В списке рассылки разработчиков ядра Linux представлена (https://lkml.org/lkml/2011/9/30/421) инструкция по перегенерации PGP-ключей с последующим утверждением новых ключей у других разработчиков (cross-signed). В качестве приложения к инструкции опубликован <a href="https://lkml.org/lkml/2011/9/30/425">план (перевод на русский язык (http://www.opennet.me/tips/2631_check_security_rootkit_linux...)) проверки системы на наличие следов взлома. В сообщении отмечено, что не следует пренебрегать проверкой, так как в процессе расследования взлома Kernel.org (http://www.opennet.me/opennews/art.shtml?num=31651) на рабочих Linux-машинах нескольких разработчиков ядра выявлены следы проникновения злоумышленников.
Напомним, что возобновление работы kernel.org задерживается из-за перехода на новую систему (http://www.opennet.me/opennews/art.shtml?num=31845) доступа к Git-рерозиториям, в которой будет использована система Gitolite (https://github.com/sitaramc/gitolite) без предоставления разработчикам shell-аккаунтов.
URL: https://lkml.org/lkml/2011/9/30/421
Новость: http://www.opennet.me/opennews/art.shtml?num=31922
Цырк. Надеюсь теперь допилят selinux до пользовательского уровня.
> Цырк. Надеюсь теперь допилят selinux до пользовательского уровня.Вы тоже из секты верящих в селинух, как панацею?
>Вы тоже из секты верящих в $что_нибудь, как панацею?Панацеи не бывает. Все, что защищено одним человеком, может быть взломано другим.
А вот секта поливаниями SELinuxа какашками без знания матчасти - порядком надоела.
>>Вы тоже из секты верящих в $что_нибудь, как панацею?
> Панацеи не бывает. Все, что защищено одним человеком, может быть взломано другим.
> А вот секта поливаниями SELinuxа какашками без знания матчасти - порядком надоела.Согласен. Любые секты неприятны.
Гораздо больше надоела секта сватающая его как панацею от всех бед. Они провоцируют вторую секту на ответные меры, чем на пару дружно залолбали.
А может быть, что другие люди предпочитают AppArmor, TOMOYO ?
Толк от этого? Все равно оно нигде не настроено.
> Толк от этого? Все равно оно нигде не настроено.Может потому что настраивать геморройно? Вот предложи вам каждый день ходить в каске и бронежилете, покупать только пуленопробиваемое авто а жить в бункере - как вам понравится такая перспектива? Одно дело смотреть под ноги, и другое - жить в подземном бункере.
>> Толк от этого? Все равно оно нигде не настроено.
> Может потому что настраивать геморройно? Вот предложи вам каждый день ходить в
> каске и бронежилете, покупать только пуленопробиваемое авто а жить в бункере
> - как вам понравится такая перспектива? Одно дело смотреть под ноги,
> и другое - жить в подземном бункере.Я был бы не против. Хоть иногда можно было бы расслабиться.
> последующим утверждением новых ключей у других разработчиковНе является ли этот момент ключевым, прошу прощения за каламбур?
В состоянии хаоса много чего наворотить можно, ввек потом не разгребёшь.
Гром не грянет, мужик не перекрестится.
Надеюсь, эта история научит их серьезнее относиться к безопасности.
>Разработчикам ядра Linux рекомендовано проверить рабочие машины на наличие вредоносного ПОТак и хочется пошутить: разработчикам ядра Linux рекомендовано купить Антивирус Касперского. :)
Это если на машине стоит Виндовс, под Линуксом вирусы проще вручную отлавливать :)
> Это если на машине стоит Виндовс, под Линуксом вирусы проще вручную отлавливать :)Сначала их надо еще собрать и настроить, читая логи и гугля решения.
Взломщики это сделают за вас
У меня стоит гента. Так и представляю, вирус падает в консоль и жалобно просит дать ему либу которой он не нашел. Или версия его не устраивает.Если только не появяться опенсорсные вирусы которые в себе будут таскать исходники и на каждой машине будут собитраться заново.
> У меня стоит гента. Так и представляю, вирус падает в консоль и
> жалобно просит дать ему либу которой он не нашел. Или версия
> его не устраивает.
> Если только не появяться опенсорсные вирусы которые в себе будут таскать исходники и на каждой машине будут собитраться заново.Управлением жизненным циклом и непрерывная интеграция во все поля. И maven им впридачу. :))
> Управлением жизненным циклом и непрерывная интеграция во все поля. И maven им впридачу. :))Ты еще предложи вирусы на яве писать :). Таская с собой JVM. Ну чтоб админы однозначно детектили по потреблению ресурсов такую пакость голыми руками :)
Помню, такие же квалифицированные специалисты, как iZen, писали вирусы под винду на делфи.
Детектились те вирусы несложно: по появлению на панели задач кнопки "Form1" :D
Где-то я видел пример вируса на bash. Вполне себе кроссплатформенное решение.
> Где-то я видел пример вируса на bash. Вполне себе кроссплатформенное решение.Я был бы счастлив, если бы "кросс". Или винда за платформу не считается?
а у кого bash не поставлен, а стоит к примеру zsh или там ещё что? обидно же, ёлы-палы...
>обидно же, ёлы-палы...Он, кончно же!, имел в виду POSIX шел. Таких "вирусов" -- в каждом втором tar-е. См. ./configure Ж)))
> У меня стоит гента. Так и представляю, вирус падает в консоль и
> жалобно просит дать ему либу которой он не нашел. Или версия
> его не устраивает.
> Если только не появяться опенсорсные вирусы которые в себе будут таскать исходники
> и на каждой машине будут собитраться заново.достаточно проникнуть...
а там он wget-ом тебе скачает даже виртуальную машину а потом тебя в нее как гостя засунет а сам станет хостом...)))
А потом вылезет и начнет Третью Мировую :))))))))
А для бэкдора достаточно скрипта на Баше )П.С. "I love you" под виндой некогда заразил огромное число машин ) А был всего лишь vbs-скриптом )
> А для бэкдора достаточно скрипта на Баше )
> П.С. "I love you" под виндой некогда заразил огромное число машин )
> А был всего лишь vbs-скриптом )Сифилис, до изобретения кондома и стрептомицина, уносил людей сотнями тысяч.
Бешенство до сих пор страшнее сифилиса. Лекарства не помогают, если укус не задетектили вовремя
Бинарная сборка Firefox просто скачивается, запускается и работает ;-)
http://mozilla-russia.org/products/firefox/linux.html
Еще есть java, perl, многое можно сделать на bash (видели тетрис на sed? http://www.google.com/search?q=sedtris). Приложив достаточно усилий можно соорудить что-то более-менее универсальное, способное работать на большинстве более-менее типовых систем. Но сколько на это нужно усилий? Я думаю, что много... :-) Но самое сложное - это проникнуть в систему. "Линуксов" так много и они так быстро изменяются, что соорудить универсальный инструмент проникновения (необходимый вирусу для распространения) практически не реально....
Вы не задумывались кто пишет большинство вирусов? Достаточно посмотреть на сами вирусы (в базах антивирусов, а не на машинах): их размер, сложность, поведение, как они прячутся. Основная масса написана на уровне начинающих кулхацкеров. Наиболее продвинутое, что попадается - это винлокеры, которые просят отправить смс. Конечно, распространение, получают более продвинутые версии.
...
В итоге все сводится к поставленной цели и сложности ее достижения. Ответьте себе на вопрос: сколько нужно усилий, чтобы создать вирус для Linux сопоставимого с нашумевшим червем Blaster? Кому это может быть нужно? И как долго он сможет существовать в сети (пока его не вынесет ближайшее обновление безопасности ;-) ). Вот оно! Вот поэтому мы и не наблюдаем массовых заражений компьютеров Linux. :-)
Хотя целевые взломы вроде взлома kernel.org "никто не отменял"...
"Если только не появяться опенсорсные вирусы которые в себе будут таскать исходники и на каждой машине будут собитраться заново."Мммм... По-моему вы только что описали генту с точки зрения разработчиков windows =))
> "Если только не появяться опенсорсные вирусы
> Мммм... По-моему вы только что описали...червя Морриса? Только он немного раньше случился термина "опенсорс".
>> они протащат свою культуру в разработку *BSD, и там начнётся такой же бедлам.
> Вы так говорите, как будто сейчас в разработке *BSD нет аналогичных проблем.Собственно говоря, _таких_ проблем нету, так как используется принципы централизованной, а не распределённой разработки системы.
> Недавняя история с критической дырой во фре
С какой дырой, локальной уязвимостью что ли? Так их пачками исправляют в каждой версии Linux-ядра (правда не спешат сообщать, что _именно_ было уязвимо).
> наглядно показала, что линукс - не самое дырявое из опенсорсных ядер. Просто фря сейчас уже стала неуловимым Джо - не тот масштаб, чтобы стоило заморачиваться со взломом
Ну-да, ну-да. Взламываются только самые распространённые системы. :))
Принцип разумного приложения усилий знаете? Он заключается в том, что нужно что-то поиметь со взлома, а не ради искусства и импровизации что-то сломать и убежать.
> (хотя на прошлом defconе, говорят, фрю выносили только так).
Раскрыть подробности не желаете? Хотя бы ссылку на компрометацию кодовой базы Фри.
Да бросьте вы "фаллометрией" заниматься - любая система уязвима прежде всего через оператора.
Социальный инжиниринг - самое грозное оружие нарушения _любого_ периметра безопасности.
И тут хоть в сейф залезь...
>Да бросьте вы "фаллометрией" заниматьсяНе отнимайте у человека смысл жизни.
> Собственно говоря, _таких_ проблем нету, так как используется принципы централизованной,
> а не распределённой разработки системы.Да, конечно - там в случае хака центрального сервака наступает просто рослый полярный лис всему живому, т.к. кто угодно может втихомолку запатчить сорцы на основном серваке а остальные без особых пометок схарчат это. В то же время в гите это не прокатит, в том числе и потому что он распределенный. Нет в твоем жигуленке подушек безопасности, увы.
>> Недавняя история с критической дырой во фре
> С какой дырой, локальной уязвимостью что ли? Так их пачками исправляют в
> каждой версии Linux-ядра (правда не спешат сообщать, что _именно_ было уязвимо).Ну так предположительно сломали получив доступ через чей-то ключ и заапгрейдившись до рута. А что помешает так же вскрыть и бсдевые серваки? Любовь iZEN к бсд? :)))
> Ну-да, ну-да. Взламываются только самые распространённые системы. :))
Фаны оперы помнится тоже так бухтели. Только на milw0rm.com (ныне покойном уже) почему-то были эксплойты и руткиты. Для фрибсд в том числе :)
> Принцип разумного приложения усилий знаете? Он заключается в том, что нужно что-то
> поиметь со взлома, а не ради искусства и импровизации что-то сломать и убежать.Ну и что такого поимели в случае кернел орга? Там кроме сырца ядра и брать нечего. А сырец из-за природы работы гита там хрен запатчишь втихомолку.
>> (хотя на прошлом defconе, говорят, фрю выносили только так).
> Раскрыть подробности не желаете? Хотя бы ссылку на компрометацию кодовой базы Фри.Разработчики фри парятся еще меньше линуксоидов судя по реализации различных защит от атак.
Вот читаю и не могу понять: откуда у разработчиков ядра Линукс взялось вредоносное ПО в компах. Это же не хомячки какие-то, которые с радостным писком ставят себе в Убунту софт из левых РРА. Небось, люди не просто опытные, а очень опытные, матёрые. Нет уж, тут без инсайдера явно не обошлось.
> Вот читаю и не могу понять: откуда у разработчиков ядра Линукс взялось
> вредоносное ПО в компах. Это же не хомячки какие-то, которые с
> радостным писком ставят себе в Убунту софт из левых РРА. Небось,
> люди не просто опытные, а очень опытные, матёрые. Нет уж, тут
> без инсайдера явно не обошлось.ничто человеческое разработчикам не чуждо...
>> Вот читаю и не могу понять: откуда у разработчиков ядра Линукс взялось
>> вредоносное ПО в компах. Это же не хомячки какие-то, которые с
>> радостным писком ставят себе в Убунту софт из левых РРА. Небось,
>> люди не просто опытные, а очень опытные, матёрые. Нет уж, тут
>> без инсайдера явно не обошлось.
> ничто человеческое разработчикам не чуждо...Так значит нет, все таки, secure by design Linux? Сорцы которого тысячи людей читают? Так и хочется припомнить анекдот - "Я десятью пальцами 1200 знаков вслепую печатаю. Правда, такая хня получается..."
И вопрос легендарной устойчивости - это просто вопрос отсутствия N в массовом мэйнстриме? Как только ситуация стала меняться - так куда что девалось?
Я не троллю - я серьезно спрашиваю.
> Так значит нет, все таки, secure by design Linux?Да, secure by design. Если бы это было не так, то касперские с доктором вэбом уже давно торговали бы антивирусами для Linux. Давно бы всякой пакости развели бы немерено, дабы не терять растущий рынок. Особенно учитывая доступность сорцов.
Но взять ту же Убунту, сколько лет уже существует, сколько миллионов пользуется, а эффективного вируса под неё так никто написать и не смог, на горе (анти)вирусным компаниям.
Линукс заражается только руками бездумного пользователя, ставящего софт не из официальных репозиториев, а фиг знает откуда. Не верю, что разработчики ядра тоже бездумные. Вот не верю - и всё тут. Значит - инсайдер(ы).
> Я не троллю - я серьезно спрашиваю.
Правильно, спрашивать можно. Тем более что не все воспринимают иное мнение как троллинг. На то и форум, чтобы обсуждать и мнениями обмениваться.
>Если бы это было не так, то касперские с доктором вэбом уже давно торговали бы антивирусами для Linux.http://products.drweb.com/linux
http://www.kaspersky.com/products/business/applications/anti...
> http://products.drweb.com/linux
> http://www.kaspersky.com/products/business/applications/anti...Только не надо говорить, что эти изделия идут нарасхват.
у некоторых опытных людей паранойа недоразвита, по крайней мере до первого инциндента.
> у некоторых опытных людей паранойа недоразвита, по крайней мере до первого инциндента.Неверно. Они потому и опытные, что на дешевку не ведутся. А тут поимели как сопляков...
>Неверно. Они потому и опытные, что на дешевку не ведутся. А тут поимели как сопляков...Вам известны детали взлома? Огласите все подробности (до мелочей) взлома чтобы мне убедиться что их поимели как сопляков (а не работала под них целенаправленно профинансированная команда взломщиков). И, пожалуйста, не затягивайте с ответом.
>Вот читаю и не могу понять: откуда у разработчиков ядра Линукс взялось вредоносное ПО в
>компах. Это же не хомячки какие-то, которые с радостным писком ставят себе в Убунту софт
>из левых РРА. Небось, люди не просто опытные, а очень опытные, матёрые. Нет уж, тут без
>инсайдера явно не обошлось.Вы все верно, однако оглядка на каждый чих требует внимания и времени. Причем оглядываться нужно всегда и дотошно а для фейла нужен один прокол. А время - самое ценное что у нас пока есть. Вывод вроде бы очевиден.
> люди не просто опытные, а очень опытные, матёрые. Нет уж, тутВера в авторитеты цветёт и пахнет. :)
> Вера в авторитеты цветёт и пахнет. :)А вы в авторитетность разработчиков из вашей любимой Microsoft разве не верите?
> А вы в авторитетность разработчиков из вашей любимой Microsoft разве не верите?Мимо. У меня даже на домашней машине нет винды, везде линукс. В авторитетность я верю, но моё доверие как правило эмпирически обосновано, в том числе результатами личного анализа ситуации. В общем-то и доверие к разработчикам ядра, как к людям, понимающим в безопасности, с точки зрения здравого смысла имеет право на жизнь. Однако на самом деле с безопасностью в линуксе весьма плачевно - об этом надо знать и помнить. Интересующиеся могут почитать треды на LWN и LKML с участием PaX Team и spender - это если есть время и желание разобраться самому (читать и проверять).
Ну хорошо запустил я скрипт для проверки корректности сигнатур и что же теперь делать с этим ??? (((~$ sudo bash ~/Desktop/verif.sh
debsums: missing file /etc/init/alsa-mixer-save.conf (from alsa-utils package)
debsums: changed file /etc/apt/apt.conf.d/05aptitude (from aptitude package)
debsums: no md5sums for binutils
debsums: no md5sums for bogofilter
debsums: changed file /etc/boinc-client/global_prefs_override.xml (from boinc-client package)
debsums: changed file /etc/init/console-setup.conf (from console-setup package)
debsums: no md5sums for dhcp3-client
debsums: no md5sums for dhcp3-common
debsums: no md5sums for e2fslibs
debsums: no md5sums for emacsen-common
debsums: no md5sums for g++
debsums: no md5sums for gcc-4.4-base
debsums: no md5sums for gcc-4.5-base
debsums: no md5sums for google-chrome-stable
debsums: missing file /usr/lib32/mesa/libGL.so.1.2 (from ia32-libs package)
debsums: changed file /usr/share/doc/icedtea-plugin/changelog.Debian.gz (from icedtea-plugin package)
debsums: no md5sums for icedtea6-plugin
debsums: changed file /etc/kde4/kdm/kdmrc (from kdm package)
debsums: changed file /etc/kde4/kdm/backgroundrc (from kdm package)
debsums: changed file /etc/kubuntu-default-settings/directory-home (from kubuntu-default-settings package)
debsums: no md5sums for libacl1
debsums: no md5sums for libatk1.0-0
debsums: no md5sums for libattr1
debsums: no md5sums for libaudio2
debsums: no md5sums for libavahi-client3
debsums: no md5sums for libavahi-common-data
debsums: no md5sums for libavahi-common3
debsums: no md5sums for libavahi-compat-libdnssd1
debsums: no md5sums for libavahi-core7
debsums: no md5sums for libavahi-glib1
debsums: no md5sums for libblkid1
debsums: missing file /usr/lib/locale/C.UTF-8/LC_ADDRESS (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_COLLATE (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_CTYPE (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_IDENTIFICATION (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_MEASUREMENT (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_MESSAGES/SYS_LC_MESSAGES (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_MONETARY (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_NAME (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_NUMERIC (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_PAPER (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_TELEPHONE (from libc-bin package)
debsums: missing file /usr/lib/locale/C.UTF-8/LC_TIME (from libc-bin package)
debsums: no md5sums for libc6
debsums: no md5sums for libc6-dbg
debsums: no md5sums for libcomerr2
debsums: no md5sums for libdb4.8
debsums: no md5sums for libdbus-1-3
debsums: no md5sums for libdrm-intel1
debsums: no md5sums for libdrm-nouveau1a
debsums: no md5sums for libdrm-radeon1
debsums: no md5sums for libdrm2
debsums: no md5sums for libexpat1
debsums: no md5sums for libfontconfig1
debsums: no md5sums for libfreetype6
debsums: no md5sums for libgcc1
debsums: no md5sums for libgcrypt11
debsums: no md5sums for libgdbm3
debsums: missing file /usr/lib/mesa/libGL.so.1.2 (from libgl1-mesa-glx package)
debsums: no md5sums for libglib2.0-0
debsums: no md5sums for libgnutls26
debsums: no md5sums for libgomp1
debsums: no md5sums for libgpg-error0
debsums: no md5sums for libgssapi-krb5-2
debsums: no md5sums for libgudev-1.0-0
debsums: no md5sums for libice6
debsums: no md5sums for libjasper1
debsums: no md5sums for libjpeg62
debsums: no md5sums for libk5crypto3
debsums: no md5sums for libkeyutils1
debsums: no md5sums for libkrb5-3
debsums: no md5sums for libkrb5support0
debsums: no md5sums for libobjc2
debsums: no md5sums for libpam-modules
debsums: no md5sums for libpam0g
debsums: no md5sums for libpango1.0-0
debsums: no md5sums for libpcre3
debsums: no md5sums for libpng12-0
debsums: changed file /etc/libreoffice/sofficerc (from libreoffice-common package)
debsums: changed file /etc/libreoffice/soffice.sh (from libreoffice-common package)
debsums: no md5sums for libselinux1
debsums: no md5sums for libsm6
debsums: no md5sums for libsqlite3-0
debsums: no md5sums for libss2
debsums: no md5sums for libstdc++6
debsums: no md5sums for libtasn1-3
debsums: no md5sums for libtiff4
debsums: no md5sums for libudev0
debsums: no md5sums for libuuid1
debsums: no md5sums for libx11-6
debsums: no md5sums for libx11-xcb1
debsums: no md5sums for libxau6
debsums: no md5sums for libxcb-dri2-0
debsums: no md5sums for libxcb-randr0
debsums: no md5sums for libxcb-render0
debsums: no md5sums for libxcb-shape0
debsums: no md5sums for libxcb-shm0
debsums: no md5sums for libxcb-xv0
debsums: no md5sums for libxcb1
debsums: no md5sums for libxcomposite1
debsums: no md5sums for libxcursor1
debsums: no md5sums for libxdamage1
debsums: no md5sums for libxdmcp6
debsums: no md5sums for libxext6
debsums: no md5sums for libxfixes3
debsums: no md5sums for libxft2
debsums: no md5sums for libxi6
debsums: no md5sums for libxinerama1
debsums: no md5sums for libxrandr2
debsums: no md5sums for libxrender1
debsums: no md5sums for libxt6
debsums: no md5sums for libxxf86vm1
debsums: missing file /boot/vmlinuz-2.6.32-25-generic (from linux-image-2.6.32-25-generic package)
debsums: missing file /boot/config-2.6.32-25-generic (from linux-image-2.6.32-25-generic package)
debsums: missing file /boot/abi-2.6.32-25-generic (from linux-image-2.6.32-25-generic package)
debsums: missing file /boot/System.map-2.6.32-25-generic (from linux-image-2.6.32-25-generic package)
debsums: missing file /boot/vmcoreinfo-2.6.32-25-generic (from linux-image-2.6.32-25-generic package)
debsums: no md5sums for linux-libc-dev
debsums: changed file /etc/modprobe.d/blacklist.conf (from module-init-tools package)
debsums: no md5sums for netbase
debsums: changed file /usr/bin/nvidia-settings (from nvidia-settings package)
debsums: changed file /usr/share/man/man1/nvidia-settings.1.gz (from nvidia-settings package)
debsums: changed file /var/lib/PackageKit/transactions.db (from packagekit package)
debsums: changed file /usr/share/doc/perl/changelog.Debian.gz (from perl-base package)
debsums: no md5sums for python-dev
debsums: changed file /etc/sudoers (from sudo package)
debsums: changed file /etc/update-manager/release-upgrades (from update-manager-core package)
debsums: changed file /etc/apt/apt.conf.d/10periodic (from update-notifier-common package)
debsums: missing file /etc/update-motd.d/20-cpu-checker (from update-notifier-common package)
debsums: changed file /usr/lib/xorg/modules/extensions/libglx.so (from xserver-xorg-core package)
debsums: no md5sums for xserver-xorg-input-all
debsums: no md5sums for xserver-xorg-video-all
debsums: no md5sums for zlib1g
~$
>Ну хорошо запустил я скрипт для проверки корректности сигнатур и что же теперь делать с
>этим ??? (((Боже мой. Все же просто: распечатать и оклеить комнату вместо обоев. Пройдут годы...и вы состаритесь. И достаточно беглого взгляда на обои, который поможет вам вспомнить о былых временах и анонимусе который писал: ">Ну хорошо запустил я скрипт для проверки корректности сигнатур и что же теперь делать с
>этим ??? (((Боже мой. Все же просто: распечатать и оклеить комнату вместо обоев. Пройдут годы...и вы состаритесь. И достаточно беглого взгляда на обои, который поможет вам вспомнить о былых временах и анонимусе который писал: ">Ну хорошо запустил я скрипт для проверки корректности сигнатур и что же теперь делать с
>этим ??? (((Боже мой. Все же просто: распечатать и оклеить комнату вместо обоев. Пройдут годы...и вы состаритесь. И достаточно беглого взгляда на обои, который поможет вам вспомнить о былых временах и анонимусе который писал: "..."""