Red Hat ujawnia szczegóły włamania na serwery Fedory

14 sierpnia serwery Fedory padły ofiarą włamania. By zabezpieczyć się przed konsekwencjami Red Hat zalecał wstrzymanie się przed aktualizowaniem systemu. Obecnie ujawnił szczegóły włamania.

Jak podaje PCWorld.pl

Jednym z serwerów, który uległ włamywaczom, była maszyna wykorzystywana do cyfrowego podpisywania pakietów z oprogramowaniem (!). Deweloperzy Red Hata są jednak przekonani, że cyberprzestępcy nie przechwycili frazy wykorzystywanej do generowania klucza. Nie używano jej ani w czasie, gdy serwerem prawdopodobnie władali włamywacze – ani też nie przechowywano na żadnej z maszyn.
Administratorzy postanowili się jednak zabezpieczyć i wykorzystać do podpisywania paczek nowe klucze. Oznacza to, że wkrótce każdy użytkownik Fedory będzie musiał zaakceptować wygenerowane od zera podpisy cyfrowe.

Szczegóły dotyczące nowych kluczy zostaną wkrótce opublikowane.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Thar
    Thar

    Potwierdzona stara prawda – największą luką bezpieczeństwa w systemie jest admin…

    1. Awatar dodd
      dodd

      to już nie user?

      1. Awatar Michał Tomaszewski
        Michał Tomaszewski

        User ni ma praw administratora, więc nie może za dużo zepsuć :). Jak zwykle są wyjątki od reguły, np. windows 😉

        1. Awatar https://openid.claim
          https://openid.claim

          To serwery na które się włamano działały w oparciu o Windows, skoro można było na nich zamieszać nie posiadając uprawnień administratora?

          Potwierdziło się to przed czym ja i inni mi podobni tzw.trole ostrzegali – najsłabszym ogniwem GNU/Linuksa jest bezgraniczne zaufanie użytkowników do zawartości repozytoriów.

        2. Awatar pdemb
          pdemb

          > Potwierdziło się to przed czym ja i inni mi podobni tzw.trole

          > ostrzegali – najsłabszym ogniwem GNU/Linuksa jest bezgraniczne

          > zaufanie użytkowników do zawartości repozytoriów.

          W przypadku, gdy komuś uda się włamać do repozytoriów, zwykle jest wrzawa na cały Internet, więc to zaufanie jest tak jakby uzasadnione.

        3. Awatar Thar
          Thar

          To raz.

          A dwa, że aby użyć tego klucza do przeprowadzenia zmasowanego ataku trzeba by było jeszcze włamać się na serwer uaktualnień i podmienić paczki. Nie twierdzę, że to niewykonalne, ale bardzo trudne, bo pierwszy włam jest z reguły od razu wykrywany i podejmowane odpowiednie środki w celu uniemożliwienia drugiego.

          No i last but not least, Windows i w ogóle wszystkie systemy z opcją aktualizacji również są wrażliwe na ten rodzaj ataku.

    2. Awatar trasz
      trasz

      @Thar: Nawet najlepszy admin nie pomoze, jak oprogramowanie jest dziurawe. Skad wiesz, ze nie bylo tak i tym razem?

  2. Awatar scapegoat
    scapegoat

    Jak to ? przecież linux jest jak twierdza nie do zdobycia.. 🙂

    1. Awatar sunrise_son
      sunrise_son

      wracaj trollować na wykop, ignorancie

      1. Awatar Omg
        Omg

        O, widzę, że GNU/inkwizycja pracuje od samego rana.

        Nie wiem jak ty, scapegoat, ale ja się tu czasem czuję jak gł. bohater filmu "Jestem legendą".

        1. Awatar fragger
          fragger

          To teraz na Wykop wysyłają a nie Onet?

          sunrise_son teraz zamyka oczy i krzyczy "nie widziałem tego nie widziałem tego" taka wewnętrzna cenzura 😀

        2. Awatar tuxmaniak
          tuxmaniak

          Hmm… na windowsie błędy są już tak powszechne, że nie traktuje się już ich jako coś niezwykłego… 🙂

          Radość anty-linuksiarzy jest pośrednim dowodem bezpieczeństwa linuksa. Naprawdę długo musieli czekać na taką informację, to teraz cieszą się i muszą to opić :>

          Tak na poważnie, to wcale nie uważam, ze linux jest wolny od błędów. I w przeciwieństwie do niektórych przeciwników linuksa, nie uważam, że mam bać się jego popularyzacji, bo wtedy wykrywalność błędów wzrośnie… Wręcz przeciwnie, uważam, że byłaby to jedna z większych korzyści popularyzacji tego systemu: im więcej wykrytych błędów, tym więcej poprawek, czyli tym lepszy linux… przynajmniej w przypadku tego systemu jest to regułą, drodzy fani windows 😉

        3. Awatar Omg
          Omg

          Ale ja nie piję do Linuksa, tylko do tych popaprańców z pingwinami wytatułowanymi na czołach. Ja też uważam, że Linux jest lepszy od Windowsa, nie podoba mi się tylko to, że poparcie dla OpenSource u niektórych przeradza się w dziwny, mistyczny kult nowego boga. Linuksiarze są krzykliwi i aroganccy, wzywają swoich "braci w wierze" do nienawiści wobec wszystkiego, co nie zgadza się z ich ideą. Dla mnie to jest chore i temu jestem przeciwny.

          Ostatnio widziałem dyskusję na Valhalli na temat Linuksa http://www.valhalla.pl/news8789-Linux-czyli-nie-d… – i co widzę? Widzę normalną racjonalną dyskusję. Nie było tam linuksowych psycholi, ani sfrustrowanych windowsiarzy, którzy non-stop panoszą się na OSnews i wszczynają burdy o cokolwiek.

          Ten komentarz nie odnosi się tylko do tego niusa, lecz do całego OSnews, Onetu świata IT.

        4. Awatar JG
          JG

          nie podoba mi się tylko to, że poparcie dla OpenSource u niektórych przeradza się w dziwny, mistyczny kult nowego boga. Linuksiarze są krzykliwi i aroganccy,

          No bez przesady, po drugiej stronie barykady jest chyba podobnie, a nawet chyba gorzej. Fanatyczni zwolennicy Open Source (o ile tacy faktycznie istnieją) są przynajmniej fanami fajnej i zdrowej idei (ideologii, jak kto woli). Widać niektórzy ludzie bez barykad żyć nie mogą. Faktyczny problem to elementarny często brak kultury w naszych dyskusjach internetowych. No coż, w tych stronach zawsze były problemy z cywilizacją. Tego się nawet sprzyjających warunkach szybko nie nadrobi. Ale nie traćmy nadziei, i tak nam się w ostatnich latach wiele udało.

        5. Awatar Omg
          Omg

          Sęk w tym, że takiego burdelu na stronach typowo windowsowych nie ma. Konflikty zaczynają się wszędzie tam, gdzie namolni linuksiarze wciskają swoją "fajną i zdrową" ideę i wmawiają jakimi to debilami są ludzie, którzy tego nie rozumieją. Zgadzam się, że największym czynnikiem jest brak kultury, lecz równie istotny jest brak tolerancji dla ludzi, którzy nie chcą być "zbawieni" na siłę i wolą swoje windowsy/maki/cokolwiek. Bo wbrew temu co myślą linuksiarze, to jakie ja programy używam na własnym komputerze to moja, indywidualna sprawa. To fantatycy Linuksa stworzyli barykady, dzieląc ludzi na lepszych i gorszych według programów jakich używają.

        6. Awatar Thar
          Thar

          …i w ktorym, na przykad, komentarzu potrafisz wskazac takie zachowania?

        7. Awatar sunrise_son
          sunrise_son

          @Omg: nie rozumiesz. scapegoat jest trollem, który przeszwędał się tutaj z wykopu. Kliknij sobie na jego nick i wszystko będzie jasne.

    2. Awatar morsik
      morsik

      Nikt tak nigdy nie pisał. Linux jest bezpieczniejszy niż Windows – tak. Ale że jest twierdzą?!

    3. Awatar pdemb
      pdemb

      > Jak to ? przecież linux jest jak twierdza nie do zdobycia.. 🙂

      Bo tak jest. Problem w tym, że każda twierdza nie do zdobycia jest do zdobycia.

      1. Awatar Alinoe
        Alinoe

        "Jeśli coś jest niemożliwe do zrobienia to zawsze znajdzie się ktoś kto o tym i nie wie i to zrobi" 🙂

      2. Awatar F4zi
        F4zi

        Prawie jak Titanic 😉

        1. Awatar kamild
          kamild

          Jak Titanic, to jest Windows – wspaniale pływa przez kilka miesięcy, a później tonie i idzie na dno. Linux natomiast pływa po wodach, do puki kapitan na pokładzie (nie utonie, nawet jeśli zahaczy o górę lodową). 😉

          Tak samo jest w tym przypadku. Pomyślcie tylko co by się stało, gdyby włamano się na serwery update'owe Microsoftu? o_O Miliony skażonych komputerów i to nie tylko tych domowych, ale i firmowych, potrzebnych na co dzień. A w przypadku włamania do repozytoriów Linuksa co się stało? Nic, poza głupimi uśmiechami fanów Windowsa. 😉 Wskażcie mi choć jednego użytkownika Linuksa, który ucierpiał z powodu włamania na serwery Red Hat'a, to zacznę się martwić.

  3. Awatar nbvcxz
    nbvcxz

    No ale w tym wszystkim miło widzieć odmienne postępowanie firmy Red Hat (np. w odróżnieniu do Ms). Doszło do włamania – przyznajemy się do tego, opisujemy w jaki sposób (oraz pewnie wyciągamy wnioski na przyszłość), a także wprowadzamy kroki zaradcze (nowe klucze – na wszelki wypadek). Moim zdaniem podnosi to wiarygodność firmy w dużo większym stopniu niż zaprzeczanie, bagatelizowanie czy inne PR-owe sposoby stosowane powszechnie dotąd.

    1. Awatar ike
      ike

      Miło? Fajnie, że cośtam napisali, ale nie ma dokładnie opisane w jaki sposób przestępca dostał się do tak ważnego serwera. Gdzie tu przezroczystość? Dodatkowo informację o kompromitacji podali tydzień po czasie odkrycia!

      A pamiętam, że gdy Debian został skompromitowany, to były tylko odmienne reakcje.

      1. Awatar morsik
        morsik

        Tydzień, ponieważ (jak gdzieś indziej wyczytałem) chcieli się dowiedzieć dokładnych szczegółów włamania i zaradzić temu, a dopiero potem ujawnić szczegóły

        1. Awatar ike
          ike

          I przez tydzień użytkownicy RHN byli narażeni na używanie podpisanych przez niewiadomokogo pakietów? Cudownie.

        2. Awatar morsik
          morsik

          Czytać nie umiemy? "RedHat zalecił wstrzymanie się od aktualizacji Fedory"

          Pozatym, problem dotyczył serwerów Fedory, a nie RedHata i to użytkownicy Fedory końcowo byli poszkodowani a nie RedHata…

        3. Awatar Adi1981
          Adi1981

          RHN nie było zagrożone ani trochę, nie ma żadnego związku z kluczami do Fedory…

          W ogóle news napisany strasznie pobieżnie. Ani nic nie jest wspomniane o tym że projektowane i wdrażane są nowe systemy zabezpieczeń aby uniknąć takich przypadków w przyszłości, ani o tym że przez tydzień specjaliści od bezpieczeństwa i administratorzy sprawdzali wszystkie paczki i źródła programów czy czasem nie został gdzieś podrzucony jakiś trojan czy inne ustrojstwo (nic nie wykryli), ani o tym że równocześnie włamano się na serwery Red Hata, z tym że tam systemy zabezpieczeń nie pozwoliły na skompromitowanie i RHN był przez ten cały czas bezpieczny → http://rhn.redhat.com/errata/RHSA-2008-0855.html . A w newsie jedynie sensacja że było włamanie i nic w zasadzie więcej…

        4. Awatar Adi1981
          Adi1981

          A jednak mały update do poprzedniego komentarza. Jak się jednak okazało atakujący zdołał jednak podpisać pakiety OpenSSH dla RHEL4 (arch i386 i x86_64) oraz RHEL5 (x86_64). RedHat jednocześnie udostępnił uaktualnione pakiety OpenSSH ->
          http://rhn.redhat.com/errata/RHSA-2008-0855.html
          Wraz z uaktualnieniami udostępniony skrypt do weryfikacji systemu, czy są na nim zainstalowane skompromitowane paczki:
          http://www.redhat.com/security/data/openssh-black… https://www.redhat.com/security/data/openssh-blac…

        5. Awatar Adi1981
          Adi1981

          A jednak mały update do poprzedniego komentarza. Jak się jednak okazało atakujący zdołał jednak podpisać pakiety OpenSSH dla RHEL4 (arch i386 i x86_64) oraz RHEL5 (x86_64). RedHat jednocześnie udostępnił uaktualnione pakiety OpenSSH ->
          http://rhn.redhat.com/errata/RHSA-2008-0855.html

        6. Awatar Adi1981
          Adi1981

          Wraz z uaktualnieniami udostępniony skrypt do weryfikacji systemu, czy są na nim zainstalowane skompromitowane paczki:
          http://www.redhat.com/security/data/openssh-black…

          Z racji "systemu antyspamowego" osnews muszę 3 osobne komenty pisać na 3 linki… 😐

    2. Awatar AK-105
      AK-105

      Postaw się w sytuacji MS. Jak by twojego systemu używało 3/4 świata, a ty byś trzepał na tym taką kasę, to gdybyś ujawniał takie rzeczy, twoi klienci by cię chyba powiesili.

