The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Разбор техники прошлогоднего проникновения злоумышленников в инфраструктуру Fedora

30.03.2009 21:26

Опубликован финальный отчет с разбором техники проникновения злоумышленников в инфраструктуру проекта Fedora в августе 2008 года, позволившего получить контроль над некоторыми ключевыми машинами проекта. В период разбирательства, с 12 по 20 августа, доступ к репозиториям пакетов, и обновлениям был заблокирован, позднее были изменены все ключи для формирования цифровой подписи пакетов.

После длительного анализа ситуации, разработчики заявили, что проникновение не было связано с уязвимостью в программном обеспечении. Проникновение было совершено на несколько внутренних серверов, через перехваченный у одного из администраторов приватный SSH ключ, доступ по которому к серверам инфраструктуры Fedora осуществлялся по беспарольной схеме. После проникновения в систему злоумышленник осуществил сборку и установку модифицированных версий пакетов openssh и rpm, при помощи которых планировалось перехватить пароли других пользователей и пароль для осуществления цифровой подписи пакетов. Установленные злоумышленником версии openssh и rpm были оперативно вычислены, еще до того как ими успел кто-то воспользоваться.

Пароли и SSH-ключи всех пользователей проекта в целях перестраховки были изменены, программное обеспечение серверов переустановлено, а во избежание возможных перехватов SSH ключей были введены новые правила безопасности, не допускающие наличие незащищенных паролем SSH ключей. Кроме того, на серверах проекта решено установить систему обнаружения атак prelude, активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.

  1. Главная ссылка к новости (https://www.redhat.com/archive...)
  2. OpenNews: Проблемы в инфраструктуре проекта Fedora
  3. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21005-fedora
Ключевые слова: fedora, linux, seciurity
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:07, 30/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    смысл в ssh ключах тогда если они парольные?
     
     
  • 2.3, сабакка (?), 22:24, 30/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >смысл в ssh ключах тогда если они парольные?

    С одиним качественным паролем легче работать, чем с большим их количеством.

     
  • 2.6, Щекн Итрч (ok), 22:34, 30/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >смысл в ssh ключах тогда если они парольные?

    А смысл тогда в этих кредитных картах, если они PIN-кодные??? :)

     
     
  • 3.9, User294 (??), 23:40, 30/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А смысл тогда в этих кредитных картах, если они PIN-кодные??? :)

    Нашли что в пример привести.А можно вопрос: что там в кредитках секурное?Магнитная полоса читаемая пионерами на коленке?Пинкод из целых 4 цифр?Или может возможность произведения транзакций даже без знания пинкода только по номеру кредитки, который к тому же на ней пардон просто открытым текстом напечатан? :)

     
     
  • 4.13, Владимир (??), 01:19, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    там rsa-ключик твой приватный запароленный твоим pin-кодом =)
     
     
  • 5.15, Владимир (??), 01:46, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >там rsa-ключик твой приватный запароленный твоим pin-кодом =)

    Я не имею ввиду древние карточки. А те которые используются сейчас - чипованные. Они генерят открытый ключ по закрытому. Доступ к которому как раз и может быть осуществлён при помощи pin-кода. Точно такой же механизм как и запароленный ssh ключик.

     
     
  • 6.16, User294 (ok), 02:32, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Знаете, у меня в кошельке лежит несколько карт.Выпущенных в этом году.Хоть бы на одной чип был, ага.Просто тупой кусок пластика с магнитной полосой и кучкой цифр, пассивный как бревно.И кроме того - даже на чип-картах обычно есть все та же магнитная полоса.Просто потому что далеко не везде банкоматы, картридеры и прочая понимают что такое там за чипы а прикладывать клиента мордой об стол на каждом углу - неэстетично.

    Еще видел несколько сообщений о случаях ... заражения банкоматов вирусней.Ну, там стоит нередко винда и вирусы она подхватывает не хуже чем на десктопе.И кстати слова "Tranax operator manual" вам ничего не говорят?А то юзерье нашедшее этот мануал (качается любым бакланом из p2p или даже веба на раз-два) в свое время радостно обнаружило что на многих банкоматах пароль на тестовый режим не сменен с дефолтного, указанного в мануале :D (феноменальное долбобобство!).В итоге в штатах народ немало пограбил банкоматы пока кто-то не спалился свалив в туман не отключив тестовый режим :)

    Собственно, такая вот безопасность.Круто на вид (чтоб клиенты икру не метали, а в безопасности они все-равно нули) а по факту - все обычно куда печальнее чем выглядит.

     
     
  • 7.28, Владимир (??), 13:28, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Знаете, у меня в кошельке лежит несколько карт.Выпущенных в этом году.Хоть бы
    >на одной чип был, ага.Просто тупой кусок пластика с магнитной полосой
    >и кучкой цифр, пассивный как бревно.

    Извините, я не из России, просто слышал что у вас банки - это просто декорация... собственно и технологии прошлого века =)

    > И кроме того - даже на
    >чип-картах обычно есть все та же магнитная полоса.

    На той полосе просто продублирована зрительная информация с поверхности карточки =)


    > Просто потому что далеко
    >не везде банкоматы, картридеры и прочая понимают что такое там за
    >чипы а прикладывать клиента мордой об стол на каждом углу -
    >неэстетично.

    Ну наверное тут тоже надо поправку на страну делать =)

    >
    >Еще видел несколько сообщений о случаях ... заражения банкоматов вирусней.Ну, там стоит
    >нередко винда и вирусы она подхватывает не хуже чем на десктопе.

    Самое прикольное не то что банкоматы заражаются, а что теперь и руьеры и холодильники и стиральные машины в spy-bot сети входят =) Забавно учитывая что не можешь в этом случае не чем своей технике помочь =)


    >кстати слова "Tranax operator manual" вам ничего не говорят?А то юзерье
    >нашедшее этот мануал (качается любым бакланом из p2p или даже веба
    >на раз-два) в свое время радостно обнаружило что на многих банкоматах
    >пароль на тестовый режим не сменен с дефолтного, указанного в мануале
    >:D (феноменальное долбобобство!).В итоге в штатах народ немало пограбил банкоматы пока
    >кто-то не спалился свалив в туман не отключив тестовый режим :)

    да системы дырявые в большинстве своём =)
    >
    >
    >Собственно, такая вот безопасность.Круто на вид (чтоб клиенты икру не метали, а
    >в безопасности они все-равно нули) а по факту - все обычно
    >куда печальнее чем выглядит.

    согласен =)

     
     
  • 8.33, User294 (??), 17:29, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А ничо что я в основном пользуюсь ситибанком Если он и декорация то, простите, а... большой текст свёрнут, показать
     
     
  • 9.34, Владимир (??), 17:54, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, здесь вы немного заблуждаетесь Вернее вас заблуждают Все те вывески что... большой текст свёрнут, показать
     
  • 9.35, guest (??), 18:21, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы ADSL модемов не проблема головы юзеров, а проблема тупого производителя... текст свёрнут, показать
     
  • 7.37, Ivan (??), 16:12, 01/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Просто потому что далеко не везде банкоматы, картридеры и прочая понимают что такое там за чипы

    У меня карта с чипом. При этом я периодически обедаю в одном ресторане, где терминал механический - карта прикладывается к квитанции через копирку и прокатывается ручкой (именно для этого буквы на Classic/Gold картах выпуклые и именно отсюда идёт название Visa Electron - там буквы рисованные, и потому на не-электронных, т.е. механических терминалах их не поюзать). И мне очень нравится что там мне не приходится вводить пин код (хотябы потому, что никто его не подсмотрит), а достаточно подписи. Во-первых у меня на карту есть страховка и банк возместит мне все затраты в случае утери/кражи/мошенничества, во-вторых нефиг сбережения на текущем счёте хранить.

     
  • 2.21, Michael Shigorin (ok), 10:32, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >смысл в ssh ключах тогда если они парольные?

    * ssh-agent(1)
    * публичную часть можно передавать по недоверенным каналам, в отличие от пароля

     

  • 1.7, Аноним (-), 22:40, 30/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не позорьтесь. Беспарольный ключ это такой файлик, который записывается на два разных компьютера (лучше без Интернета), и это самое надёжное соединение из существующих. По ссылке-то перейдите.
    Заглавие измените. "Проекта Fedora".
    Сдаётся мне, сотрудник отдал ключ специально. Злой он!
     
     
  • 2.8, Щекн Итрч (ok), 23:01, 30/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Не позорьтесь. Беспарольный ключ это такой файлик, который записывается на два разных
    >компьютера (лучше без Интернета), и это самое надёжное соединение из существующих.
    >По ссылке-то перейдите.
    >Заглавие измените. "Проекта Fedora".
    >Сдаётся мне, сотрудник отдал ключ специально. Злой он!

    Сдаётся мне, что если ключ был бы защищен паролем, то вопрос о том, замешан или не замешан в его передаче сотрудник - имел бы один ответ?

     
     
  • 3.32, Денис (??), 16:07, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    нет. можно было бы попытаться перехватить и ввод пароля с его машины

    чуть секурнее, конечно, но...

     

  • 1.10, Jay (??), 00:03, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SSH-ключи без паролей - идеальный способ распространения червей (а вкупе с беспарольным sudo...)
    Почитайте статью автора keychain в трех частях про авторизацию по ssh-ключам. Там подробно описаны все недостатки использования авторизации по ключам без пароля, авторизации по ключам с паролем с ssh-agent и без оного, ну и, конечно, авторизации по ключам с использованием keychain :)
    Статьи тут:
    http://old.softerra.ru/freeos/18314/
    http://old.softerra.ru/freeos/18337/
    http://old.softerra.ru/freeos/18405/
     
     
  • 2.11, Jay (??), 00:05, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А еще бывают одноразовые пароли (One-time Passwords) ;)
     

  • 1.14, Аноним (-), 01:29, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я что-то там ненашел как вообще злоумышленник проник в "закрома"? ткните пальцем
     
     
  • 2.26, Щекн Итрч (ok), 12:58, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я что-то там ненашел как вообще злоумышленник проник в "закрома"? ткните пальцем
    >

    Заснифал ключ в локалке.


     

  • 1.17, mma (?), 04:52, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.

    А до этого они таки поступили как во всех "популярных" howto - "Отключите SELinux ибо он нафиг не нужен". Ну про аудит еще понятно(включать в крайнем случае), но отключать SELinux без острой на то необходимости это глупо.

     
     
  • 2.18, pavlinux (ok), 07:51, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    printf("\n

     
  • 2.19, pavlinux (ok), 07:55, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux. А до этого они таки поступили как во всех "популярных" howto -
    >"Отключите SELinux ибо он нафиг не нужен". Ну про аудит еще
    >понятно(включать в крайнем случае), но отключать SELinux без острой на то
    >необходимости это глупо.

    Включать его глупо, - тормозит, а толку хулькин гуй.

    Нонче модно загонять всё и всех в Виртуальные машинки из chroot_a, в режиме RO снапшотов!
    Пущай веселяться, хакают, форматируют FS, троянят, шелкодяд...

    \n");

     
     
  • 3.23, mma (?), 10:58, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    не сомневаюсь что вы так и делаете:)
     
  • 3.25, аноним (?), 11:26, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Включать его глупо, - тормозит, а толку хулькин гуй.

    включать его сложно, а использовать то что плохо понимаешь да ещё и для защиты, вот это глупо

    с включённым selinux ssh может работать только по 22 порту, если политику не подправить

     

  • 1.20, друг pavlinux (?), 09:58, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Одним словом Fedora, есть Fedora.
     
  • 1.22, Michael Shigorin (ok), 10:35, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне вот другое интересно: как именно приватный ключ спёрли?  Бук потерял, на виски выменял, аль таки браузер сдал вместе с куками или ещё какая уязвимость _в ПО_?
     
     
  • 2.24, Аноним (-), 11:04, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Мне вот другое интересно: как именно приватный ключ спёрли?  Бук потерял,
    >на виски выменял, аль таки браузер сдал вместе с куками или
    >ещё какая уязвимость _в ПО_?

    Самое вероятное, что отснифили в то время как кто-то по сети ключ на другую машину копировал без шифрования.

     

  • 1.27, vitek (??), 13:17, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.

    вот это смешно. :-D
    если федора не работает, то кто работает?

    кстати, нашли кто?
    и что ему было? на работу взяли? :-D

     
     
  • 2.29, www (??), 14:11, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А потом догнали и еще раз взяли.
     

  • 1.30, remi (?), 14:26, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может быть все-таки не через "перехваченный", а через "украденный" ключ? Приватный ключ никуда не передается, как же он может быть перехвачен?
    В оригинальном сообщении сказано "[...] the intruder took a copy of a SSH private key which was not secured with a passphrase from a system outside the Fedora infrastructure". Что надо понимать как "[...] злоумышленник сделал копию приватного ключа SSH, который не был защищен парольной фразой, c системы, не входящей в инфраструктуру Fedora".
    В оригинальном сообщении также сказано, что злоумышленник заполучил не только приватный ключ, но и пароль к учетной записи того администратора на серверах Fedora. Если исключить банальное разгильдяйство и сговор (на это не похоже, имхо), это могло быть сделано только на персональном компьютере администратора.
    Вполне возможно, что злоумышленник знал этого администратора лично. Почти наверняка имел физический доступ к его компьютеру. Это мог быть компьютер на работе, дома или даже в университетском кампусе. Возможно, это был ноутбук. Приватный ключ мог быть скопирован с выключенной системы в отсутствие хозяина. При этом на систему также мог быть подсажен кейлоггер для перехвата пароля от учетной записи на серверах Fedora.
    При наличии физического доступа это не трудно сделать. При наличии физического доступа с компьютером можно вообще сделать что угодно.

    В общем, уважаемые коллеги, оглянитесь вокруг. Уверены ли вы, что ваши секреты защищены физически? ;)

     
  • 1.31, sluge (??), 15:38, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    короче чувствуется что на всех их серваках до августа 08 везде безопасть была на уровне root:root :)
    конфиктера на них нету :D
     
     
  • 2.36, guest (??), 18:30, 31/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >короче чувствуется что на всех их серваках до августа 08 везде безопасть была на уровне root:root :)
    >конфиктера на них нету :D

    да, да. Совсем как на debian где генерировались слабые ключи. И с 2006 года у них "безопасть была на уровне root:root"
    https://www.opennet.ru/opennews/art.shtml?num=15846

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру