Red Hat ujawnia szczegóły włamania na serwery Fedory
- Dodano: 22 sierpnia 2008
- Wprowadził: dasm
- Komentarze: 46
14 sierpnia serwery Fedory padły ofiarą włamania. By zabezpieczyć się przed konsekwencjami Red Hat zalecał wstrzymanie się przed aktualizowaniem systemu. Obecnie ujawnił szczegóły włamania.
Jak podaje PCWorld.pl
Jednym z serwerów, który uległ włamywaczom, była maszyna wykorzystywana do cyfrowego podpisywania pakietów z oprogramowaniem (!). Deweloperzy Red Hata są jednak przekonani, że cyberprzestępcy nie przechwycili frazy wykorzystywanej do generowania klucza. Nie używano jej ani w czasie, gdy serwerem prawdopodobnie władali włamywacze – ani też nie przechowywano na żadnej z maszyn.
Administratorzy postanowili się jednak zabezpieczyć i wykorzystać do podpisywania paczek nowe klucze. Oznacza to, że wkrótce każdy użytkownik Fedory będzie musiał zaakceptować wygenerowane od zera podpisy cyfrowe.
Szczegóły dotyczące nowych kluczy zostaną wkrótce opublikowane.
Więcej informacji: http://www.redhat.com/archives/fedora-an...00012.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
46 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Potwierdzona stara prawda – największą luką bezpieczeństwa w systemie jest admin…
to już nie user?
User ni ma praw administratora, więc nie może za dużo zepsuć
. Jak zwykle są wyjątki od reguły, np. windows 
To serwery na które się włamano działały w oparciu o Windows, skoro można było na nich zamieszać nie posiadając uprawnień administratora?
Potwierdziło się to przed czym ja i inni mi podobni tzw.trole ostrzegali – najsłabszym ogniwem GNU/Linuksa jest bezgraniczne zaufanie użytkowników do zawartości repozytoriów.
> Potwierdziło się to przed czym ja i inni mi podobni tzw.trole
> ostrzegali – najsłabszym ogniwem GNU/Linuksa jest bezgraniczne
> zaufanie użytkowników do zawartości repozytoriów.
W przypadku, gdy komuś uda się włamać do repozytoriów, zwykle jest wrzawa na cały Internet, więc to zaufanie jest tak jakby uzasadnione.
To raz.
A dwa, że aby użyć tego klucza do przeprowadzenia zmasowanego ataku trzeba by było jeszcze włamać się na serwer uaktualnień i podmienić paczki. Nie twierdzę, że to niewykonalne, ale bardzo trudne, bo pierwszy włam jest z reguły od razu wykrywany i podejmowane odpowiednie środki w celu uniemożliwienia drugiego.
No i last but not least, Windows i w ogóle wszystkie systemy z opcją aktualizacji również są wrażliwe na ten rodzaj ataku.
@Thar: Nawet najlepszy admin nie pomoze, jak oprogramowanie jest dziurawe. Skad wiesz, ze nie bylo tak i tym razem?
Jak to ? przecież linux jest jak twierdza nie do zdobycia..
wracaj trollować na wykop, ignorancie
O, widzę, że GNU/inkwizycja pracuje od samego rana.
Nie wiem jak ty, scapegoat, ale ja się tu czasem czuję jak gł. bohater filmu "Jestem legendą".
To teraz na Wykop wysyłają a nie Onet?
sunrise_son teraz zamyka oczy i krzyczy "nie widziałem tego nie widziałem tego" taka wewnętrzna cenzura
Hmm… na windowsie błędy są już tak powszechne, że nie traktuje się już ich jako coś niezwykłego…
Radość anty-linuksiarzy jest pośrednim dowodem bezpieczeństwa linuksa. Naprawdę długo musieli czekać na taką informację, to teraz cieszą się i muszą to opić :>
Tak na poważnie, to wcale nie uważam, ze linux jest wolny od błędów. I w przeciwieństwie do niektórych przeciwników linuksa, nie uważam, że mam bać się jego popularyzacji, bo wtedy wykrywalność błędów wzrośnie… Wręcz przeciwnie, uważam, że byłaby to jedna z większych korzyści popularyzacji tego systemu: im więcej wykrytych błędów, tym więcej poprawek, czyli tym lepszy linux… przynajmniej w przypadku tego systemu jest to regułą, drodzy fani windows
Ale ja nie piję do Linuksa, tylko do tych popaprańców z pingwinami wytatułowanymi na czołach. Ja też uważam, że Linux jest lepszy od Windowsa, nie podoba mi się tylko to, że poparcie dla OpenSource u niektórych przeradza się w dziwny, mistyczny kult nowego boga. Linuksiarze są krzykliwi i aroganccy, wzywają swoich "braci w wierze" do nienawiści wobec wszystkiego, co nie zgadza się z ich ideą. Dla mnie to jest chore i temu jestem przeciwny.
Ostatnio widziałem dyskusję na Valhalli na temat Linuksa http://www.valhalla.pl/news8789-Linux-czyli-nie-d… – i co widzę? Widzę normalną racjonalną dyskusję. Nie było tam linuksowych psycholi, ani sfrustrowanych windowsiarzy, którzy non-stop panoszą się na OSnews i wszczynają burdy o cokolwiek.
Ten komentarz nie odnosi się tylko do tego niusa, lecz do całego OSnews, Onetu świata IT.
No bez przesady, po drugiej stronie barykady jest chyba podobnie, a nawet chyba gorzej. Fanatyczni zwolennicy Open Source (o ile tacy faktycznie istnieją) są przynajmniej fanami fajnej i zdrowej idei (ideologii, jak kto woli). Widać niektórzy ludzie bez barykad żyć nie mogą. Faktyczny problem to elementarny często brak kultury w naszych dyskusjach internetowych. No coż, w tych stronach zawsze były problemy z cywilizacją. Tego się nawet sprzyjających warunkach szybko nie nadrobi. Ale nie traćmy nadziei, i tak nam się w ostatnich latach wiele udało.
Sęk w tym, że takiego burdelu na stronach typowo windowsowych nie ma. Konflikty zaczynają się wszędzie tam, gdzie namolni linuksiarze wciskają swoją "fajną i zdrową" ideę i wmawiają jakimi to debilami są ludzie, którzy tego nie rozumieją. Zgadzam się, że największym czynnikiem jest brak kultury, lecz równie istotny jest brak tolerancji dla ludzi, którzy nie chcą być "zbawieni" na siłę i wolą swoje windowsy/maki/cokolwiek. Bo wbrew temu co myślą linuksiarze, to jakie ja programy używam na własnym komputerze to moja, indywidualna sprawa. To fantatycy Linuksa stworzyli barykady, dzieląc ludzi na lepszych i gorszych według programów jakich używają.
…i w ktorym, na przykad, komentarzu potrafisz wskazac takie zachowania?
@Omg: nie rozumiesz. scapegoat jest trollem, który przeszwędał się tutaj z wykopu. Kliknij sobie na jego nick i wszystko będzie jasne.
Nikt tak nigdy nie pisał. Linux jest bezpieczniejszy niż Windows – tak. Ale że jest twierdzą?!
> Jak to ? przecież linux jest jak twierdza nie do zdobycia..
Bo tak jest. Problem w tym, że każda twierdza nie do zdobycia jest do zdobycia.
"Jeśli coś jest niemożliwe do zrobienia to zawsze znajdzie się ktoś kto o tym i nie wie i to zrobi"
Prawie jak Titanic
Jak Titanic, to jest Windows – wspaniale pływa przez kilka miesięcy, a później tonie i idzie na dno. Linux natomiast pływa po wodach, do puki kapitan na pokładzie (nie utonie, nawet jeśli zahaczy o górę lodową).
Tak samo jest w tym przypadku. Pomyślcie tylko co by się stało, gdyby włamano się na serwery update'owe Microsoftu? o_O Miliony skażonych komputerów i to nie tylko tych domowych, ale i firmowych, potrzebnych na co dzień. A w przypadku włamania do repozytoriów Linuksa co się stało? Nic, poza głupimi uśmiechami fanów Windowsa.
Wskażcie mi choć jednego użytkownika Linuksa, który ucierpiał z powodu włamania na serwery Red Hat'a, to zacznę się martwić.
No ale w tym wszystkim miło widzieć odmienne postępowanie firmy Red Hat (np. w odróżnieniu do Ms). Doszło do włamania – przyznajemy się do tego, opisujemy w jaki sposób (oraz pewnie wyciągamy wnioski na przyszłość), a także wprowadzamy kroki zaradcze (nowe klucze – na wszelki wypadek). Moim zdaniem podnosi to wiarygodność firmy w dużo większym stopniu niż zaprzeczanie, bagatelizowanie czy inne PR-owe sposoby stosowane powszechnie dotąd.
Miło? Fajnie, że cośtam napisali, ale nie ma dokładnie opisane w jaki sposób przestępca dostał się do tak ważnego serwera. Gdzie tu przezroczystość? Dodatkowo informację o kompromitacji podali tydzień po czasie odkrycia!
A pamiętam, że gdy Debian został skompromitowany, to były tylko odmienne reakcje.
Tydzień, ponieważ (jak gdzieś indziej wyczytałem) chcieli się dowiedzieć dokładnych szczegółów włamania i zaradzić temu, a dopiero potem ujawnić szczegóły
I przez tydzień użytkownicy RHN byli narażeni na używanie podpisanych przez niewiadomokogo pakietów? Cudownie.
Czytać nie umiemy? "RedHat zalecił wstrzymanie się od aktualizacji Fedory"
Pozatym, problem dotyczył serwerów Fedory, a nie RedHata i to użytkownicy Fedory końcowo byli poszkodowani a nie RedHata…
RHN nie było zagrożone ani trochę, nie ma żadnego związku z kluczami do Fedory…
W ogóle news napisany strasznie pobieżnie. Ani nic nie jest wspomniane o tym że projektowane i wdrażane są nowe systemy zabezpieczeń aby uniknąć takich przypadków w przyszłości, ani o tym że przez tydzień specjaliści od bezpieczeństwa i administratorzy sprawdzali wszystkie paczki i źródła programów czy czasem nie został gdzieś podrzucony jakiś trojan czy inne ustrojstwo (nic nie wykryli), ani o tym że równocześnie włamano się na serwery Red Hata, z tym że tam systemy zabezpieczeń nie pozwoliły na skompromitowanie i RHN był przez ten cały czas bezpieczny → http://rhn.redhat.com/errata/RHSA-2008-0855.html . A w newsie jedynie sensacja że było włamanie i nic w zasadzie więcej…
A jednak mały update do poprzedniego komentarza. Jak się jednak okazało atakujący zdołał jednak podpisać pakiety OpenSSH dla RHEL4 (arch i386 i x86_64) oraz RHEL5 (x86_64). RedHat jednocześnie udostępnił uaktualnione pakiety OpenSSH ->
http://rhn.redhat.com/errata/RHSA-2008-0855.html
Wraz z uaktualnieniami udostępniony skrypt do weryfikacji systemu, czy są na nim zainstalowane skompromitowane paczki:
http://www.redhat.com/security/data/openssh-black… https://www.redhat.com/security/data/openssh-blac…
A jednak mały update do poprzedniego komentarza. Jak się jednak okazało atakujący zdołał jednak podpisać pakiety OpenSSH dla RHEL4 (arch i386 i x86_64) oraz RHEL5 (x86_64). RedHat jednocześnie udostępnił uaktualnione pakiety OpenSSH ->
http://rhn.redhat.com/errata/RHSA-2008-0855.html
Wraz z uaktualnieniami udostępniony skrypt do weryfikacji systemu, czy są na nim zainstalowane skompromitowane paczki:
http://www.redhat.com/security/data/openssh-black…
Z racji "systemu antyspamowego" osnews muszę 3 osobne komenty pisać na 3 linki…
Postaw się w sytuacji MS. Jak by twojego systemu używało 3/4 świata, a ty byś trzepał na tym taką kasę, to gdybyś ujawniał takie rzeczy, twoi klienci by cię chyba powiesili.
Biznes to biznes…
Bo takie serwery chroni się szczeliną powietrzną i przenosi dane sneakernetem. Zaniedbanie, niewiedza albo zbagatelizowanie sprawy.
KLUCZ BYŁ NA SYSTEMIE PODŁĄCZONYM DO SIECI??? Czy oni tam kompletnie pogłupieli? Za taki numer to parę osób powinno się pożegnać z pracą (do szczebla wiceprezesa włącznie). To jest dla mnie szok że taki elementarny błąd mógł w ogóle zostać popełniony. W podobno kompetentnej firmie.
Dyskwalifikujące jest również stwierdzenie "we have high confidence". Pewność trzeba mieć, a nie przekonanie.
P.S. Co za kretyni minusują przedpiścę? Jak ktoś nie wie co to jest "air gap" to do szkoły, a nie wypowiadać się o bezpieczeństwie.
P.S.2. Widać że firma ma dobry PR, bo za taką kompromitancję jeszcze się ich tutaj głaska po główce.
A czy tam gdzieś jest napisane że klucz był na tym serwerze ? Bo jak dla mnie to tam jest jedynie napisane że włamania dokonano na system używany do podpisywania paczek, co niekoniecznie musi się równać z obecnością klucza właśnie na tym serwerze.
Gdyby tam nie było klucza, to nie byłoby zagrożenia jego wyciekiem i nie trzeba by go było zmieniać.
Wynika z tego, że napastnicy zdobyli klucz, ale w postaci zaszyfrowanej. A hasła chyba (właśnie, _chyba_) nie mają bo akurat nikt nic nie podpisywał.
> P.S.2. Widać że firma ma dobry PR, bo za taką kompromitancję
> jeszcze się ich tutaj głaska po główce.
No niezupełne PR, bo nie było konferencji prasowej, tylko notka na liście mailowej.
:
To w każdym zawsze jakaś odmiana. Ile firm się do tego przyznaje? Pamiętam, że jakiś czas temu była dyskusja o ukrywaniu włamań do własnych systemów w obawie, że odpłyną klienci.
:
Obsuwa jest, ale przynajmniej nie udają niezniszczalnych.
Ale tu akurat kwestia bezpieczeństwa wymagała działań użytkowników. Tego się nie dało ukryć.
Tak trochę z z innej strony to swego czasu MS chyba nawet prosił ludzi żeby wykryte błędy nie podawali do wiadomości publicznej tylko przesyłali bezpośrednio to microsoftu, więc działania RH wydają mi się całkiem wporządku w stosunku do klientów.
Ukrycie błędu bezpieczeństwa na kilka dni to najlepsze co można zrobić. Mniej osób o nim wie i mniej osób zdąży go wykorzystać. Po kilku dniach będą łatki i błąd nie będzie już tak gróźny. Nie tylko MS o to prosi – poszukaj niedawnego wywiadu z Linusem. Trąbienie o błędzie na prawo i lewo przynosi tylko szkody, i to wszystkim.
Dyskwalifikujące jest również stwierdzenie “we have high confidence”.
To chyba najpowazniejszy zarzut – kto opiera bezpieczenstwo na zaufaniu prosi sie o EPIC FAIL.
Rany- w distro społecznym też? Bo jak dla mnie się nie da.
W tym kontekscie "to have confidence" oznacza bycie przekonanym, a nie miec zaufanie.
To już druga wpadka Red Hat'a w tym roku. Pierwsza była z wyciekiem pytań egzaminacyjnych RHCE w UK
Moze podasz jakies rozwiniecie ? skad masz takie informacje ?
http://www.google.pl/search?hl=pl&q=rhce+ques…
Masz bana na Google?
1 link:
http://wikileaks.org/wiki/RHCE_exam_question_1_(2…