URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 51383
[ Назад ]

Исходное сообщение
"Разбор техники прошлогоднего проникновения злоумышленников в..."

Отправлено opennews , 30-Мрт-09 22:07 
Опубликован финальный отчет (https://www.redhat.com/archives/fedora-announce-list/2009-Ma...) с разбором техники проникновения злоумышленников в инфраструктуру проекта Fedora в августе 2009 года, позволившего получить контроль (http://www.opennet.me/opennews/art.shtml?num=17510) над некоторыми ключевыми машинами проекта. В период разбирательства, с 12 по 20 августа, доступ к репозиториям пакетов, и обновлениям был заблокирован, позднее были изменены все ключи для формирования цифровой подписи пакетов.


После длительного анализа ситуации, разработчики заявили, что проникновение не было связано с уязвимостью в программном обеспечении. Проникновение было совершено на несколько внутренних серверов, через перехваченный у одного из администраторов приватный SSH ключ, доступ по которому к серверам инфраструктуры Fedora осуществлялся по беспарольной схеме (http://www.opennet.me/tips/info/284.shtml). После проникновения в систему злоумышленник осуществил сборку и установку мод...

URL: https://www.redhat.com/archives/fedora-announce-list/2009-Ma...
Новость: http://www.opennet.me/opennews/art.shtml?num=21005


Содержание

Сообщения в этом обсуждении
"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Аноним , 30-Мрт-09 22:07 
смысл в ssh ключах тогда если они парольные?

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено сабакка , 30-Мрт-09 22:24 
>смысл в ssh ключах тогда если они парольные?

С одиним качественным паролем легче работать, чем с большим их количеством.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Щекн Итрч , 30-Мрт-09 22:34 
>смысл в ssh ключах тогда если они парольные?

А смысл тогда в этих кредитных картах, если они PIN-кодные??? :)


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено User294 , 30-Мрт-09 23:40 
>А смысл тогда в этих кредитных картах, если они PIN-кодные??? :)

Нашли что в пример привести.А можно вопрос: что там в кредитках секурное?Магнитная полоса читаемая пионерами на коленке?Пинкод из целых 4 цифр?Или может возможность произведения транзакций даже без знания пинкода только по номеру кредитки, который к тому же на ней пардон просто открытым текстом напечатан? :)


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Владимир , 31-Мрт-09 01:19 
там rsa-ключик твой приватный запароленный твоим pin-кодом =)

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Владимир , 31-Мрт-09 01:46 
>там rsa-ключик твой приватный запароленный твоим pin-кодом =)

Я не имею ввиду древние карточки. А те которые используются сейчас - чипованные. Они генерят открытый ключ по закрытому. Доступ к которому как раз и может быть осуществлён при помощи pin-кода. Точно такой же механизм как и запароленный ssh ключик.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено User294 , 31-Мрт-09 02:32 
Знаете, у меня в кошельке лежит несколько карт.Выпущенных в этом году.Хоть бы на одной чип был, ага.Просто тупой кусок пластика с магнитной полосой и кучкой цифр, пассивный как бревно.И кроме того - даже на чип-картах обычно есть все та же магнитная полоса.Просто потому что далеко не везде банкоматы, картридеры и прочая понимают что такое там за чипы а прикладывать клиента мордой об стол на каждом углу - неэстетично.

Еще видел несколько сообщений о случаях ... заражения банкоматов вирусней.Ну, там стоит нередко винда и вирусы она подхватывает не хуже чем на десктопе.И кстати слова "Tranax operator manual" вам ничего не говорят?А то юзерье нашедшее этот мануал (качается любым бакланом из p2p или даже веба на раз-два) в свое время радостно обнаружило что на многих банкоматах пароль на тестовый режим не сменен с дефолтного, указанного в мануале :D (феноменальное долбобобство!).В итоге в штатах народ немало пограбил банкоматы пока кто-то не спалился свалив в туман не отключив тестовый режим :)

Собственно, такая вот безопасность.Круто на вид (чтоб клиенты икру не метали, а в безопасности они все-равно нули) а по факту - все обычно куда печальнее чем выглядит.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Владимир , 31-Мрт-09 13:28 
>Знаете, у меня в кошельке лежит несколько карт.Выпущенных в этом году.Хоть бы
>на одной чип был, ага.Просто тупой кусок пластика с магнитной полосой
>и кучкой цифр, пассивный как бревно.

Извините, я не из России, просто слышал что у вас банки - это просто декорация... собственно и технологии прошлого века =)

> И кроме того - даже на
>чип-картах обычно есть все та же магнитная полоса.

На той полосе просто продублирована зрительная информация с поверхности карточки =)


> Просто потому что далеко
>не везде банкоматы, картридеры и прочая понимают что такое там за
>чипы а прикладывать клиента мордой об стол на каждом углу -
>неэстетично.

Ну наверное тут тоже надо поправку на страну делать =)

>
>Еще видел несколько сообщений о случаях ... заражения банкоматов вирусней.Ну, там стоит
>нередко винда и вирусы она подхватывает не хуже чем на десктопе.

Самое прикольное не то что банкоматы заражаются, а что теперь и руьеры и холодильники и стиральные машины в spy-bot сети входят =) Забавно учитывая что не можешь в этом случае не чем своей технике помочь =)


>кстати слова "Tranax operator manual" вам ничего не говорят?А то юзерье
>нашедшее этот мануал (качается любым бакланом из p2p или даже веба
>на раз-два) в свое время радостно обнаружило что на многих банкоматах
>пароль на тестовый режим не сменен с дефолтного, указанного в мануале
>:D (феноменальное долбобобство!).В итоге в штатах народ немало пограбил банкоматы пока
>кто-то не спалился свалив в туман не отключив тестовый режим :)

да системы дырявые в большинстве своём =)
>
>
>Собственно, такая вот безопасность.Круто на вид (чтоб клиенты икру не метали, а
>в безопасности они все-равно нули) а по факту - все обычно
>куда печальнее чем выглядит.

согласен =)


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено User294 , 31-Мрт-09 17:29 
>Извините, я не из России, просто слышал что у вас банки -
>это просто декорация... собственно и технологии прошлого века =)

А ничо что я в основном пользуюсь ситибанком?Если он и декорация то, простите, американская.И технологии они вроде везде более-менее одинаковые юзают по моим наблюдениям.

>На той полосе просто продублирована зрительная информация с поверхности карточки =)

И этой инфо черт побери достаточно для того чтобы снять с карты бабло.Даже без ввода пина.Заметьте, в магазие кассир бойко взмахивает картой в магнитном ридере и - никакого пинкода даже не надо.Аналогично, можно провести платежи и в инет-магазинах просто посмотрев что на карте написано.Не вводя пин код.И что мешает кому-то втихаря переписать эти данные с карты, не оставив и следа?

>Ну наверное тут тоже надо поправку на страну делать =)

С ситибанком то?А они контора глобальная, штатовская. Снабжают местных теми же визами и мастеркардами что и везде.И работают они worldwide и счета в валюте можно держать, etc :)

>Самое прикольное не то что банкоматы заражаются, а что теперь и руьеры
>и холодильники и стиральные машины в spy-bot сети входят =) Забавно
>учитывая что не можешь в этом случае не чем своей технике
>помочь =)

Если совсем идиот - да, не поможешь.А если голова на плечах то ребутнуть роутер да пароль сменить - не больно то и дофига мозгов вроде надо?

>да системы дырявые в большинстве своём =)

Да просто банкиры очень любят имитировать бурную деятельность а по факту - гестаповщина по отношению к сотрудникам которых чуть ли не обыскивают до трусов еще не обеспечивает безопасность системы в целом.Зато у того же ситибанка сотрудники нифига не могут.Чуть их безликий железный Феликс сглючит - все, сливай вода, туши фонарь.Сотрудники ситифона ничерта с этим не могут сделать потому что прав у них сроду ни на что нет.И при такой паранойе они продолжают выдавать "секурные" куски пластика с магнитной полоской, инфо с которой в общем то достаточно для проведения транзакций :).Единственное что реально делает ситибанк хоть как-то безопасным - это не защита а ... близкое к реалтайму оповещение о списании баблосов и возможность оперативно оспорить транзакции которых ты не совершал.

>согласен =)

Ну вон штатовские банкиры с их незабвенными tranax'ами доказали свой долбо..изм не меняя дефолтный пароль тест-режима.На такую страну тоже надо делать поправки.Построив процесс ввода в строй банкомата так чтобы не сменить пароль было просто нельзя.И кстати такой идиотизм еще простителен юзерам ADSL модема, но полный швах для тех кто занимается установкой банкоматов - можно было туда все-таки не столь махровых домохозяек наверное набирать?! :)


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Владимир , 31-Мрт-09 17:54 
>А ничо что я в основном пользуюсь ситибанком?Если он и декорация то,
>простите, американская.И технологии они вроде везде более-менее одинаковые юзают по моим
>наблюдениям.

Нет, здесь вы немного заблуждаетесь. Вернее вас заблуждают...
Все те вывески что появились в России в последнее время "Райфайзен","СитиБанк", "СосьтеЖенераль" не имеют отношения к их родительским предприятиям... не технически, не через капитал... Это вывеска + право на её использование. (Типа макдональдса)...
>
>>На той полосе просто продублирована зрительная информация с поверхности карточки =)
>
>И этой инфо черт побери достаточно для того чтобы снять с карты
>бабло.Даже без ввода пина.Заметьте, в магазие кассир бойко взмахивает картой в
>магнитном ридере и - никакого пинкода даже не надо.

Эти транзакции получают статус "ненадёжных" и проводятся только с кредитных счетов. Транзакции с данным статусом могут быть отменены владельцем в одностороннем порядке.

Транзакции которые были проведены с вводом pin-кода или подписаны вашей рукой, не могут быть отменены в одностороннем порядке. Для их отмены банком проводится расследование.


> Аналогично, можно провести
>платежи и в инет-магазинах просто посмотрев что на карте написано.Не вводя
>пин код.И что мешает кому-то втихаря переписать эти данные с карты,
>не оставив и следа?

Транзакции в он-лайн магазине также снабжаются статусом "ненадёжные". см. выше.

>С ситибанком то?А они контора глобальная, штатовская. Снабжают местных теми же визами
>и мастеркардами что и везде.И работают они worldwide и счета в
>валюте можно держать, etc :)

Не теми же... а устаревшими. WorldWide они не работают. Проверял. Чтобы перевести деньги со счета в головном банке на счёт в дочернем надо заплатить процент как и при любом другом переводе.

Да и компании Visa и MasterCard уже давно бы перетали обслуживать это старьё, если бы не спрос на них в Индии и России.

>>Самое прикольное не то что банкоматы заражаются, а что теперь и руьеры
>>и холодильники и стиральные машины в spy-bot сети входят =) Забавно
>>учитывая что не можешь в этом случае не чем своей технике
>>помочь =)
>
>Если совсем идиот - да, не поможешь.А если голова на плечах то
>ребутнуть роутер да пароль сменить - не больно то и дофига
>мозгов вроде надо?

Ага... прошивочку то заново уже не перепрошить будет в домашних условиях.

>Ну вон штатовские банкиры с их незабвенными tranax'ами доказали свой долбо..изм не
>меняя дефолтный пароль тест-режима.На такую страну тоже надо делать поправки.

Америка в IT давно уже не показатель. Смотрите в сторону скандинавов.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено guest , 31-Мрт-09 18:21 
>И кстати такой идиотизм еще простителен юзерам ADSL модема, но полный
>швах для тех кто занимается установкой банкоматов - можно было туда
>все-таки не столь махровых домохозяек наверное набирать?! :)

Проблемы ADSL модемов не проблема головы юзеров, а проблема тупого производителя. Linksys, недавно брал, с linux на борту программа установки и настройки сама потребовала смены пароля и по умолчанию закрыл все входящие порты для WAN и ответы на пинг.
Конечно это не 100% гарантия, но nmap из WAN не выявил открытых портов или возможности определить что за ОС там установлена.

Причем для default пользователя windows, нечего незнающего о компьютере вообще, обойти смену пароля и не поменять его было нельзя. Более продвинутый конечно мог бы извратиться и не поменять, но он уже не default юзер.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Ivan , 01-Апр-09 16:12 
>Просто потому что далеко не везде банкоматы, картридеры и прочая понимают что такое там за чипы

У меня карта с чипом. При этом я периодически обедаю в одном ресторане, где терминал механический - карта прикладывается к квитанции через копирку и прокатывается ручкой (именно для этого буквы на Classic/Gold картах выпуклые и именно отсюда идёт название Visa Electron - там буквы рисованные, и потому на не-электронных, т.е. механических терминалах их не поюзать). И мне очень нравится что там мне не приходится вводить пин код (хотябы потому, что никто его не подсмотрит), а достаточно подписи. Во-первых у меня на карту есть страховка и банк возместит мне все затраты в случае утери/кражи/мошенничества, во-вторых нефиг сбережения на текущем счёте хранить.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Michael Shigorin , 31-Мрт-09 10:32 
>смысл в ssh ключах тогда если они парольные?

* ssh-agent(1)
* публичную часть можно передавать по недоверенным каналам, в отличие от пароля


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Аноним , 30-Мрт-09 22:40 
Не позорьтесь. Беспарольный ключ это такой файлик, который записывается на два разных компьютера (лучше без Интернета), и это самое надёжное соединение из существующих. По ссылке-то перейдите.
Заглавие измените. "Проекта Fedora".
Сдаётся мне, сотрудник отдал ключ специально. Злой он!

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Щекн Итрч , 30-Мрт-09 23:01 
>Не позорьтесь. Беспарольный ключ это такой файлик, который записывается на два разных
>компьютера (лучше без Интернета), и это самое надёжное соединение из существующих.
>По ссылке-то перейдите.
>Заглавие измените. "Проекта Fedora".
>Сдаётся мне, сотрудник отдал ключ специально. Злой он!

Сдаётся мне, что если ключ был бы защищен паролем, то вопрос о том, замешан или не замешан в его передаче сотрудник - имел бы один ответ?


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Денис , 31-Мрт-09 16:07 
нет. можно было бы попытаться перехватить и ввод пароля с его машины

чуть секурнее, конечно, но...


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Jay , 31-Мрт-09 00:03 
SSH-ключи без паролей - идеальный способ распространения червей (а вкупе с беспарольным sudo...)
Почитайте статью автора keychain в трех частях про авторизацию по ssh-ключам. Там подробно описаны все недостатки использования авторизации по ключам без пароля, авторизации по ключам с паролем с ssh-agent и без оного, ну и, конечно, авторизации по ключам с использованием keychain :)
Статьи тут:
http://old.softerra.ru/freeos/18314/
http://old.softerra.ru/freeos/18337/
http://old.softerra.ru/freeos/18405/

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Jay , 31-Мрт-09 00:05 
А еще бывают одноразовые пароли (One-time Passwords) ;)

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Аноним , 31-Мрт-09 01:29 
Я что-то там ненашел как вообще злоумышленник проник в "закрома"? ткните пальцем

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено Щекн Итрч , 31-Мрт-09 12:58 
>Я что-то там ненашел как вообще злоумышленник проник в "закрома"? ткните пальцем
>

Заснифал ключ в локалке.



"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено mma , 31-Мрт-09 04:52 
>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.

А до этого они таки поступили как во всех "популярных" howto - "Отключите SELinux ибо он нафиг не нужен". Ну про аудит еще понятно(включать в крайнем случае), но отключать SELinux без острой на то необходимости это глупо.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено pavlinux , 31-Мрт-09 07:51 
printf("\n


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено pavlinux , 31-Мрт-09 07:55 
>>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux. А до этого они таки поступили как во всех "популярных" howto -
>"Отключите SELinux ибо он нафиг не нужен". Ну про аудит еще
>понятно(включать в крайнем случае), но отключать SELinux без острой на то
>необходимости это глупо.

Включать его глупо, - тормозит, а толку хулькин гуй.

Нонче модно загонять всё и всех в Виртуальные машинки из chroot_a, в режиме RO снапшотов!
Пущай веселяться, хакают, форматируют FS, троянят, шелкодяд...

\n");


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено mma , 31-Мрт-09 10:58 
не сомневаюсь что вы так и делаете:)

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено аноним , 31-Мрт-09 11:26 
>Включать его глупо, - тормозит, а толку хулькин гуй.

включать его сложно, а использовать то что плохо понимаешь да ещё и для защиты, вот это глупо

с включённым selinux ssh может работать только по 22 порту, если политику не подправить


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено друг pavlinux , 31-Мрт-09 09:58 
Одним словом Fedora, есть Fedora.

"Разбор техники прошлогоднего проникновения злоумышленников в"
Отправлено Michael Shigorin , 31-Мрт-09 10:35 
Мне вот другое интересно: как именно приватный ключ спёрли?  Бук потерял, на виски выменял, аль таки браузер сдал вместе с куками или ещё какая уязвимость _в ПО_?

"Разбор техники прошлогоднего проникновения злоумышленников в"
Отправлено Аноним , 31-Мрт-09 11:04 
>Мне вот другое интересно: как именно приватный ключ спёрли?  Бук потерял,
>на виски выменял, аль таки браузер сдал вместе с куками или
>ещё какая уязвимость _в ПО_?

Самое вероятное, что отснифили в то время как кто-то по сети ключ на другую машину копировал без шифрования.


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено vitek , 31-Мрт-09 13:17 
>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.

вот это смешно. :-D
если федора не работает, то кто работает?

кстати, нашли кто?
и что ему было? на работу взяли? :-D


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено www , 31-Мрт-09 14:11 
А потом догнали и еще раз взяли.

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено remi , 31-Мрт-09 14:26 
Может быть все-таки не через "перехваченный", а через "украденный" ключ? Приватный ключ никуда не передается, как же он может быть перехвачен?
В оригинальном сообщении сказано "[...] the intruder took a copy of a SSH private key which was not secured with a passphrase from a system outside the Fedora infrastructure". Что надо понимать как "[...] злоумышленник сделал копию приватного ключа SSH, который не был защищен парольной фразой, c системы, не входящей в инфраструктуру Fedora".
В оригинальном сообщении также сказано, что злоумышленник заполучил не только приватный ключ, но и пароль к учетной записи того администратора на серверах Fedora. Если исключить банальное разгильдяйство и сговор (на это не похоже, имхо), это могло быть сделано только на персональном компьютере администратора.
Вполне возможно, что злоумышленник знал этого администратора лично. Почти наверняка имел физический доступ к его компьютеру. Это мог быть компьютер на работе, дома или даже в университетском кампусе. Возможно, это был ноутбук. Приватный ключ мог быть скопирован с выключенной системы в отсутствие хозяина. При этом на систему также мог быть подсажен кейлоггер для перехвата пароля от учетной записи на серверах Fedora.
При наличии физического доступа это не трудно сделать. При наличии физического доступа с компьютером можно вообще сделать что угодно.

В общем, уважаемые коллеги, оглянитесь вокруг. Уверены ли вы, что ваши секреты защищены физически? ;)


"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено sluge , 31-Мрт-09 15:38 
короче чувствуется что на всех их серваках до августа 08 везде безопасть была на уровне root:root :)
конфиктера на них нету :D

"Разбор техники прошлогоднего проникновения злоумышленников в..."
Отправлено guest , 31-Мрт-09 18:30 
>короче чувствуется что на всех их серваках до августа 08 везде безопасть была на уровне root:root :)
>конфиктера на них нету :D

да, да. Совсем как на debian где генерировались слабые ключи. И с 2006 года у них "безопасть была на уровне root:root"
http://www.opennet.me/opennews/art.shtml?num=15846