The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Серверы инфраструктуры Fedora и Red Hat были взлом..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Серверы инфраструктуры Fedora и Red Hat были взлом..."  
Сообщение от opennews on 23-Авг-08, 01:26 
Неделю назад в списке рассылки анонсов проекта Fedora был опубликован (http://www.opennet.me/opennews/art.shtml?num=17417) призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты (http://www.mail-archive.com/fedora-announce-list@redhat...).


Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать (http://rhn.redhat.com/errata/RHSA-2008-0855.html) цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было.


Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов  представлен на данной странице (http://www.redhat.com/security/data/openssh-blacklist.html) (риск получить фиктивное о...

URL: http://www.mail-archive.com/fedora-announce-list@redhat...
Новость: http://www.opennet.me/opennews/art.shtml?num=17510

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от kost BebiX email on 23-Авг-08, 01:26 
На самом деле единственное что в этой всей ситуации напрягло - я хочу обновить qt до ветки с нормальным webkit, а они приостановили обновления репозиториев и приходится сидеть на qt 4.4.1.2.fc10.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Dmitri email(??) on 23-Авг-08, 01:32 
> However, based on our efforts, we have high confidence

that the intruder was not able to capture the passphrase used to secure
the Fedora package signing key. Based on our review to date, the
passphrase was not used during the time of the intrusion on the system
and the passphrase is not stored on any of the Fedora servers.

Непонятно как ключ утек.
Да и формулировка какая-то желтая.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от dry email on 23-Авг-08, 13:26 
Дело ясное,
либо кто-то из своих же разработчиков, простите, про@бал ключ и никому не сказал,
либо кто-то из них же слил его за вполне конкретную сумму условных единиц.
Ни то не другое никак не радует.
Причем первое не радует больше, если человек предпочел скрыть утерю ключа,
вместо того, чтобы получить пендель по жопе, но защитить заказчиков своей конторы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Dmitri (??) on 23-Авг-08, 23:38 
Еще он мог 'потерять' ключ и не знать об этом. Например:
Снял блондинку в баре, привел домой. Комп естественно включен и скринсейвер не требует ввода пароля. Когда он был в душе блондинка скопировала private ключи на флешку.

Согласен, прикольная история. Но там много более реалистичных вариантов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Logo (ok) on 23-Авг-08, 17:19 
Ну да, как признаться, что у супербезопасного RHL дыра. Это только Debian`новцам смелости хватило сказать, что они сами глюк впороли и теперь потерпите, пока мы поправим :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Alex (??) on 23-Авг-08, 03:09 
Фигасе, чё вытворяют с основными серваками обоих проектов...
А ведь только здесь (http://www.opennet.me/opennews/art.shtml?num=17513) написали, что "Серверы и рабочие станции аэропорта Мюнхена переведены на использование Red Hat Linux". Ладно сам проект - не так страшно, переустановили ПО и забыли. Но вот аэропорт доверить красной шапке после этого, особенно после "Злоумышленники НЕИЗВЕСТНЫМ СПОСОБОМ получили КОНТРОЛЬ НАД МАШИНАМИ" и "ПРИЧИНА утечки пароля для подписывания пакетов так и НЕ БЫЛА УСТАНОВЛЕНА". Если уж самые первые спецы проекта не могут разобраться, мне жаль Мюнхен.
А потом все скажут "русские идут"... :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (??) on 23-Авг-08, 03:27 
>А потом все скажут "русские идут"... :)

Ну, когда МИЛЛИОНЫ виндовых машин регулярно шлют спам и т.п. - почему-то никто не интересуется где они стоят.А стоят они много где.Включая и туеву хучу важных оьъектов.А тут из-за 1 инцидента страшно.На фоне миллионов :).Жить вообще страшно кстати - от этого умирают :\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Щекн Итрч on 23-Авг-08, 08:51 
МИЛЛИОНЫ машин пусть шлют спам.
А вот взломанный РЕПОЗИТОРИЙ RH - это нечто чуть-чуть иное :)
Вам самому так не кажется? :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 03:04 
>МИЛЛИОНЫ машин пусть шлют спам.
>А вот взломанный РЕПОЗИТОРИЙ RH - это нечто чуть-чуть иное :)
>Вам самому так не кажется? :)

Мне кажется что когда одним можно срать по всей планете и все настолько к этому привыкают что бревна в их глазу не видят зато в редхатовском глазу разглядели соринку - это немного попахивает двойными стандартами.Нет, редхату конечно незачот но в конце концов они для клиентов выпустили решение и приняли меры.И при том не тянули месяц как одна всем известная контора.У меня к ним ровно 1 претензия - не вижу полной картины случившегося и описания методов хакеров(как они вообще это сделали и как отличить трояненый ssh от обычного).Что усложняет ситуацию если у вас не редхат (если например есть неизвестная дыра, врядли хакеры ограничатся только редхатом).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от alen (??) on 23-Авг-08, 11:53 
Смерь одного - трагедия, смерть миллионов - статистика :)  (с) И.В Сталин
;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 23:01 
А вот тут http://bibliotekar.ru/encSlov/17/132.htm пишут что это говорил совсем не Сталин. Оно вам нужно - врать так про бывших правителей ?


Смерть одного человека — это смерть, а смерть двух миллионов — только статистика

Из романа (гл. 8) «Черный обелиск» (1956) немецкого писателя Эриха Марии Ремарка (1898—1970), автора многих антивоенных романов, в которых говорится о судьбах так называемого потерянного поколения, пережившего Первую мировую войну.

Иногда фраза встречается в форме: «Смерть одного человека — это трагедия, смерть двух миллионов человек — только статистика».

Смысл выражения: человеку свойственно привыкать к чужой смерти, к массовым жертвам, при условии, что он имеет возможность смотреть на них со стороны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 03:08 
>Смысл выражения: человеку свойственно привыкать к чужой смерти, к массовым жертвам, при
>условии, что он имеет возможность смотреть на них со стороны.

Вот и к перманентным горам гуано лезущего с виндовых машин так вот привыкли.Да, removal tool продезинфицировал миллион машин.Повод для MS гордо растопырить пальцы - мы,типа, боремся!А если сказать менее удобно для MS то получится иначе: "то есть, миллион машин с вашей суперсекурной системой годами валил спам и вирье во все стороны?!"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Insa88 on 25-Авг-08, 10:08 
>А вот тут http://bibliotekar.ru/encSlov/17/132.htm пишут что это говорил совсем не Сталин. Оно
>вам нужно - врать так про бывших правителей ?
>
>

А года смерти Сталина и написания данного произведения ни о чем не говорят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от dexter (??) on 25-Авг-08, 15:25 
>[оверквотинг удален]
>
>Из романа (гл. 8) «Черный обелиск» (1956) немецкого писателя Эриха Марии Ремарка
>(1898—1970), автора многих антивоенных романов, в которых говорится о судьбах так
>называемого потерянного поколения, пережившего Первую мировую войну.
>
>Иногда фраза встречается в форме: «Смерть одного человека — это трагедия, смерть
>двух миллионов человек — только статистика».
>
>Смысл выражения: человеку свойственно привыкать к чужой смерти, к массовым жертвам, при
>условии, что он имеет возможность смотреть на них со стороны.

Берите шире.
Человеку просто свойственно привыкать ко всему, иначе он не выжил бы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Щекн Итрч on 23-Авг-08, 08:59 
> Злоумышленники НЕИЗВЕСТНЫМ СПОСОБОМ...

Правильно порутатое вторжение обнаружить очень сложно... :)

Логи надо вести, и вести логи надо удаленно...
И КС ФС наблюдать регулярно...
И читать сообщения систем безопасности :)

Расслабились :)
Бразильеро залил им в ТМР, скажем штук триццать "тестов" за пару месяцев, глядит, реакции нет, ТМП чистится и все... Ну, думает, помолясь креольским богам, зарутаемся-ко и почистим за собой бекдор, благо логов админы не ведут и не хранят... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 10:51 
любую атаку можно отследить, если есть поддежка гб на уровне стран
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Щекн Итрч on 23-Авг-08, 14:20 
>любую атаку можно отследить, если есть поддежка гб на уровне стран

ТОЛЬКО если есть поддержка логов на уровне местного админа :) :) :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Logo (ok) on 23-Авг-08, 17:23 
+100
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 19:33 
самомнение губит детей...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Щекн Итрч on 23-Авг-08, 20:52 
>самомнение губит детей...

Не совсем понимаю, за что выступаете... Но если против, скажем, моего мнения?
Тогда что, ГБ будет пытать электроны в атоме, добиваясь от них сведений о событиях, НЕ зафиксированных в логах вашей системы? :) :) :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 03:14 
>любую атаку можно отследить, если есть поддежка гб на уровне стран

Угу, а хакеры по вашему клинические дебилы?Знаете сколько есть методов сделать все и вся анонимно или от лица левой персоны?Как пример: 5 минут вардрайвинга и весь хак якобы осуществил какой-то лох, забывший про использование WPA.При слове логи чувак с таким уровнем развития только похлопает глазами.И даже если вы засунете ему в зад паяльник - ему не в чем признаваться.Ну разве что в том что он - дебил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 21:48 
в 2002 был взломан оф сайт openbsd, как известно самой секурной ОСи по дефолту. были протроянены исходники ссша.
(хотя вроде сам сервак(и) был наскоклько я помню на солярке.) после этого я перестал верить в информационную безопасность.
и более того я УВЕРЕН в том что windows update тоже ломали, просто об этом никто не узнал(т.к. никто не сказал), на след день наверно просто выпустили патчик, к-ый всё это закрывал. ведь кто знает что обновляется в венде на самом деле? пишут в аннотации патча "windows media player security update" а на самом деле закрывают страшный баг в tcpip.sys.
Безопасности нет...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (??) on 23-Авг-08, 04:50 
Кстати о птичках ... я тут вспомнил что видел апдейт ssh кой-где недавно, это не редхат но мне показалось странным что ssh обновился без особых анонсов.Есть ли где-то образец трояненого ssh и пример вредительских изменений или хотя-бы описание того что там, какие характерные изменения вносятся для целей троянства и прочая?А то я что-то не уверен что эти засранцы ограничатся только этими действиями.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Bod (??) on 23-Авг-08, 17:30 
>Кстати о птичках ... я тут вспомнил что видел апдейт ssh кой-где
>недавно, это не редхат но мне показалось странным что ssh обновился
>без особых анонсов.Есть ли где-то образец трояненого ssh и пример вредительских
>изменений или хотя-бы описание того что там, какие характерные изменения вносятся
>для целей троянства и прочая?А то я что-то не уверен что
>эти засранцы ограничатся только этими действиями.

А если скачать их скрипт http://www.redhat.com/security/data/openssh-blacklist.html и посмотреть, что он там ищет. Не поможет? Сам не качал. RH не использую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "openssh-blacklist-1.0.sh"  
Сообщение от Michael Shigorin email(ok) on 23-Авг-08, 21:28 
> А если скачать их скрипт и посмотреть, что он там ищет. Не поможет?
> Сам не качал. RH не использую.

Он смотрит md5 по списку известных как "левопакеты правоподписанные".

Кстати, довольно интересная реализация хэшей на шелле, не знал такого финта :-)

PS: качать немного, RH не использую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 02:50 
>А если скачать их скрипт

Качал, смотрел.Совершенно бесполезная конструкция для всех кроме пользователей конкретных версий редхата т.к. скрипт всего лишь смотрит нет ли в системе пакетов с проблемным MD5.И все.Весьма неуниверсальное решение, а вот уверенности что хаксоры ограничатся только редхатом что-то нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Michael Shigorin email(ok) on 25-Авг-08, 17:36 
>Весьма неуниверсальное решение, а вот уверенности что хаксоры ограничатся только
>редхатом что-то нет.

Эт-та... а куда универсальней быть решению проблемы с конкретным неавторизованным использованием ключа?

Не ограничатся, разумеется -- будут другие проблемы и другие решения.  C'est la vie.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (??) on 25-Авг-08, 20:51 
>Эт-та... а куда универсальней быть решению проблемы с конкретным
>неавторизованным использованием ключа?

Проблема в том что полной картины нет.Ни как на сервера попали хацкеры, ни что они раздали, ни как заметили их активность.А сие было бы полезно знать.Или я что-то пропустил и редхат более подробно обрисовал картину и по этому можно сделать вывод о (не)уязвимости иных систем, о работе трояна и как его вычислить в случае чего, etc?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 09:59 
миф о надежности и неломаемости линупса развенчан, причом сломан один из самых раскрученных коммерческих линупсов, причом в самое яблочко. Вам ясно дали понять, что надежность вся ваша миф, а rbac и прочие se примочки просто не работают. Ломается все и вся и нет доверия ни одному ПО, вопрос только в сложности/трудозатрах. Кому нафиг сдался скажем какнибудь инет шлюз некой компании торгующей носками? Его сломать нереально? Реально, только нафиг никому не надо. А от кул хацкеров да, ваши файрволы спасают, оттого и мнимое ощущение безопасности. Но реально путей взлома при надобности очень много. Так что перестаньте мерятся одним местом, какая из ОС самая самая. Все дырявые, вопрос в трудозатратах.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от k (??) on 23-Авг-08, 10:29 
>миф о надежности и неломаемости линупса развенчан, причом сломан один из самых
>раскрученных коммерческих линупсов, причом в самое яблочко. Вам ясно дали понять,
>что надежность вся ваша миф, а rbac и прочие se примочки
>просто не работают. Ломается все и вся и нет доверия ни
>одному ПО, вопрос только в сложности/трудозатрах. Кому нафиг сдался скажем какнибудь
>инет шлюз некой компании торгующей носками? Его сломать нереально? Реально, только
>нафиг никому не надо. А от кул хацкеров да, ваши файрволы
>спасают, оттого и мнимое ощущение безопасности. Но реально путей взлома при
>надобности очень много. Так что перестаньте мерятся одним местом, какая из
>ОС самая самая. Все дырявые, вопрос в трудозатратах.

password, user i ip ne dat' tebe?

/k

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "*sigh*"  
Сообщение от Michael Shigorin email(ok) on 23-Авг-08, 12:37 
>миф о надежности и неломаемости линупса развенчан

Только лохи верят сказкам о неломаемости.  Вчера в этом убеждались опёнковцы, сегодня -- редхатовцы, завтра -- ещё кто.

Если Вы всерьёз считаете "миф развенчанным" -- подумайте, не относитесь ли к этой многочисленной категории... верить-то лапше либо таких же анонимов, либо некомпетентных в вопросе людей изначально не стоило.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от remi email on 23-Авг-08, 14:16 
>миф о надежности и неломаемости линупса развенчан, причом сломан один из самых
>раскрученных коммерческих линупсов, причом в самое яблочко. Вам ясно дали понять,
>что надежность вся ваша миф, а rbac и прочие se примочки
>просто не работают. Ломается все и вся и нет доверия ни

По-моему, Вы слишком торопитесь с глобальными выводами.
Мы пока даже не знаем, имел ли место инсайд, халатность сотрудника, изъян в инфраструктуре или эксплуатация неизвестной уязвимости. Выводы в каждом из этих случаев будут совершенно разные.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 14:23 
>миф о надежности и неломаемости линупса развенчан, причом сломан один из самых
>раскрученных коммерческих линупсов, причом в самое яблочко. Вам ясно дали понять,
>что надежность вся ваша миф, а rbac и прочие se примочки
>просто не работают. Ломается все и вся и нет доверия ни
>одному ПО, вопрос только в сложности/трудозатрах. Кому нафиг сдался скажем какнибудь
>инет шлюз некой компании торгующей носками? Его сломать нереально? Реально, только
>нафиг никому не надо. А от кул хацкеров да, ваши файрволы
>спасают, оттого и мнимое ощущение безопасности. Но реально путей взлома при
>надобности очень много. Так что перестаньте мерятся одним местом, какая из
>ОС самая самая. Все дырявые, вопрос в трудозатратах.

Ты идиот что ли? Или дебил? Украли КЛЮЧ от openssh, а не Red Hat взломали

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Michael Shigorin email(ok) on 23-Авг-08, 21:31 
>Украли КЛЮЧ от openssh, а не Red Hat взломали

Вообще-то получили неавторизованный доступ к ключу gpg, которым подписываются пакеты Fedora, и другому ключу gpg, которым подписываются пакеты RHEL.

Пакеты то ли не успели вытечь через обычные арыки, но RH выпустили critical errata с обновлением прошлогоднего minor недочёта в openssh.  Какое это имеет отношение, помимо "заведомо более свежая сборка, заодно то заткнули" -- пока не пойму, у них же всё равно ssh -X == ssh -Y из коробки?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 05:11 
>миф о надежности и неломаемости линупса развенчан

Ой, откуда таких специалистов то повылезло с дефектами речи?Шамкают тут как старые бабушки какую-то муть, половина из которой старческий маразм а половина всем известные факты типа "трава зеленая" и "солнце светит".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 23-Авг-08, 10:30 
Может я что то не понял но там было про уязвимость OpenSSH при работе с протоколом X11, может взломали как раз через это (перехватили удаленную сессию X11 какого нибудь админа RedHat). Если так, то мораль - X11 пора заниматься своим делом - графикой, а не сетевыми протоколами.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Vovanxx1 on 23-Авг-08, 11:59 
Жалко это признавать, но статистика не врёт...Чем более популярной становится ОС, тем больше в ней находят серьёзных уязвимостей, причём дырки стали появляться в самом ядре, а некоторые вообще до конца не объяснены и не изучены. Да же судя по этому ресурсу, чуть ли на каждую неделю находится что-то не хорошее: неуспели с днсом разобраться дык терь ещё и ось менять...Кстати не факт что эта дырка относится только к тем дистрибам, что названы сдесь, на мой взгляд в ближайшее время мы увидим либо критические обновления на остальных дистрибах, либо заявления об их удачном хаке. Плохо то, что инфа об этих дырках скорее всего пока замалчивается, что бы редхетовцы вместе с публикацией инфы сразу похвастались своими патчами, мол мы пока единственные у кого они есть. А в это время злоумышленники спокойно пользуются тем что нашли + в случае такого хода будет как с днсом - сразу умолчали, а потом огребли но уже все, да же те, кто умолчал. Только тут дело посерьёзнее будет, рутовый шел, это не хухры-мухры, многие захотят что либо поправить, но уже может быть поздно...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от lelik on 23-Авг-08, 12:12 
причём здесь ОС, если "взлом" был через стыренный пароль? Точно также можно "взломать" шифрованный диск, если у тебя есть доступ к телу владельца пароля от него, дальше дело техники - водка, ломик, кусачки....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Vovanxx1 on 23-Авг-08, 12:22 
>причём здесь ОС, если "взлом" был через стыренный пароль? Точно также можно
>"взломать" шифрованный диск, если у тебя есть доступ к телу владельца
>пароля от него, дальше дело техники - водка, ломик, кусачки....

Скажи чем в данном контексте отличается "стырили" от "взлом"? Почему им тогда не написать КАК они его стырили...стырили рутовые пароли от репозиториев дяди феди в красной шляпе, ась? И действительно ли были стырены пароли, или всё же имел место какой-то другой способ получения рутового шела, у??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от lelik on 23-Авг-08, 15:58 
особенно ничем. Ещё у "стырили" есть синоним "скомпрометировать" :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Michael Shigorin email(ok) on 23-Авг-08, 12:46 
>неуспели с днсом разобраться дык терь ещё и ось менять...

Помогает всё-таки оценивать происходящее адекватно, по возможности понимая суть проблемы.

В DNS она совсем другого класса.

>Кстати не факт что эта дырка относится только к тем дистрибам, что названы сдесь,

Возможно, она относится к их *инфраструктуре*.  Тогда может быть уникальной -- locl misconfiguration или human error.  Возможно -- 0day, тогда *может* относиться к другим (а может и не).

>на мой взгляд в ближайшее время мы увидим либо критические обновления на остальных
>дистрибах, либо заявления об их удачном хаке.

Посмотрим.

>Плохо то, что инфа об этих дырках скорее всего пока замалчивается, что бы редхетовцы
>вместе с публикацией инфы сразу похвастались своими патчами, мол мы пока единственные
>у кого они есть.

Вы, похоже, совсем не представляете себе механизмы распространения информации о подобных проблемах.  Я порой получаю форварды и немного представляю...

Вкратце -- security response team функционирует отдельно от администраторов инфраструктуры, хотя в подобных случаях явно их консультирует.  При этом если бы уже получилось идентифицировать место проблемы, то по правильным каналам она бы уже прошла.  Потому что вопрос тогда сводился бы к тому, как максимально быстро и качественно (а для этого и помогает даже ограниченный peer review) её порешить.

Disclaimer: я не утверждаю, что информация *не* проходила или отсутствует, а только комментирую несколько наивные утверждения во избежание их восприятия всерьёз.

>Только тут дело посерьёзнее будет, рутовый шел

Для получения ключа и возможности подписи в общем случае рутшелл необязателен, хотя и сильно полезен...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Vovanxx1 on 23-Авг-08, 13:02 
>Жалко это признавать, но статистика не врёт...Чем более популярной становится ОС, тем больше в ней находят серьёзных уязвимостей
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от vitek (??) on 23-Авг-08, 14:54 
чего то про уязвимость ОС я ничего пока не нашёл.
может ни там читаю? :-D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Logo (ok) on 23-Авг-08, 17:14 
Ай-яй... А сколько было "вони" по поводу OpenSSL Debian. Оказывается все мы смертные и ненужно радоваться чужой беде (я не фанат Debiana, сейча сижу на Mandriva). А вот админы у Debian оказались пошустрее, уважение им.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Michael Shigorin email(ok) on 23-Авг-08, 21:33 
>Оказывается все мы смертные и ненужно радоваться чужой беде

Дык не нужно.  Выводы вот делать стоит хотя бы на своём уровне... ну и подождём информации о том, как же всё-таки был получен доступ (что в отличие от случая с Debian -- может быть опубликовано и сильно позже, поскольку RH есть акционерная контора).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от mv (??) on 23-Авг-08, 22:06 
Вы разницу не видите? В случае Дебиана был факт изменения кода openssh неграмотным мантейнером, обновление всех систем и их готовность к взлому, а в случае с Федорой/RH админы заблаговременно обнаружили факт кражи ключа подписи пакетов и отключили все обновления. Никто из кастомеров RHEL вообще не пострадал. На конечных пользователей это отразилось только тем, что некоторое время были недоступно обновление. Респект редхатовцам, что они смогли оперативно обнаружить факт кражи и не допустить возможности эксплуатации краденного ключа злоумышленниками.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Все тот же аноним on 23-Авг-08, 23:02 
Поддерживаю точку зрения целиком и полностью. И еще: они (Red Hat) вполне могли придумать набор левых отмазок, но предпочли реально описать проблему и предпринятые шаги. Открытость - это дорого стоит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от vitek (??) on 23-Авг-08, 23:11 
согласен полностью!!!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 03:21 
> Открытость - это дорого стоит.

Дык блин, ну и где описание метода взлома?И хотя-бы какое-либо описание что из себя представляет этот троян??? (как работает, какие подстроки характерные, etc).Открытость какая-то половинчатая: наличие проблем где либо еще кроме редхата по такой информации не проверишь нифига.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от pavel_simple (??) on 23-Авг-08, 23:17 
>Вы разницу не видите? В случае Дебиана был факт изменения кода openssh

ну пусть будет всё-же openssl
>неграмотным мантейнером,

мантайнер ктати сказать всё-же очень даже грамотный -- именно это (горе от ума) и привело к таким последствиям
> обновление всех систем и их готовность к взлому, а

если не уверены -- то лучше прочитать в оригинале разбор полётов -- домысливать в данном случае не верный подход
>в случае с Федорой/RH админы заблаговременно обнаружили факт кражи ключа подписи

видимо совсем даже не заблаговременно -- это учитывая то -- что разбор полётов на данный момент затрудителен -- что в свою очередь говорит о том что люди понятия не имеют что,когда и как (появился в обновлениях подписаный мантайнером RedHat пакет)
>пакетов и отключили все обновления. Никто из кастомеров RHEL вообще не
>пострадал.

очень надеюсь -- но мне бы вашу увереность
> На конечных пользователей это отразилось только тем, что некоторое время
>были недоступно обновление. Респект редхатовцам, что они смогли оперативно обнаружить факт
>кражи и не допустить возможности эксплуатации краденного ключа злоумышленниками.

P.S. http://www.opennet.me/openforum/vsluhforumID3/42416.html#12
...
"Так ли вы уверенны в своём дистрибутиве чтобы говорить об отсутствии подобных ошибок в нём?"
...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "(offtopic) Debian openssl"  
Сообщение от Michael Shigorin email(ok) on 24-Авг-08, 23:52 
>ну пусть будет всё-же openssl
>>неграмотным мантейнером,
>мантайнер ктати сказать всё-же очень даже грамотный -- именно это
>(горе от ума) и привело к таким последствиям

Я бы не стал смешивать "грамотность" и "активность" (в угоду линтерам и valgrind'ам).

>"Так ли вы уверенны в своём дистрибутиве чтобы говорить об отсутствии подобных
>ошибок в нём?"

В нашем покамест _таких_ не замечено.  Разумеется, гарантий это никаких не даёт...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 03:25 
>А вот админы у Debian оказались пошустрее, уважение

С**и они :) при всем уважении к дебиану.Если уж не шарите в криптографии - нефиг ее своими руками лапать.Итого было дохрена геморроя и наверняка по планете еще гуляет вагон уязвимых сертификатов и ключей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от www2 email(??) on 25-Авг-08, 08:50 
>>А вот админы у Debian оказались пошустрее, уважение
>
>С**и они :) при всем уважении к дебиану.Если уж не шарите в
>криптографии - нефиг ее своими руками лапать.Итого было дохрена геморроя и
>наверняка по планете еще гуляет вагон уязвимых сертификатов и ключей.

Смайлик прощает такое заявление, но на всякий случай хочу сказать вот что.

Debian'щики делают колоссальную работу, которая доступна любому практически бесплатно. Каких гарантий вы хотели? Вы так рады увидеть соломинку в чужом глазу?

Шарящие в криптографии, видимо плохо шарили в программинге, если в качестве источника энтропии использовали неинициализированный блок памяти. Насколько случайные там окажутся данные - не знает никто. Мэйнтэйнер пофиксил использование неинициализированного массива, отсюда и были проблемы. Если бы программисты использовали в качестве источника энтропии /dev/urandom, этого бы не произошло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от pavel_simple (??) on 25-Авг-08, 09:11 
> Если бы программисты использовали в качестве источника энтропии /dev/urandom, этого
>бы не произошло.

+1

http://www.gnu.org/software/gnutls/manual/gnutls.html#Compat...
скорее-бы допилили -- а то на моей памяти openssl всё чинят и чинят

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 09:36 
>Смайлик прощает такое заявление,

Да потому и стоит.Я уважаю их за проделанную работу.Но хочу все-таки сказать что не надо совать лапы в криптографический код.Особенно в такие места.Не надо пытаться быть святее папы римского.Чревато, как видим.

>Вы так рады увидеть соломинку в чужом глазу?

Чужом?Если бы :( за***лся ключи в пожарном порядке перегенерять.В убунтах и дебианах прежде всего.Сколько их таких хороших в других системах осело - а хрен его знает.Теперь за счет такой деятельности SSL и SSH далеко не столь иж и Secure, потому как проблемных сертификатов и ключей наверняка еще вагоны.

>Если бы программисты использовали в качестве источника энтропии /dev/urandom, этого
>бы не произошло.

А, раз вы в этом шарите тогда кстати прокомментируйте - а что с этим девайсом в Дебиане за приколы? Вот тут: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=350396

Это что еще за баг такой?Упорно не вдупляю в суть предъяв aMule'у.Заголовок бага выглядит как фантастика или сказка.Или просто суровый стеб.Что за  .. ?Дескать слишком много юзают девайс.Эээ а он разве не для того сделан чтобы юзать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от www2 email(??) on 25-Авг-08, 10:01 
С вами и с "Аноним1" я спорить не собираюсь. Вы те ещё тролли, поберегу своё время.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (??) on 25-Авг-08, 20:37 
>С вами и с "Аноним1" я спорить не собираюсь.

А я разве тут предлагал о чем-то спорить?Я всего лишь выразил неудовольствие некоторыми действиями дебианщиков которые раздражают + спросил что за прикол с багом, title которого стабильно вгоняет меня в ступор ибо я не понимаю как это - "depletes entropy pool".Думал что раз вы советуете /dev/urandom - может в курсе в чем там проблема.А вы... :\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "random vs urandom"  
Сообщение от Michael Shigorin email(ok) on 25-Авг-08, 17:47 
>>Если бы программисты использовали в качестве источника энтропии /dev/urandom,
>>этого бы не произошло.

1) насколько понимаю, это было design decision
2) используют: http://www.openssl.org/support/faq.cgi#USER1

>Дескать слишком много юзают девайс.Эээ а он разве не для
>того сделан чтобы юзать?

Почитайте urandom(4) в части сравнения с random(4) -- во-первых, эти два девайса уже созданы с разными целями и предоставляют разное качество случайности; во-вторых, оба они выюзывают enthropy pool, который потихоньку заполняется из ряда источников ядром.

Суть предъявы -- в колодец с питьевой водой загнали грязный шланг и ну в бетономешалку сосать.  Вместо того, чтоб из соседнего пруда.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "random vs urandom"  
Сообщение от www2 email(??) on 25-Авг-08, 18:10 
>>>Если бы программисты использовали в качестве источника энтропии /dev/urandom,
>>>этого бы не произошло.
>
>1) насколько понимаю, это было design decision
>2) используют: http://www.openssl.org/support/faq.cgi#USER1

Прочитал по ссылке - действительно используют /dev/[u]random.
Почему тогда исключение неинициализированного массива из источников энтропии привело к резкому снижению количества генерируемых ключей? Получается массив был основным источником энтропии?

>>Дескать слишком много юзают девайс.Эээ а он разве не для
>>того сделан чтобы юзать?
>
>Почитайте urandom(4) в части сравнения с random(4) -- во-первых, эти два девайса
>уже созданы с разными целями и предоставляют разное качество случайности; во-вторых,
>оба они выюзывают enthropy pool, который потихоньку заполняется из ряда источников
>ядром.

Прочитал. random даёт столько бит, сколько есть в пуле, urandom - сколько запрошено, пусть даже энтропия будет хуже по качеству.

>Суть предъявы -- в колодец с питьевой водой загнали грязный шланг и
>ну в бетономешалку сосать.  Вместо того, чтоб из соседнего пруда.

Не понял смысла предложения. Это получается у Вас: колодец - random, пруд - urandom, а грязный шланг - это неинициализированный массив, бетономешалка - это их (OpenSSLщиков) внутренний буфер энтропии?

Поясните простыми и доходчивыми словами, мутных без аналогий, а то остаётся только догадываться кого вы защищаете, а на кого наезжаете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "random vs urandom"  
Сообщение от www2 email(??) on 25-Авг-08, 18:13 
*мутных без аналогий = без мутных аналогий


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "random vs urandom"  
Сообщение от Michael Shigorin email(ok) on 26-Авг-08, 12:27 
>Почему тогда исключение неинициализированного массива из источников энтропии
>привело к резкому снижению количества генерируемых ключей? Получается массив
>был основным источником энтропии?

Из того, что читал -- не помню уже, перечитывать сейчас неинтересно.

>>Суть предъявы -- в колодец с питьевой водой загнали грязный шланг и
>>ну в бетономешалку сосать.  Вместо того, чтоб из соседнего пруда.
>Не понял смысла предложения. Это получается у Вас: колодец - random, пруд
>- urandom, а грязный шланг - это неинициализированный массив

Не, шланг -- это обращение :-)

>бетономешалка - это их (OpenSSLщиков) внутренний буфер энтропии?

Выше не про OpenSSL спрашивали, а уже про торрент-клиент.  Который вытягивал неоправданно качественную энтропию из системы вместо того, чтоб за'seed'ить свой PRNG и тянуть из него.

>Поясните простыми и доходчивыми словами, мутных без аналогий, а то остаётся только
>догадываться кого вы защищаете, а на кого наезжаете?

Как ни странно, никого не защищаю и ни на кого не наезжаю. :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "random vs urandom"  
Сообщение от www2 email(??) on 26-Авг-08, 12:59 
>Из того, что читал -- не помню уже, перечитывать сейчас неинтересно.

Уже почитал заметку в LJ Витуса Вагнера: http://vitus-wagner.livejournal.com/279779.html.
Этот неинициализированный массив заполнялся специальной функцией, которая как раз и выбирала источник энтропии. Закоментировали вызов этой функции!

>>бетономешалка - это их (OpenSSLщиков) внутренний буфер энтропии?
>
>Выше не про OpenSSL спрашивали, а уже про торрент-клиент.

Да, вот так этот User294 перескакивает с темы на тему.

>Который вытягивал
>неоправданно качественную энтропию из системы вместо того, чтоб за'seed'ить свой PRNG
>и тянуть из него.

Я тоже это понял, но не стал ничего ему объяснять. Уж очень троллить любит. Ему ответишь - он опять задачку подкинет с претензией типа "докажи что эксперт". А я доказывать ничего не хочу.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "random vs urandom"  
Сообщение от User294 (ok) on 01-Сен-08, 10:42 
>Выше не про OpenSSL спрашивали, а уже про торрент-клиент.

Про ed2k клиент, если уж говорить точнее.Осел такой же вариант торента как HTTP - вариант протокола FTP.То есть, иногда что-то общее в их задачах и целях бывает но сделано по разному :)

> Который вытягивал неоправданно качественную энтропию из системы

Да вообще кошмар :) энтропии во вселенной оказывается мало :).Ну не пиндец? 8)

>Как ни странно, никого не защищаю и ни на кого не наезжаю.

За что я вас уважаю... сам я так к сожалению не умею.

А вот www2 незачот - отрекламил чудо-фичу потом на вопрос "а что за странные и диковатые предъявы к авторам aMule были по части использования этой фичи?!" - наехал на меня и свалил в кусты.Неспортивно так делать.Michael'у отдельное спасибо что не поленился объяснить в чем прикол.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "random vs urandom"  
Сообщение от www2 email(??) on 01-Сен-08, 10:55 
>наехал на меня и свалил в кусты.

Ну-ну, на Вас только время тратить. Я же прекрасно знаю, что Ваши вопросы неиссякаемые.

>Неспортивно так делать.

Совершенно верно. Не по-олимпийски как-то. В олимпийском движении главное же что? Участие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "random vs urandom"  
Сообщение от User294 (??) on 25-Авг-08, 20:46 
>Суть предъявы -- в колодец с питьевой водой загнали грязный шланг и
>ну в бетономешалку сосать.  Вместо того, чтоб из соседнего пруда.

Просто суть бага до меня не доходит.Нафиг нужен девайс якобы выдающий рандом если он с этой задачей не справляется если много рандома из него брать?Или я что-то не понимаю?Depletes entropy pool звучит как-то дико.Во вселенной по-моему, энтропии на всех хватит.

Наверное я тупой и чего-то не понимаю в этой жизни но с моей точки зрения после чтения объяснений (спасибо, Michael!) все выглядит как будто это бага была не в aMule а скорее в реализации девайса, что он при активном юзании начинает качество терять? :-\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "random vs urandom"  
Сообщение от Michael Shigorin email(ok) on 26-Авг-08, 12:33 
>Нафиг нужен девайс якобы выдающий рандом если он с этой задачей не справляется
>если много рандома из него брать?Или я что-то не понимаю?

Да Вы, батенька, развращены тем, что если цифра -- так всё можно ;-)

>Depletes entropy pool звучит как-то дико. Во вселенной по-моему, энтропии на всех хватит.

Из вселенной ещё добыть надо.  Поинтересуйтесь расценками на аппаратные добывалки -- водятся в местах, где положена сильная криптография.  И/или погуглите linux enthropy pool, первая страница результатов вполне релевантна.

>как будто это бага была не в aMule а скорее в реализации
>девайса, что он при активном юзании начинает качество терять? :-\

Диски при активном юзании (в более чем один ламинарный поток) тоже начинают терять качество (начиная с прокачки и заканчивая сроком службы)...

Это /dev/zero и /dev/null у нас простые, если перефразировать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "random vs urandom"  
Сообщение от User294 (ok) on 01-Сен-08, 10:57 
>Из вселенной ещё добыть надо.  Поинтересуйтесь расценками на аппаратные добывалки --

Уй.А что, какой-нибудь там тепловой шум оцифровать - не прокатывает?Или как всегда - достаточно тривиальные и общеизвестные решения при грамотном подходе продаются за много денег как супер-фичи?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

87. "random vs urandom"  
Сообщение от Michael Shigorin email(ok) on 03-Сен-08, 00:44 
>>Из вселенной ещё добыть надо.  Поинтересуйтесь расценками на аппаратные добывалки --
>Уй.А что, какой-нибудь там тепловой шум оцифровать - не прокатывает?Или как всегда
>- достаточно тривиальные и общеизвестные решения при грамотном подходе продаются за
>много денег как супер-фичи?

Дык это ж Сертифицированная Область, соответственно тама Сертифицированные Решения.
За Сертифицированные Бабки.

Для нормальных-то людей оно скорее не упало. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Дмитрий Ю. Карпов on 25-Авг-08, 15:11 
> Шарящие в криптографии, видимо плохо шарили в программинге, если в качестве источника энтропии использовали неинициализированный блок памяти. Насколько случайные там окажутся данные - не знает никто.

IMHO, использовать неинициализированные данные из необнулённых страниц можно только в качестве ДОПОЛНЕНИЯ к другим источникам энтропии. Надо взять системное время (желательно в тактах процессора - чем подробнее, тем лучше), температуру процессора (чем больше цифр после точки - тем лучше, и неважно, насколько точно число отражает реальную температуру), кусок неинициализированных данных, значения системных счётчиков; всё это слить в одну строкУ и взять от неё hash.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от www2 email(??) on 25-Авг-08, 15:52 
>IMHO, использовать неинициализированные данные из необнулённых страниц можно только в качестве ДОПОЛНЕНИЯ
>к другим источникам энтропии.

/dev/random - быстрый источник псевдослучайных чисел,
/dev/urandom - как раз источник случайных чисел, где все реальные источники и сваливаются в кучу и хэшируются. Поэтому я и сказал, что использовать нужно это "устройство".

Разработчики же SSL посчитали себя параноиками, дескать "можно найти слабину в конкретной реализации /dev/urandom, и поэтому мы будем использовать неинициализированный массив".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от just_another_anonymous on 27-Авг-08, 06:12 

>/dev/random - быстрый источник псевдослучайных чисел,
>/dev/urandom - как раз источник случайных чисел, где все реальные источники и
>сваливаются в кучу и хэшируются. Поэтому я и сказал, что использовать нужно это "устройство".

эээ
вообще-то всю жизнь наоборот было!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от www2 email(??) on 27-Авг-08, 07:24 
>
>>/dev/random - быстрый источник псевдослучайных чисел,
>>/dev/urandom - как раз источник случайных чисел, где все реальные источники и
>>сваливаются в кучу и хэшируются. Поэтому я и сказал, что использовать нужно это "устройство".
>
>эээ
>вообще-то всю жизнь наоборот было!

1. Очепятка.
2. Оказалось, что неинициализированный массив не являлся источником энтропии. Туда энтропия как раз собиралась из разных источников специальной функцией. Вызов этой функции и был закоментирован.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Хоменко email on 25-Авг-08, 17:26 

>Шарящие в криптографии, видимо плохо шарили в программинге, если в качестве источника
>энтропии использовали неинициализированный блок памяти. Насколько случайные там окажутся данные -
>не знает никто. Мэйнтэйнер пофиксил использование неинициализированного массива, отсюда и были
>проблемы. Если бы программисты использовали в качестве источника энтропии /dev/urandom, этого
>бы не произошло.

Вот оно! Именно этого комментария я и искал!

И действительно, за самочинное исправление неинициализированной переменной в незнакомом коде, где нужна дешевая энтропия, мантайнера-дебиановца надлежит наказать не столько за само самоуправство, сколько за то, что не просигналил девелоперам.

Потому как тут ящик с тройным дном может оказаться.

Из каких соображений авторы openssh предпочли просто не проинициализировать тот массив, а не написать туда что-то на манер текущая_секунда по модулю текущая_минута (насчет доступности /dev/urandom -- а оно, кстати, есть ли на всех системах?) Ведь так же просто, издержки минимальные, и gcc ругаться не будет.

С другой стороны, непроинициализированные переменные ловятся компиляторами с доисторических времен, и уж автор определенно знал о том массиве. Знал, но таки ж оставил!

Нет, я все никак не могу вкурить и поверить, что такой сурьезный прожект -- и вот так по-школьному решает добывать энтропию.

Кто действительно шарит и потрудился посмотреть в код и в дебиановский патч -- растолкуйте, действительно ли все так просто и самонадеянно там?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от www2 email(??) on 25-Авг-08, 17:37 
Насколько я знаю, мэйнтейнеры Debian никогда не лезут в код своими ручками, если проект подаёт признаки жизни. Багрепорт наверняка был отправлен разработчикам OpenSSL. Есть версия, что они просто между собой посмеялись над глупостью мэйнтейнера, а ответом его не удостоили. Когда разработчики отмалчиваются, мэнтейнеры Debian стремятся фиксить баги не полагаясь на разработчиков. Примерно такая ситуация и произошла. Мэйнтейнер в меру своего понимания исправил ошибку.

Не могу сказать со 100% уверенностью, что всё было именно так, но очень на то похоже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от pavel_simple (??) on 25-Авг-08, 19:53 
они (мантайнер Debian и разраб openssl) писали друг-другу письма

потом на какой-то момент переписка (на стороне openssl) тормознулась

мантайнер debian решил что это дествительно ошибка -- и сделал далеко идущие выводы

разраб openssl подумал что никакой ошибки в коде нет -- но забыл сказать это мантайнеру debian

коротко -- "Я тебя не понимать" (C) Народная Мудрось

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "(offtopic) debian openssl"  
Сообщение от Michael Shigorin email(ok) on 26-Авг-08, 12:21 
>Насколько я знаю, мэйнтейнеры Debian никогда не лезут в код своими ручками,
>если проект подаёт признаки жизни.

Ещё как лезут -- жизнь такая.

PS: вообще этот вопрос довольно подробно разбирался тогда, когда был актуален:
http://www.opennet.me/opennews/art.shtml?num=15846
http://www.opennet.me/opennews/art.shtml?num=15862
http://www.opennet.me/opennews/art.shtml?num=16523

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Vulzscht on 24-Авг-08, 01:18 
а вы уверены что RH так вам и выложила всю правду?
нюню...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от User294 (ok) on 25-Авг-08, 03:28 
>а вы уверены что RH так вам и выложила всю правду?
>нюню...

Да к парированию проблемы трудно придраться, редхат вроде грамотно парировал проблемы.А вот теперь бы понять насколько это грозит не редхатовским системам...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "OpenNews: Серверы инфраструктуры Fedora и Red Hat были взлом..."  
Сообщение от Гость on 25-Авг-08, 05:33 
в новости сказано, что репозиторий CentOS не пострадал, так с чего бы он мне обновления openssh предлагает?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "OpenNews: Серверы инфраструктуры Fedora и Red Hat были взлом..."  
Сообщение от User294 (??) on 25-Авг-08, 21:51 
>в новости сказано, что репозиторий CentOS не пострадал, так с чего бы
>он мне обновления openssh предлагает?

Вариантов я вижу 2 - или они обновили ssh с подачи редхата или хакеры решили что теперь пора всыпать вон тем :).Вот на такие случаи и хотелось бы иметь описание того что за троянец был и что делал и вообще, чем характерен и как отловить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "Серверы инфраструктуры Fedora и Red Hat были взломаны"  
Сообщение от Аноним (??) on 26-Авг-08, 12:16 
Что касается обновления OpenSSH для CentOS, то обновлении мне приходила новость из оффициального листа рассылки по апдейтам CentOS.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру