Login
Newsletter
Werbung

Thema: Trojanisches Pferd in OpenSSH

25 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von mit ö am Do, 1. August 2002 um 23:47 #
Das ist ja oberheftig.
Gibt es für solche sachen eigentlich
automatische warnsysteme ?
zB bei debian, wenn man mit apt installiert.
Beispielsweise, daß MD5-summen auf einem
anderen server liegen als die deb-pakete ?

Hier bei pro-linux gabs mal einen Artikel, wie man soetwas
überprüft: vom ganzen System MD5-summen erzeugen, auf
Diskette speichern, Diskette schreibschützen. und dann per
script jeden tag mit dem System vergleichen. Das MD5-progi
ist natürlich auch auf der Diskette.
also 1. disketten nicht abschaffen ;-)
und 2. pro-linux lesen :-)

tschö
mit ö

[
| Versenden | Drucken ]
  • 0
    Von Barross am Fr, 2. August 2002 um 00:02 #
    also 1. lieber eine CD nehmen, da passt auch gleich eine kopie der gesamten /bin /sbin /lib [...] samt Kernel drauf, so daß man gleich völlig von CD booten kann. Da passiert es einem wenigstens nicht, daß plötzlich die diskette den geist aufgibt.

    PS: Ich hasse Disketten.

    [
    | Versenden | Drucken ]
    0
    Von Alex am Fr, 2. August 2002 um 00:45 #
    Die Backdoor ist bereits beim instellieren da! Da hilft einem eine md5-Summe gar nicht, da man ja nie eine andere Version als die mit Backdoor auf dem System hatte.
    (Die Summen auf Disk/CD helfen nur gegen Veränderungen nach dem Erstellen der Disk/CD)
    Was man aus solchen Meldungen lernen sollte ist, dass man sich überlegen sollte, wem man trauen sollte/kann und auch ein wenig Paranoia nicht schadet (z.B. hat man ja auch in diesem Fall durch eine konsequente Überprüfung z.B. der verfügbaren checksummen merken können, dass etwas nicht stimmt)
    [
    | Versenden | Drucken ]
0
Von Sven Blumenstein am Fr, 2. August 2002 um 00:25 #
... gibts hier:

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security

und hier:

http://online.securityfocus.com/archive/1/285492/2002-07-29/2002-08-04/0

Gruß Sven

[
| Versenden | Drucken ]
0
Von Kai Lahmann am Fr, 2. August 2002 um 01:12 #
das ist jetzt das dritte Mal, dass ein fehlerhafter Server dafür sorgt, dass ein Quellcode ausgetauscht wird. So langsam wird es peinlich und M$ ist in seinem "OpenSource ist unsicher" um ein Argument reicher - also verdammtnochmal, bringt eure verdamten Server auf Vordermann!!!!
[
| Versenden | Drucken ]
  • 0
    Von Marc R. am Fr, 2. August 2002 um 01:32 #
    Moin.

    > So langsam wird es peinlich und M$ ist in seinem "OpenSource ist unsicher" um ein Argument reicher

    In diesem Fall nicht. Der Server läuft unter Solaris. Siehe OpenBSD-FAQ.

    Gruß
    Marc

    [
    | Versenden | Drucken ]
    • 0
      Von cc am Fr, 2. August 2002 um 09:40 #
      > Der Server läuft unter Solaris. <

      und das, obwohl der Betrieb von Solaris-Servern fast 10 mal so teuer ist, wie der von Linux-Maschinen? Tststs....

      http://www.heise-online.de/newsticker/data/jk-01.08.02-004/

      [
      | Versenden | Drucken ]
      0
      Von charon_77 am Fr, 2. August 2002 um 09:42 #
      Ich denke Kai spielt eher darauf an, das der Code ausgetauscht wurde, nicht das der Server unter irgendeinem unsicheren System lief.

      Gruss

      [
      | Versenden | Drucken ]
      • 0
        Von Benno am Fr, 2. August 2002 um 10:19 #
        Wie dem auch sei, wenn man nur einmal Zugriff auf einen PC hatte und alle möglichen Programme ausführen kann, da frag` ich mich, was ist da sonst noch auf den Pc's installiert worden.
        Da ist schon recht erschreckend.
        [
        | Versenden | Drucken ]
    0
    Von Hagen am Fr, 2. August 2002 um 09:13 #
    Nicht wirklich, denn schliesslich wurde der Fehler in wenigen Tagen entdeckt und behoben.
    [
    | Versenden | Drucken ]
    • 0
      Von Benno am Fr, 2. August 2002 um 10:55 #
      Als wenn derjenige der diese Tür geöffnet hat gleichzeitig noch ein paar Programme installiert hat und man weiss auch nicht welche, dann ist das schon erschreckend. Zumal er noch nicht mal ein paar Stunden dafür braucht, geschweige denn ein paar Tage.
      Wenn ich mal ganz fies denken würde ist da einer der in der Lage ist innerhalb von Minuten Zugriff auf jeden Rechner zu bekommen und mit diesem auch alles anzustellen. Das heist , auch wenn diese Backdoor entdeckt wird. Schliesslich habe ich ja dann lange genug Zeit mir weitere zu schaffen. Vielleicht ein paar stille Agenten, die erst nach einer Weile aktiv werden.
      Programmtechnisch gesehen sehe ich da überhaupt keine Probleme, wenn ich erst mal drin bin mit allen Rechten, dann mach ich auch was ich will.
      So etwas darf einfach nicht passieren.
      [
      | Versenden | Drucken ]
    0
    Von prospero am Fr, 2. August 2002 um 09:45 #
    nunja, bei ms sind backdoors halt als feature deklariert.
    also absolute sicherheit gibt es nicht, da muss man schon selbst hand anlegen,
    staendige ueberpruefung der offenen connection und natuerlich immer security info lesen usw.

    schoenes wochenende
    prospero

    [
    | Versenden | Drucken ]
    0
    Von Thorsten Schnebeck am Fr, 2. August 2002 um 10:45 #
    Hi Kai!

    Auch wenn sowas sicher immer etwas peinlich ist, was ist denn die Alternative: Vertuschung? Ich denke, ein offensiver Umgang mit diesen Problemen ist produktiver als Verschleierung. Sonst lacht sich doch die Gruppe der Hacker-Subkultur ins Fäustchen, weil keiner von den Sicherheitslücken erfährt und man munter die Lücken auf vielen Maschinen ausnutzen kann. Es ist sicherlich ein Marketing-Problem: Welches System ist besser, das mit 50 veröffentlichten Sicherheitslücken pro Jahr oder das mit zwei ServicePacks? Tja - kann unsereins kaum beurteilen! Wir erleben aber, dass OS anders attakiert wird, nämlich an der Quelle.

    Die aktuellen Beispiele zeigen, dass die Zeit der Unschuld vorbei ist. Wer Tar-Pakete auf dem Servern austauschen kann, kann auch MD5-Summen ändern. Damit sollten diese generell GPG-signiert werden. Downloader, wie die von Gentoo, müssten neben der MD5 auch die Signatur prüfen.
    Aber nicht nur die TAR-Ball-Distribution ist gefährdet. Großen Projekte wie z.B. KDE müssen auch ihr CVS vor Saboteuren schützen. Rob Kaper hat den aktuellen Vorfall zum Anlass genommen, ein Schutzkonzept zu umreißen:
    http://unixcode.org/capistro/

    Damit wird hoffentlich eine Sensibilisierung unter den Usern einhergehen, denn Sicherheit per se gibt es nicht umsonst.

    Bye

    Thorsten

    [
    | Versenden | Drucken ]
0
Von Mario Schmidt am Fr, 2. August 2002 um 10:35 #
Hallo,
also entweder bin ich Blind oder hier werden mal wieder Nachrichten ungeprueft weiterverbreitet. Auf dem Webserver von OpenSSH habe ich jedenfalls keine MD5 Pruefsummen gefunden. Nach der Heise Meldung Gestern hatte ich da schon versucht sowas zu finden. Gefunden habe ich aber nur Signatueren fuer GPG.
Nix fuer ungut, ich Lese Pro-Linux oft und gerne, aber falls ich Recht habe, sollte das vielleicht mal im Artikel korrigiert werden.

Mario

[
| Versenden | Drucken ]
  • 0
    Von Marc R. am Fr, 2. August 2002 um 10:44 #
    Moin.

    Folge mal dem Link unterhalb der Nachricht. In dem Announcement stehen die MD5-Summen.

    Gruß
    Marc

    [
    | Versenden | Drucken ]
    0
    Von le am Fr, 2. August 2002 um 11:21 #
    Die MD5-Summen hängen mit dem FreeBSD-Ports-System zusammen, über dieses System wurde das Backdoor ja auch entdeckt.

    Also, ein FreeBSD Port besteht aus einem Makefile, diversen Patches für das jeweilige Programm und unter anderem auch einer Checksum. Der Port-Maintainer erstellt also, wenn er den Port macht, aus dem Source-Paket eine MD5-Checksumme. Diese Checksumme liegt also lokal auf dem Rechner, der das Programm bauen will. Jetzt lädt das Ports-System das Source-Paket herunter und stellt fest "Hö, da stimmt ja die Checksumme nicht!" und der Build-Vorgang bricht ab. D.h. das Source-Paket ist nicht mehr dasselbe wie jenes, welches der Port-Maintainer zum Erstellen des Ports verwendet hat. Das sollte, gerade bei einer Software wie OpenSSH, stutzig machen. Und so kam dann die Sache ins Rollen.

    Allerdings gibt es auf dem FTP-Server nicht nur die Source-Pakete selber, sondern auch Signatures für die jeweiligen Pakete. DIE kann ein Hacker nun nicht mehr so leicht ersetzen, außer er hat den Secret Key, mit dem das Paket signiert wurde. Aufgefallen ist ja in dem Fall auch, daß sich zwar der Timestamp des Pakets geändert hat, aber nicht der Timestamp der Signature.

    [
    | Versenden | Drucken ]
0
Von Deniz am Fr, 2. August 2002 um 10:37 #
openssh zu manipulieren ist schon sehr dreist, war das eine einfach ebackdoor oder hat die openssh auch gleich zur root-shell gemacht?
[
| Versenden | Drucken ]
  • 0
    Von le am Fr, 2. August 2002 um 11:24 #
    Die OpenSSH-Software an sich war nicht gebackdoored, das Backdoor trat nur beim (erstmaligen) Kompilieren des Sourcecodes auf.
    [
    | Versenden | Drucken ]
0
Von Marek Walther am Fr, 2. August 2002 um 11:01 #
Moin Moin,

schlimme Sache sowas.
Wo gibt es eigendlich die entsprechenden MD5 Codes für die Softwarepakete, einer MD5 Summe von einem untermenierten Server kann man ja leider nicht trauen. Gibt es einen unabhängigen Server auf dem MD5 Codes hinterlegt werden, oder ist so etwas geplant.

MfG Marek Walther

[
| Versenden | Drucken ]
  • 0
    Von Martin am Fr, 2. August 2002 um 11:38 #
    Bei Gentoo gibt es sowas z.B.

    D.h. die Package Maintainer erzeugen zu den Sourcepackages auch die passenden MD5 Checksummen (und überprüfen die hoffentlich doppelt und dreifach z.B. auch mit OpenPGP Signaturen). Zusammen werden sie auf Gentoo RSYNC Server geladen.

    Wenn du dann ein Paket installierst, lädst du von einem RSYNC Server die MD5s und das kleine ebuild Script runter - das eigentlcihe Source Archiv wird von einem seperaten Mirror oder dem Original Projekt Server geladen. Dann werden natürlich die Checksummen verglichen.

    Es wurde auch schon diskutiert das System irgendwann auf OpenPGP Signaturen umzustellen.

    Und zum Glück war bei dieser OpenSSH, Gentoo nicht betroffen.

    Gruß
    Martin

    [
    | Versenden | Drucken ]
    • 0
      Von Marek Walther am Fr, 2. August 2002 um 17:54 #
      Ich meinte jetzt einen unabhängigen Server, keinen der an den Distributor oder das Entwicklerteam gebunden ist. Das einreichen von Paketversion, Distribution und MD5 Schlüsel muß natürlich verschlüsselt erfolgen.

      Das Abholen der MD5's kann dann mit einem spez. Protokoll erfolgen, um den Installationsvorgang zu beschleunigen.

      Der Server sollte also unabhängig und übergreifend arbeiten, dadurch würden solche angriffe wesendlich erschwert. Denn es müssten jetzt 2 System unterminiert werden.
      1. Der Projektserver
      2. der MD5 Server

      MfG Marek Walther

      [
      | Versenden | Drucken ]
      • 0
        Von Anonymer Feigling am Sa, 3. August 2002 um 08:19 #
        Im endefekt gibt es das schon, wird nur (für diesen Zweck) nicht genutzt. Nennt sich GPG, ich meine wo währe das Problem zu jedem Paket ne MD5-Datei anzulegen die mit GPG unterschrieben ist?
        [
        | Versenden | Drucken ]
        • 0
          Von sascha am Sa, 3. August 2002 um 13:24 #
          Gute Idee!
          Derjenige der den Code auf den FTP stellt soll mit seinem PGP/GPG Key das Packet signieren.
          Damit ist jederzeit nachprüfbar ob das Packet wirklich von einem der Entwickler stammt.
          [
          | Versenden | Drucken ]
0
Von Raver am So, 4. August 2002 um 13:00 #
Hi !

Nichtmal eine Woche hat es gedauert das Backdoor zu finden.
Wie lang war das in der Borland Software nochmal aktiv?

Das muss doch all diesen "schaust du dir jedesmal den Quellcode an?" Typen die Schuhe ausziehen. ;-)

[
| Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung