Portál AbcLinuxu, 12. května 2025 07:13
Byl zjištěn průnik do účtů na serverech Linux.com a LinuxFoundation.org. Je důvod domnívat se, že souvisí s dříve ohlášeným průnikem na kernel.org. Nyní probíhá audit a reinstalace dotčených serverů.
Tiskni
Sdílej:
12.9.2011 19:19
belisarivs | skóre: 22
| blog: Psychobláboly
12.9.2011 12:44
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
A já doufám že je fotka
12.9.2011 12:41
pavlix | skóre: 54
| blog: pavlix
12.9.2011 22:02
Marek 'Maxicom' Zelenka | skóre: 14
| Kralupy nad Vltavou
ano myslím zdojáky linuxu
Zdrojáky linuxu určitě ne – to je jedna z výhod distribuovaných systémů pro správu verzíAk tomu dobre rozumiem, tak git chráni pred zmenou urobenou nekalým spôsobom v repository. Ale útok na kernel.org začal vlastne trojanom na stroji jedného z developerov. Ak ten trojan urobí commit backdoor-u, tak jedinou obrannou líniou ostáva review toho commit-u pri pull-nutí tej zmeny do repository "nadradeného" developera. Ak je ten commit trocha väčší, tak by sa tam dalo niečo schovať tak, aby to pri review nebilo do očí.
14.9.2011 19:52
pavlix | skóre: 54
| blog: pavlix
Nerozumím, ale oni by měli. Já jen aby si vzpomněli ti, co kritizují uživatele jiných OS kteří provádějí po svých problémech také reinstalaci.Rozlišuj napadený systém a systém, „kde jsem si omylem smazal ikonu“ (s trochou nadsázky, samozřejmě).
14.9.2011 19:51
pavlix | skóre: 54
| blog: pavlix
Tedy já valím oči, Linux se bude reinstalovat ? Tak průhledný OS nestačí opravit i bez reinstalace ? A ještě k tomu to budou provádět ti, co by tomu měli rozumět nejvíce.To je obvyklý postup bez ohledu na OS. Napadený systém by se měl vždy zahodit, zvlášť pokud je tak exponovaný jako servery související s dobrým jménem Linuxu.
18.9.2011 21:27
pavlix | skóre: 54
| blog: pavlix
No já bych spíše řekl že je tak obsáhlé že už to dá hodně práce zjistit kdo tam co napsal.Já bych řekl, že to co tu píšeš je takové okecávačství. Všeobecně uznávaný postup je vcelku jasný a známý, důvody k němu jsou taky jasné a známé, takže nevím v čem je problém.
Asi by si měli vyvinout nějakou utilitu která jim to rychle zjistí.Asi těžko.
Neumím pracovat s verzovacími systémy, jsou na dostačně uspůsobené?Verzovací systémy jsou určené k udžování změn na nějakém společném projektu, takže ani v nejmenším. Někdy se verzovací systém dá použít místo inkrementální zálohy, i když to není úplně ideální. Ale ani inkrementální záloha není křišťálová koule, která by dokázala automaticky vyplivnout nenapadenou verzi systému (tím spíše ne verzi systému, které nepůjde napadnout stejným způsobem. Takže ještě jednou... standardní metodou zbavení se napadených systémů je jejich odstranění a následné nahrazení novým systémem za zlepšení procesů týkajících se bezpečnosti. A to bez ohledu na to, o jaký operační systém a další software se jedná. Někdy se z požadavků sleví a napadený systém se různě čistí a oživuje... ale to už je jiná věc.
Já bych řekl, že to co tu píšeš je takové okecávačství.Omlouvám se za ten pravopis ale já pak nechápu k čemu jsou pak ty digitální podpisy v repositářích když to pak nakonec můžou distribuovat už napadený přímo tvůrci poskytovaného softwaru. Tohle už je tedy jen špička ledovce samotného problému. Nenapsal jsem blbost?
Nemyslíš si sám že samotní vývojáři jádra o takovém softwaru sami nepřemýšlejí, s tím že až tedy obnoví ty servery že to nenechájí dojít do další reinstalace (počítám že jim asi nestačí nahodit CDéčko)
. Já o tom tedy přemýšlím ale je mi to houby protože nejsem vývojář.
18.9.2011 23:15
pavlix | skóre: 54
| blog: pavlix
Omlouvám se za ten pravopis ale já pak nechápu k čemu jsou pak ty digitální podpisy v repositářích když to pak nakonec můžou distribuovat už napadený přímo tvůrci poskytovaného softwaru. Tohle už je tedy jen špička ledovce samotného problému. Nenapsal jsem blbost?Digitální podpisy slouží k ověření, jestli je daný kód (někým) autorizovaný. Ne k tomu, aby se zabráníli samotné distribuci čehokoli.
Nemyslíš si sám že samotní vývojáři jádra o takovém softwaru sami nepřemýšlejí, s tím že až tedy obnoví ty servery že to nenechájí dojít do další reinstalace (počítám že jim asi nestačí nahodit CDéčko)Vývojářů jádra se reinstalace nějakých serverů prakticky netýká. Hádal bych, že se nadále starají o vývoj jádra a kromě těch, kdo jsou čirou náhodou zároveň i správci dotyčných serverů, se tímto problémem zabývají asi tak jako každý jiný člověk, který má potřebu komentovat dění.
Já o tom tedy přemýšlím ale je mi to houby protože nejsem vývojář.Nejde o to, že nejsi vývojář, ale spíš mám z toho, co píšeš, pocit, že nevíš, která bije.
Já mám pocit, jako kdybys mluvil úplně o něčem jiném.Vím trochu jsem odbočil až k distribuci samotného softwaru.
Nejde o to, že nejsi vývojář, ale spíš mám z toho, co píšeš, pocit, že nevíš, která bije.Ten pocit máš správný.
V postatě mě nezajímá nic jiného, že až budu aktualizovat jádro, tak nepude zavirované. I když ode mě toho stejně nikdo moc nezíská.
19.9.2011 15:29
pavlix | skóre: 54
| blog: pavlix
V postatě mě nezajímá nic jiného, že až budu aktualizovat jádro, tak nepude zavirované. I když ode mě toho stejně nikdo moc nezíská.Pokud ho budeš aktualizovat z repozitáře, zodpovídají za něj (v rámci možnosti) správci repozitáře, kteří o problému s těmito weby vědí. Pokud používáš kernel.org jako přímý zdroj, ověřování je na tobě (a možnost máš). Pokud jde o software pro správu verzi, používá se Git, který v sobě zahrnuje elektronické podepisování. Hádal bych, že průlom kernel.org a dalších může bezpečnost pouze zvýšit, protože si pár lidí uvědomí, že tam ty elektronické podpisy mají svůj účel. Takže z pohledu linuxového uživatele se dá prolomení kernel.org brát paradoxně spíš jako bezpečnostní plus :).
13.9.2011 20:18
Valerius | skóre: 12
/bin:/sbin, binárka bude standardně v /sbin a tam jí také přepíše správce balíčků. Pokud vám ale útočník podstrčil stejnojmenný soubor do /bin, spustíte si nejspíš ten.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