      Biznes to biznes…

  4. Awatar fragger
    fragger

    Bo takie serwery chroni się szczeliną powietrzną i przenosi dane sneakernetem. Zaniedbanie, niewiedza albo zbagatelizowanie sprawy.

    1. Awatar krzy
      krzy

      One of the compromised Fedora servers was a system used for signing

      Fedora packages. However, based on our efforts, we have high confidence

      that the intruder was not able to capture the passphrase used to secure

      the Fedora package signing key. Based on our review to date, the

      passphrase was not used during the time of the intrusion on the system

      and the passphrase is not stored on any of the Fedora servers.

      KLUCZ BYŁ NA SYSTEMIE PODŁĄCZONYM DO SIECI??? Czy oni tam kompletnie pogłupieli? Za taki numer to parę osób powinno się pożegnać z pracą (do szczebla wiceprezesa włącznie). To jest dla mnie szok że taki elementarny błąd mógł w ogóle zostać popełniony. W podobno kompetentnej firmie.

      Dyskwalifikujące jest również stwierdzenie "we have high confidence". Pewność trzeba mieć, a nie przekonanie.

      P.S. Co za kretyni minusują przedpiścę? Jak ktoś nie wie co to jest "air gap" to do szkoły, a nie wypowiadać się o bezpieczeństwie.

      P.S.2. Widać że firma ma dobry PR, bo za taką kompromitancję jeszcze się ich tutaj głaska po główce.

      1. Awatar Adi1981
        Adi1981

        A czy tam gdzieś jest napisane że klucz był na tym serwerze ? Bo jak dla mnie to tam jest jedynie napisane że włamania dokonano na system używany do podpisywania paczek, co niekoniecznie musi się równać z obecnością klucza właśnie na tym serwerze.

        1. Awatar krzy
          krzy

          Gdyby tam nie było klucza, to nie byłoby zagrożenia jego wyciekiem i nie trzeba by go było zmieniać.

          Wynika z tego, że napastnicy zdobyli klucz, ale w postaci zaszyfrowanej. A hasła chyba (właśnie, _chyba_) nie mają bo akurat nikt nic nie podpisywał.

      2. Awatar SeeM
        SeeM

        > P.S.2. Widać że firma ma dobry PR, bo za taką kompromitancję

        > jeszcze się ich tutaj głaska po główce.

        No niezupełne PR, bo nie było konferencji prasowej, tylko notka na liście mailowej.

        :

        To w każdym zawsze jakaś odmiana. Ile firm się do tego przyznaje? Pamiętam, że jakiś czas temu była dyskusja o ukrywaniu włamań do własnych systemów w obawie, że odpłyną klienci.

        :

        Obsuwa jest, ale przynajmniej nie udają niezniszczalnych.

        1. Awatar vries
          vries

          Ale tu akurat kwestia bezpieczeństwa wymagała działań użytkowników. Tego się nie dało ukryć.

        2. Awatar Alinoe
          Alinoe

          Tak trochę z z innej strony to swego czasu MS chyba nawet prosił ludzi żeby wykryte błędy nie podawali do wiadomości publicznej tylko przesyłali bezpośrednio to microsoftu, więc działania RH wydają mi się całkiem wporządku w stosunku do klientów.

        3. Awatar krzychoocpp
          krzychoocpp

          Ukrycie błędu bezpieczeństwa na kilka dni to najlepsze co można zrobić. Mniej osób o nim wie i mniej osób zdąży go wykorzystać. Po kilku dniach będą łatki i błąd nie będzie już tak gróźny. Nie tylko MS o to prosi – poszukaj niedawnego wywiadu z Linusem. Trąbienie o błędzie na prawo i lewo przynosi tylko szkody, i to wszystkim.

      3. Awatar TrollKiler
        TrollKiler

        Dyskwalifikujące jest również stwierdzenie “we have high confidence”.

        To chyba najpowazniejszy zarzut – kto opiera bezpieczenstwo na zaufaniu prosi sie o EPIC FAIL.

        1. Awatar tomlee
          tomlee

          Rany- w distro społecznym też? Bo jak dla mnie się nie da.

        2. Awatar Squid
          Squid

          W tym kontekscie "to have confidence" oznacza bycie przekonanym, a nie miec zaufanie.

  5. Awatar romantic
    romantic

    To już druga wpadka Red Hat'a w tym roku. Pierwsza była z wyciekiem pytań egzaminacyjnych RHCE w UK 🙂

    1. Awatar jey
      jey

      Moze podasz jakies rozwiniecie ? skad masz takie informacje ?

      1. Awatar fragger
        fragger

        http://www.google.pl/search?hl=pl&q=rhce+ques…

        Masz bana na Google?

        1 link:

        http://wikileaks.org/wiki/RHCE_exam_question_1_(2…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *