OpenSSH trójai!

cool. azert ez az utolso ket honap nem az openbsd csapat honapja volt. lassan le is vehetik a biztonsagrol szolo szlogenjuket. amennyi hiba van az openssh csomagban az utobbi idoban annyi nem volt osszesen a sendmail+bind rettegett parosban :(

es az hogy egy megtort geprol kerult fel a backdoor... erre mit mondjak? nem openbsd gepeken keszitik az openssh-t? ami szerintuk a vilag legbiztonsagosabb rendszere? vagy csak nem kello figyelemmel keszitettek a csomagokat? nem kello figyelemmel valasztottak ki a fejlesztesben resztvevo embert?

nagy gond ez mert a vilag unix gepeinek szerintem a 90% openssh-t hasznal. es az hogy a kodban van hiba, istenem, ameberek keszitik ezt is. de egy backdoor az a figyelmetlenseg jele, nem prodram design vagy implementacios hiba.

Azért nem minden enyire fehér-fekete :-)

Ha jól értem, akkor "csak" a portokat érinti a dolog. Vagyis a nem openbsd-n futó openssh-t. Ezzel persze még nem lesz nyugodtabb éjszakám! :-)

És tegyük hozzá, hogy ahogy én értelmezem a hírt, nem a fejelsztői szervert törték meg. Vsz. vmelyik fejlesztő gépét nyomták meg, és azon keresztül juttatták be a csúnyaságot.

Az mindenesetre megnyugtató, hogy a debian-ban levő openssh orig.tar.gz-ben nincs benne ez a plussz sor a megadott helyen, és bf-test-el kezdődő nevű fájl sincs a forrásdirben :-)

Szóval akár az is lehet, hogy csak valaki beékelődött az ftp-szerver és az Edwin gyerek közé, és útközben, transzparensen toltak oda vmi. trójait.

>Ha jól értem, akkor "csak" a portokat érinti a dolog. Vagyis a nem openbsd-n futó openssh-t. Ezzel persze még nem lesz nyugodtabb éjszakám! :-)

LOL. csak a portokat. hat imho tobb nem-openbsd gep van a vilagon, mint openbsd gep.

>És tegyük hozzá, hogy ahogy én értelmezem a hírt, nem a fejelszt?i szervert törték meg. Vsz. vmelyik fejleszt? gépét nyomták meg, és azon keresztül juttatták be a csúnyaságot.

ez a felhasznalo szempontjabol tok mindegy. a felhasznalo az ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz filet tolti le. tokmindegy kinek a hibajabol kerult oda, a felhasznalo joggal bizhat_na_ meg az openbsd ftp szervereben. de nem teheti...

>Az mindenesetre megnyugtató, hogy a debian-ban lev? openssh orig.tar.gz-ben nincs benne ez a plussz sor a megadott helyen, és bf-test-el kezd?d? nev? fájl sincs a forrásdirben :-)

most jol megnyugtattal =)

>Szóval akár az is lehet, hogy csak valaki beékel?dött az ftp-szerver és az Edwin gyerek közé, és útközben, transzparensen toltak oda vmi. trójait.

ez is mindegy. nem az a lenyeg hogy, csinaltak, hanem az hogy a torjai ott van, es vele egyutt sok ezer gepen is.

persze a fentiek cak akkor igazak, ha a hir is igaz. varjuk meg a hivatalos kozlemenyt.

Azért, ami nagyon furcsa lehet:

openssh-3.4p1.tar.gz 821 KB 2002-07-31 16:47:00

openssh-3.4p1.tar.gz.sig 1 KB 2002-06-26 08:20:00

Vagyis, hogy a sig-nek korábbi a dátuma mint a targz-é...

Nekem már itt gyanus lenne :-)

És igen, persze, hogy stimmel a megérzésem :-)

Naná, hogy nem lehet jó egy olyan aláírás, ami korábbi, mint amit "hitelesít" :-)

[pasztor@altair:/tmp]$ gpg --verify openssh-3.4p1.tar.gz.sig

gpg: Signature made SZE 26 JÚN 2002 16:10:52 CEST using DSA key ID 86FF9C48

gpg: Can't check signature: public key not found

[pasztor@altair:/tmp]$ gpg --keyserver wwwkeys.us.pgp.net --recv-keys 86ff9c48

gpg: requesting key 86FF9C48 from wwwkeys.us.pgp.net ...

gpg: key 86FF9C48: public key imported

gpg: Total number processed: 1

gpg: imported: 1

[pasztor@altair:/tmp]$ gpg --verify openssh-3.4p1.tar.gz.sig

gpg: Signature made SZE 26 JÚN 2002 16:10:52 CEST using DSA key ID 86FF9C48

gpg: BAD signature from "Damien Miller (Personal Key) "

Bár őszintén szólva, azt már sehogy nem tudnám leelenőrizni, hogy mi lenne, ha a "gonosz" ember kreál magának egy gpg kulcsot, és avval aláírja a kopaszgézát, és a kulcsának publikus felét meg feltölti egy publikus keyserverbe...

Dehát a "gonosz" ember ilyen apróságra már nem adott :-)

No, még egy apróság :-)

Feltéve, hogy tényleg ennek a Damien Millernek a dolga, hogy az openssh-t hitelesítse, és tényleg az ő kulcsát töltöttem le, stb. (Erről az "erős feltételezésről" szólnak a warningok alább.)

Leelenőriztem, hogy a debian archívban levő openssh-nak az orig.tar.gz-je jó-e. Íme:

[pasztor@altair:/tmp]$ cp openssh-3.4p1.tar.gz.sig openssh_3.4p1.orig.tar.gz.sig

[pasztor@altair:/tmp]$ gpg --verify openssh_3.4p1.orig.tar.gz.sig

gpg: Signature made SZE 26 JÚN 2002 16:10:52 CEST using DSA key ID 86FF9C48

gpg: Good signature from "Damien Miller (Personal Key) "

Could not find a valid trust path to the key. Let's see whether we

can assign some missing owner trust values.

No path leading to one of our keys found.

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

gpg: Fingerprint: 3981 992A 1523 ABA0 79DB FC66 CE8E CB03 86FF 9C48

És igen! A Debian archívban stimmel :-)

de Raadt felebredhetne, hogy mondjon nehany szot a dologrol. Ahogy a misc@ levlistat olvasom, addig nem akarnak mondani semmit amig a BOSS nem kel fel. Most olyan hajnali 5-6 ora lehet ott. lassan csak felebred....

Kíváncsi vagyok, hogy Theo gyerek ezek után kisebbre veszi-e az arcát! :))

Kozben felmerult bennem meg egy kerdes. Miert Solarist hasznal az OpenBSD csapat main FTP szervernek?

Nem mintha a Solarissal bajom lenne, de ha en fejlesztenek egy oprendszert akkor mar csak referenciabol is azt hasznalnam. De nem?

Hmm en ugy tudtam, hogy de Raadt otthon hostolja az egesz openbsd.org kocerajt =)

ezek szerint nem =)