mboost-dp1
SXC - clix
Er de fleste ftp-servere mon ikke bag en firewall eller NAT-router, der ikke har åbnet for port 6200?
Jeg tror skaden er ret begrænset.
Jeg tror skaden er ret begrænset.
Strengt taget ved vi jo ikke om dette er et sikkerhedsproblem i vsftpd. Det er ikke vsftpd selv, der var kompromitteret, men derimod den server hvor downloads blev stillet til rådighed fra.
Det kan selvfølgelig godt tænkes at den server kører vsftpd og den blev kompromitteret derigennem. Men det er nok mere sandsynligt, at den blev kompromitteret på en anden måde. Jeg håber de finder ud af, hvordan den blev kompromitteret.
Det er langt fra første gang en server med download af open source kildekode er blevet kompromitteret, og en modificeret kildekode er blevet lagt der. Og det bliver stort set alt tid opdaget fordi angriberne ikke har den nødvendige nøgle til at lægge en gyldig signatur på serveren.
Jeg har endnu ikke hørt om et tilfælde hvor gpg nøglen også har været kompromitteret.
De eneste der er udsat er dem der vælger at hente kildekoden og compilere den uden at checke gpg signaturen. Hvis man får softwaren gennem sin sædvanlige kanal for software opdateringer, så er man ikke udsat for denne type angreb.
Der har dog også været tilfælde hvor Linux distributioner har været ramt. Der var f.eks. en episode omkring Fedora for et par år siden. Den episode var noget mere suspekt fordi der aldrig blev offentliggjort detaljer omkring hvad man havde opdaget.
Det kan selvfølgelig godt tænkes at den server kører vsftpd og den blev kompromitteret derigennem. Men det er nok mere sandsynligt, at den blev kompromitteret på en anden måde. Jeg håber de finder ud af, hvordan den blev kompromitteret.
Det er langt fra første gang en server med download af open source kildekode er blevet kompromitteret, og en modificeret kildekode er blevet lagt der. Og det bliver stort set alt tid opdaget fordi angriberne ikke har den nødvendige nøgle til at lægge en gyldig signatur på serveren.
Jeg har endnu ikke hørt om et tilfælde hvor gpg nøglen også har været kompromitteret.
De eneste der er udsat er dem der vælger at hente kildekoden og compilere den uden at checke gpg signaturen. Hvis man får softwaren gennem sin sædvanlige kanal for software opdateringer, så er man ikke udsat for denne type angreb.
Der har dog også været tilfælde hvor Linux distributioner har været ramt. Der var f.eks. en episode omkring Fedora for et par år siden. Den episode var noget mere suspekt fordi der aldrig blev offentliggjort detaljer omkring hvad man havde opdaget.
#8
Det ved jeg ikke- men så vidt jeg har forstået så blev dette kode ikke submittet igennem et versionsstyrings værktøj eller gennemgik de normale processor.
Det var en fil der blev ændret på en download server.
Hvad kunne de have gjort anderledes i relation til din post?
Sætte et skilt op: "Hvis du hacker os, så submit lige en diff fra /etc/httpd til min mail så vi kan se det igennem"
Det ved jeg ikke- men så vidt jeg har forstået så blev dette kode ikke submittet igennem et versionsstyrings værktøj eller gennemgik de normale processor.
Det var en fil der blev ændret på en download server.
Hvad kunne de have gjort anderledes i relation til din post?
Sætte et skilt op: "Hvis du hacker os, så submit lige en diff fra /etc/httpd til min mail så vi kan se det igennem"
Så folk hacker sig ind på master ftp serveren og uploader en bagdøret version.. for sjov.#0 skrev:Det er uvist, om der har været et egentlig mål for bagdøren, idet den ikke har indbygget en funktionalitet til at melde tilbage til bagmændene, at den er blevet installeret. Dette får udvikleren af vsftpd, Chris Evans, til at formode, at den måske blot er lavet for sjov.
Det lyder, for mig, som om at Chris Evans prøver at få situationen til at lyde mindre alvorligt, men facts er at det der er sket er rigtigt, rigtigt alvorligt.
#10
Nej, hvis dette ikke var for sjov så havde hackeren lige ændret en buffer størrelse variabel i login koden- så man stealthy kunne roote serveren.
Dette er ikke alvorligt- det er en webserver der er blevet hacket- det er ikke en big fucking deal- sikkerheden ligger jo i at dataen er signeret.
Nej, hvis dette ikke var for sjov så havde hackeren lige ændret en buffer størrelse variabel i login koden- så man stealthy kunne roote serveren.
Dette er ikke alvorligt- det er en webserver der er blevet hacket- det er ikke en big fucking deal- sikkerheden ligger jo i at dataen er signeret.
Jeg må give dig ret i at et mere målrettet angreb kunne have valgt at introducere en bagdør som ligner en simpel bug. Omend et buffer overløb ikke er det nemmeste at misbruge. Jeg har set bugs der var nemmere at misbruge.Mamad (moveax1ret) (11) skrev:hvis dette ikke var for sjov så havde hackeren lige ændret en buffer størrelse variabel i login koden
Et eksempel på et lignende forsøg som blev forsøgt for nogle år siden var en bagdør til Linux. http://kerneltrap.org/node/1584
Et andet træk som mere målrettede angreb kan anvende er at lade være med at lave en bagdør som alle og enhver kan anvende, men i stedet anvend public key cryptography sådan at der ligger en offentlig nøgle i kildekoden, og kun personen som har den hemmelige nøgle kan udnytte bagdøren.
En bagdør som anvender kryptografi på den måde er nok svær at konstruere så den blot ligner en fejl.
Den bagdør som Ken Thompson beskrev må stadig stå som den bedste. En opdateret version ville nok gå efter gcc eller pcc og plante en offentlig nøgle i openssh som altid ville blive accepteret til at logge ind som en vilkårlig bruger på en vilkårlig maskine.
#12
Ja- det er også en meget elegant måde at gøre det på, men det er en privilege escalation bug hvor at angrebs fladen er enorm(alle linux kernel api calls).
Her har vi en ftp server der ikke vil lade dig interface med noget som helst før du giver adgangskode og username.
Hvis det skal kamufleres som en bug kan jeg ikke forestille mig andet end at åbne op for at lave buffer overflow på stacken ved kopiering af username/password.
Ja- det er også en meget elegant måde at gøre det på, men det er en privilege escalation bug hvor at angrebs fladen er enorm(alle linux kernel api calls).
Her har vi en ftp server der ikke vil lade dig interface med noget som helst før du giver adgangskode og username.
Hvis det skal kamufleres som en bug kan jeg ikke forestille mig andet end at åbne op for at lave buffer overflow på stacken ved kopiering af username/password.
Jeg vil gætte på de fleste brugere henter det gennem deres Linux distributions repositories med software som automatisk checker signaturen.arne_v (14) skrev:Hvor mange af dem som downloader tror du der checker signaturen?
Personer som vælger at hente kildekoden og selv compilere den må formodes at være et trin mere avancerede og forhåbentligt have omtanke nok til at checke signaturen.
Der skal såmænd nok være personer som har installeret softwaren uden at checke signaturen. Men forhåbentligt er det et fåtal. Ved at kigge i webserver loggen kan de i det mindste få en idé om hvor stor en procentdel, som har downloadet signaturen.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund