debian.org gehackt?

[spiffi]

Das Passwort wurde mitgesnifft und somit könnte man auch "deinen" Login sniffen ...

Damit jemand mein Passwort mitsniffen kann, muß ich aber erst mal Remote übers Internet über eine unverschlüssselte Verbindung (FTP, Telnet und Co) auf meinen Rechner zugegriffen haben.

[suntsu]

Vielleicht hat der cracker auch nur ein Backup vom Internet genommen und darind das Passwort von einem Debian Entwickler gesucht.

just kidding

gruss
manuel

[tylerD]

Damit jemand mein Passwort mitsniffen kann, muß ich aber erst mal Remote übers Internet über eine unverschlüssselte Verbindung (FTP, Telnet und Co) auf meinen Rechner zugegriffen haben.

<klugscheißmodus>
Eine verschlüsselte Verbindung an sich, heißt per default auch noch nicht, dass das passwd nicht mitgesnifft werden kann.
</klugscheißmodus>

cu

[spiffi]

Das ist richtig.
Aber ich denk mal, SSH Version 2 dürfte da hinreichend sicher sein, zumal der Login auf meinem Router nur mit Private Key möglich ist.
Nichtsdestotrotz werde ich den Kernel natürlich updaten, denn wie suntsu schon sagte, besteht durchaus die Möglichkeit, daß jemand über einen anderen Exploit (oder durch schlecht konfigurierte Software meinerseits) unpriviligierten Zugriff auf meinen Rechner erlangt und den Kernel-Bug dann doch ausnützen könnte.

[spunz]

jetzt hats scheinbar auch gentoo erwischt....



GENTOO LINUX SECURITY ANNOUNCEMENT 200312-01
-------------------------------------------------------------------------------
Summary : rsync.gentoo.org rotation server compromised
Date : 2003-12-02
Exploit : remote
CVE : - None -
Priority : Normal
-------------------------------------------------------------------------------

SUMMARY:
========

On December 2nd at approximately 03:45 UTC, one of the servers that makes up
the rsync.gentoo.org rotation was compromised via a remote exploit. At this
point, we are still performing forensic analysis. However, the compromised
system had both an IDS and a file integrity checker installed and we have a
very detailed forensic trail of what happened once the box was breached, so we
are reasonably confident that the portage tree stored on that box was
unaffected. The attacker appears to have installed a rootkit and
modified/deleted some files to cover their tracks, but left the server
otherwise untouched.

[x-eniac]

JAAAA!!!! Ausgleichende Geraechtigkeit! Nur Microsoft wird nicht gehackt und warum? Das ist keine Herausforderung!!!! *lol*

Auch wenn ich das ganze als einen seht unangenehmen Zwischenfall sehe, Freut mich diese Aktione etwas. Vielleicht kommen die Enthusiastischen Linuxfanatiker nun wieder auf den Boden. Auch Linux schuetzt nicht vor Dummheit. Auch das Beste OS hat Sicherheitsluecken, Auch die Beste Firewall hat irgendwo ein Sicherheitsloch. Niemand ist Sicher, nirgenst auf dieser Welt. Auch nicht mit OpenBSD, auch nicht mit 1024 Bit Verschluesselung. Nur Vernunftbegabtes Handeln hilft langfristig.

Dieses Jahr gab es 3 Viren/Wuermer fuer Linux, Soviele gab es in den Letzten 10 Jahren. Da sollte einen auch zu Denken geben.

[eagle]

Auch wenn ich das ganze als einen seht unangenehmen Zwischenfall sehe, Freut mich diese Aktione etwas. Vielleicht kommen die Enthusiastischen Linuxfanatiker nun wieder auf den Boden. Auch Linux schuetzt nicht vor Dummheit. Auch das Beste OS hat Sicherheitsluecken, Auch die Beste Firewall hat irgendwo ein Sicherheitsloch. Niemand ist Sicher, nirgenst auf dieser Welt. Auch nicht mit OpenBSD, auch nicht mit 1024 Bit Verschluesselung. Nur Vernunftbegabtes Handeln hilft langfristig.

Der x-eniac führt heute eine scharfe Zunge .

Natürlich hat man keine 100% Sicherheit. Einmal Schultersurfen nicht bemerkt, "versteckte Kamera", oder deim XXX geplaudert und schupps die grösste Sicherheit ist im Eimer ...

Ich denke auch das es die Szene langsam wachrüttelt.

eagle

[Gast]

Nur mal sowas zum "privaten" Datenklau ... wenn jemand an eure Daten will dann wird er es schaffen! Dann holt er sich die Daten notfalls direkt von der Platte. Mit einem aktuellen Debian, guten Passwörtern und keiner schlechten Konfiguration dürfte nicht viel passieren.

[Hackmeck]

jetzt hats scheinbar auch gentoo erwischt....

Jetzt gehts anscheinend richtig ab:

"GNU- und Gentoo-Server ebenfalls gehackt"
Mehr: http://www.heise.de/newsticker/data/ju-04.12.03-000/

Eine schwarze Woche für die freie Softwarebewegung ...

BTW, ein Satz aus dem Artikel:

Trotz "wichtiger philosophischer Differenzen" wolle man jetzt mir den Mitgliedern des Debian-Projekts zusammenarbeiten, um den Einbrecher aufzupüren und die Infrastruktur für freie Software zukünftig besser abzusichern.

Welche "wichtigen philosophischen Differenzen" sind hier gemeint? Sind die Debianrichtlinien für freie Software nicht besonders nah am Geiste des GNU-Projekts? Oder ist hier die Kritik der FSF am contrib und non-free-Teil der Distribution gemeint?

Hier der Teil des englischen Originaltexts der FSF, auf den sich Heise bezieht:

In the interest of continuing cooperation and in helping to improve security for all essential Free Software infrastructure, and despite important philosophical differences, we are working closely with Debian project members to find the perpetrators and to secure essential Free Software infrastructure for the future. We hope to have future joint announcements that discuss a unified strategy for addressing these problems.

Quelle: http://savannah.gnu.org/statement.html

[eagle]

Eine schwarze Woche für die freie Softwarebewegung ...

Das kann mal wohl sagen .

Weiss man denn, ob Hardening Patches im Kernel gegen den exploit geholfen hätten?

eagle

[feltel]

Weiss man denn, ob Hardening Patches im Kernel gegen den exploit geholfen hätten?

Was ich aus den verschiedenen Announcements rausgelesen hab ist, das zumindest der grsecurity-Patch nix geholfen hätte.

[tylerD]

So langsam wird es Zei für Verschwörungstheorieen. Wer profitiert den am meisten, wenn soetwas bei Gnu/linux gehäuft auftritt? ... ?

cu

[eagle]

So langsam wird es Zei für Verschwörungstheorieen. Wer profitiert den am meisten, wenn soetwas bei Gnu/linux gehäuft auftritt? ... ?

BSD ?

eagle

[zyta2k]

Weiss man denn, ob Hardening Patches im Kernel gegen den exploit geholfen hätten?

Was ich aus den verschiedenen Announcements rausgelesen hab ist, das zumindest der grsecurity-Patch nix geholfen hätte.

Aha.
Interessant.
Kannst du mal den Link des Announcements posten ??
*gwunder*

grsec-kernel-user
zyta2k

[feltel]

Hier: http://forums.grsecurity.net/viewtopic.php?t=611 und http://forums.grsecurity.net/viewtopic.php?t=613

Nachtrag: Unter http://www.securityfocus.com/archive/1/ ... 03-12-06/0 ist ein kleines Testprogramm dokumentiert, mit dem man checken kann, ob ein System verwundbar ist.

[Hackmeck]

So langsam wird es Zei für Verschwörungstheorieen. Wer profitiert den am meisten, wenn soetwas bei Gnu/linux gehäuft auftritt? ... ?

Die Joden, chrchr, die Joden ....

Nee mal im ernst: Es gab einen Fehler im Kernel und er wurde ausgesenutzt. Hätte es einen solch gravierenden Fehler in einem anderen System - egal ob offen oder proprietär - gegeben und wäre er entdeckt worden, wäre er höchstwahrscheinlich auch ausgenutzt worden. Wieso brauchen wir da Verschwörungstheorien?

[Ponder_Stibbons]

Hallo, ich hab jetzt nicht Lust mich durch alle Berichte zu wühlen, also bevor ich es tue mal die schnelle Frage an alle die es schon getan haben:
War bei gentoo und gnu der gleiche exploit im Spiel, der mit dem 2.4.23 und 2.6.0-test7 kernel behoben wurde?
Gruß Ponder

[Hackmeck]

Hallo, ich hab jetzt nicht Lust mich durch alle Berichte zu wühlen, also bevor ich es tue mal die schnelle Frage an alle die es schon getan haben:
War bei gentoo und gnu der gleiche exploit im Spiel, der mit dem 2.4.23 und 2.6.0-test7 kernel behoben wurde?

AFAIK Ja:

"Die Vorgehensweise der Eindringlinge sei identisch zu der bei dem Einbruch in die Debian-Systeme und unterscheide sich grundsätzlich von dem Einbruch auf dem GNU-FTP-Server im August. Der Einbrecher habe sich nachdem er einmal auf das System gelangt sei, Root-Rechte verschafft und das Root-Kit SucKIT installiert (siehe auch Heimliche Hintertüren)."

Quelle: http://www.heise.de/newsticker/data/ju-04.12.03-000/

[Methor]

der Kernel-Exploit geht allerdings davon aus, das bereits ein verfügbares Login-Konto auf dem Server existiert. Bei Debian war´s ein gesnifftes Entwickler-Konto. Ich glaube, der rsync-bug der Server-Version hat in dem Fall auch seinen Teil dazu beigetragen...

Gruss
Methor

[Ponder_Stibbons]

Ob sco's Unix diese Sicherheitslücke auch hat? Linux ist ja angeblich nur geklaut
Gruß Ponder

[feltel]

Auf incoming.debian.org gibts seit gestern wiieder neue Pakete, so das diese bald wieder in Sid und später auch in Sarge landen werden.

[tylerD]

Eigentlich schon Meinungsäußerungen gehört, inwiefern sich der Einbruch auf einen eventuellen Freez und/oder Release von sarge auswirkt? Sind Sachen geplant die jetzt noch unbedingt zu sarge hinzugefügt werden sollen, wie zum Beispiel signierte Pakete?

cu

[Hackmeck]

Auf incoming.debian.org gibts seit gestern wiieder neue Pakete, so das diese bald wieder in Sid und später auch in Sarge landen werden.

Für SID gibt es heute endlich wieder frische debs. Folgende Pakete habe ich gerade geupdatet:

aalib1 debconf debconf-i18n debconf-utils debhelper devscripts makedev python python2.3 zlib1g zlib1g-dev

[slide]

Bei mir gab's heute auch in Sarge wieder neue .debs!
Waren aber 40 Stück, will die nicht alle aufzählen...

Slide