Администраторы Sourceforge.net представили (http://sourceforge.net/blog/sourceforge-attack-full-report/) полный отчет о взломе сервиса (http://www.opennet.me/opennews/art.shtml?num=29410). Содержимое отчета обобщает список действий, которые были предприняты для блокирования атаки и для обеспечения целостности пользовательских данных. Проведение целенаправленной атаки по взлому Sourceforge.net было обнаружено в среду, в четверг было выявлено, что злоумышленники получили доступ к нескольким серверам, которые сразу были отключены от сети, чтобы блокировать атаку на начальной стадии.
Решение о блокировании было принято для CVS-репозитория, web-интерфейса для просмотра кода (ViewVC), системы загрузки релизов и сервиса интерактивного shell в системе ProjectWeb. В связи с возникновением неподтвержденного опасения утечки пользовательской базы, дополнительно был произведен (http://www.opennet.me/opennews/art.shtml?num=29420) сброс всех паролей для всех аккаунтов sourceforge.net.
В на...URL: http://sourceforge.net/blog/sourceforge-attack-full-report/
Новость: http://www.opennet.me/opennews/art.shtml?num=29426
Неуловимый Джо в лице открытого для всех SSH и Shell дал о себе знать. Предоставлять всем shell, да еще разделяя права только стандартными привилегиями - это нонсенс. Взлом был делом времени.Интересно, какой незаткнутой дырой воспользовались для получения root-а. В отчете об этом умалчивается, хотя явно определили в чем дело.
> Взлом был делом времени.Делом одинадцати лет, если быть точным.
Отвлекающий маневр по защите одея, обнаруженного в одном из популярных на СФ проектов? Я так понимаю, ни внести изменения в цвс/свн, ни опубликовать новый релиз в данный момент нельзя?
Зачем надо было ломать? Неужели ради только ради троянов? Самое главно, кому это выгодно?
Лабораторная работа по теме "Бизнес. Конкуренция".
Вводная: фирме, предоставляющей услуги, попытались испортить репутацию.
Задача: определение предполагаемого заказчика акции.
Методика решения: составляем список конкурентов фирмы, предлагающих аналогичные (конкурирующие) услуги. Особенно выделяем два подмножества: фирм, чьи услуги объективно уступают данной и фирм, уже известных приверженностью к неэтичным формам конкуренции. Если пересечение этих множеств слишком велико, выделяем фирмы, проявляющие наибольшую активность в этой области и предположительных аутсайдеров отрасли, способных изменить свое положение за счет сильного конкурента.
Google Code чтоля?
>>>попытались испортить репутацию. <<<однако -- грамотный инженер понимает что данный инцедент -- только усиливает безопасность (а следовательно репутацию) относительно SF
вот например взять для сравнения: SF и какойнить GitHub:
* в SF уже (всмысле я про _этот_ инцедент) были факты взлома и поэтому сотрудники SF уже имеют соотстветсющий опыт связанный с подобными инцедентами
* в GitHub небыло фактов взлома, и следовательно GitHub вполне возможно что имеет "детские" проблемы безопасности, подкрепляемые "иллюзией неуезвимости"
обалденная логика.
А главное - из нее следует, что SF поторопились все заблокировать. Нужно было еще дать товарищам порезвиться и выяснить, как можно скатать весь сервис в трубочку.
С таким-то опытом их на рынке так зауважают!
+1! :-D
Нет, самое главное -- восстановить работоспособность SourceForge и уберечь от подобного в будущем.
В рамках проведения атаки, злоумышленники смогли получить root-доступ на одной из платформ, имеющей полномочия генерации SSH-ключей...Не злоумышленники, а энтузиасты.
>энтузиастам удалось подобрать закрытые ключи для формирования корректных цифровых подписей, позволяющих обеспечить запуск на игровой приставке любых приложений и прошивок, без необходимости сертификации данных программ у Sony
http://www.opennet.me/opennews/art.shtml?num=29224
Не надо такого откровенного лицемерия.
Энтузиасты не могут быть злоумышленниками?
Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.)
> Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш
> то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.)ИМХО все несколько иначе. Если некто придет к вам домой и без спроса взломает вашу приставку - он, очевидно, злоумышленник. Равно как и если он проделает то же самое удаленно, по сети. Потому что вы его не просили об этом и не уполномочивали что-то изменять в вашей собственности, а оно было сделано без вашего на то согласия. Что является неправомерной операцией над *чужой* собственностью.
Если кто-то взломал СВОЮ приставку и даже опубликовал способ взлома в сети - он, очевидно, энтузиаст. Ну, как те кто изучает устройство замков и публикует описание их достоинств и недостатков, рекомендуя или ругая ту или иную модель.
Реальная разница - в том что злоумышленники ломают *чужую* собственность, к которой они отношения не имеют. Даже если копирасам из сони и не нравится, вы имеете право забивать вашей приставкой гвозди, загрузать на ней все что загрузится, использовать ее как подставку для кофе или что там еще. Потому что вы ее купили и она - ваша, а сони может втирать все что захочет, кого их проблемы волнуют то? В случае с ключами они в принципе могут попробовать втереть что это "торговый секрет" или что-то типа того. Но учтя что оно уже лежит на 23100 сайтах - грош цена блеянию про секреты, будет как с DeCSS. И не ...т.
По сути взламывая "свою" приставку "энтузиаст" взламывает чужую прошивку (всякие там PS3, только взломали, столько говна полилось). Так что неувязка как бэ. "Энтузиаст" или "Злоумышленник"?
по сути, перешивая «свою» одежду, «энтузиаст» плюёт на чужой труд. так что неувязка как бэ. «энтузиаст» или «неблагодарная свинья»?
> Не надо такого откровенного лицемерия.Да, не надо пожалуйста лицемерия. Разница между *энтузиастами* и *злоумышленниками* совсем не в том чем вы пытаетесь втереть.
Все гораздо проще. Если я взломал *свой* сервер, приставку, дверной замок или там что еще - я энтузиаст. Я в моем праве делать с моей собственностью все что сочту нужным покуда это не нарушает никаких законов.
Если я взломал *чужой* сервер/замок/приставку/чтотамблинеще и это не было согласовано с владельцем - я уже злоумышленник, который незаконно воспользовался чужой собственностью. Особенно если использовал результат для поимения бонусов для себя или нанесения вреда кому-то, вместо того чтобы сообщить о проблеме обладателю сервера/приставки/замка/чеготамблинеще и "пройти мимо" вместо вламывания на чужую территорию для поимения бонусов для себя любимого.
Да, вы только представьте себе! Производство отмычек само по себе - не есть нелегальное занятие. Не является нелегальным изучение устройства замков. Равно как вполне легально вскрыть замок в собственной двери. Или можно вполне легально пригласить того кто вскроет мне замок в моей двери, и вскрывающий не совершит никакого преступления. Преступление будет только когда кто-то без ведома и согласия владельца двери вскроет в ней замок и чего-то сопрет, например.
>> Не надо такого откровенного лицемерия.
> Да, не надо пожалуйста лицемерия. Разница между *энтузиастами* и *злоумышленниками* ...
> <skip>[вздыхает...]
Конечно очевидно же.
"Преступление и наказание" и Кижи. Инструмент один и тот же. Цели разные.
>энтузиастам удалось подобрать закрытые ключи для формирования корректных цифровых подписей, позволяющих обеспечить запуск на игровой приставке любых приложений и прошивок, без необходимости сертификации данных программ у SonyИ где злой умысел здесь?
> И где злой умысел здесь?манагеры сони голодают, их дети попрошайничают на улицах.
Это благодаря конкуренции с XBox 360. Баллмер — вот настоящий злоумышленник. Выпустил понимаешь аналогичную консоль, но без аннальных ключей как в PS2 и разрушает честный бизнес добропорядочной Сосони.
Ибо нефиг пароль с ssh использовать.
Есть ключи которые перехватить и украсть на порядок труднее.
Интересно, а что будет, когда взломают какой-нибудь сервис облачных вычислений, на котором лежит куча инфы различных компаний и частных пользователей? Там легко будет проверить неизменность клиентской информации? Количество взломов социальных сетей и хостингов проектов угрожающе растет.
Я все больше утверждаюсь во мнении, что любой внешний сервис для компании является достаточно уязвимым, а потому крайне опасным в использовании. Уж лучше свой собственный сервер.
Возможно эре различных хостингов приходит конец?
> Я все больше утверждаюсь во мнении, что любой внешний сервис для компании
> является достаточно уязвимым, а потому крайне опасным в использовании. Уж лучше
> свой собственный сервер.например, такой, как у касперского. надёжно, защищённо.
ну да ваш сервер будет надежней чем облаком мелкософта....ппц кругом одни хакеры....
> ну да ваш сервер будет надежней чем облаком мелкософта….ппц кругом одни хакеры….видимо, сарказм не дошёл, бывает.
но да: внутренняя сеть фирмы ВСЕГДА будет надёжней, чем неизвестно чьё «облако».