The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атакующие получили контроль над DEB-репозиторием проекта Haskell

16.02.2015 09:17

Зафиксировано проведение успешной атаки на инфраструктуру, обеспечивающую разработку функционального языка программирования Haskell. В результате атаки злоумышленникам удалось получить контроль над репозиториями deb.haskell.org. Подробности разбора инцидента пока не сообщаются, известно только, что с 12 февраля фиксировались аномалии в исходящем трафике. 14 февраля атака была подтверждена и хост deb.haskell.org был выведен из эксплуатации для изучения последствий взлома.

Сообщается, что разработчики сработали достаточно оперативно и время распространения модифицированных атакующими deb-пакетов было сведено к минимуму. При этом, так как точные данные об инциденте пока не приводятся, пользователям deb.haskell.org, особенно применяющим средства автоматической установки обновлений, следует внимательно изучить пакеты, установленные из проблемного репозитория с 12 по 14 февраля.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Сайт консорциума ISC, развивающего BIND и DHCP, подвергся взлому
  3. OpenNews: Инфраструктура свободного проекта phpBB подверглась взлому
  4. OpenNews: Все сайты на базе Drupal 7, сразу не установившие обновление 7.32, следует считать взломанными
  5. OpenNews: Результаты анализа бэкдора, используемого при взломе серверов IRC-сети Freenode
  6. OpenNews: Подтверждён взлом jQuery.com. Зафиксирована вторая успешная атака
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41677-haskell
Ключевые слова: haskell
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:36, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Причём заметьте - Haskell, а не PHP.
     
     
  • 2.2, Michael Shigorin (ok), 10:51, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Антисклероз:
    http://www.opennet.me/opennews/art.shtml?num=38251
    http://www.opennet.me/opennews/art.shtml?num=29981
     
     
  • 3.4, Аноним (-), 11:04, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    //Зануда вкл

    Ладно: _на_этот_раз Haskell, а не PHP. Только что это меняет? Исходный тезис был, что не бывает плохих языков, зато бывают плохие танцоры.

     
     
  • 4.6, ананана (?), 11:16, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Как сказать, если на одном языке нужно написать 30 строк, а на другом 15 и читаемость не ухудшится? И какое отношение взлом сайта, который вообще может быть сделан другой командой, имеет к качеству языка?
     
     
  • 5.8, A.Stahl (ok), 11:43, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Может ТС намекает что эта самая "инфраструктура" на ПХП была написана?:)
     
     
  • 6.26, Аноним (-), 13:23, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда это тем более хаскелистам не в плюс.
     
     
  • 7.14, клоун (?), 12:00, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Будучи реалистом, учить нужно только то, что принесёт пользу сейчас, а не в возможном будущем.
     
     
  • 8.33, Аноним (-), 14:50, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Хреновый из тебя реалист ... текст свёрнут, показать
     
     
  • 9.35, Аноним (-), 15:19, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не, ну он в чем-то прав хаскелисты много вопят как их ЯП крут и при этом на... текст свёрнут, показать
     
     
  • 10.37, клоун (?), 16:04, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Профи, не говоря уже про мега-профи, умеют считать до 10 Если они покупают ПО з... текст свёрнут, показать
     
     
  • 11.59, Аноним (-), 02:48, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Оно и видно - большинство зайцев-маздайцев такие все из себя Билли Гейцы Что аж... текст свёрнут, показать
     
  • 10.44, Michael Shigorin (ok), 17:43, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему, тот же flow2dot порой весьма выручал Ещё как-то читал человека, вля... текст свёрнут, показать
     
     
  • 11.61, Аноним (-), 03:06, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я даже не знаю что это - видимо настолько всем нужная программа, что я ее впер... большой текст свёрнут, показать
     
  • 9.38, клоун (?), 16:06, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как говорил русский Холмс поймите человеческий мозг 8212 это пустой чердак... текст свёрнут, показать
     
     
  • 10.52, тоже Аноним (ok), 19:42, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну, если быть точным - русский актер читал этот монолог, являющийся почти дослов... текст свёрнут, показать
     
  • 10.62, Аноним (-), 03:09, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот клоуну туда микрософт свалил свою рухлядь Ну а что, бесплатное место для хр... текст свёрнут, показать
     
  • 4.32, Michael Shigorin (ok), 14:47, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ладно: _на_этот_раз Haskell, а не PHP. Только что это меняет? Исходный тезис
    > был, что не бывает плохих языков, зато бывают плохие танцоры.

    Исходный "тезис" был глуп донельзя, т.к. речь не о дырке в языке или реализации, а о проэксплуатированной проблеме инфраструктуры.  При этом дырок в haskell сходу не припоминаю, а вот в php как языке они просматривались ещё со времени осмотра php3 (примерно как при чтении спецификации на SNMPv2 недоуменно вставали дыбом волосы).

     
     
  • 5.36, Аноним (-), 15:27, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > При этом дырок в haskell сходу не припоминаю,

    Ну еще бы: найти программу на нем, которая бы где-то применялась - любой хаксор взвоет раньше.

     
     
  • 6.55, arisu (ok), 21:25, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> При этом дырок в haskell сходу не припоминаю,
    > Ну еще бы: найти программу на нем, которая бы где-то применялась -
    > любой хаксор взвоет раньше.

    darcs.

     
     
  • 7.63, Аноним (-), 03:12, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > darcs.

    Говорю же: хаксор взвоет раньше чем найдет его где-нибудь.

     
     
  • 8.66, arisu (ok), 03:21, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    171 я не использовал 8212 никто не использовал 187 ... текст свёрнут, показать
     
     
  • 9.70, Аноним (-), 08:14, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я не использовал и не встречал никого на моем пути кто этим бы пользовался Ну в... текст свёрнут, показать
     
     
  • 10.75, Michael Shigorin (ok), 11:13, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У darcs весьма интересный подход к изменениям, между прочим Стоит посмотреть х... текст свёрнут, показать
     
  • 10.78, arisu (ok), 14:37, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а я менялся кодом с такими проектами ехидно а вот твоего кода ни разу в жизни... текст свёрнут, показать
     
  • 6.80, Mike Lee (?), 15:18, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    XMonad же
     

  • 1.5, Mike Lee (?), 11:04, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А кто то пользуется их debами? Я думал все ставят хаскелиные пакеты через Cabal.
     
     
  • 2.10, Аноним (-), 11:49, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Cabal - херовый пакетный манагер. В Gentoo, например, есть отдельный haskell overlay с дофига пакетов и программа hackport для конвертации .cabal в .ebuild.
     
     
  • 3.23, йцу (?), 12:32, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чем именно плох Cabal?
     
     
  • 4.28, Аноним (-), 14:07, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    https://ivanmiljenovic.wordpress.com/2010/03/15/repeat-after-me-cabal-is-not-a
     

  • 1.29, Zenitur (ok), 14:09, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему взламывали DEB-репозиторий, а ен RPM-репозиторий? Да, RPM-based уступили популярность, но зато Enterprise Linux пользуются всякие там большие компании, у которых много денег, и которых интереснее взламывать.
     
     
  • 2.30, Аноним (-), 14:31, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А почему взламывали DEB-репозиторий, а ен RPM-репозиторий? Да, RPM-based уступили популярность,
    > но зато Enterprise Linux пользуются всякие там большие компании, у которых
    > много денег, и которых интереснее взламывать.

    Потому что его нет.

     
  • 2.34, Stax (ok), 15:07, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Компании, которым важна надежность не подключают левые репозитории - ставят из штатных или собирают и контролируют сами. В данном случае, в отличии от debian stable в штатных репах RH и клонов не самая старая версия (2013.2) и, вероятно, ее и ставят.
     
     
  • 3.41, mebiuslu6 (?), 16:28, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот только эти репозитории не левые. Наоборот: я могу не доверять сборщикам, но если я не буду доверять этим, то я не буду доверять языку вообще. (Привет, Слава)
     
     
  • 4.42, Аноним (-), 16:59, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Как показывает практика, такой подход неправилен. Репы разработчиков ломануть проще, чем офрепы редхата. Потому что у редхата наверняка есть деньги на квалифицированных админов, а для разработчиков "это не главное".
     
     
  • 5.47, Michael Shigorin (ok), 17:44, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Репы разработчиков ломануть проще, чем офрепы редхата.

    Бывало по-разному, по крайней мере с федорой прецеденты известны.

     
  • 3.72, Аноним (-), 08:35, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >в штатных репах RH и клонов не самая старая версия (2013.2)

    В случае с хаскеллом это как раз таки старая версия. Я на работе собирал свежий GHC под CentOS 6 сам.

     

  • 1.43, Аноним (-), 17:40, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ты уже сделал робота проверяющего пакеты?
     
     
  • 2.45, mebiuslu6 (?), 17:43, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно чтобы один и тот же код (компилятор там, линковщик) возвращал один и тот же результат. Потом останется только сравнить побитово.
     

  • 1.46, Аноним (-), 17:44, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая новость. Надо отучать народ создавать и пользоваться левыми бинарными репозиториями.
     
     
  • 2.48, Andrey Mitrofanov (?), 18:10, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Надо отучать народ создавать и пользоваться левыми бинарными репозиториями.

    windowsupdate.microsoft.com во все поля!

     
     
  • 3.64, Аноним (-), 03:17, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > windowsupdate.microsoft.com во все поля!

    Рекламируешь услуги линуксного AKAMAI? Тонко, тонко! :)

     
  • 2.54, anonymous (??), 20:40, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, загнать всех на одну централизованную бинрепу, а потом всех сразу...
     
     
  • 3.58, Andrey Mitrofanov (?), 23:06, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ага, загнать всех на одну централизованную бинрепу, а потом всех сразу...

    "Контрразведчик должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе. Мне можно." (Мюллер).

     
  • 3.76, Аноним_ (?), 11:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А ты предлагаешь децентрализованную по типу freenet с подтверждением компиляции от разных источников и деревом доверия?
     
  • 2.56, freehck (ok), 22:27, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не отучать, а напоминать о том, что они делают это на свой страх и риск. А создавать - так это и вовсе нельзя запрещать, а наоборот - поощрять. Только так и готовится новое поколение админов, мейнтейнеров, хакеров...
     
  • 2.81, Аноним (-), 16:00, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Хорошая новость. Надо отучать народ

    .. пользоваться Хаскелем.

    // fixed

     

  • 1.51, Нанобот (ok), 19:17, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >suspicious anomalies were detected in outgoing traffic

    а был ли мальчик?
    я к тому, что вполне разумным объяснением может быть ложное срабатывание в анализаторе сетевого трафика.

     
  • 1.53, тигар (ok), 20:14, 16/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пламенный ПРЕВЕД cron-apt'чикам!
     
     
  • 2.57, Аноним (-), 22:54, 16/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тьфу - шугу то не гони!
    Ты бы и без крона, если бы апдейтнулся в эти - намотал бы на болт.
    И узнал бы уже потом. Ой не зря в последнее время трэнд по повторяемые сборки, чтобы проверять на стороне. Видимо начало припекать :)))
     
  • 2.65, Аноним (-), 03:18, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > пламенный ПРЕВЕД cron-apt'чикам!

    Ну привет, стайка дятлов, не читающих сорц и тем более не парящихся вопросами верификации :).

     

  • 1.60, Аноним (-), 02:57, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что, как обычно спёрли сертификаты и пароль из putty.exe?
     
     
  • 2.67, тигар (ok), 04:51, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Что, как обычно спёрли сертификаты и пароль из putty.exe?

    ну а как же по другому можно натянуть инфраструктуру СуперСекурногоПроекта?
    ну и да, openssh-blacklist и openssh-blacklist-extra им враги придумали, бздюки!
    Серьзеные пацаны из дебилиана они даже тождественность сборки N% пакетов доказали, какое путти.экзе, там секурецрт как минимум:)

     
     
  • 3.68, arisu (ok), 05:17, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    какое отношение имеют дебиановцы к независимому репозиторию?
     
     
  • 4.69, тигар (ok), 06:55, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > какое отношение имеют дебиановцы к независимому репозиторию?

    _возможно_ хранители независимого репозитория являются поклонниками (и пользователями) дебиана.

     
     
  • 5.71, Аноним (-), 08:20, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    БСДшники такие БСДшники :). Как вы быстро забыли про взлом своих серверов и прочие CVE, эксплуатируемые ремотно, по сети.
     
     
  • 6.73, тигар (ok), 08:38, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > БСДшники такие БСДшники :). Как вы быстро забыли про взлом своих серверов

    нет, не забыли
    > и прочие CVE, эксплуатируемые ремотно, по сети.

    ага, а линуксы не подвержены, главное верить ;-) и дырочки подволяющие поднять привилегии в системе это не дырочки а специальные вспоминалки паролей на рута;)

     
  • 3.74, Andrey Mitrofanov (?), 09:41, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >инфраструктуру СуперСекурногоПроекта?
    > ну и да, openssh-blacklist и openssh-blacklist-extra им враги придумали, бздюки!
    > Серьзеные пацаны из дeбилиана они даже тождественность сборки N% пакетов доказали, какое
    > путти.экзе, там секурецрт как минимум:)

    Яростно плюсую за четырёхуровневый вложенный сарказм!

     
  • 3.83, Аноним (-), 15:38, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ну и да, openssh-blacklist и openssh-blacklist-extra им враги придумали, бздюки!

    Не, бздюки только массово внедрили putty :)

     

  • 1.77, portnov (?), 12:23, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Впервые узнал о наличии такого урла из этой новости. // хаскелист-дебианист.
    Вот вам и польза от таких атак.
    :)
    Честно, так и не понял зачем оно существует. В дебиане своя инфраструктура для сборки deb-пакетов из cabal-пакетов, афаик, независимая от инфраструктуры самого haskell.org.
     
  • 1.82, ZloySergant (ok), 22:04, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Многие [математики - прим.] знают, что Haskell - идеальный язык. Именно поэтому они никогда не будут им пользоваться" (с) один знакомый д.ф.-м.н.

    "Единственный известный мне язык программирования, на которм программёр городит таакие костыли..." (с) аффтар

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру