В списке рассылки разработчиков X.Org разбирается (http://lists.x.org/archives/xorg-devel/2010-November/015824....) странный инцидент, в результате которого неизвестный злоумышленник внес изменение в Git-репозиторий драйвера xf86-video-radeonhd, удалив некоторые файлы или заменив содержимое на текст "It's dead, Jim". Наибольшее опасение вызывает факт, что владельцем файлов с информацией о коммите (http://cgit.freedesktop.org/xorg/driver/xf86-video-radeonhd/...) является пользователь root, а не непривилегированный пользователь под которым обычно совершаются операции с Git-репозиторием. Подобная информация свидетельствует о том, что изменения были сделаны от лица пользователя, имеющего root-доступ к одному из серверов инфраструктуры X.Org.
Дополнительно можно отметить, что коммит сделан 2 ноября, но информация о коммите не была отправлена в соответствующий список рассылки. С учетом того, что драйвер radeonhd более активно не р...URL: http://www.phoronix.com/scan.php?page=news_item&px=ODgxNw
Новость: http://www.opennet.me/opennews/art.shtml?num=28745
Zed's dead, baby, zed's dead...
Ну какбэ намекают ребятам что заканчивали издеваться над трупом и всей компанией шли пилить Wayland
http://ru.wikipedia.org/wiki/Маккой,_Леонард
По пьяни кто-то из админов покуражился. :)
>В списке рассылки разработчиков X.Org разбирается странный инцидентСмело меняйте "странный" на "страшный"! :)
> Смело меняйте "странный" на "страшный"! :)Жить вообще страшно. Например, вы только представьте себе, никто не гарантирует вам что вас завтра не задавит камаз, что с крыши не свалится кирпич, что вы не провалитесь в колодец с кипятком и прочая. Так что не щелкайте клювами - жизнь полна сюрпризов! И даже за пределами GIT репов :)
> что с крыши не свалится кирпичКирпич с крыши уже не модно, сейчас в моде у молокососов колёсами убивать
http://www.youtube.com/watch?v=8tanonVftZk
печальный случай.
> Кирпич с крыши уже не модно,Да, нынче в моде литрбол. Пустые бутылки ессно летят прямо из окна. И никого не волнует - идете вы там или нет. Сами свою черепушку берегите, фигли. А кирпичи в случае древних домов могут отвалиться в силу более естественных причин. В том числе и на вашу черепушку, опять же.
К чему это я? Да к тому что неплохо бы смотреть куда прешься и что получаешь. Если вы из гита что-то получаете и вдруг видите что поменялось эн файлов - хорошо бы чтобы вы еще и понимали "а нафига эти файлы поменяли?". Ну или нафига бы вы из гита что-то сливаете вообще?
>>В списке рассылки разработчиков X.Org разбирается странный инцидент
> Смело меняйте "странный" на "страшный"! :)Не-а. Меняйте на "всем пофиг".
В git-е все файлы числятся по SHA1 _сжатого содержимого. Пусть енти "кульхацкеры" сначала позаботятся о том, чтобы _размер_ (хотя нет, он уже внутри объекта, вроде, хранится...) & SHA1 _сжатого_ файла (объекта git, если точнее) совпал с оригиналом, пото-о-ом уж можно пугаться. И да, все в курсе, что SHA1 был-типа взломан, но для данного случая его более чем достаточно.
>Злоумышленники внесли изменение в Git-репозиторий проекта X.OrgУууу, так давно уже, они там каждый день что-то вносят.
> "It's dead, Jim"
Вспоминающие какого-то Zed'а, вы что, не знаете что эта фраза сама по себе мем?
https://encrypted.google.com/search?q=It%27s+dead,+Jim
У америкосов совершенно нет вкуса. Цитаты из фантастического телемыла - уровень средней школы.
Так что пусть лучше будет Zed - он доставляет.
А еще есть футболки с зомби-Споком. Весьма забавные. навроде
http://www.thinkgeek.com/tshirts-apparel/unisex/popculture/d00d/
Ну, hooks/post-commit надо мониторить tripware .......
стандартная ошибка
> Ну, hooks/post-commit надо мониторить tripware .......
> стандартная ошибкаА полагаться на tripwire для защиты от взломщика с root-доступом - это...
Видимо вы не знаете, что такое tripwire... в общем-то, это одно из основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.
> Видимо вы не знаете, что такое tripwire... в общем-то, это одно изНу конечно, куда мне...
> основных его применений. Без наличия ключа невозможно перегенерировать базу сигнатур.
Tripwire и аналоги полезны для "холодного" анализа данных на заведомо чистой системе. В остальных случаях есть масса "но".
может сразу и объясните тогда страждующим что за масса "но"?
Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как.Если получать файлы с сервера (например, через git или сетевую ФС), взломщик может организовать условную передачу разных файлов по одним и тем же URI на своё усмотрение.
Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков).
Махинации с часто изменяемыми файлами, не подлежащими контролю целостности, тоже возможны на уровне хранилища того же git, и нет никаких гарантий, что такие изменения заметит кто-либо из разработчиков, поскольку они обновляют свои репо на основании истории последних изменений, и если взломщик изменил старые файлы, они уйдут только в новые клоны и релизные архивы, собранные из нового клона или из основного скомпрометированного репозитория - то есть, к конечным пользователям в том числе.
в общем написать "был не прав" вам было бы гораздо короче.а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам), руткита не было (а от них есть и другие средства), взлома, подмены или воровства ключей тоже.
> в общем написать "был не прав" вам было бы гораздо короче.Короче, но неправда.
> а аргументы просты - ветка давно уже дохлая (привет часто изменяемым файлам),
Вы либо невнимательно читали, что я написал, либо не поняли.
> руткита не было (а от них есть и другие средства), взлома,
О каких именно средствах "от" руткитов вы говорите?
> подмены или воровства ключей тоже.
Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен.
>Короче, но неправда.правда.
>О каких именно средствах "от" руткитов вы говорите?которые не имееют отношения к разговору, и которые не мешают использовать tripwire.
>Речь шла о случаях применимости tripwire вообще. В данном же случае шутник просто не стал внедрять в систему средства контроля, хотя принципиальная возможность была, и воспользуйся он ей как следует, tripwire был бы бесполезен.вот именно. и никто не говорил, что надо применять только tripwire.
> правда.Я свою точку зрения аргументировал. Есть возражения - излагайте по существу.
> которые не имееют отношения к разговору, и которые не мешают использовать tripwire.
То есть, обосновать свою оговорку о "других средствах" и пояснить, почему она уместна, вы не хотите? Или она не имеет отношения к разговору? ;)
> вот именно.
Что именно? На момент написания комментария о tripwire ситуация ещё не прояснилась. Кроме того, скрипт рассылки уведомлений шутник отключил, что помешало бы ему обезвредить tripwire?
> и никто не говорил, что надо применять только tripwire.
Автор высказывания о tripwire сделал акцент именно на последнем и до сих пор никаких дополнений/поправок не внёс. А о том, что tripwire в некоторых случаях можно использовать вкупе с другими средствами защиты, я сам сказал. Так в чём же суть ваших возражений?
уже изложил.
> уже изложил.*Зеваю* Вы "изложили" описание отдельно взятого случая, который ничему из мною сказанного не противоречит. Видите какие-то противоречия - укажите на них. А то, я смотрю, вы взяли моду писать кратко и неконкретно. Не хотите позориться, хотите прилагать минимум усилий для провокаций? Не выйдет, голубчик.
> Традиционные возражения тут сводятся к сложности подобного контроля над системой. Но люди не понимают, что взломщики на месте не сидят и уже давно автоматизируют свой инструментарий (в том числе на базе коммерческих фреймворков).и чем тогда проверять целостность системы???? если не tripwire или его аналогами
> и чем тогда проверять целостность системы???? если не tripwire или его аналогамиМожно и tripwire проверять, в надежде, что взломщик упустит это из виду и обнаружит себя, но тут надежда только на случай. На системах, мало интересных серьёзным взломщикам, эти надежды порой себя оправдывают. К слову, fd.o к таким системам едва ли можно отнести.
Tripwire или AIDE хороши для обнаружения следов проникновения с правами непривилегированных пользователей или рута, соответственно ограниченного в правах посредством MAC-систем.
Это и так ясно из "Если проверять целостность файлов прямо на сервере, то результат проверок может быть подтасован атакующим посредством руткита, подмены tripwire или его библиотек, с помощью ptrace или рантайм-врапперов вокруг прокси-функций системных вызовов в glibc, а также посредством запуска tripwire в изолированном окружении, имитирующем исходное (chroot в снэпшот ФС). Иными словами: да мало ли, как."
И с этим нельзя не согласиться. Но вопрос остается чем тогда мониторить целостность?...
> И с этим нельзя не согласиться. Но вопрос остается чем тогда мониторить
> целостность?...Чтобы надёжно, на живой системе и в условиях её компрометации - ничем. Даже существующие аппаратные решения в живой системе во многих случаях можно программно обойти (не писать файлы на диск, хранить руткит в NVRAM, задействовать IOMMU для перехвата обращений в рамках заданных регионов памяти и т.п.). Результаты проверки целостности всегда вероятностные: то ли всё в порядке, то ли нас за нос водят. Банальность скажу, но защита должна быть многоуровневой, чтобы остановить или обнаружить взломщика до того, как он достигнет своей цели.
И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы (в т.ч. автоматизированные).Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.
> И ещё помогает, как ни смешно, избегать mainstream -- ломаются шаблонные подходы
> (в т.ч. автоматизированные).
> Например, в альте написали osec вместо tripwire, и он потихоньку разрабатывается.посмотрел исходники osec, открывается каждый из проверяемых файлов при помощи open() и с него снимается sha1 хэш. Т.е. если стоит руткит на open(), то прога идёт лесом. Сдается мне что также работают и tripwire, AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?.. и почему этого до сих пор не реализовано в других проектах.
> AIDE, OSSEC и аналоги... Очевидно нужен какой-то другой подход, но какой?..
> и почему этого до сих пор не реализовано в других проектах.Потому что сфера применения tripwire и вообще проверки целостности данных на живой системе не охватывает случаи полной компрометации. :) Основные ставки делаются на системы предотвращения вторжений, а не обнаружения.
интересно было бы узнать, что используют крупные компании для которых очень важна ИБ.
ведь мы ещё не видели(или не знаем) о взломанном oracle.com например.
В том, что безопасности и контроля много не бывает, в который раз убедились и разработчики X.Org.
> В том, что безопасности и контроля много не бывает, в который раз
> убедились и разработчики X.Org.Думаю, что не убедились. Кто-то заменил одни файлы на другие, безобидные. Вред нанесён минимальный, демонстрация слабости защиты неубедительна. Подобные и даже более серьёзные инциденты уже случались в истории других проектов, и никаких существенных предупредительных мер принято не было.
Если принятые меры широко не анонсировались, то не факт, что они не были приняты.
Меня каждый раз обуревает паранойя на неделю, когда появляются малейшие подозрения на получение сколь-либо серьезных привилегий на рабочих серверах.
> Если принятые меры широко не анонсировались, то не факт, что они не
> были приняты.Не факт, но прецеденты уверенности не вселяют. Например, после взлома сервера с репозиторием OpenBSD какие-то адекватные меры, возможно, были приняты без анонсов - тут сказать сложно. А вот когда в репозитории RHEL появились пакеты OpenSSH с трояном, и ключи для подписи обновлены не были, то и без анонсов всё ясно.
Много слов а развязка оказалась проще. И, кстати, как вы себе представляете защиту от легитимного рута? oO
> Много слов а развязка оказалась проще. И, кстати, как вы себе представляетеРазвязка чего? Инцидента на fd.o, о причинах и деталях которого я не спекулировал? Или упомянутых инцидентов с RHEL и OpenBSD?
> защиту от легитимного рута? oO
А вот кстати хорошо представляю. SELinux и RBAC в Grsecurity (а также другие системы, с которыми я не знаком) позволяют произвольно ограничивать рута в правах до вторичной авторизации в MAC-системе. В случае с Grsecurity и PaX, даже ядро может быть неплохо защищено от взломщика с частичным доступом к привилегированным code paths.
> Думаю, что не убедились. Кто-то заменил одни файлы на другие, безобидные. Вред
> нанесён минимальный, демонстрация слабости защиты неубедительна.Представьте, кто-нибудь сделал что-то подобное с Виндами. А ведь Хы всего лишь раз в 50 менее распространены, чем WinXP.
> Представьте, кто-нибудь сделал что-то подобное с Виндами.Фишка в том, что мы об этом вряд ли узнаем.
> Фишка в том, что мы об этом вряд ли узнаем.Зато когда подобное узнаём, все неделю на ушах стоят!
> Фишка в том, что мы об этом вряд ли узнаем.Если мне память неизменяет, уже подобное в СМИ просачивалось. Лет 5-10 назад.
бывает, и очень часто. другое дело, что ТОЛКУ от безопасности и контроля много не бывает, это да...
А что, там можно делать коммиты, не подписываясь?
от рута можно все
А вот что именно сделал этот нехороший человек, почему то умалчивается...
Какой то детский лепет "неизвестный злоумышленник внес изменение". У них что там пароль root-а кроме admin-а знает еще кто-то ?
>У них что там пароль root-а кроме admin-а знает еще кто-то ?Да, хакер.
Взламывает сервера, портит документы, ворует сигареты и мочится мимо унитаза.
> Какой то детский лепет "неизвестный злоумышленник внес изменение". У них что там
> пароль root-а кроме admin-а знает еще кто-то ?Судя по тому, что этот кадр якобы заблокировал себе доступ - наверняка остался кто-то с паролем root'а. В общем, история феерическая, несколько объясняющая то, что творится с Хами.
А может там ключики? :)
А какая разница? Всё равно несколько человек могут зайти под root. ;-)
adam jaxon это крутой чувак. неожиданно..походу перекурил или перепил.
Ну и кто там врал что иксы не развиваются? Все развивается, и регулярно появляются новые версии
Да уж, развивается :)
Исходников в три раза больше чем в ядре линукса, по сути это уже стала этакая "операционная система" - девайсы вон детектит например. Параллельно с ядром. Ну мешают они друг другу иногда, что поделаешь, пустяки, не правда ли?
Закапывать пора, оно уже никуда не ползёт...