The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В поставке открытого IRC-сервера UnrealIRCd обнаружен троянский код (дополнено)

13.06.2010 11:20

Разработчики популярного свободного IRC-сервера UnrealIRCd опубликовали уведомление, в котором обнародовали информацию об обнаружении факта подмены злоумышленниками архива с исходными текстами программы. В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку.

Добавленный троянский код представляет собой бэкдор (backdoor), предназначенный для организации лазейки для выполнения команд злоумышленников на сервере с привилегиями, под которыми запущен процесс UnrealIRCd. При этом бэкдор доступен злоумышленникам даже если IRC-сервер работает в режиме транзитного хаба или доступ пользователей к нему ограничен парольной авторизацией.

Злонамеренный код обнаружен только в архиве Unreal3.2.8.1.tar.gz, не пострадали более старые версии, копии загруженные до 10 ноября 2009 года и код в CVS-репозитории проекта. Проверить наличие троянского кода можно выполнив в директории с исходными текстами команду "grep DEBUG3_DOLOG_SYSTEM include/struct.h", если маска DEBUG3_DOLOG_SYSTEM не будет найдена, то код чист.

Для того, чтобы предотвратить подобные инциденты в будущем разработчики UnrealIRCd заявили о переходе к практике публикации цифровых подписей для архивов с релизами проекта.

Дополнение: появилась информация о поставке в репозитории Gentoo Linux содержащего троянский код пакета UnrealIRCd. В настоящее время пакет обновлен до корректной версии (unrealircd-3.2.8.1-r1), но на зеркалах все еще присутствуют копии с троянской вставкой. Информация о наличии проблемной версии в репозиториях других дистрибутивов отсутствует, также пока не сообщаются детали взлома инфраструктуры проекта UnrealIRCd.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Вышел IRC-сервер Unreal IRCD 3.2.8
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/26945-irc
Ключевые слова: irc, trojan, security, backdoor
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (121) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Zenitur (?), 11:40, 13/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В ходе разбирательства было выявлено, что в ноябре 2009 года несколько файловых серверов проекта были взломаны, что позволило злоумышленникам подменить представленный для загрузки архив программы на вариант, содержащий троянскую вставку

    Чем от этого защититься? Кто-нибудь знает подробные статьи о контроле содержимого сервера? Надёжен ли простой скрипт с проверкой контрольной суммы файлов в каталоге?

     
     
  • 2.4, mma (?), 11:51, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    цифровые подписи. больше ничем. ну или публикацией хеша.
     
     
  • 3.11, thirteensmay (?), 14:45, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    подписи к сожалению тоже весьма уязвимы, на вскидку их можно тупо подменить, или скажем вносить зловред между подписываниями, или даже во время. Скажем даже если подписывается каждое изменение в репозитории, то как гарантировать чистоту этого изменения, это уже вопрос безопасности каждой рабочей станции каждого разработчика.
     
     
  • 4.20, User294 (ok), 16:24, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А приватный ключ вы где возьмете для подмены подписей? Ессно он должен храниться отдельно и не даваться в лапы кому попало.

    А что до между подписываниями - ну, нормальные проекты как бы публично вывешивают логи и диффы коммитов. Анреал правда развивается хило и потому чтецов кода - не густо. Тем более что как я понимаю подменили ТОЛЬКО архив (во всяком случае не вижу сообщений о взломе системы контроля версий). Вот такое бы подписи пролечили на раз как раз. А левые коммиты в систему контроля версий как бы заметны.

     
     
  • 5.44, Василий (??), 23:00, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным и будут подписывать обновления им. Или взломают так же как Apache Foundation.


    В общем очередной миф о мега защищенности опенсорса трещит по швам. И вроде исходники доступны всем для аудита только никто не хочет этим заниматься.

     
     
  • 6.63, aaim (?), 14:45, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    угу. только ломали не RedHat, а Fedora.. А это всё таки разница(и какая!).
    Но редхатовцы, тем не менее, не стали говорить что это промах "нанятого со стороны субподрядчика" как это делает МС, когда их ловят за руку, на темных делишках.

    А про миф.. На серьёзных проектах проводят аудиты, а этот IRCd никому и не впёрся. Вы же не будете судить по этому проекту обо всем опенсорсе?!
    Помнится был вирусняк, к-ый троянил проекты Delphi... сколько откомпилированных exe'шников(от разных девелоперов по всему миру) ушло на машины юзеров, прежде чем подняли тревогу? тогда по вашей логике весь коммерч. софт - г.

     
     
  • 7.66, Василий (??), 16:12, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Освежу как я вам память пожалуй Внимательно прочитайте вот эту статью http ww... большой текст свёрнут, показать
     
     
  • 8.67, Аноним (-), 17:10, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А ничего что исходный код не пострадал Взломали какое-то банальное зеркало файл... текст свёрнут, показать
     
  • 8.104, aaim (?), 00:22, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    читайте лучше первоисточник http rhn redhat com errata RHSA-2008-0855 html ... большой текст свёрнут, показать
     
  • 6.114, User294 (ok), 12:36, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Как показал случай с взломом Redhat приватный ключ унесут вместе с публичным
    >и будут подписывать обновления им.

    А у федоры вроде ж не упирали, они из предосторожности сменили IIRC? Унесут вместе с публичным?! Простите, публичный на то и публичный что раздается всем желающим. А вот приватный должен лежать отдельно и никому в лапы не даваться. И вроде как у федоровцев его не унесли (во всяком случае доказательств обратного я не видел) но смогли подпихнуть левый пакет на подпись оным ключом.

     
  • 4.25, Аноним (-), 16:43, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    уязвимы, но дают большую защиту от случаев получения контроля над ftp сервером
     
     
  • 5.32, thirteensmay (?), 20:29, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    это да, возможно народ считает что вероятность и последствия злоконтроля ftp меньше телодвижений/эффекта подписывания, хотя онож вроде 100% автоматизируется, не помешало бы.
     
  • 2.13, pavlinux (ok), 14:54, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем от этого защититься?

    Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить Squid


     
     
  • 3.15, F (?), 15:25, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда можно подменить данные в кэше squid или сам squid заменить на модифицированный, который отдает что надо.
     
     
  • 4.34, pavlinux (ok), 21:46, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Тогда можно подменить данные в кэше squid

    Тогда Сквид обнаружит не совпадение и обновит кэш.

    > или сам squid заменить на модифицированный, который отдает что надо.

    А так же glibc, ядро, заменить в сетевухе фирмварь с трояном.


     
  • 3.24, аноним (?), 16:42, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    цвс-репа не пострадала.
    а в тар после создания наверное никто (кроме взломщика) и не заглядывал - зачем? вот и резалт.
     
  • 3.33, Zenitur (?), 21:32, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Пробовал раздавать торренты, лежащие на DVD-R... Спать невозможно! Всё время лазер бешенно перемещается.
     
     
  • 4.35, pavlinux (ok), 21:55, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пробовал раздавать торренты, лежащие на DVD-R...
    > Спать невозможно! Всё время лазер бешенно перемещается.

    У торрента, во время его работы, образуется по сути своя ФС.
    Так что RANDOM READ обеспечен. :)

    А вот если похакать libtorrent на предмет порядка раздачи частей, т.е. чтоб запрошенный 1001-й кусок файла
    не отдавался до тех пор, пока кто-то не запросит 1000, ну естественно при условии, что от 1 до 999 уже запрашивали.

     
     
  • 5.118, User294 (ok), 15:35, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Обычное биение файла на блоки и битовая карта Ну, допустим, не совсем рандом ... большой текст свёрнут, показать
     
  • 3.76, Михаил (??), 18:03, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Чем от этого защититься?
    >
    >Чем, чем, - Архив на DVD-R, чтоб DVDюк не сдох, правильно настроить
    >Squid

    Можно в принципе воткнуть в систему read only флеш. Сейчас уже 16 гб. Так что DVD-R уже не актуален.

    А вообще логичнее просто регулярно аудит проводить.

     
     
  • 4.95, аноним (?), 20:57, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а монтирование в ридонли фс в ядре уже забанили?

    хотя все что тут натролили - редкостный бред, достойный выпускников кащенко.

     
     
  • 5.119, User294 (ok), 15:38, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >а монтирование в ридонли фс в ядре уже забанили?

    Придет хаксор и перемаунтит в RW. И? Хотя если ФС = squashfs... тогда не перемаунтит :)

    >хотя все что тут натролили - редкостный бред, достойный выпускников кащенко.

    Д'Артаньян, где ваша шпага?!

     
     
  • 6.128, аноним (?), 19:13, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    для хаксора такого уровня привилегий ни флеха, ни сквэш не помеха.
    как любишь выражаться ты, есть 100500 способов показать совсем не то, что на них хранится.

    зы:
    ничо если я остальной тролиг пригнорирую?
    сэнкс.

     
     
  • 7.141, User294 (ok), 14:28, 16/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Такого это какого Сетевые сервисы у мало-мальски вменяемых админов живут под об... большой текст свёрнут, показать
     
     
  • 8.143, аноним (?), 20:11, 16/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    правильно сказал, у лузерских D если на твоем сервере любую фс может перемонтир... текст свёрнут, показать
     
     
  • 9.149, User294 (ok), 19:29, 17/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Они такие и должны быть у сетевых сервисов, иначе потом в случае аварии - от а... текст свёрнут, показать
     
  • 4.121, User294 (ok), 15:46, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Можно в принципе воткнуть в систему read only флеш.

    Можно и на винч. В какомнить squashs. Который тупо readonly, по определению. Чтобы его записать хацкеру придется или целиком пересобрать образ (ага, пусть сольет и пересоберет весь многогиговый образ, да еще чтобы вся эта ломовая активность не заметилась) или дописать поддержку read-write в сквош (удачи, ага).

     
  • 2.31, PereresusNeVlezaetBuggy (ok), 20:17, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В репозитариях систем портирования ПО обычно хранится хеш сорца при загрузке он... большой текст свёрнут, показать
     
     
  • 3.36, pavlinux (ok), 22:03, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.

    Дятлы, чего ещё сказать...
    Даже нет желания проводить анализ и разбор полётов, почему это вышло, как их хакнули...


     
     
  • 4.38, PereresusNeVlezaetBuggy (ok), 22:08, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>[1] — все не проверял, но, по идее, так должно быть в любом солидном проекте ОС.
    >
    >Дятлы, чего ещё сказать...
    >Даже нет желания проводить анализ и разбор полётов, почему это вышло, как
    >их хакнули...

    Нет систем, которые нельзя взломать, есть системы, которые взламывать слишком дорого (в широком смысле). :)

    Больше интересно, сколько подобных инцидентов не предано огласке (в т.ч. среди open source проектов), и сколько вообще неизвестны. :) Боюсь только, что до тех пор, пока такие ситуации не станут массовыми (а они, боюсь, станут где-то в течение лет десяти), такую статистику не собрать даже приблизительно. :-\

     
     
  • 5.45, pavlinux (ok), 23:11, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Надо изучать не сколько это стоит, а кому это нужно Там и искать Мухи там - гд... большой текст свёрнут, показать
     
     
  • 6.46, PereresusNeVlezaetBuggy (ok), 23:57, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource
    >Software)
    >Который в свою очередь, должен сравнивать чексуммы в базе и в реале.
    >
    >
    >Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
    >
    >
    >За нарушение - Black list разработчиков и весь проект.

    Причём сразу появится несколько таких центров, потом их тоже начнут взламывать…

     
     
  • 7.47, pavlinux (ok), 00:56, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Взлом центра - подмена ключей - замена исходников жертвы - обнаружение взлома... большой текст свёрнут, показать
     
     
  • 8.48, PereresusNeVlezaetBuggy (ok), 01:31, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не-не-не В центре ведь не исходники хранятся, а ключи Поэтому взламывать надо ... большой текст свёрнут, показать
     
     
  • 9.49, pavlinux (ok), 01:46, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В общем, схема мне самому понравилась Естественно требуется детальная доработка... текст свёрнут, показать
     
     
  • 10.94, JL2001 (ok), 20:48, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а для бинарных дистрибутивов надо чтоб была определена версия gcc и библиотек ... текст свёрнут, показать
     
     
  • 11.109, pavlinux (ok), 00:59, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Реализуемо, но Гентушники взбунтуются ... текст свёрнут, показать
     
     
  • 12.122, User294 (ok), 15:48, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А у гентушников и так троянец в репах вон ... текст свёрнут, показать
     
  • 6.77, Михаил (??), 18:07, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Перед кнопкой Download ставить значок [Confirmed by SCOSS ] (Security Center OpenSource
    >Software)
    >Который в свою очередь, должен сравнивать чексуммы в базе и в реале.
    >
    >
    >Разработчики проекта должны платить в SCOSS 120$ в год за эти подписи.
    >
    >
    >За нарушение - Black list разработчиков и весь проект.

    Не сработает. Разработчики никак не придут к согласию про формат пакетов deb или rpm или еще что-то кошернее. А вы к такому глобальному подчинению призываете. Прийдет Столман и объявит это все нарушением СВОБОДЫ. :)

     
     
  • 7.78, pavlinux (ok), 18:38, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы к такому глобальному подчинению призываете.

    Причём тут подчинение.
    Это будет иконка на сайте, но с линком на ЦУП где хранятся чексуммы.

    Впиндюрить у себя на сайте top mail или top100 рамблер мы можем,
    а [ Checksum verifed by FOSS ] религия не позволит?


    > Прийдет Столман и объявит это все нарушением СВОБОДЫ.

    Он родился через 9 дней после смерти Сталина. =-o
      

     
  • 3.116, User294 (ok), 12:39, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >В репозитариях систем портирования ПО обычно хранится хеш сорца; при загрузке он
    >проверяется.

    Нет никаких проблем подменив файл заменить и его хэш. Вот если там цифровые подписи - проблемы могут быть, да. Потому как приватный ключ потребный для генерации валидной подписи как бы и не обязан быть доступен...

     
  • 2.52, Gra2k (ok), 04:41, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ищите по слову AIDE.
     

     ....большая нить свёрнута, показать (41)

  • 1.2, joe (??), 11:47, 13/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вот явное преимущества open source - уязвимость может обнаружить любой. Не получится умолчать и тихой сапой выпустить патч через 400 дней.
     
     
  • 2.3, скай (?), 11:51, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну да... с ноября прошлого года замалчивали. Почему все считают, что еси опенсорц то всенепременно должен быть ежедневный аудит кода, пакетов, архивов? Кому это надо? Да никому, а вот когда кто-то явно натыкаецо тогда начинают трубить во все трубы. Там уже год как троянец а его только нашли.. ну не 400 дней, но сравнимо.

    Серьезный аудит имхо только у двух вещей это ядро линукса и дистр опёнка.

     
     
  • 3.5, Аноним (-), 12:07, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще-то должен бтыь ежедневный аудит, хотя бы автоматом сверка хэшей с эталононными значениями, или проверка подписей с уведомлением о результате. Это не только элементарные правила безопасности, это еще и правила хорошего тона и заботы о пользователях, ради которых продукт и живет.
     
     
  • 4.6, anonym (?), 12:21, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Чего ради-то, им что, заняться нечем? Вы глупости говорите.
     
     
  • 5.53, Аноним (-), 08:42, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Чего ради-то, им что, заняться нечем? Вы глупости говорите.

    Аудит кода - такая же часть разработки как и его написание. Если им, как Вы говорите, "заняться нечем", то это уже элементарная халатность и раздолбайство. Справедливости ради, от этого не защищен никто.

     
     
  • 6.90, аноним (?), 20:09, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А они лично тебе обязаны аудит троводить да?

    Ты им денег не платил, тебе дали AS IS ... я конечно их не защищаю, дятлы - оне дятлы и есть :(   Но будте реалистами - среднестатический васяпупкин не осилит\не захочет достаточных мер по защите. Сабжевый проект - именно такой.
    Спаведливости ради - востребованные проекты - меры безопастности применяют. См. ведро, сквид, апач, постфикс, слоник - да тьма их! Но всё же - не ожидайте того же от "васяпупкин прожЭкт" ...

     
  • 4.9, Zenitur (?), 13:54, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > автоматом сверка хэшей с эталононными значениями

    Наверно, хэши подменили.

     
     
  • 5.22, User294 (ok), 16:31, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Наверно, хэши подменили.

    при правильном подходе цифровые подписи подменить очень трудно, а коммиты в систему контроля версий просто надо публично вывешивать, чтобы все кому оно надо смогли гранулярно и понемногу видеть изменения.

     
  • 2.8, аноним (?), 13:33, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Иногда даже не молчат, просто отказываются править, не смотря на обещанные сроки поддержки и т.п.
    Microsoft отказалась устранять брешь в Office XP:

    "Во вторник в Microsoft сообщили, что уязвимость в процессе валидации модели компонентных объектов (COM) не может быть устранена."

    http://www.astera.ru/news/?id=78082

     
     
  • 3.10, FSA (ok), 14:11, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Office XP закопать как ненужную промежуточную версию. Долгое время пользовался Office 2000 по причине его стабильности. Позже перекочевал на Office 2003 с сервис паками, когда он стал более или менее стабильным. Ну а сейчас, собственно, M$ Office 2003 только на работе. Дома он или не нужен совсем или его роль отлично исполняет OpenOffice.org, который к тому же работает на FreeBSD и Ubuntu, которые дома использую.
     
     
  • 4.12, аноним (?), 14:47, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А кто-то платил своими, настоящими деньгами за "промежуточную версию" и верил m$-байкам о поддержке
     
  • 4.23, User294 (ok), 16:32, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По-моему, офис 2000 и XP - примерно одинаковы по степени глючности. Как минимум аутглюка.
     
  • 3.16, Tav (ok), 15:28, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    «Microsoft Office XP не существует необходимой архитектуры для исправления валидации, что делает неосуществимым выпуск исправления для продуктов Microsoft Office XP, устраняющего эту уязвимость»

    Это явно показывает, через какое место там все спроектировано и реализовано. Постыдились бы они.

     
     
  • 4.26, аноним (?), 16:47, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это точно.
    данная цитата очень красноречиво говорит о качестве их системы контроля версий.
     
  • 4.28, аноним (?), 17:07, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    «В случае, если бы Microsoft взялась переписать Office XP таким образом, в результате могла бы возникнуть "несовместимость с другими приложениями, так что уже не будет уверенности, что продукты Microsoft Office будут работать надлежащим образом".»

    Винда - это такое сборище костылей и заплаток, тянущихся еще со времён win 3.11
    Эти девять месяцев они потратили на тестирование и в результате кукиш, не выходит каменный цветок.
    Уж очень m$-поделия косные, одеревеневшие, инновации на виндах почти не возможны

     
  • 2.21, Konstantin (??), 16:28, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Разработчики ядра линукса так постоянно делают и ничего.
     
     
  • 3.27, аноним (?), 16:49, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    правда что ли?
     
  • 3.30, User294 (ok), 19:08, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Разработчики ядра линукса так постоянно делают и ничего.

    Так это как? И собственно пруфлинки?

     
     
  • 4.41, PereresusNeVlezaetBuggy (ok), 22:15, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Разработчики ядра линукса так постоянно делают и ничего.
    >
    >Так это как? И собственно пруфлинки?

    По всей видимости, «так» — это замалчивая факт серьёзности исправляемых проблем. К сожалению, были случаи (хотя, всё-таки, намного реже), они и здесь, на OpenNet обсуждались. Первая ссылка в гугле по фразе «ядро Linux замалчивание уязвимостей»: https://www.opennet.ru/opennews/art.shtml?num=20780 .

     
     
  • 5.57, аноним (?), 12:42, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    oбcуждались, помню.
    вышло ядро, в нем ченджлог, в нем черным по белому - исправлена уязвимость там-то и там-то.
    и тут анонимом прорвало - Замалчивают!!
    на вопрос - ну написали же в чендже? или где они должны были это сделать? в коммсомольской правде? заказным письмом? телеграммой в спортлото? - и в ответ красноречивая тишина.

    зы:
    если я вижу в своем коде ошибку (в том числе и по безопасности), то обычно тутже ее исправляю и пересылаю заказчику с комментариями.
    при чем комментарий обычно гораздо больше тех 2-х строчек исправлений.
    или мне нужно отправить им только коммент? а исправления в следующем квартале?

     
  • 5.132, User294 (ok), 22:37, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, во первых, не постоянно, а во вторых - даденный вами ниже пруфлинк - на един... большой текст свёрнут, показать
     
     
  • 6.135, PereresusNeVlezaetBuggy (ok), 00:11, 16/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Слили в одном треде, пытаетесь доказать тот же свой бред в другом Здесь я ничег... большой текст свёрнут, показать
     
     
  • 7.147, User294 (ok), 15:36, 17/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь тыкание в имеющиеся реальные проблемы оказывается сливом называется Так ... большой текст свёрнут, показать
     
     
  • 8.148, PereresusNeVlezaetBuggy (ok), 18:26, 17/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы только у вас, судя по всему По крайней мере вы единственный, кто страд... большой текст свёрнут, показать
     
     
  • 9.151, Arago (?), 12:17, 18/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален А как вариант - прикрутить к протоколу начальный пароль ... большой текст свёрнут, показать
     
     
  • 10.152, PereresusNeVlezaetBuggy (ok), 16:05, 18/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Заодно замечу, что злосчастные 30 CPU я наблюдал только... большой текст свёрнут, показать
     
  • 2.29, User294 (ok), 19:06, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А сколько *лет* в AWARD BIOS жила бэкдорина AWARD_SW? Она кстати и сейчас в биосах подобного типа жива, только мастер-пароль наконец доперли менять и/или отключать.
     
  • 2.37, Krazy (?), 22:06, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели? Нет? Тогда в чем тогда смысл этого вашего мифического превосходства open source?
     
     
  • 3.40, PereresusNeVlezaetBuggy (ok), 22:11, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Мил человек, вы сорцы ВСЕХ программ, входящих в ваш дистр, смотрели? Нет?
    >Тогда в чем тогда смысл этого вашего мифического превосходства open source?

    Да ещё ладно смотреть, надо понимать, что там делается. Закладку можно размазать по коду в несколько десятков тысяч строк, среди функций типа hash_my_struct(), construct_msg() и parse_input().

     
     
  • 4.54, Krazy (?), 09:52, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а ещё ладно смотреть, надо понимать, что там делается. Закладку можно размазать по коду в несколько десятков тысяч строк, среди функций типа hash_my_struct(), construct_msg() и parse_input().

    О том и речь. Утверждение о том, что в проектах open source все зашибись, потому что пользователь уверен, что в коде отсутствуют всякие закладки и бэкдоры, в корне является неверным и называется просто - МИФ.

     
     
  • 5.55, Dvorkin (ok), 10:38, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Утверждение

    печально работать К.О. для наверное образованого человека...
    зашибись потому, что закладки/бекдоры быть могут. но если они есть и софт интересен - то обязательно всплывут и будут исправлены. а следствия и неправильные посылы и выводы оставьте школьникам

     
     
  • 6.56, Mad (??), 12:25, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >печально работать К.О. для наверное образованого человека...
    >зашибись потому, что закладки/бекдоры быть могут. но если они есть и софт интересен - то обязательно всплывут и будут исправлены. а следствия и неправильные посылы и выводы оставьте школьникам

    Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.

    У вас получится? Сколько людей вам известно, сделавших это? А сколько знакомых админов или просто продвинутых пользователей это делали?

    Да и потом - хоть кто-то делает сравнение контрольных сумм бинарей в дистрах с бинарями, полученными при компиляции исходников, в которых вы эти закладки искать собираетесь?

    Так в чем тогда превосходство open source над closed source?

     
     
  • 7.58, аноним (?), 13:00, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    допустим я учавствую а я участвую в нескольких проектах мне они просто интере... большой текст свёрнут, показать
     
     
  • 8.61, Dvorkin (ok), 13:46, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    да че ты ему обьясняешь даже школьнику понятно, что если открытый проект кому-т... текст свёрнут, показать
     
  • 7.65, Dvorkin (ok), 15:45, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Выше по треду человек сообщал, что попробуйте проверить на наличие закладки ВЕСЬ дистр в сборе.

    ЗАЧЕМ?

     
     
  • 8.73, Михаил (??), 17:55, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А вдруг там что то не так Вдруг уязвимость Или вы тоже полагаетесь на легион а... текст свёрнут, показать
     
     
  • 9.81, аноним (?), 18:51, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    нет конечно он полагается на 200 000 000 вложенных пентагоном в безопасность в... текст свёрнут, показать
     
     
  • 10.89, Dvorkin (ok), 20:06, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я поражаюсь, скольким людям, оказывается, необходим для работы Ирк-сервер ... текст свёрнут, показать
     
     
  • 11.133, User294 (ok), 22:42, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть мсье готов предложить более вменяемый групчат Почему-то за столько л... текст свёрнут, показать
     
     
  • 12.139, Dvorkin (ok), 11:25, 16/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    если уж совсем нужно - то жаббер хотя я сомневаюсь что гропчаты вообще нужны по... текст свёрнут, показать
     
  • 10.96, Mad (??), 21:10, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше полагаться на разработанный АНБ SELinux ... текст свёрнут, показать
     
     
  • 11.97, аноним (?), 21:24, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    конечно он открыт и всеми серьёзными специалистами в этой сфере уже давно пров... текст свёрнут, показать
     
  • 2.68, Василий (??), 17:25, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Супер Трояная случайно обнаружили сами разработчики через 210 дней Тем кого по... большой текст свёрнут, показать
     
     
  • 3.124, User294 (ok), 17:05, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А давайте не бухтеть Я вот слегка копался в коде анрылы Вот только так получил... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (43)

  • 1.7, AZ_from_Belarus (ok), 12:34, 13/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Открытый код дает возможность сообществу или отдельным пользователям обнаружит... большой текст свёрнут, показать
     
     
  • 2.39, pavlinux (ok), 22:09, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Наверное понравился русский мат :-).

    Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена дистрибутива ИРКи? :)


     
     
  • 3.42, AZ_from_Belarus (ok), 22:28, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена
    >дистрибутива ИРКи? :)

    Отчего ж наболело? Это лишь пример. И давненько это было, году этак в 98.
    А пример иллюстрирующий сказанное в самом начале:
    "возможность - еще не сама защита и предполагает какие-то активные действия. Но... сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков."
    Открытый код - еще не означает "безопасный код".

     
     
  • 4.43, аноним (?), 22:48, 13/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А в случае closed source сами разработчики поправить с приемлемыми трудозатратами не могут
    Выше, про Office XP
     
     
  • 5.70, Михаил (??), 17:43, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А в случае closed source сами разработчики поправить с приемлемыми трудозатратами не
    >могут

    Они просто могут нормально разрабатывать и проверять свой код по одной из методик тестирования кода на основные критерии безопасности. Microsoft делает это вот так http://www.google.ru/url?sa=t&source=web&cd=2&ved=0CCEQFjAB&url=http%3A&

    Перед тем как код попадет в производственную версию продукта он проходит обязательный аудит безопасности.

    Как это делают опенсорс сообщества неизвестно. И делают ли вообще.

     
     
  • 6.91, аноним (?), 20:23, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ты лучше расскажи про их успехи в производстве секурного софта :)
    Я уже ржу - жду от тебя подтверждений что с выходом висты или в7 вирусы остались в прошлом :)

    PS: Ога, попкорна - вагон! Начинай :)

     
  • 6.102, аноним (?), 23:05, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    как делает это мс видно и так.
    касперский им очень благодарен за это,
     
  • 6.125, User294 (ok), 17:39, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Какие красивые слова Только почему-то ишак по прежнему дыряв, вирусы по прежнем... большой текст свёрнут, показать
     
  • 4.50, pavlinux (ok), 02:17, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>Я конечно понимаю, что наболело, но причем тут взлом сервака и подмена
    >>дистрибутива ИРКи? :)
    >
    >Отчего ж наболело? Это лишь пример. И давненько это было, году этак
    >в 98.
    >А пример иллюстрирующий сказанное в самом начале:
    >"возможность - еще не сама защита и предполагает какие-то активные действия. Но...
    >сами по себе действия для настоящей результативности требуют немалых трудозтрат, причем
    >со стороны специалистов с квалификацией сопоставимой или большей чем квалификация разработчиков."

    Да ладно, wireshark или tcpdump запустит каждый чайнег, и увидит что трафик куда-то уходит...

     
  • 4.59, аноним (?), 13:25, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ну и чем этот пост говорит?
    1. что лично вы этой возможностью не пользуетесь.
    2. если даже великий "ВЫ" ей не пользуетесь, то что можно говорить про этих "они".

    зы:
    а ведь эти "они" совместным усилием и написали вон эту вот прогу. при том что лично они порой и не знакомы.
    ззы:
    на просмотр дифов из жита новой версии ядра у меня уходит минут 30-60. это не много.
    не скажу что я сильно вникаю во все подсистемы, но в интересные для меня - всегда.
    и это в ведре, а там меня активным разработчиком не назовешь. в отличии от нескольких других проектов.

     
     
  • 5.72, Михаил (??), 17:53, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >на просмотр дифов из жита новой версии ядра у меня уходит минут
    >30-60. это не много.
    >не скажу что я сильно вникаю во все подсистемы, но в интересные
    >для меня - всегда.
    >и это в ведре, а там меня активным разработчиком не назовешь. в
    >отличии от нескольких других проектов.

    И вы мельком просмотрев интересный вам код можете найти в нем уязвимости? Очень в этом сомневаюсь.

     
     
  • 6.80, аноним (?), 18:45, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    1. то что меня интересует я смотрю далеко не мельком.
    2. ну вы то в клозедсорсе вообще ниего не можете.
    3. это выш выше пост про требование пруфа на 400 дней?
    а 10 ЛЕТ незакрытая дыра в смб-протоколе - вам тоже не попадалась? сами пруф поищите или помочь?

    зы:
    не стоит высказывать свои сомнения в компетентности собеседника априори. это глупо и не восспитанно.
    поверьте, даже 30 минут в коде коротый знаешь вполне джостаточно, чтобы понять что он делает.
    как хорошо он делает то что должен - это уже совсем другой разговор


     
     
  • 7.83, Михаил (??), 19:12, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Для сведения та самая пресловутая 10 летняя дыра о котор... большой текст свёрнут, показать
     
     
  • 8.93, аноним (?), 20:47, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    т е 10 лет усиленных проверок и такой результат - это нормально D 210 дней и... текст свёрнут, показать
     
     
  • 9.98, Иван (??), 21:58, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да ладно заливать Поучите теорию чтобы не позориться Message Signing не возмож... текст свёрнут, показать
     
     
  • 10.100, аноним (?), 22:59, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ну конечно это же фича и как я не догадался D ok хоть любую локальную уязв... текст свёрнут, показать
     
     
  • 11.103, аноним (?), 23:39, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    17 лет present for 14 years If it is confirmed this vulnerablity is also prese... текст свёрнут, показать
     
     
  • 12.106, Иван (??), 00:27, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Таки пруф линк или опять балаболим про мифические уязвимости Такую кучу текста ... большой текст свёрнут, показать
     
     
  • 13.107, PereresusNeVlezaetBuggy (ok), 00:30, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Если правильно помню, NTLMv1 не используется _по_умолчан... текст свёрнут, показать
     
     
  • 14.108, Иван (??), 00:58, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален По умолчанию в windows 2003 используется NTLM 2 Автомат... большой текст свёрнут, показать
     
     
  • 15.113, аноним (?), 11:42, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http www kb cert org vuls id 135940 http news cnet com 8301-27080_3-10397759... текст свёрнут, показать
     
  • 11.105, PereresusNeVlezaetBuggy (ok), 00:23, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Таки в данном случае вы неправы, так как путаете две вещ... текст свёрнут, показать
     
     
  • 12.111, аноним (?), 11:07, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    таки я ничего не путаю D 1 вы точно уверены, что появление уязвимости и обнар... текст свёрнут, показать
     
     
  • 13.120, PereresusNeVlezaetBuggy (ok), 15:45, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Простите, вы читать где учились Это я вас или кто там из вас аноним ткнул в... текст свёрнут, показать
     
     
  • 14.123, аноним (?), 15:55, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а вы или гениальной вышеупомянутой системе поиска требуется 17 лет и пару хакер... текст свёрнут, показать
     
     
  • 15.129, PereresusNeVlezaetBuggy (ok), 21:02, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А в BSD находили баги 25-летней давности А в Linux таких нет по одной простой п... текст свёрнут, показать
     
     
  • 16.131, аноним (?), 22:34, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    было утверждение, что проприетарная разработка намного лучше, поскольку баги отс... текст свёрнут, показать
     
     
  • 17.134, PereresusNeVlezaetBuggy (ok), 00:02, 16/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я к этому утверждению не имею никакого отношения Перечитайте тред Угу Всё рав... текст свёрнут, показать
     
  • 15.146, AlexAT (ok), 14:27, 17/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Про то, что МС пренебрегает тестированием - для меня очевидный факт В свое врем... текст свёрнут, показать
     
  • 9.99, Иван (??), 22:14, 14/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так что ссылки будут на описание уязвимостей в 400 дней и 10 лет Или можно с... текст свёрнут, показать
     
     
  • 10.127, User294 (ok), 17:41, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А почему Linux эксперты, кстати Сорс для всех платформ, даже для винды Давайте... текст свёрнут, показать
     
  • 6.126, User294 (ok), 17:40, 15/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >И вы мельком просмотрев интересный вам код можете найти в нем уязвимости?

    Загрепать system в сорсах очевидно ракетная наука :).Хотя бэкдор сделан технично, не очень палится внешним видом, да.

     

     ....большая нить свёрнута, показать (31)

  • 1.130, pavel (??), 21:16, 15/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Посмею высказать своё мнение по поводу приведённого выше обсуждения :-). По моему программы создают программисты, и именно от них зависит качество программы. Название программы, открыты ли её исходники, слабо влияет на качество программы. Появился Линус, появился и линкус, Линус и его коллеги продолжают поддерживать ядро, ядро живёт. По моему идеология свободных программ просто более справедлива, хотя тоже вызывает вопросы, например по вознаграждению труда программистов, она практически не влияет на качество программ разрабатываемых по ней.
    А что качается безопасности универсальных систем, так она очень низкая, window xp вообще многими солидными фирмами признана как критически опасная, без добавочных средств такие системы не пригодны даже для работы с конфиденциальной информацией, не говоря уже про государственную тайну.
     
     
  • 2.142, Sugar (ok), 18:10, 16/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно, это одно из самых точных замечаний, из всего срача, написанного выше.
     

  • 1.150, pavlinux (ok), 23:18, 17/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Информация о наличии проблемной версии в
    > репозиториях других дистрибутивов отсутствует,

    В SuSE такого даже нет...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру