Developerzy Fedory szukają backdoorów

Jakiś czas temu na LWN pojawiła się informacja, że popularne repozytorium programów open source berlios został przejęte przez włamywaczy. Wydarzenie to miało miejsce prawdopodobnie w 2005 roku a zostało odkryte dopiero niedawno. Dlatego Seth Vidal sporządził listę 50 pakietów, których źródła są hostowane na berlios i poprosił developerów o szukanie wszelkich nieprawidłowości.

To wydarzenie jest bardzo ciekawe w kontekście zaufania osoby sporządzającej paczkę do źródła z którego pobiera kod. Bez wątpienia może podkopać zaufanie do „bezpiecznego łańcucha” – „jeśli oprogramowanie jest wzięte z dystrybucji, to na pewno nie ma wbudowanego żadnego złośliwego kodu”, „kod open source jest sprawdzany przez tysiące ludzi”.

Możliwe są trzy scenariusze zakończenia audytu:
– zakończenie pozytywne 1 – złośliwy kod zostanie namierzony i usunięty
– zakończenie pozytywne 2 – złośliwy kod nie zostanie namierzony, bo nie został dodany do oprogramowania wymienionego na liście Setha
– zakończenie negatywne – złośliwy kod nie zostanie namierzony

Przypadek berlios jest również ciekawy w kontekście masowego wykorzystywania takich dużych repozytoriów przez deweloperów open source. Jest to bardzo atrakcyjny cel ataku dla włamywacza, ponieważ po udanym włamaniu jego „skala rażenia” może być bardzo duża.

Jak myślicie, co włamywacz zmajstrował na berlios, gdy przez 5 lat miał do niego dostęp?

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar abcman
    abcman

    Parę miesięcy temu zrezygnowałem z Fedory 12 64-bit na rzecz Ubuntu 9.10 64-bit. Fedora 11 była cudowna, ale coś się zaczęło w 12-tej wersji psuć (nie działający sterownik x-fi, OpenGL gdzieś polazł – kompletny jego brak stabilności + śnieżenie ekranu nawet po wyjściu z trybu OpenGL). Mam nadzieję że to nie był wzmiankowany w artykule backdoor.

    1. Awatar trasz
      trasz

      @abcman: Poczekaj, zaraz przyjdzie Oo i wytlumaczy ci, ze to dlatego, ze sie nie znasz – bo jemu po upgradzie zawsze wszystko dziala. 😉

    2. Awatar Arkadiusz
      Arkadiusz

      to nie są pakiety typowe dla Fedory, są używane w innych dystrybucjach również, więc istnieje podejrzenie że jest w innych dystrybucjach. np fetchmail czy smb4k.
      Swoją drogą dziwne że "inne dystrybucje milczą" na ten temat ( mam tu na myśli *głównie* debiana i susła, bo po zdecydowanej większości niemożna się niczego innego spodziewać).
      Linux biedny byłby bez RedHata :>

      1. Awatar spy000yps
        spy000yps

        "Swoją drogą dziwne że “inne dystrybucje milczą” na ten temat "

        Boją się wywołać panikę 😉

        Może po postu w innych dystrybucjach nikt nie wpadł na to, żeby sprawdzić te pakiety?

        "bo po zdecydowanej większości niemożna się niczego innego spodziewać"

        To dla tego, że zrobienie dystrybucji jest teraz dość proste. Zresztą czego wymagasz od ludzi, którzy robią własny remix ubuntu, wymyślają jakąś fajną nazwę, robią ładną tapetę etc.

        "Linux biedny byłby bez RedHata :>"

        Co racja, to racja 🙂

  2. Awatar Sparrow1
    Sparrow1

    Znowu Jörg Schilling. Tak to jest kiedy komuś się wydaje pozjadał wszystkie rozumy… Na szczęście sądząc z listy pakietów nie ma tam nic wyjątkowo popularnego. BTW, jeśli ktoś faktycznie zmieniał źródła, to powinno to chyba wypłynąć przy okazji commitów z lokalnych drzew deweloperów?

    1. Awatar spy000yps
      spy000yps

      "jeśli ktoś faktycznie zmieniał źródła, to powinno to chyba wypłynąć przy okazji commitów z lokalnych drzew deweloperów?"

      Jeśli miał dostęp do repo, to mógł bez większego problemu (tak mi się przynajmniej wydaje – nie jestem specjalistą od mieszania w .git czy .svn) ukryć swoje zmiany we wcześniejszych commitach wprowadzanych przez innych. To zależy od projektu, ale backdoor do logowania w freenx może mieć kilka linijek. Taka rzecz może wyjść dopiero przy poszukiwaniach takiego backdoora – wcześniej nikt nie zastanawiał się do czego te parę linijek w pliku xyz.c służy, jeśli jest jeszcze kilkadziesiąt tysięcy linijek innego kodu…

      1. Awatar Maciej Piechotka
        Maciej Piechotka

        W gitie można sprawdzić. Każdy dev ma kopię repo u siebie ze wszystkimi hashami etc.

        1. Awatar spy000yps
          spy000yps

          No niby teoretycznie tak. Dla każdego repo da się to sprawdzić.

          W git chyba nie po hashach. Używam gita do codziennej pracy i zawsze przed backupem wszystkiego robię git fsck –-full, git count-objects, git gc. No i nie ma hashy do porównywania. Wszystko jest w jednej paczce. Wtedy może być trudno coś znaleźć.

  3. Awatar Sławek
    Sławek

    Podane repozytorium, które podobno wpadło w niepowołane ręce, nie jest repozytorium dystrybucji. Jest to repozytorium zewnętrzne. Swoją drogą, to ciekawe zjawisko, że teraz ktoś się zorientował. Poza tym, to na te repozytorium kodu źródłowego, źródła są wrzucane jedynie przez twórców danego programu. Sami powinni coś wywęszyć, gdyby do źródeł ich programów coś dołączono.

    1. Awatar spy000yps
      spy000yps

      "Podane repozytorium, które podobno wpadło w niepowołane ręce, nie jest repozytorium dystrybucji."

      A czy ja napisałem, że jest???

      Napisałem, że zostało przejęte.

      Wcześniej deweloperzy Fedory "ufali" kodowi tam hostowanemu, teraz "nie ufają" dopóki go nie przejrzą.

  4. Awatar kekek
    kekek

    Czemu news, który wisiał przeszło tydzień w poczekalni trafił na główną?

    1. Awatar azhag
      azhag

      > Dodano: 11 lutego 2010

      tydzień?

    2. Awatar lazy_bum
      lazy_bum

      Został wy+ikowany? [;

    3. Awatar 3ED
      3ED

      Komuś czas się dłuży? 🙂

  5. Awatar Sierran
    Sierran

    A ja uważam linuxa teraz za mało bezpiecznego dla ZU. Dlaczego ? Przypadek spyware w skorce na gnome-look. Oczywiscie my wszyscy sobie poradzimy z wywaleniem spyware.. Ale zwyczajny użytkownik nawet się nie dowie o jego istnieniu.. Trojnanów, wirusów na linuxa już się mnoży.. Co z tego że użytkownik musi sie zgodzić na instalacje jak złośliwy kod może być doczepiony wszędzie ? W dzisiejszych czasach już nie jest bezpiecznie. Widać że developerzy "docenili" inne platformy niż windows.. Przypomina mi się wcześniejszy temat na OSnews na temat antywirusów pod linuxa.. Nasz kochany clamAV ładnie wykrywał zagrożenia pod windowsa.. ale pod linuxa już nie.. a inną sprawą jest to że nie ma ochrony w czasie rzeczywistym. Chociaż jak by na to popatrzeć nie jest ona potrzebna.. Wystarczalo by np. Ustawić swoją ulubioną przeglądarke by po sciągnięciu uruchamiała AV i skanowała plik. To się rozpisałem 😉

    Pozdrawiam i miłego weekendu 😉

    1. Awatar spy000yps
      spy000yps

      — Sarkazm —
      Ale Ty człowieku masz fantazję. Przecież powszechnie wiadomo, że Linux nie potrzebuje antywirusa, bo nie ma złośliwego kodu.
      — Sarkazm —

      😉

  6. Awatar me
    me

    dziwne, o włamaniu na berlios czytałem chyba dawno temu… deja vu?

    1. Awatar spy000yps
      spy000yps

      Bo wiadomość o nim była na LWN w zeszłym miesiącu. Po miesiącu doszło do developerów Fedory, że trzeba coś z tym zrobić. Trzeba przyznać, że mają refleks – o innych dystrybucjach nic nie słyszałem, a jest ich 850…

      1. Awatar nobady
        nobady

        Czyżby żaden z developerów nie miał wykupionej subskrypcji na LWN?

      2. Awatar me
        me

        dawno to lata temu, albo mam coś z głową, albo już było włamanie

  7. Awatar sierran
    sierran

    Problem lezy po stronie tworcow takich userfriendly dystrybucji, ze wychowali sobie uzytkownikow klikajacych sobie radosnie dwa razy w .deb czy .rpm. a tych trojanow, wirusow to namnozylo sie ostatnio tyle, ze zliczyc nie idzie ( az zero).
    Pozdrawiam

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *