Developerzy Fedory szukają backdoorów
11 lutego 2010, spy000yps
Jakiś czas temu na LWN pojawiła się informacja, że popularne repozytorium programów open source berlios został przejęte przez włamywaczy. Wydarzenie to miało miejsce prawdopodobnie w 2005 roku a zostało odkryte dopiero niedawno. Dlatego Seth Vidal sporządził listę 50 pakietów, których źródła są hostowane na berlios i poprosił developerów o szukanie wszelkich nieprawidłowości.
To wydarzenie jest bardzo ciekawe w kontekście zaufania osoby sporządzającej paczkę do źródła z którego pobiera kod. Bez wątpienia może podkopać zaufanie do “bezpiecznego łańcucha” – “jeśli oprogramowanie jest wzięte z dystrybucji, to na pewno nie ma wbudowanego żadnego złośliwego kodu”, “kod open source jest sprawdzany przez tysiące ludzi”.
Możliwe są trzy scenariusze zakończenia audytu:
- zakończenie pozytywne 1 – złośliwy kod zostanie namierzony i usunięty
- zakończenie pozytywne 2 – złośliwy kod nie zostanie namierzony, bo nie został dodany do oprogramowania wymienionego na liście Setha
- zakończenie negatywne – złośliwy kod nie zostanie namierzony
Przypadek berlios jest również ciekawy w kontekście masowego wykorzystywania takich dużych repozytoriów przez deweloperów open source. Jest to bardzo atrakcyjny cel ataku dla włamywacza, ponieważ po udanym włamaniu jego “skala rażenia” może być bardzo duża.
Jak myślicie, co włamywacz zmajstrował na berlios, gdy przez 5 lat miał do niego dostęp?
Parę miesięcy temu zrezygnowałem z Fedory 12 64-bit na rzecz Ubuntu 9.10 64-bit. Fedora 11 była cudowna, ale coś się zaczęło w 12-tej wersji psuć (nie działający sterownik x-fi, OpenGL gdzieś polazł – kompletny jego brak stabilności + śnieżenie ekranu nawet po wyjściu z trybu OpenGL). Mam nadzieję że to nie był wzmiankowany w artykule backdoor.
@abcman: Poczekaj, zaraz przyjdzie Oo i wytlumaczy ci, ze to dlatego, ze sie nie znasz – bo jemu po upgradzie zawsze wszystko dziala.
to nie są pakiety typowe dla Fedory, są używane w innych dystrybucjach również, więc istnieje podejrzenie że jest w innych dystrybucjach. np fetchmail czy smb4k.
Swoją drogą dziwne że “inne dystrybucje milczą” na ten temat ( mam tu na myśli *głównie* debiana i susła, bo po zdecydowanej większości niemożna się niczego innego spodziewać).
Linux biedny byłby bez RedHata :>
“Swoją drogą dziwne że “inne dystrybucje milczą” na ten temat ”
Boją się wywołać panikę
Może po postu w innych dystrybucjach nikt nie wpadł na to, żeby sprawdzić te pakiety?
“bo po zdecydowanej większości niemożna się niczego innego spodziewać”
To dla tego, że zrobienie dystrybucji jest teraz dość proste. Zresztą czego wymagasz od ludzi, którzy robią własny remix ubuntu, wymyślają jakąś fajną nazwę, robią ładną tapetę etc.
“Linux biedny byłby bez RedHata :>”
Co racja, to racja
Znowu Jörg Schilling. Tak to jest kiedy komuś się wydaje pozjadał wszystkie rozumy… Na szczęście sądząc z listy pakietów nie ma tam nic wyjątkowo popularnego. BTW, jeśli ktoś faktycznie zmieniał źródła, to powinno to chyba wypłynąć przy okazji commitów z lokalnych drzew deweloperów?
“jeśli ktoś faktycznie zmieniał źródła, to powinno to chyba wypłynąć przy okazji commitów z lokalnych drzew deweloperów?”
Jeśli miał dostęp do repo, to mógł bez większego problemu (tak mi się przynajmniej wydaje – nie jestem specjalistą od mieszania w .git czy .svn) ukryć swoje zmiany we wcześniejszych commitach wprowadzanych przez innych. To zależy od projektu, ale backdoor do logowania w freenx może mieć kilka linijek. Taka rzecz może wyjść dopiero przy poszukiwaniach takiego backdoora – wcześniej nikt nie zastanawiał się do czego te parę linijek w pliku xyz.c służy, jeśli jest jeszcze kilkadziesiąt tysięcy linijek innego kodu…
W gitie można sprawdzić. Każdy dev ma kopię repo u siebie ze wszystkimi hashami etc.
No niby teoretycznie tak. Dla każdego repo da się to sprawdzić.
W git chyba nie po hashach. Używam gita do codziennej pracy i zawsze przed backupem wszystkiego robię git fsck –-full, git count-objects, git gc. No i nie ma hashy do porównywania. Wszystko jest w jednej paczce. Wtedy może być trudno coś znaleźć.
Podane repozytorium, które podobno wpadło w niepowołane ręce, nie jest repozytorium dystrybucji. Jest to repozytorium zewnętrzne. Swoją drogą, to ciekawe zjawisko, że teraz ktoś się zorientował. Poza tym, to na te repozytorium kodu źródłowego, źródła są wrzucane jedynie przez twórców danego programu. Sami powinni coś wywęszyć, gdyby do źródeł ich programów coś dołączono.
“Podane repozytorium, które podobno wpadło w niepowołane ręce, nie jest repozytorium dystrybucji.”
A czy ja napisałem, że jest???
Napisałem, że zostało przejęte.
Wcześniej deweloperzy Fedory “ufali” kodowi tam hostowanemu, teraz “nie ufają” dopóki go nie przejrzą.
Czemu news, który wisiał przeszło tydzień w poczekalni trafił na główną?
> Dodano: 11 lutego 2010
tydzień?
Został wy+ikowany? [;
Komuś czas się dłuży?
A ja uważam linuxa teraz za mało bezpiecznego dla ZU. Dlaczego ? Przypadek spyware w skorce na gnome-look. Oczywiscie my wszyscy sobie poradzimy z wywaleniem spyware.. Ale zwyczajny użytkownik nawet się nie dowie o jego istnieniu.. Trojnanów, wirusów na linuxa już się mnoży.. Co z tego że użytkownik musi sie zgodzić na instalacje jak złośliwy kod może być doczepiony wszędzie ? W dzisiejszych czasach już nie jest bezpiecznie. Widać że developerzy “docenili” inne platformy niż windows.. Przypomina mi się wcześniejszy temat na OSnews na temat antywirusów pod linuxa.. Nasz kochany clamAV ładnie wykrywał zagrożenia pod windowsa.. ale pod linuxa już nie.. a inną sprawą jest to że nie ma ochrony w czasie rzeczywistym. Chociaż jak by na to popatrzeć nie jest ona potrzebna.. Wystarczalo by np. Ustawić swoją ulubioną przeglądarke by po sciągnięciu uruchamiała AV i skanowała plik. To się rozpisałem
Pozdrawiam i miłego weekendu
— Sarkazm —
Ale Ty człowieku masz fantazję. Przecież powszechnie wiadomo, że Linux nie potrzebuje antywirusa, bo nie ma złośliwego kodu.
— Sarkazm —
dziwne, o włamaniu na berlios czytałem chyba dawno temu… deja vu?
Bo wiadomość o nim była na LWN w zeszłym miesiącu. Po miesiącu doszło do developerów Fedory, że trzeba coś z tym zrobić. Trzeba przyznać, że mają refleks – o innych dystrybucjach nic nie słyszałem, a jest ich 850…
Czyżby żaden z developerów nie miał wykupionej subskrypcji na LWN?
dawno to lata temu, albo mam coś z głową, albo już było włamanie
Problem lezy po stronie tworcow takich userfriendly dystrybucji, ze wychowali sobie uzytkownikow klikajacych sobie radosnie dwa razy w .deb czy .rpm. a tych trojanow, wirusow to namnozylo sie ostatnio tyle, ze zliczyc nie idzie ( az zero).
Pozdrawiam