Rövid ideig backdoort tartalmazó Linux Mint ISO volt letölthető a Linux Mint weboldalán keresztül

 ( trey | 2016. február 21., vasárnap - 9:55 )

Clement "Clem" Lefebvre, a Linux Mint projekt vezetője egy bejelentést publikált a projekt blogján, amelyben arra int, hogy fokozott figyelemmel legyenek azok, akik február 20-án Linux Mint ISO töltöttek le a projekt weboldalán keresztül. Ugyanis illetéktelenek egy backdoorral ellátott Mint lemezképfájlt készítettek, majd úgy módosították a projekt weboldalát, hogy az arra mutasson. Ez rövid időre sikerült is nekik.

A jelenlegi ismeretek szerint csak a Linux Mint 17.3 Cinnamon lemezképfájl érintett. Ha valaki más kiadást töltött le, nem érintett. Ha valaki torrenten, vagy direkt HTML linkeken keresztül töltötte le, nem érintett. Illetve, a rendszer kompromittálása február 20-án történ, így aki más napon töltötte le a nevezett ISO, szintén nem érintett. Mindenesetre, érdemes a letöltött lemezképfájl MD5 ellenőrzőösszegét szemügyre venni. Az érvényes checksum-ok így festenek:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

További részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

NYILT FORRASKOD, SOK SZEM SOKAT LAT, ULTIMATE BIZTONSAG!!! FUCK YEAH!!1! xD

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Nem is volt kint hosszú ideig.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

gondolom az orvosod épp nyaral távoli vidéken...

--
xterm

Ellopták a zongorát. Rajta volt a gyógyszere. :-D

atomheart : A zárt rendszereknél hány nap után derül ki az ilyesmi? Feltéve, hogy egyáltalán kiderül, és a fejlesztő nem sumákolja el az esetet.

Ha elegge nepszeru az a zart rendszer, jopar security ceg fogja azt keretlenul auditalni...

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Megítélésed szerint a Mint van annyira népszerű rendszer, hogy ha zárt forrású lenne, akkor "jópár" security cég auditálná?
Gondolom van tapasztalatod az ilyen auditokban, esetleg megosztanád velünk, hogy milyen gyakorisággal terjed ki a weboldalról letölthető iso-k linkjeinek változására?
Jó lenne látni megalapozott információid alapján, hogy egy zárt forrású rendszernél milyen gyorsan derül ki egy ilyen hiba.
Köszi!

Nyilt forraskod jo dolog, viszont kis sufniceg(/alapitvany/kommjuniti) altal reszelgetett nyilt forrasu szoftvere oriasi kockazatot jelent szvsz. Nepszerubb, zart rendszerrel konkretan MS Win-re gondoltam.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Nem válaszoltál a kérdéseimre.
Egyébként zárt forrás != MS Win.
Azért jónéhány zárt forrású fejlesztő cég van, aki/ami nem az MS.
Én zárt forrású rendszer auditjával eddig kétféle módon találkoztam.
Egyrészt mi auditáltattuk a szoftverünket forráskód alapján, másrészt az ügyfél a bináris alapján.
Az ebben a cikkben taglalt hibát a forráskód auditálás biztos nem találta volna meg, az ügyfél oldali talán, ha éppen akkor tölti le az ügyfél a binárist és adja át az auditor cégnek, amikor megtörték a weboldalt.
Szóval, ez a probléma szerintem nem jelenti egyértelműen azt, hogy a Mint kódja ne lett volna mondjuk auditálva.

"Nem válaszoltál a kérdéseimre."

Mert ugy tunik, rossz iranyba probalsz valaszolni. Szubjektiv megfigyelesem szerinte openszosz mellett gyakran felhoznak egy ervet, amit a FOSS projektek tobbsegenel onmagaban ugyan ertelmesnek tunhet, de osszesegeben ilyen problemak miatt megis nagyobb biztonsagi kockazatot jelentenek. Szvsz.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Akkor, segíts, ha rosszul értem és rossz felé tapogatózom.
Azt állítod, hogy ha a Mint zárt forrású lenne, és auditálták volna, akkor ez a probléma nem történt volna meg?

Feladom. :^)

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Sajnálom, őszintén szerettem volna megérteni a kirohanásod lényegét.
És titkon reméltem, hogy van valami használható ötleted, hogy a zárt forráskódú fejlesztők hogy tudnak a leghatékonyabban védekezni egy ilyen problémakör ellen, mert szerintem ők is érintettek (lehetnek).

van egy másik űberfaszányos rendszer, amit érdekes módon nem is mert felhozni. pedig naponta találnak benne hibát. vagy azt hiszi, hogy az is nyílt forráskódú :) amúgy eléggé sziszifuszi meló lett volna megértened egy ennyire értelmetlen, frusztrált 5 éves féle kirohanást.

--
xterm

Es annak az uberfaszanyos rendszernek hanyszor tortek meg az update/download szervereit, vagy a fejlesztojenek a honlapjat, hogy a tenyleges telepito/update-be tegyenek malwaret? Vagy egyaltalan sugalltam-e olyant ebben a temaban, hogy barmi is vegervenyesen megoldana szerintem a biztonsagi hibakat? (Bar neked sem sikerult felfognod, hogy nem a nyilt forrast szidom, de egy bonusz kerdes: annak az uberfaszanyos rendszernek - feltetelezem, Mac OS X-re gondoltal-nem-e nyilt kodu veletlenul a kernele, illetve nem-e tartalmaz alapbol egy raklapnyi FOSS cuccot..?)

"ennyire értelmetlen, frusztrált 5 éves féle kirohanást."

... ami beloled szemelyeskedo, ervek, hasznos info nelkuli valaszt valtott ki..? ^^

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

"... ami beloled szemelyeskedo, ervek, hasznos info nelkuli valaszt valtott ki..? ^^"

hehe, bocs, de te egy ilyennel nyitottál, hogy hiszed magad hitelesnek? (nem mellékesen nem utaltam semmire, olvass, értelmezz). elég sokféle rendszer, elég sokféle szervereit törték meg már. aki mást mond, hazudik. te tudsz ilyet? nem, csak épp aktuális frusztrációd kivetüléseit túl közel engeded a billentyűzethez.

--
xterm

Helyes :)

Főleg, hogy az egésznek köze nincs a nyílt forráshoz, mert a Wordpress-es oldalukat nyomták meg, és írták át az ott kitett linket. De azért fröcsögjél csak fél információk alapján..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

a wordpress amúgy nyílt forrású ;)

Viszont jelenleg nincs bizonyíték arra, hogy az alap wordpress-ben lévő hibát használták ki (aminél még lehetne érvelni, hogy sok szem átnézi), vagy egy 3rd party modulban lévőt..
De amúgy értem a mondat végi smiley-t, és jogos a "csipkelődés" :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"Főleg, hogy az egésznek köze nincs a nyílt forráshoz"

Hogyne lenne, Mint-ek futtatnak-e barmilyen zart cuccot?!

De igazabol azert ciki, mert ez az eset ismetelten bizonyitja, hogy aki koltsegcsokkentes celjabol egy FOSS szoftvert valaszt, az egy igen durva biztonsagi kockazatot vallal, leven, hogy a szoftver fejlesztoinek a biztonsagra fordithato budzseje szuk. Es az OSS mellett felhozott "sok szem sokat lat" erv mar csak ezert is semmis.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Mitől vagy ennyire frusztrált?

☆☼♫♪♫♪☼☆
AGA@
Fork portal és az egyik logóm :)

Annyira frusztralt, hogy szemelyeskedjek, amiert valaki bemutat egy eszervet a kedvenc OS-em ellen..?

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

és? érv?? hol?

--
xterm

Kedvenc?
Melyik, a W 10?
Használd nyugodtan csak egy spyware-be ágyazott OP rendszer:)

Nem értelek, kifejtenéd alaposabban a konkrét esethez kapcsolódóan?

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Melyik reszevel nem sikerult megbirkozni?

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Az egésszel, nem túl részletes.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Azt mar nem is felytem ki bovebben, megtettek elottem, hogy a jelen esetnek a "tobb szem tobbet lat" felkialtashoz vajmi keves koze van, hiszen maximum 10 ember latta azt a customizalt wordpress oldalt. Kar suletlensegeket irni.

"aki koltsegcsokkentes celjabol" arra te gondoltal-e, hogy kritikus rendszereknel illik a biztonsagot megtervezni, tesztelni, meg auditalni? Es az megvan, hogy ezt zart forraskodnal is meg kell csinalni? Szoval az a nagy budos heyzet, hogy pont a biztonsag az a terulet, ahol nem lehet koltseget csokkenteni, max nyilt forrasu biztonsagi megoldasokkal :D es indul ujra a kor. Azt mondanam, hogy aki azt hiszi, hogy nyilt forraskoddal megussza a biztonsagi kerdeseket, az hulye.

-
Big Data trendek 2016

Jó de könnyebb a biztonságra költeni pl a W-nél mikor a legolcsóbb változat is 25+ezer Ft.
Linuxot meg már 5e ért lehet venni de max cégek veszik, magáneber letölti de még cégek is.
Kis bevételből hogy tudnának drága, jól képzett biztonsági szakértőket alkalmazni?
Szerintem a Linux disztribúciókat is pénzért kellene adni, legalább 3-5e Ft hogy legyen miből fenntartani a projekteket
Ennyi senkit se vágna a földhöz és érezné az ember hogy hozzájárult a fejlesztők erőfeszítéseihez.

Most is bárki megteheti, hogy ad nekik pénzt. Szoktak is.

☆☼♫♪♫♪☼☆
AGA@
Fork portal és az egyik logóm :)

Ezt ertem, kicsi projekt kicsi budzse, nincs penz szakemberre, auditram stb. De szerinted ez nyilt forras specifikus dolog? Zart forrasnal mindig sokat koltenek a biztonsagra? Tovabb megyek a nyilt forrasu szoftverekert is lehet fietni. Akinek komolyabb tamogatasra, meg nagyobb biztonsagra, whatever van szuksege az fizet a vegen. Ne essunk abba a hibaba, hogy a nyilt forrasu szoftvereket ehberert fejleszto garazscegeknek nezzuk, a zart forrasuakat pedig mindenre odafigyelo mamutoknak, mert nem igy van. Zart forrasbol is van jo meg rossz, olcso meg draga, es ugyanez igaz a nyilt forrasra is. A kulombseg a fejlesztesi modell.

-
Big Data trendek 2016

különbség

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Ez hogyan kapcsolódik ahhoz, hogy valakik a honlapon átírtak egy linket és így korrupt ISO letöltését tették lehetővé? Hogyan jön ehhez, hogy egy szoftver nyílt forráskódú vagy sem? Pláne, hogy emlékeim szerint ilyesmi eset zárt forráskódú rendszer honlapjával is megtörtént már.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

*

Mit szerettél volna mondani?

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Megdicsértem a kommented

Opensource komponensekből is lehet biztonságos rendszert tervezni és építeni, mint ahogy zárt forrású/kereskedelmi termékeket használva is lehet biztonsági szempontból sz@rt csinálni.

Itt, ha valóban "kintről" sikerült a patkolt iso-t meg a hozzá tartozó hash-t felpakolni, akkor a tartalom kezelése/tárolása volt/van elrontva. Ha ugyanis ezek a nagyvilág felől csak https-en, a csak statikus tartalom kiszolgálására alkalmas webszerver számára csak read-only módon elérhető területről lennének elérhetőek, akkor picivel biztonságosabb lenne a dolog...

Ja, és a hazaiaknak egy apróság:

"A(z) linuxmint.hu érvénytelen biztonsági tanúsítványt használ. A tanúsítvány lejárt: 2016. február 20. 6:16. Most 2016. február 21. 14:10 van. (Hibakód: sec_error_expired_certificate)"

Tudom, még csak tegnap járt le, de ez akkor is gáz :-P

Mint a mokus fenn a fan... XD

Csak két szó: Apple, fappening.

Meg jo, hogy ennek semmi koze sem a temahoz, sem az Apple infra biztonsagahoz.

--
L

Mert a nyílt forráskódhoz aztán marha sok köze van...
Ugyanis erre válaszoltam: "NYILT FORRASKOD, SOK SZEM SOKAT LAT, ULTIMATE BIZTONSAG!!! FUCK YEAH!!1! xD"

Van még valami problémád?

Tovabbra sem ertem, hogy jott ide az Apple es a fappening, kerlek, magyarazd el (komolyan).

--
L

Nem nyílt forráskód, űberfaca biztonság, feltörhetetlen telefon... Aztán a cloud-os tárolójuk mégiscsak lukas volt, de rendesen. Nem sw, hanem kényelmi luk, de luk.

Ja, az internet népe, manyeyeball is sok lukat látott benne. Pl. Jennifer Lawrence lukát...

--
trey @ gépház

:D

Szerintem nem luk, hanem koncepcionalis hiba.

--
L

Ilyen szempontból mindegy: sz@rtak a biztonságra az egyik, maximumra próbálták tolni a másik oldalon.

Az ugye megvan, hogy nem a Mint forrásába csempésztek backdoort, hanem egy weblapot nyomtak fel, és az így odatett link mutatott a rosszfiúk által készített image-re? Hozna a dolgon, ha előbb olvasnál, s csak utána írnál.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A már feltelepített rendszert lehet valahogy ellenőrizni?
Én nem vagyok érintett, de gondolom egy ilyen ellenőrzési lehetőség sokaknak jól jönne.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

aide, rkhunter. De _elotte_ telepitsd...utolag mar nehez ellenorzni :)

Amugy (gondolom), a csomagoknak is van hash-uk, szoval ki lehetne deriteni, hoyg a tort iso-ban milyen csomagokat modositottak.
meg esetleg telepitett rendszeren, milyen binarisok modosultak x napon belul. Vannak meg otleteim, de ez persze mind eso utan koponyeg....

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Hat ha a telepiton mar rajta van a gonosz, az rkhunter mar nem sokat tehet. Pont az a lenyeg, hogy amig tiszta, addig kell lementeni a metaadatokat. fixme

-
Big Data trendek 2016

Igen, sajnos igen. Legfeljebb felderiti az ismert rootkiteket. Ha nem talal, az nem azt jelenti, hogy nincs is fertozes...

--
http://www.micros~1
Rekurzió: lásd rekurzió.

a rendszer kompromittálása február 20-án történ, így aki más napon töltötte le a nevezett ISO, szintén nem érintett.
Ez így sajnos nem teljesen állja meg a helyét. 21-én (ma) megint betámadták őket és megint lecserélték a linket. http://blog.linuxmint.com/?p=2994#comment-124881
---
Régóta vágyok én, az androidok mezonkincsére már!

LOL

Arról van valahol info, hogy milyen backdoor volt az ISO-(k?)ban?

Elvileg egy ircbot, távoli hozzáféréssel.

"As for the compromised ISOs, the hackers have only altered the man.cy file, where they've added a new function called tsunami. This is a well-known Linux ELF trojan named TSUNAMI that's a simple IRC bot used for launching DDoS attacks"
http://news.softpedia.com/news/linux-mint-website-hack-a-timeline-of-events-500719.shtml
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

szóval semmi izgi :(

Nem, sőt meglehetősen amatőr munkának néz ki a leírtak szerint..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

softpedia.com?
Úgy tudtam, az az oldal komplett vírus, malware etc tenyészet

Én pedig azt halottam, hogy a Mint oldalát is indirekt megfertőzték, mert véletlenül egy Mint fejlesztő az ő oldalukra tévedt..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem elérhető a www.linuxmint.com sem.

--
robyboy

A distrowatchon pedig már évek óta az ubuntu elõtt van, én ezt ajánlgatom mindenkinek.

Én is ezt használom, kicsit az én bizalmam is megingott... Mi lesz a következő? Ha a weboldal biztonságára ennyire figyelnek, vajon a disztrót is ilyen mentalitással pakolják össze? Oké, a user is tehet a biztonság érdekében, de én pl még csak kb 1.5 éve használok linuxot, nem azzal akarom kezdeni hogy backdoor-ra vadászok a rendszerben. Rossz lenne azt olvasni, hogy upgrade-el is jön backdoor, vagy valami fasza crypto ransomware....

Pedig a jelenlegi konfigommal ez a disztró volt fájdalom mentes, illetve a programok szépen futnak amiket használok (VMware Workstation stb).

--

Warning! Use ANY version of Windows at your own risk!

A Linux Mint egy csomag összeállítás Ubuntu alapon. A fejlesztője nem fejleszt külön kernelt vagy drivert stb. Ubuntu-n ugyanezeket le tudod telepíteni. Miért nem használsz nagy cégtől származó terméket? A garázs projekteknek mindig sokkal kisebb lesz az erőforrásuk. Kisebb a garancia arra, hogy a munkaállomásaik sem fertőzöttek már a csomagok összeállításánál.

+1 a nagy felhasználói és fejlesztői, közösségi bázissal rendelkező disztribúciókra: Debian, Ubuntu, Fedora, Red Hat, CentOS, SuSE, Arch. Persze ezek közül nem mindegyik alkalmas desktopnak.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Megtérek vagy Ubuntura vagy Fedora-ra. Nem tudom az ATI 7770-es nem mai csirke VGA-t mennyire fogja támogatni a Fedora...

--

Warning! Use ANY version of Windows at your own risk!

Úgy látom, teljesen:

http://fedoraproject.org/wiki/Test_Day:2013-10-23_Graphics_Radeon

Szerk.: most látom, régi a teszt, de nem hiszem, hogy kiszedték volna az új kernelekből az ati drivert.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Debian alapú változata is van (LMDE)

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."
Instant Coelho

Az uzenet szempontjabol lenyegtelen ;)

-
Big Data trendek 2016

Kicsit mókás, hogy egy garázsprojekt vezeti a distrowatch statisztikáját.

--
robyboy

Azért a Distrowatch szerintem nem sokat mond. Régen nézegettem, de ma már annyira elégedett vagyok a Fedorával, hogy eszembe sem jut mást választani. Helyesebben szólva valamilyen szempont alapján valakinek kereshetnék mást, de épp a Fedorát nem fogom nézegetni, mert azt elég jól ismerem.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ez igaz, viszont volt róla szó régebben, hogy ugye ők több csomagot is visszatartanak a frissítéstől, ha azt nem gondolják elég stabilnak, stb. Ez jól hangzik, csak konkrétan több példa is volt, hogy fontos biztonsági frissítéseket tartottak vissza.

Nem fogják tudni jobban eldönteni szerintem mi a fontos és jobb mint az egész debian és ubuntu fejlesztői ekoszisztem a sok fejlesztővel. Illetve erre majd Ubuntu 16-ban jön a system rollback ZFS alapon ha jól olvastam a másik hírben. Ez megoldást adhat frissítés utáni stabilitás gondra. Ugye apt nem tud úgy rollback-elni mint yum csomagkezelő.