Rövid ideig backdoort tartalmazó Linux Mint ISO volt letölthető a Linux Mint weboldalán keresztül

Titkosítás, biztonság, privát szféra

Clement "Clem" Lefebvre, a Linux Mint projekt vezetője egy bejelentést publikált a projekt blogján, amelyben arra int, hogy fokozott figyelemmel legyenek azok, akik február 20-án Linux Mint ISO töltöttek le a projekt weboldalán keresztül. Ugyanis illetéktelenek egy backdoorral ellátott Mint lemezképfájlt készítettek, majd úgy módosították a projekt weboldalát, hogy az arra mutasson. Ez rövid időre sikerült is nekik.

A jelenlegi ismeretek szerint csak a Linux Mint 17.3 Cinnamon lemezképfájl érintett. Ha valaki más kiadást töltött le, nem érintett. Ha valaki torrenten, vagy direkt HTML linkeken keresztül töltötte le, nem érintett. Illetve, a rendszer kompromittálása február 20-án történ, így aki más napon töltötte le a nevezett ISO, szintén nem érintett. Mindenesetre, érdemes a letöltött lemezképfájl MD5 ellenőrzőösszegét szemügyre venni. Az érvényes checksum-ok így festenek: 

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

További részletek itt olvashatók.

( atomheart v | 2016. 02. 21., v – 09:19 )

NYILT FORRASKOD, SOK SZEM SOKAT LAT, ULTIMATE BIZTONSAG!!! FUCK YEAH!!1! xD

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Megítélésed szerint a Mint van annyira népszerű rendszer, hogy ha zárt forrású lenne, akkor "jópár" security cég auditálná?
Gondolom van tapasztalatod az ilyen auditokban, esetleg megosztanád velünk, hogy milyen gyakorisággal terjed ki a weboldalról letölthető iso-k linkjeinek változására?
Jó lenne látni megalapozott információid alapján, hogy egy zárt forrású rendszernél milyen gyorsan derül ki egy ilyen hiba.
Köszi!

Nyilt forraskod jo dolog, viszont kis sufniceg(/alapitvany/kommjuniti) altal reszelgetett nyilt forrasu szoftvere oriasi kockazatot jelent szvsz. Nepszerubb, zart rendszerrel konkretan MS Win-re gondoltam.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Nem válaszoltál a kérdéseimre.
Egyébként zárt forrás != MS Win.
Azért jónéhány zárt forrású fejlesztő cég van, aki/ami nem az MS.
Én zárt forrású rendszer auditjával eddig kétféle módon találkoztam.
Egyrészt mi auditáltattuk a szoftverünket forráskód alapján, másrészt az ügyfél a bináris alapján.
Az ebben a cikkben taglalt hibát a forráskód auditálás biztos nem találta volna meg, az ügyfél oldali talán, ha éppen akkor tölti le az ügyfél a binárist és adja át az auditor cégnek, amikor megtörték a weboldalt.
Szóval, ez a probléma szerintem nem jelenti egyértelműen azt, hogy a Mint kódja ne lett volna mondjuk auditálva.

"Nem válaszoltál a kérdéseimre."

Mert ugy tunik, rossz iranyba probalsz valaszolni. Szubjektiv megfigyelesem szerinte openszosz mellett gyakran felhoznak egy ervet, amit a FOSS projektek tobbsegenel onmagaban ugyan ertelmesnek tunhet, de osszesegeben ilyen problemak miatt megis nagyobb biztonsagi kockazatot jelentenek. Szvsz.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Sajnálom, őszintén szerettem volna megérteni a kirohanásod lényegét.
És titkon reméltem, hogy van valami használható ötleted, hogy a zárt forráskódú fejlesztők hogy tudnak a leghatékonyabban védekezni egy ilyen problémakör ellen, mert szerintem ők is érintettek (lehetnek).

van egy másik űberfaszányos rendszer, amit érdekes módon nem is mert felhozni. pedig naponta találnak benne hibát. vagy azt hiszi, hogy az is nyílt forráskódú :) amúgy eléggé sziszifuszi meló lett volna megértened egy ennyire értelmetlen, frusztrált 5 éves féle kirohanást.

--
xterm

Es annak az uberfaszanyos rendszernek hanyszor tortek meg az update/download szervereit, vagy a fejlesztojenek a honlapjat, hogy a tenyleges telepito/update-be tegyenek malwaret? Vagy egyaltalan sugalltam-e olyant ebben a temaban, hogy barmi is vegervenyesen megoldana szerintem a biztonsagi hibakat? (Bar neked sem sikerult felfognod, hogy nem a nyilt forrast szidom, de egy bonusz kerdes: annak az uberfaszanyos rendszernek - feltetelezem, Mac OS X-re gondoltal-nem-e nyilt kodu veletlenul a kernele, illetve nem-e tartalmaz alapbol egy raklapnyi FOSS cuccot..?)

"ennyire értelmetlen, frusztrált 5 éves féle kirohanást."

... ami beloled szemelyeskedo, ervek, hasznos info nelkuli valaszt valtott ki..? ^^

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

"... ami beloled szemelyeskedo, ervek, hasznos info nelkuli valaszt valtott ki..? ^^"

hehe, bocs, de te egy ilyennel nyitottál, hogy hiszed magad hitelesnek? (nem mellékesen nem utaltam semmire, olvass, értelmezz). elég sokféle rendszer, elég sokféle szervereit törték meg már. aki mást mond, hazudik. te tudsz ilyet? nem, csak épp aktuális frusztrációd kivetüléseit túl közel engeded a billentyűzethez.

--
xterm

Főleg, hogy az egésznek köze nincs a nyílt forráshoz, mert a Wordpress-es oldalukat nyomták meg, és írták át az ott kitett linket. De azért fröcsögjél csak fél információk alapján..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Viszont jelenleg nincs bizonyíték arra, hogy az alap wordpress-ben lévő hibát használták ki (aminél még lehetne érvelni, hogy sok szem átnézi), vagy egy 3rd party modulban lévőt..
De amúgy értem a mondat végi smiley-t, és jogos a "csipkelődés" :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"Főleg, hogy az egésznek köze nincs a nyílt forráshoz"

Hogyne lenne, Mint-ek futtatnak-e barmilyen zart cuccot?!

De igazabol azert ciki, mert ez az eset ismetelten bizonyitja, hogy aki koltsegcsokkentes celjabol egy FOSS szoftvert valaszt, az egy igen durva biztonsagi kockazatot vallal, leven, hogy a szoftver fejlesztoinek a biztonsagra fordithato budzseje szuk. Es az OSS mellett felhozott "sok szem sokat lat" erv mar csak ezert is semmis.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Azt mar nem is felytem ki bovebben, megtettek elottem, hogy a jelen esetnek a "tobb szem tobbet lat" felkialtashoz vajmi keves koze van, hiszen maximum 10 ember latta azt a customizalt wordpress oldalt. Kar suletlensegeket irni.

"aki koltsegcsokkentes celjabol" arra te gondoltal-e, hogy kritikus rendszereknel illik a biztonsagot megtervezni, tesztelni, meg auditalni? Es az megvan, hogy ezt zart forraskodnal is meg kell csinalni? Szoval az a nagy budos heyzet, hogy pont a biztonsag az a terulet, ahol nem lehet koltseget csokkenteni, max nyilt forrasu biztonsagi megoldasokkal :D es indul ujra a kor. Azt mondanam, hogy aki azt hiszi, hogy nyilt forraskoddal megussza a biztonsagi kerdeseket, az hulye.

-
Big Data trendek 2016

Jó de könnyebb a biztonságra költeni pl a W-nél mikor a legolcsóbb változat is 25+ezer Ft.
Linuxot meg már 5e ért lehet venni de max cégek veszik, magáneber letölti de még cégek is.
Kis bevételből hogy tudnának drága, jól képzett biztonsági szakértőket alkalmazni?
Szerintem a Linux disztribúciókat is pénzért kellene adni, legalább 3-5e Ft hogy legyen miből fenntartani a projekteket
Ennyi senkit se vágna a földhöz és érezné az ember hogy hozzájárult a fejlesztők erőfeszítéseihez.

Ezt ertem, kicsi projekt kicsi budzse, nincs penz szakemberre, auditram stb. De szerinted ez nyilt forras specifikus dolog? Zart forrasnal mindig sokat koltenek a biztonsagra? Tovabb megyek a nyilt forrasu szoftverekert is lehet fietni. Akinek komolyabb tamogatasra, meg nagyobb biztonsagra, whatever van szuksege az fizet a vegen. Ne essunk abba a hibaba, hogy a nyilt forrasu szoftvereket ehberert fejleszto garazscegeknek nezzuk, a zart forrasuakat pedig mindenre odafigyelo mamutoknak, mert nem igy van. Zart forrasbol is van jo meg rossz, olcso meg draga, es ugyanez igaz a nyilt forrasra is. A kulombseg a fejlesztesi modell.

-
Big Data trendek 2016

Ez hogyan kapcsolódik ahhoz, hogy valakik a honlapon átírtak egy linket és így korrupt ISO letöltését tették lehetővé? Hogyan jön ehhez, hogy egy szoftver nyílt forráskódú vagy sem? Pláne, hogy emlékeim szerint ilyesmi eset zárt forráskódú rendszer honlapjával is megtörtént már.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Opensource komponensekből is lehet biztonságos rendszert tervezni és építeni, mint ahogy zárt forrású/kereskedelmi termékeket használva is lehet biztonsági szempontból sz@rt csinálni.

Itt, ha valóban "kintről" sikerült a patkolt iso-t meg a hozzá tartozó hash-t felpakolni, akkor a tartalom kezelése/tárolása volt/van elrontva. Ha ugyanis ezek a nagyvilág felől csak https-en, a csak statikus tartalom kiszolgálására alkalmas webszerver számára csak read-only módon elérhető területről lennének elérhetőek, akkor picivel biztonságosabb lenne a dolog...

Ja, és a hazaiaknak egy apróság:

"A(z) linuxmint.hu érvénytelen biztonsági tanúsítványt használ. A tanúsítvány lejárt: 2016. február 20. 6:16. Most 2016. február 21. 14:10 van. (Hibakód: sec_error_expired_certificate)"

Tudom, még csak tegnap járt le, de ez akkor is gáz :-P

Az ugye megvan, hogy nem a Mint forrásába csempésztek backdoort, hanem egy weblapot nyomtak fel, és az így odatett link mutatott a rosszfiúk által készített image-re? Hozna a dolgon, ha előbb olvasnál, s csak utána írnál.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( dejo v | 2016. 02. 21., v – 10:34 )

A már feltelepített rendszert lehet valahogy ellenőrizni?
Én nem vagyok érintett, de gondolom egy ilyen ellenőrzési lehetőség sokaknak jól jönne.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

aide, rkhunter. De _elotte_ telepitsd...utolag mar nehez ellenorzni :)

Amugy (gondolom), a csomagoknak is van hash-uk, szoval ki lehetne deriteni, hoyg a tort iso-ban milyen csomagokat modositottak.
meg esetleg telepitett rendszeren, milyen binarisok modosultak x napon belul. Vannak meg otleteim, de ez persze mind eso utan koponyeg....

--
http://www.micros~1
Rekurzió: lásd rekurzió.

( XMI | 2016. 02. 21., v – 10:37 )

a rendszer kompromittálása február 20-án történ, így aki más napon töltötte le a nevezett ISO, szintén nem érintett.
Ez így sajnos nem teljesen állja meg a helyét. 21-én (ma) megint betámadták őket és megint lecserélték a linket. http://blog.linuxmint.com/?p=2994#comment-124881
---
Régóta vágyok én, az androidok mezonkincsére már!

"As for the compromised ISOs, the hackers have only altered the man.cy file, where they've added a new function called tsunami. This is a well-known Linux ELF trojan named TSUNAMI that's a simple IRC bot used for launching DDoS attacks"
http://news.softpedia.com/news/linux-mint-website-hack-a-timeline-of-ev…
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Én pedig azt halottam, hogy a Mint oldalát is indirekt megfertőzték, mert véletlenül egy Mint fejlesztő az ő oldalukra tévedt..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( mihaly8712 | 2016. 02. 23., k – 08:25 )

Én is ezt használom, kicsit az én bizalmam is megingott... Mi lesz a következő? Ha a weboldal biztonságára ennyire figyelnek, vajon a disztrót is ilyen mentalitással pakolják össze? Oké, a user is tehet a biztonság érdekében, de én pl még csak kb 1.5 éve használok linuxot, nem azzal akarom kezdeni hogy backdoor-ra vadászok a rendszerben. Rossz lenne azt olvasni, hogy upgrade-el is jön backdoor, vagy valami fasza crypto ransomware....

Pedig a jelenlegi konfigommal ez a disztró volt fájdalom mentes, illetve a programok szépen futnak amiket használok (VMware Workstation stb).

--

Warning! Use ANY version of Windows at your own risk!

A Linux Mint egy csomag összeállítás Ubuntu alapon. A fejlesztője nem fejleszt külön kernelt vagy drivert stb. Ubuntu-n ugyanezeket le tudod telepíteni. Miért nem használsz nagy cégtől származó terméket? A garázs projekteknek mindig sokkal kisebb lesz az erőforrásuk. Kisebb a garancia arra, hogy a munkaállomásaik sem fertőzöttek már a csomagok összeállításánál.

Azért a Distrowatch szerintem nem sokat mond. Régen nézegettem, de ma már annyira elégedett vagyok a Fedorával, hogy eszembe sem jut mást választani. Helyesebben szólva valamilyen szempont alapján valakinek kereshetnék mást, de épp a Fedorát nem fogom nézegetni, mert azt elég jól ismerem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem fogják tudni jobban eldönteni szerintem mi a fontos és jobb mint az egész debian és ubuntu fejlesztői ekoszisztem a sok fejlesztővel. Illetve erre majd Ubuntu 16-ban jön a system rollback ZFS alapon ha jól olvastam a másik hírben. Ez megoldást adhat frissítés utáni stabilitás gondra. Ugye apt nem tud úgy rollback-elni mint yum csomagkezelő.