linux-хакеров (а кроме них некому такой взлом
> осуществить) станет ломать свой же родной Линукс кому-то на заказ. Скорее
> всего ради лулзов, ну, или потролить Торвальдса (может Гномеры обиделись:)).
Родной Linux? Он им чего, мама?
| | |
| 3.270, Клыкастый (ok), 19:51, 02/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Что такое "родной Линукс?" Есть задача. Или заказ. Вот они - "родные". А Маша, Петя, Линукс, Виндовс, BSD - это всё вторично.
| | |
|
|
| 1.9, Аноним (-), 09:32, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А какой дистрибутив стоял на серверах ?
Не иначе RedHat в котором нет уязвимостей :)
| | |
| |
| |
| 3.73, Аноним (-), 12:02, 01/09/2011 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Уязвимостей нет, есть исправления.
Ты еще скажи, что их не бывает, уязвимостей-то, в Линуксе священном. Только исправления - исправления ЧЕГО? Сам-то понял, какую ересь ляпнул?
| | |
| |
| 4.114, Аноним (-), 14:31, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Уязвимостей нет, есть исправления.
> Ты еще скажи, что их не бывает, уязвимостей-то, в Линуксе священном. Только
> исправления - исправления ЧЕГО? Сам-то понял, какую ересь ляпнул?
КО говорит, это был сарказм.
| | |
|
|
| 2.185, Аноним (-), 22:24, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Веб-сервер kernel.org обслуживает Fedora... В этом нетрудно убедиться самому.
| | |
| 2.194, crypt (??), 22:54, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А какой дистрибутив стоял на серверах ?
> Не иначе RedHat в котором нет уязвимостей :)
На Fedora там все: и зевс1, и зевс2. Все-таки вменяемые админы на сервера Федору не ставят.
| | |
|
| 1.11, Аноним (-), 09:33, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– | |
> По предположению администраторов проекта проникновение было совершено через утечку параметров одного из аккаунтов. Данное предположение подтверждает обнаружение троянского ПО на машине одного из разработчиков ядра, который имел доступ к двум взломанным серверам (Hera и Odin1).
А говорили под Linux троянов не бывает. Как же так ?! неужели обманывали ?
| | |
| |
| 2.12, sndev (ok), 09:41, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
А как же руткиты ? Это в принципе троянское ПО как на него не смотри.
| | |
| |
| 3.57, СуперАноним (?), 11:12, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
Всё-таки, есть существенное отличие троянов от руткитов. Чаще всего, ламеры сами добровольно троянов ставят под благовидным предлогом: хранители экрана, Skype, Adobe Flash, ...
| | |
| 3.101, nuclight (ok), 13:58, 01/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > А как же руткиты ? Это в принципе троянское ПО как на
> него не смотри.
Не бывает "доброго" и "троянского" ПО. Это всего лишь инструмент, и всё дело в целях использования - ножом можно хлеб резать, а можно и человека убить. Сниффером можно пароли воровать, но можно и проблемы сети диагностировать. Сканеры портов - типичные "хакерские инструменты" - используются для аудита безопасности, наряду со средствами, проверяющими на наличие удаленных дырок (можно сказать, ломают, но чисто технически). И так - абсолютно во всём. Каково благонамеренное применение руткитов, оставляю подумать в качестве домашнего задания.
| | |
| |
| 4.120, sndev (ok), 14:50, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
A давайте, для начала, в качестве домашнего задания, вы прочитаете хотя бы определение слова rootkit ?
| | |
| |
| 5.123, PereresusNeVlezaetBuggy (ok), 14:57, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> A давайте, для начала, в качестве домашнего задания, вы прочитаете хотя бы
> определение слова rootkit ?
Тёзка, начинаем подсчёт лопухов? :)
| | |
| 5.192, nuclight (ok), 22:34, 01/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
> A давайте, для начала, в качестве домашнего задания, вы прочитаете хотя бы
> определение слова rootkit ?
Выпендриться хочется, а думать не хочется? Понимаю, бывает. Ну ничего, с годами и ростом кругозора это проходит. Могу посоветовать почитать про IPS/IDS, которые сами используют rootkit-технологии (для самозащиты от злонамеренного софта). Вот на http://northsecuritylabs.com/ru/ хороший образчик, например.
| | |
| |
| 6.213, Аноним (-), 23:54, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> хороший образчик, например.
Мне не нравится этот тип, но он тем не менее прав.
Например, каспер - по сути сам руткит: заворачивает все системные вызовы которые могут ему повредить. Виртуализаторы с мониторингом гуеста их "невидимого" хоста - тоже этакий руткит наоборот. Технологии применяемые в руткитах могут и на админа работать, если превентивно "забэкдорить" систему в пользу админа но против хакера :))
| | |
|
|
|
|
| 2.33, FSA (ok), 10:32, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Кто говорил, что не бывает? Бывают. Просто для того, чтобы написать приличный троян нужно найти уязвимость, которая позволит повысить привилегии на машине, иначе дальше домашней папки пользователя троян не уйдёт. В Windows при ограничении привилегий работать становится практически невозможно. Вылавливание всех веток реестра и каталогов, куда пишут программы, отнимает кучу времени. Поэтому все дома сидят под админами. В результате любая программа может делать всё, что хочет.
Ваш КО.
| | |
| |
| 3.78, Аноним (-), 12:12, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> В Windows при ограничении привилегий работать становится практически невозможно.
Там уже давно все точно так же, как в линухе. Пароль вводить надо только для установки/удаления программ или для изменения системных настроек.
> Поэтому все дома сидят под админами.
ССЗБ.
| | |
| |
| 4.79, anonymous (??), 12:17, 01/09/2011 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Там уже давно все точно так же, как в линухе.
не прошло и ста лет, угу.
| | |
| 4.147, vi (?), 17:16, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> В Windows при ограничении привилегий работать становится практически невозможно.
> Там уже давно все точно так же, как в линухе. Пароль вводить
> надо только для установки/удаления программ или для изменения системных настроек.
А кто их там перед установкой проверяет на соответствие заявленным функциям и фактически выполняемым. Или кто то из производителей подписался "на зуб", а? Канделябры еще конечно же производить не перестали, но гонятся уж больно накладно выходит. Да еще в кутузку можно загреметь за самоуправство. Хотя иногда для профилактики это просто необходимость.
> ССЗБ. | | |
|
|
| 2.186, crypt (??), 22:26, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А говорили под Linux троянов не бывает. Как же так ?! неужели
> обманывали ?
Трояны бывают. Массовых эпидемий под 2 миллиона не бывает.
| | |
| 2.271, Клыкастый (ok), 19:54, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А говорили под Linux троянов не бывает. Как же так ?! неужели
> обманывали ?
Вася пролюбил ключ от квартиры. В квартиру попал Ваня и поставил жучок. "Ай, какие плохие двери". вы либо тролль, либо не вникли в суть новости. есть третий вариант, но он обидный и сообщение вытрут.
| | |
|
| 1.15, Fomalhaut (?), 09:56, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
 ПО без ошибок практически несуществует (если только "Hello world!" и то не факт, что компилятор не ступит).
Но вопрос не в количестве уязвимостей (это лучший членомер для многих), а в сроках их исправления, а так же сложности, т.е. архитектурных ограничениях.
| | |
| 1.17, Аноним (-), 10:03, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>судя по всему был задействован эксплоит для еще публично не известной уязвимости.
А вот это самое интересное. Тоесть есть какая то дыра про которую еще даже не знают. А хакеры активно юзают :)
| | |
| |
| |
| 3.26, Василий (??), 10:23, 01/09/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
И правда удивительно, мешали и немецкую и древнегреческую мифологию вместе. :)
| | |
| |
| |
| |
| |
| 7.119, PereresusNeVlezaetBuggy (ok), 14:47, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> я думал, римские боги будут этим так орудовать...
Я тоже, но их, поди, отличи от древнегреческих. С другой стороны, опыт перенимать никто не мешает. :)
| | |
|
|
|
|
|
|
| 1.21, Аноним (-), 10:13, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Больше всего удивило упоминание 448 аккаунтов. Даже предположить не мог, что ума хватит разместить хостинг для страниц обычных пользователей (userweb.kernel.org) на первичном сервере, через который раздается ядро. Судя по всему даже chroot-а отдельного не создали и все 448 могли входить по SSH и запускать что душе угодно с любых IP. На такие системы нужно пускать только нескольких ключевых администраторов только с одной шлюзовой машины внутри сети к которой пускать только с конкретных IP, а не светить SSH на весь интернет.
| | |
| |
| 2.86, Денис (??), 12:51, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> а не светить SSH на весь интернет.
Хотел добавить что простым пользователям, не админам нужно предоставлять доступ не на реальный сервер kernel.org а на виртуальную машину которая на этом kernel.org будет крутиться, а реальная машина уже все ip покажет.
Хотя я считаю что все было случайно - никакого целенаправленного взлома не было, просто пользователь kernel.org зашел на сервер, не из дома, а из гостей, через скажем putty, а на этом компе была винда с трояном-клавиатурным-шпионом, вот и все.
Все как всегда тупо и банально...
| | |
| |
| 3.116, Fantomas (??), 14:41, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
У меня так было. Позвонили. Нужно было срочно залезть. Ядерного чемоданчика (лаптопа) с собой небыло. Поставил там где был на машину Путти и полез. В последствии пользуясь случившимся заодно поменял и железо.
| | |
| |
| 4.142, Michael Shigorin (ok), 17:02, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> У меня так было. Позвонили. Нужно было срочно залезть. Ядерного чемоданчика (лаптопа)
> с собой небыло. Поставил там где был на машину Путти
Уж лучше загрузочный телефон с собой таскать.
| | |
|
|
|
| 1.24, Атребатов (?), 10:21, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
я уверен что взлом осуществлял сотрудник спецслужбы... им щас мало платят, они ведут скрытый шпионаж с целью получения информации о финансовых возможностей пользователей и место дислокации оных... потом дожидаются удобное время, например день получки или поход разрабатываемого лоха к банку и грабят используя черную рабочую силу в виде запуганных прежде завербованных агентов с криминальной архитектурой психики... я уверен в этом на 100%.
| | |
| |
| |
| 3.220, askh (ok), 00:28, 02/09/2011 [^] [^^] [^^^] [ответить] | +/– |  Люди, которые видят во всём теории заговора, выглядят, мягко говоря, странно Од... большой текст свёрнут, показать | | |
| |
| |
| 5.231, askh (ok), 08:57, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> заслуженый ветеран секретных операций Вещает.
Нет, просто человек со здравым смыслом. Если у кого-то есть возможность, есть мотив, и если этот кто-то может действовать скрытно, что это означает? Что он не действует? Нелогично ведь, но примерно это и имеют в виду те, кто скептически пишут "очередная теория заговора".
| | |
|
| 4.237, FractalizeR (ok), 10:56, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Люди, которые видят во всём теории заговора, выглядят, мягко говоря, странно. Однако
> не менее странно выглядят и люди, которые уверены, что никаких заговоров
> в принципе не существует.
А кто все эти люди? :)
> любая разведка высоко оценила бы возможность внедрить известный только им бэкдор в софт
Конечно. Только пост, на который я отвечал, вовсе не об этом. Прочитайте его снова и оцените, о чем там речь идет.
А внедрять супер-функциональный-никому-неизвестный-бекдор в файлы, лежащие в Git и думать, что это не обнаружится, может кто угодно, только не сотрудники спецслужб. Во всяком случае, я искренне надеюсь, что они не настолько тупы.
| | |
| |
| 5.238, askh (ok), 11:46, 02/09/2011 [^] [^^] [^^^] [ответить] | +/– | Ага, я сам не согласен с тем постом, но не согласен и с вашим аргументом Еще од... большой текст свёрнут, показать | | |
| |
| |
| 7.252, anonymous (??), 14:20, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Для того, чтобы внедрить бекдор, проще кого-нибудь из разработчиков пошантажировать
> или самому стать доверенным разработчиком.
кроме этого — заставить молчать *всех*, кто может прочитать (и читает, и иногда патчит) ядро. в каждой из стран, где такие есть.
согласен, некоторое время оно может жить. а потом неизбежно всплывёт, и будет скандал. нет, даже СКАНДАЛ. именно поэтому вряд ли кто-то будет трогать подобные вещи, это слишком топорно. и если это понимаю я, то вне сомнения понимают и работники спецслужб. которые вовсе не тупые солдафоны.
| | |
|
|
|
|
|
|
| |
| 2.190, Аноним (-), 22:31, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> так что там за дистрибутив был? у меня c такими же симптомами
> центос пару лет назад ломали. вот тут обсуждалось
Админский сайт, е-мае... Не могут зайти на http://kernel.org и посмотреть. Fedora там.
| | |
| |
| 3.215, Аноним (-), 23:59, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Админский сайт, е-мае... Не могут зайти на http://kernel.org и посмотреть. Fedora там.
Что настораживает - перец подозревал openssh 0day но его кажется с тех пор никто не нашел. А что если openssh не настолько уж и S, и матрица нас все-таки имеет?
| | |
|
|
| 1.32, Tito (??), 10:29, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
на Kernel.org написано:
"We have notified authorities in the United States and in Europe to assist with the investigation"
Почемуто думается что как раз "authorities" и организаторы.
| | |
| 1.37, centosuser (ok), 10:41, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 >Кроме того, было инициировано несколько проверок целостности кода с задействование других, параллельно созданных, хэшей, а также проведение детального аудита всех последних изменений в коде.
Чем то они похожи на нашу милицию, тех пока за яйца не прижмут, они будут врать, что мы не виноваты. А когда появятся неопровержимые факты, что отмазываться уже будет глупо - появляется козёл отпущения.
Какое там ядро было до 12 августа ?
| | |
| |
| 2.166, szh (ok), 18:20, 01/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Чем то они похожи на нашу милицию
какие больные ассоциации
| | |
|
| 1.45, lalolim (?), 10:56, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
А собственно зачем ломать? Исходники и так доступны.
Или там хотели незаметно внедрить код чтобы 1% пользователей таки можно было вирусами заражать?
| | |
| |
| 2.191, Аноним (-), 22:32, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А собственно зачем ломать? Исходники и так доступны.
> Или там хотели незаметно внедрить код чтобы 1% пользователей таки можно было
> вирусами заражать?
Ты забыл про 60% веб-серверов...
| | |
|
| 1.69, Аноним (-), 11:47, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– | |
> судя по всему был задействован эксплоит для еще публично неизвестной уязвимости.
Ядро стало таким большим и содержит столько дыр что такие новости уже не удивляют. Печально...
Единственный плюс, можно смело обновлять свой Android и быть уверенным что и для новой прошивки можно будет получить root :)
| | |
| |
| 2.70, x (?), 11:56, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> ... быть уверенным что и для новой прошивки можно будет получить root.
Ну пока еще не совсем понятно как его получать. Пока только избранные могут поюзать любой Linux-сервер в своих целях и всего-то.
Интересно DigiNotar тоже на Linux крутился?
| | |
| |
| 3.167, Аноним (-), 18:33, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> ... быть уверенным что и для новой прошивки можно будет получить root.
> Ну пока еще не совсем понятно как его получать. Пока только избранные
> могут поюзать любой Linux-сервер в своих целях и всего-то.
> Интересно DigiNotar тоже на Linux крутился?
Вряд ли.
HTTP/1.1 200 OK
Content-Length: 437
Content-Type: image/gif
Last-Modified: Mon, 31 Aug 2009 12:59:08 GMT
Accept-Ranges: bytes
Etag: "07699d33a2aca1:117e"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Thu, 01 Sep 2011 15:44:59 GMT
| | |
| |
| 4.169, anonymous (??), 18:46, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Server: Microsoft-IIS/6.0
> X-Powered-By: ASP.NET
и вот *это* было «довереным центром»? правильно, правильно я их все превентивно выкидываю, не разбираясь, где кто.
| | |
|
|
|
| 1.82, user (??), 12:28, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>проникновения было выявлено после того, как администраторы заметили в логе упоминание ошибки доступа к /dev/mem со стороны Xnest, в то время как Xnest не был установлен на серверах
Прелесть какая.... а сколько там еще троянов необнаруженых висит...
Опубликуйте ВСЕЬ список установленного на сервере софта, чтоб в следующий раз парням не палицца так по глупому...
| | |
| |
| 2.204, crypt (??), 23:31, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>проникновения было выявлено после того, как администраторы заметили в логе упоминание ошибки доступа к /dev/mem со стороны Xnest, в то время как Xnest не был установлен на серверах
> Прелесть какая.... а сколько там еще троянов необнаруженых висит...
Да уж, было сложно не заметить, что что-то не так:
http://www.spinics.net/lists/kernel/msg1229170.html
| | |
| |
| 3.207, crypt (??), 23:42, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
http://www.spinics.net/lists/kernel/msg1229170.html
20110823.log:Aug 23 17:22:52 console1 port05 RXDATA: [ 70.626511] Program Xnest tried to access /dev/mem between 0->8000000.
20110823.log:Aug 23 17:22:53 console1 port05 RXDATA: [ 71.610908] Xnest[4485]: segfault at 7f51210dfaa8 ip 000000000040c544 sp 00007fffdadb5970 error 6 in .p-2.5f[400000+15000]
20110823.log:Aug 23 17:22:54 console1 port05 RXDATA: Fedora release 14 (Laughlin)
20110823.log:Aug 23 17:22:54 console1 port05 RXDATA: Kernel 3.1.0-rc2+ on an x86_64 (/dev/ttyS0)
20110823.log:Aug 23 17:22:55 console1 port05 RXDATA: hera.kernel.org login:
Xnest (pid 4485) попытался обратиться по запрещенному адресу и упал. Запущен был из
.p-2.5f - это признак руткита phalanx 2.5f , который не детектится rkhunter
| | |
| |
| 4.217, Аноним (-), 00:03, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ы, походу руткит себя паниками палил :).Странно что его сразу тогда же и не поймали.
| | |
|
|
|
| 1.99, hummermania (ok), 13:47, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Ну и что? Ситуацию проанализируют, разрабам софта через который был взлом дадут Pull Request - те поправят и никто не получит вероятно модифицированное ядро. Если его вообще удалось как-то испортить. Кроме того на месте с кернел.org мог бы быть любой сервер в мире. И взлом линукс серверов чаще всего происходит из-за уязвимостей в софте-окружении, и где недоглядели админы. Вот и все. Инцидент исчерпает себя через пару дней. Обычная рабочая обстановка.
| | |
| 1.106, nuclight (ok), 14:11, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –11 +/– |
Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам модифицировать Git так, чтобы левый патч внедрился в коммит незаметно от разработчика _перед_ подсчетом хэша. Всё, хэш будет корректен, никаких изменений задним числом (зачем править старое, когда можно внести новое? они не так уж мало времени там торчали) не требуется - чего инструменту подсунули, то он и посчитал-подписал.
| | |
| |
| 2.109, PereresusNeVlezaetBuggy (ok), 14:26, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам
> модифицировать Git так, чтобы левый патч внедрился в коммит незаметно от
> разработчика _перед_ подсчетом хэша. Всё, хэш будет корректен, никаких изменений задним
> числом (зачем править старое, когда можно внести новое? они не так
> уж мало времени там торчали) не требуется - чего инструменту подсунули,
> то он и посчитал-подписал.
Имелось в виду, что при попытке обновиться из «подправленного» репозитория, о факте изменений узнали бы все, кто уже ранее его загружал.
| | |
| |
| 3.180, nuclight (ok), 22:06, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам
>> модифицировать Git так, чтобы левый патч внедрился в коммит незаметно от
>> разработчика _перед_ подсчетом хэша. Всё, хэш будет корректен, никаких изменений задним
>> числом (зачем править старое, когда можно внести новое? они не так
>> уж мало времени там торчали) не требуется - чего инструменту подсунули,
>> то он и посчитал-подписал.
> Имелось в виду, что при попытке обновиться из «подправленного» репозитория,
> о факте изменений узнали бы все, кто уже ранее его загружал.
Так репозиторий-то "подправлять" и не требуется. Достаточно пропатчить working copy в начале фазы коммита, и скрыть эти изменения в выводе. Задел на будущее, старое править - смысл?..
| | |
| |
| 4.197, Аноним (-), 23:16, 01/09/2011 [^] [^^] [^^^] [ответить] | +/– | Ключевое выражение и скрыть эти изменения в выводе Это физически невозможно т... большой текст свёрнут, показать | | |
| |
| |
| 6.218, Аноним (-), 00:04, 02/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> (кто-то их при таком аудите значит проморгал)?..
Почему-то все дыры имеют такое свойство: их кто-то проморгал :)
| | |
| 6.232, Michael Shigorin (ok), 09:41, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Кто даст гарантию, что такой сценарий внесения закладки действительно невозможен
Working copy не живёт на сервере. Там живёт bare repo. Не чекаутнутый. (можно и не bare, но это именно что добавляет возможностей нечаянно "сделать вторжение" со всеми вытекающими в плане отказа удалённых клиентов pull/push'ить)
PS: Вадим, стыдно объяснять Вам _настолько_ элементарные вещи. Уже ж все нужные ссылки дали, а Вы вроде бы как способный к RTFM специалист.
| | |
| |
| 7.314, nuclight (ok), 14:53, 09/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Кто даст гарантию, что такой сценарий внесения закладки действительно невозможен
> Working copy не живёт на сервере. Там живёт bare repo.
> Не чекаутнутый. (можно и не bare, но это именно что добавляет
> возможностей нечаянно "сделать вторжение" со всеми вытекающими в плане отказа удалённых
> клиентов pull/push'ить)
> PS: Вадим, стыдно объяснять Вам _настолько_ элементарные вещи. Уже ж все
> нужные ссылки дали, а Вы вроде бы как способный к RTFM
> специалист.
Михаил, опять гордыню включаете, не замечая, что именно с чьей стороны было (guts от меня), а что нет (оргвопросы, где именно working copy) ? Ваше дело, конечно, но можно же было бы и подумать тогда - а зачем последние коммиты таки перепроверяют, если всё реально надежно? Вы дадите гарантию?
| | |
|
| 6.242, anonymous (??), 12:38, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
показательное выступление товарища из стана BSD с номером «демонстрация обычного стиля общения товарища из стана BSD». в программе: безапелляционность, невежественность, хамство, игнорирование указаний на ошибки в рассуждениях, нежелание изучать предмет, о котором идёт речь.
в принципе, можно не спешить смотреть, они всегда такие. кто пропустил — увидите в следующий раз.
| | |
| |
| |
| 8.259, vle (ok), 17:19, 02/09/2011 [^] [^^] [^^^] [ответить] | +/– |  Каждый Линуксоид радуется как дится, когда у BSD возникают какие-нибудь проблем... текст свёрнут, показать | | |
| |
| |
| 10.261, vle (ok), 17:31, 02/09/2011 [^] [^^] [^^^] [ответить] | +/– | Да все и так знают, что русскоязычные в этой олимпийской дисциплине безоговорочн... текст свёрнут, показать | | |
|
|
|
|
|
| 5.214, PereresusNeVlezaetBuggy (ok), 23:55, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Так репозиторий-то "подправлять" и не требуется. Достаточно пропатчить working copy в начале
>> фазы коммита, и скрыть эти изменения в выводе. Задел на будущее,
>> старое править - смысл?..
> Ключевое выражение "и скрыть эти изменения в выводе". Это физически невозможно так
> как будет новый коммит
Не поэтому. Новый коммит как раз палится на раз. Когда речь идёт о подмене исходников, пытаются подправить старый коммит. Но при обновлении с такого репозитория, git там, _куда_ идёт обновление, заорёт.
| | |
| |
| 6.315, nuclight (ok), 15:17, 09/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Не поэтому. Новый коммит как раз палится на раз. Когда речь идёт
> о подмене исходников, пытаются подправить старый коммит. Но при обновлении с
> такого репозитория, git там, _куда_ идёт обновление, заорёт.
Что ж вас всех так прицепило-то к "подправить старый коммит" ?.. Не единственный способ же. А недооценивать врага (злоумышленников), считая, что таки единственный (или что-нибудь еще считая) - скажем так, в перспективае чревато.
| | |
|
|
| 4.233, Andrey Mitrofanov (?), 09:45, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Так репозиторий-то "подправлять" и не требуется. Достаточно пропатчить working copy в начале
> фазы коммита, и скрыть эти изменения в выводе.
Фантазёр, чесслово. Какие нафинг воркинг копи на kernel.org?.....
| | |
| |
| 5.286, Аноним (-), 00:22, 03/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Фантазёр, чесслово. Какие нафинг воркинг копи на kernel.org?.....
Этот шутник запалился на том что не понимает как работает git. Обалдеть, линуксные технологии настолько ушли вперед что разработчик бсд не способен понять 1 простую вещь: это РАСПРЕДЕЛЕННАЯ система. В ней все равноправны. У всех есть история коммитов. Сервер - лишь один из, чисто для удобства. А не единственный и неповторимый.
Чтобы вбросить в гит левак - надо или синхронно пропатчить базы гита у ВСЕХ участников или синхронно заменить им всем гит на пробэкдореный, что возможно в теории, но совершенно нереально сделать на практике.
| | |
| |
| |
| 7.318, Andrey Mitrofanov (?), 15:50, 09/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> что не видят, как разработчики бсд тоже используют git
[.]
> Чтобы сделать линукс неломаемой системой - надо синхронно пропатчить головы ВСЕХ разработчиков,
> что возможно в теории, но совершенно нереально сделать на практике.
За безопасность б3д мы спокойны! Её разработчики проходят лоботомию в обязательном порядке.
:D
| | |
| |
| 8.320, vle (ok), 17:00, 09/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | Воздержитесь, Митрофанов, воздержитесь, от обобщений подобного рода Не пять же ... текст свёрнут, показать | | |
| |
| |
| 10.326, vle (ok), 11:32, 13/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | Он мне не приятель, мы не знакомы Тебе обязательно опускаться до его уровня ... текст свёрнут, показать | | |
|
|
|
| 7.323, Michael Shigorin (ok), 20:52, 09/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> безопасность - МНОГОСТОРОННЯЯ штука.
Может, Вы наконец порадуете мир proof of concept'ом вместо безудержного пустого трёпа?
> Чтобы сделать линукс неломаемой системой
...и таких вот съездов с инфраструктуры на содержимое.
> надо синхронно пропатчить головы ВСЕХ разработчиков
Это утверждение тоже неверно, что самое смешное. Рекомендую пустырник, работает. :)
| | |
|
|
|
|
|
| 2.117, Вова (?), 14:41, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
я хоть и не фанат гита, но как можно обновиться из репозитария и не заметить этого? В конце концов, даже если предположить, что были молча обновлены какие-то файлы, но ведь при сборке-то этого никак не пропустишь, исключая вариант make >/dev/null/ 2>errors
| | |
| |
| |
| 4.183, anonymous (??), 22:21, 01/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику
…а теперь предположим, что высадился недружественный десант марсиан…
| | |
| |
| 5.235, Andrey Mitrofanov (?), 09:49, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику
> …а теперь предположим, что высадился недружественный десант марсиан…
+1 А ещё говорят Конецц Света на носу и вообще Солнце взорвётся!!! Как старшно жить, девочки-и-и-и!!?
| | |
|
| 4.198, Аноним (-), 23:20, 01/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику, чтобы
Здесь есть одно НО. Чтобы это сработало, git-должен быть пропатчен у всех разработчиков. Кстати, это идея ! Аудит кода Git проводится не так интенсивно, как аудит кода ядра. Внедрить туда троянский код куда проще. А потом уже можно скрыто провести троян для ядра.
| | |
| |
| 5.200, Аноним (-), 23:24, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Кстати, это открывает интересные горизонты. Достаточно при определенных обстоятельствах поменять логику проверок по SHA или хэш считать не над всеми данными. А затем под видом какого-нибудь обновления бинарного firmware продвинуть троян.
| | |
| 5.203, nuclight (ok), 23:29, 01/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну и теперь, допустим, взломщик пропатчил git ничего не подозревающему разработчику, чтобы
> Здесь есть одно НО. Чтобы это сработало, git-должен быть пропатчен у всех
> разработчиков. Кстати, это идея ! Аудит кода Git проводится не так
> интенсивно, как аудит кода ядра. Внедрить туда троянский код куда проще.
> А потом уже можно скрыто провести троян для ядра.
Зачем у всех? Остальным достаточно доверять нашему разработчику и не заметить некоторые мелочи. Тут социальные факторы работают больше технических. Хотя идея внедрить код в git для таких сокрытий тоже неплоха.
| | |
|
| 4.219, myself (?), 00:25, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
На самом деле, такую фиговину прокрутить (т.е. внедриться на уровне исходников, перехватив момент коммита) можно запросто, вопрос в том, что это достаточно нетривиально на уровне модификации самих исходников -- т.е. это контекстно-зависимая модификация, сама по себе достаточно сложная. Более того, такую вставку надо делать очень аккуратно, ибо запалят.
Но теоретически... конечно можно.
| | |
| |
| 5.221, PereresusNeVlezaetBuggy (ok), 00:32, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> На самом деле, такую фиговину прокрутить (т.е. внедриться на уровне исходников, перехватив
> момент коммита) можно запросто, вопрос в том, что это достаточно нетривиально
> на уровне модификации самих исходников -- т.е. это контекстно-зависимая модификация, сама
> по себе достаточно сложная.
Если только не воспользоваться наработками какого-нибудь coccinelle :)
> Более того, такую вставку надо делать очень аккуратно, ибо запалят.
Во многих языках достаточно сделать после разделителя операций (точка с запятой, или что там ещё) много-много пробелов, и дальше писать что угодно. Главное, чтобы код использовался часто, а менялся редко.
> Но теоретически... конечно можно. | | |
| |
| 6.224, myself (?), 00:58, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Тут надо хитр0 работать, такие хреновины типа точки с запятой ловятся на раз-два и привет (можешь прогнать тест самолично, благо git grep -E позволяет).
| | |
| |
| 7.225, PereresusNeVlezaetBuggy (ok), 01:02, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Тут надо хитр0 работать, такие хреновины типа точки с запятой ловятся на
> раз-два и привет (можешь прогнать тест самолично, благо git grep -E
> позволяет).
Так я и говорю: если код (плюс-минус три строчки) не меняется, то в патчах он светиться не будет. С отладчиком сложнее, но опять таки — если этот кусок кода не правится, значит, он уже отлажен, и трассировать его вряд ли кто-то будет.
Вот в Whitespace (да и Brainfuck с компанией) таки да, закладки выявить будет проблематично. :)
| | |
|
|
|
|
|
| 2.285, Аноним (-), 00:16, 03/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Какая наивная уверенность, что Git обеспечивает защиту. Совершенно никто не мешал злоумышленникам
> модифицировать Git так, чтобы левый патч внедрился в коммит незаметно
Угу. Осталось всего-то синхронно его заменить всем юзерам, чтобы они не заметили подвоха. Как вы себе это представляете на практике?
| | |
|
| 1.175, Ктожеев (?), 19:20, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
просто почаще надо бекапы делать... зачем переустанавливать? сделал вовремя снимок файловой системы и спи спокойно... Но я все равно уверен что это диверсия ФСБ...!!
| | |
| 1.226, Аноним (-), 01:02, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Я наверное из вымиряющих видов. Если б мне упали рут доступы серверов kernel.org я бы нацарапал письмо админам этих серверов..
| | |
| |
| 2.230, тигар (ok), 08:17, 02/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Я наверное из вымиряющих видов. Если б мне упали рут доступы
> серверов kernel.org я бы нацарапал письмо админам этих серверов..
а не проще ли в motd и wall написать p0wnd by anonymous_from_opennet.ru?;)
| | |
|
| 1.236, vitlva (?), 10:12, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
при этом как минимум 17 дней злоумышленники оставались незамеченными.
----
А скриптик на проверку контрольных сумм для системных файлов было конечно слабо написать.
| | |
| 1.247, z (??), 13:18, 02/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>А скриптик на проверку контрольных сумм для системных файлов было конечно слабо написать.
т.е. пытаться перехитрить руткит из юзерспейса? продолжайте =)
| | |
| |
| 2.273, Клыкастый (ok), 19:55, 02/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> т.е. пытаться перехитрить руткит из юзерспейса? продолжайте =)
вы взываете к разуму. в данном случае - это наивность ;)
| | |
|
| 1.294, Аноним (-), 09:08, 04/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Много странного в этой истории. Слишком явны и нескрыты некоторые вещи. Такое ощущение, что rootkit, ssh-бэкдор и ругань про xnest в логе лишь отвлекающий маневр, чтобы сбить администраторов с толку и вселить уверенность в контроле за ситуацией. Хотя не исключено, что это сделано преднамеренно, чтобы могли вычислить примерную дату атаки и не углубляться в более ранний период.
Атак могло быть две - одна скрытая и осторожная, а вторая, через несколько месяцев после того как все задачи атакующих выполнены, заметная и путающая следы.
| | |
| 1.296, uldus (ok), 22:15, 04/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Бьюсь об заклад, пароль утянули во время LinuxCon в середине августа. По времени очень хорошо совпадает с датой взлома. На пару недель раньше на Black Hat очень весело демонстративно сниффили пароли и ломали ноутбуки участников этой конференции. Халявный Wifi на конференциях - зло.
| | |
| |
| 2.301, Аноним (-), 16:11, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Халявный Wifi на конференциях - зло.
Он просто должен использоваться с включением мозга. Вы выстреливаете данные в эфир, это следует понимать.
| | |
| |
| 3.302, uldus (ok), 17:46, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Халявный Wifi на конференциях - зло.
> Он просто должен использоваться с включением мозга. Вы выстреливаете данные в эфир,
> это следует понимать.
От ошибки никто не застрахован, а суета конференции очень сильно способствует таким ошибкам. А тем кто сниффит достаточно одно оплошности. Проверил почту без шифрования, скопировал по FTP, залез в свой аккаунт без HTTPS и все, под колпаком. Хоть один из нескольких сотен разработчиков да споткнётся.
| | |
| |
| 4.303, anonymous (??), 18:08, 05/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
поэтому надо готовиться заранее. пароли не вводить. браузер нулёвый без кукишей. если надо что-то и куда-то — ssh до «домашнего» сервера, оттуда уже совершать все действия. и пусть снифят до посинения.
взрослые, вроде бы, люди, а как дети: лишь бы сунуть, о предозранении думать нет желания.
| | |
| 4.309, Аноним (-), 20:09, 07/09/2011 [^] [^^] [^^^] [ответить] | +/– | Единственной ошибкой тут является туго работающий мозг Если вы стреляете чувств... большой текст свёрнут, показать | | |
| 4.312, Ы (?), 10:38, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Чего только народ не наплетет лишь бы не признавать, что в Linux есть дыры. :-)
| | |
|
|
|
| 1.305, Alan (??), 00:44, 07/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >Атакующим удалось получить root-доступ к серверам, модифицировать системное >программное обеспечение и организовать перехват паролей разработчиков. Тем не >менее, пока не ясно как именно удалось поднять свои привилегии в системе, судя >по всему был задействован эксплоит для еще публично неизвестной уязвимости.
По скорее бы узнать, что это за хитрую и непубличную уязвимость в системе нашли злоумышленники, что-бы поднять права доступа. Вот это заслуживает любых аплодисментов.
| | |
| |
| 2.307, Andrey Mitrofanov (?), 09:47, 07/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
#255 выше:
| На kernel.org написано
|
| >>>> how they managed to exploit that to root access is currently unknown and is being investigated.
|
| За фантазии про "публично неизвестной уязвимости" скажите отдельное спасибо автору текста новости и больше не повтооряйте ерунду.
|
| Разницу-то осилите?
| | |
| |
| 3.310, Аноним (-), 20:56, 07/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> | За фантазии про "публично неизвестной уязвимости" скажите отдельное спасибо автору
> текста новости и больше не повтооряйте ерунду.
> |
> | Разницу-то осилите?
На kernel.org недоговаривают. В рассылках был разбор, что удалось перехватить сессию взлома и воссоздать эксплоит, который работает для последнего релиза ядра.
| | |
| |
| 4.313, Andrey Mitrofanov (?), 11:48, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> | Разницу-то осилите?
> На kernel.org недоговаривают.
Допускаю. Но скорее просто молчат, пока расследование не закончено, до опубликования полного отчёта.
> В рассылках был разбор, что удалось перехватить сессию взлома
> и воссоздать эксплоит, который работает для последнего релиза ядра.
Не верю.** Подробнее? Пруф? Линк??
** =что опубликовали и это ещё не на всех новостных сайтах, и что опубликовали до окончания расследования.
| | |
|
|
|
|
