Das ist ja oberheftig. Gibt es für solche sachen eigentlich automatische warnsysteme ? zB bei debian, wenn man mit apt installiert. Beispielsweise, daß MD5-summen auf einem anderen server liegen als die deb-pakete ?
Hier bei pro-linux gabs mal einen Artikel, wie man soetwas überprüft: vom ganzen System MD5-summen erzeugen, auf Diskette speichern, Diskette schreibschützen. und dann per script jeden tag mit dem System vergleichen. Das MD5-progi ist natürlich auch auf der Diskette. also 1. disketten nicht abschaffen ;-) und 2. pro-linux lesen :-)
also 1. lieber eine CD nehmen, da passt auch gleich eine kopie der gesamten /bin /sbin /lib [...] samt Kernel drauf, so daß man gleich völlig von CD booten kann. Da passiert es einem wenigstens nicht, daß plötzlich die diskette den geist aufgibt.
Die Backdoor ist bereits beim instellieren da! Da hilft einem eine md5-Summe gar nicht, da man ja nie eine andere Version als die mit Backdoor auf dem System hatte. (Die Summen auf Disk/CD helfen nur gegen Veränderungen nach dem Erstellen der Disk/CD) Was man aus solchen Meldungen lernen sollte ist, dass man sich überlegen sollte, wem man trauen sollte/kann und auch ein wenig Paranoia nicht schadet (z.B. hat man ja auch in diesem Fall durch eine konsequente Überprüfung z.B. der verfügbaren checksummen merken können, dass etwas nicht stimmt)
das ist jetzt das dritte Mal, dass ein fehlerhafter Server dafür sorgt, dass ein Quellcode ausgetauscht wird. So langsam wird es peinlich und M$ ist in seinem "OpenSource ist unsicher" um ein Argument reicher - also verdammtnochmal, bringt eure verdamten Server auf Vordermann!!!!
Wie dem auch sei, wenn man nur einmal Zugriff auf einen PC hatte und alle möglichen Programme ausführen kann, da frag` ich mich, was ist da sonst noch auf den Pc's installiert worden. Da ist schon recht erschreckend.
Als wenn derjenige der diese Tür geöffnet hat gleichzeitig noch ein paar Programme installiert hat und man weiss auch nicht welche, dann ist das schon erschreckend. Zumal er noch nicht mal ein paar Stunden dafür braucht, geschweige denn ein paar Tage. Wenn ich mal ganz fies denken würde ist da einer der in der Lage ist innerhalb von Minuten Zugriff auf jeden Rechner zu bekommen und mit diesem auch alles anzustellen. Das heist , auch wenn diese Backdoor entdeckt wird. Schliesslich habe ich ja dann lange genug Zeit mir weitere zu schaffen. Vielleicht ein paar stille Agenten, die erst nach einer Weile aktiv werden. Programmtechnisch gesehen sehe ich da überhaupt keine Probleme, wenn ich erst mal drin bin mit allen Rechten, dann mach ich auch was ich will. So etwas darf einfach nicht passieren.
nunja, bei ms sind backdoors halt als feature deklariert. also absolute sicherheit gibt es nicht, da muss man schon selbst hand anlegen, staendige ueberpruefung der offenen connection und natuerlich immer security info lesen usw.
Von Thorsten Schnebeck am Fr, 2. August 2002 um 10:45 #
Hi Kai!
Auch wenn sowas sicher immer etwas peinlich ist, was ist denn die Alternative: Vertuschung? Ich denke, ein offensiver Umgang mit diesen Problemen ist produktiver als Verschleierung. Sonst lacht sich doch die Gruppe der Hacker-Subkultur ins Fäustchen, weil keiner von den Sicherheitslücken erfährt und man munter die Lücken auf vielen Maschinen ausnutzen kann. Es ist sicherlich ein Marketing-Problem: Welches System ist besser, das mit 50 veröffentlichten Sicherheitslücken pro Jahr oder das mit zwei ServicePacks? Tja - kann unsereins kaum beurteilen! Wir erleben aber, dass OS anders attakiert wird, nämlich an der Quelle.
Die aktuellen Beispiele zeigen, dass die Zeit der Unschuld vorbei ist. Wer Tar-Pakete auf dem Servern austauschen kann, kann auch MD5-Summen ändern. Damit sollten diese generell GPG-signiert werden. Downloader, wie die von Gentoo, müssten neben der MD5 auch die Signatur prüfen. Aber nicht nur die TAR-Ball-Distribution ist gefährdet. Großen Projekte wie z.B. KDE müssen auch ihr CVS vor Saboteuren schützen. Rob Kaper hat den aktuellen Vorfall zum Anlass genommen, ein Schutzkonzept zu umreißen: http://unixcode.org/capistro/
Damit wird hoffentlich eine Sensibilisierung unter den Usern einhergehen, denn Sicherheit per se gibt es nicht umsonst.
Von Mario Schmidt am Fr, 2. August 2002 um 10:35 #
Hallo, also entweder bin ich Blind oder hier werden mal wieder Nachrichten ungeprueft weiterverbreitet. Auf dem Webserver von OpenSSH habe ich jedenfalls keine MD5 Pruefsummen gefunden. Nach der Heise Meldung Gestern hatte ich da schon versucht sowas zu finden. Gefunden habe ich aber nur Signatueren fuer GPG. Nix fuer ungut, ich Lese Pro-Linux oft und gerne, aber falls ich Recht habe, sollte das vielleicht mal im Artikel korrigiert werden.
Die MD5-Summen hängen mit dem FreeBSD-Ports-System zusammen, über dieses System wurde das Backdoor ja auch entdeckt.
Also, ein FreeBSD Port besteht aus einem Makefile, diversen Patches für das jeweilige Programm und unter anderem auch einer Checksum. Der Port-Maintainer erstellt also, wenn er den Port macht, aus dem Source-Paket eine MD5-Checksumme. Diese Checksumme liegt also lokal auf dem Rechner, der das Programm bauen will. Jetzt lädt das Ports-System das Source-Paket herunter und stellt fest "Hö, da stimmt ja die Checksumme nicht!" und der Build-Vorgang bricht ab. D.h. das Source-Paket ist nicht mehr dasselbe wie jenes, welches der Port-Maintainer zum Erstellen des Ports verwendet hat. Das sollte, gerade bei einer Software wie OpenSSH, stutzig machen. Und so kam dann die Sache ins Rollen.
Allerdings gibt es auf dem FTP-Server nicht nur die Source-Pakete selber, sondern auch Signatures für die jeweiligen Pakete. DIE kann ein Hacker nun nicht mehr so leicht ersetzen, außer er hat den Secret Key, mit dem das Paket signiert wurde. Aufgefallen ist ja in dem Fall auch, daß sich zwar der Timestamp des Pakets geändert hat, aber nicht der Timestamp der Signature.
Von Marek Walther am Fr, 2. August 2002 um 11:01 #
Moin Moin,
schlimme Sache sowas. Wo gibt es eigendlich die entsprechenden MD5 Codes für die Softwarepakete, einer MD5 Summe von einem untermenierten Server kann man ja leider nicht trauen. Gibt es einen unabhängigen Server auf dem MD5 Codes hinterlegt werden, oder ist so etwas geplant.
D.h. die Package Maintainer erzeugen zu den Sourcepackages auch die passenden MD5 Checksummen (und überprüfen die hoffentlich doppelt und dreifach z.B. auch mit OpenPGP Signaturen). Zusammen werden sie auf Gentoo RSYNC Server geladen.
Wenn du dann ein Paket installierst, lädst du von einem RSYNC Server die MD5s und das kleine ebuild Script runter - das eigentlcihe Source Archiv wird von einem seperaten Mirror oder dem Original Projekt Server geladen. Dann werden natürlich die Checksummen verglichen.
Es wurde auch schon diskutiert das System irgendwann auf OpenPGP Signaturen umzustellen.
Und zum Glück war bei dieser OpenSSH, Gentoo nicht betroffen.
Von Marek Walther am Fr, 2. August 2002 um 17:54 #
Ich meinte jetzt einen unabhängigen Server, keinen der an den Distributor oder das Entwicklerteam gebunden ist. Das einreichen von Paketversion, Distribution und MD5 Schlüsel muß natürlich verschlüsselt erfolgen.
Das Abholen der MD5's kann dann mit einem spez. Protokoll erfolgen, um den Installationsvorgang zu beschleunigen.
Der Server sollte also unabhängig und übergreifend arbeiten, dadurch würden solche angriffe wesendlich erschwert. Denn es müssten jetzt 2 System unterminiert werden. 1. Der Projektserver 2. der MD5 Server
Von Anonymer Feigling am Sa, 3. August 2002 um 08:19 #
Im endefekt gibt es das schon, wird nur (für diesen Zweck) nicht genutzt. Nennt sich GPG, ich meine wo währe das Problem zu jedem Paket ne MD5-Datei anzulegen die mit GPG unterschrieben ist?
Gute Idee! Derjenige der den Code auf den FTP stellt soll mit seinem PGP/GPG Key das Packet signieren. Damit ist jederzeit nachprüfbar ob das Packet wirklich von einem der Entwickler stammt.
Gibt es für solche sachen eigentlich
automatische warnsysteme ?
zB bei debian, wenn man mit apt installiert.
Beispielsweise, daß MD5-summen auf einem
anderen server liegen als die deb-pakete ?
Hier bei pro-linux gabs mal einen Artikel, wie man soetwas
überprüft: vom ganzen System MD5-summen erzeugen, auf
Diskette speichern, Diskette schreibschützen. und dann per
script jeden tag mit dem System vergleichen. Das MD5-progi
ist natürlich auch auf der Diskette.
also 1. disketten nicht abschaffen ;-)
und 2. pro-linux lesen :-)
tschö
mit ö
PS: Ich hasse Disketten.
(Die Summen auf Disk/CD helfen nur gegen Veränderungen nach dem Erstellen der Disk/CD)
Was man aus solchen Meldungen lernen sollte ist, dass man sich überlegen sollte, wem man trauen sollte/kann und auch ein wenig Paranoia nicht schadet (z.B. hat man ja auch in diesem Fall durch eine konsequente Überprüfung z.B. der verfügbaren checksummen merken können, dass etwas nicht stimmt)
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security
und hier:
http://online.securityfocus.com/archive/1/285492/2002-07-29/2002-08-04/0
Gruß Sven
> So langsam wird es peinlich und M$ ist in seinem "OpenSource ist unsicher" um ein Argument reicher
In diesem Fall nicht. Der Server läuft unter Solaris. Siehe OpenBSD-FAQ.
Gruß
Marc
und das, obwohl der Betrieb von Solaris-Servern fast 10 mal so teuer ist, wie der von Linux-Maschinen? Tststs....
http://www.heise-online.de/newsticker/data/jk-01.08.02-004/
Gruss
Da ist schon recht erschreckend.
Wenn ich mal ganz fies denken würde ist da einer der in der Lage ist innerhalb von Minuten Zugriff auf jeden Rechner zu bekommen und mit diesem auch alles anzustellen. Das heist , auch wenn diese Backdoor entdeckt wird. Schliesslich habe ich ja dann lange genug Zeit mir weitere zu schaffen. Vielleicht ein paar stille Agenten, die erst nach einer Weile aktiv werden.
Programmtechnisch gesehen sehe ich da überhaupt keine Probleme, wenn ich erst mal drin bin mit allen Rechten, dann mach ich auch was ich will.
So etwas darf einfach nicht passieren.
also absolute sicherheit gibt es nicht, da muss man schon selbst hand anlegen,
staendige ueberpruefung der offenen connection und natuerlich immer security info lesen usw.
schoenes wochenende
prospero
danke
Auch wenn sowas sicher immer etwas peinlich ist, was ist denn die Alternative: Vertuschung? Ich denke, ein offensiver Umgang mit diesen Problemen ist produktiver als Verschleierung. Sonst lacht sich doch die Gruppe der Hacker-Subkultur ins Fäustchen, weil keiner von den Sicherheitslücken erfährt und man munter die Lücken auf vielen Maschinen ausnutzen kann. Es ist sicherlich ein Marketing-Problem: Welches System ist besser, das mit 50 veröffentlichten Sicherheitslücken pro Jahr oder das mit zwei ServicePacks? Tja - kann unsereins kaum beurteilen! Wir erleben aber, dass OS anders attakiert wird, nämlich an der Quelle.
Die aktuellen Beispiele zeigen, dass die Zeit der Unschuld vorbei ist. Wer Tar-Pakete auf dem Servern austauschen kann, kann auch MD5-Summen ändern. Damit sollten diese generell GPG-signiert werden. Downloader, wie die von Gentoo, müssten neben der MD5 auch die Signatur prüfen.
Aber nicht nur die TAR-Ball-Distribution ist gefährdet. Großen Projekte wie z.B. KDE müssen auch ihr CVS vor Saboteuren schützen. Rob Kaper hat den aktuellen Vorfall zum Anlass genommen, ein Schutzkonzept zu umreißen:
http://unixcode.org/capistro/
Damit wird hoffentlich eine Sensibilisierung unter den Usern einhergehen, denn Sicherheit per se gibt es nicht umsonst.
Bye
Thorsten
also entweder bin ich Blind oder hier werden mal wieder Nachrichten ungeprueft weiterverbreitet. Auf dem Webserver von OpenSSH habe ich jedenfalls keine MD5 Pruefsummen gefunden. Nach der Heise Meldung Gestern hatte ich da schon versucht sowas zu finden. Gefunden habe ich aber nur Signatueren fuer GPG.
Nix fuer ungut, ich Lese Pro-Linux oft und gerne, aber falls ich Recht habe, sollte das vielleicht mal im Artikel korrigiert werden.
Mario
Folge mal dem Link unterhalb der Nachricht. In dem Announcement stehen die MD5-Summen.
Gruß
Marc
Also, ein FreeBSD Port besteht aus einem Makefile, diversen Patches für das jeweilige Programm und unter anderem auch einer Checksum. Der Port-Maintainer erstellt also, wenn er den Port macht, aus dem Source-Paket eine MD5-Checksumme. Diese Checksumme liegt also lokal auf dem Rechner, der das Programm bauen will. Jetzt lädt das Ports-System das Source-Paket herunter und stellt fest "Hö, da stimmt ja die Checksumme nicht!" und der Build-Vorgang bricht ab. D.h. das Source-Paket ist nicht mehr dasselbe wie jenes, welches der Port-Maintainer zum Erstellen des Ports verwendet hat. Das sollte, gerade bei einer Software wie OpenSSH, stutzig machen. Und so kam dann die Sache ins Rollen.
Allerdings gibt es auf dem FTP-Server nicht nur die Source-Pakete selber, sondern auch Signatures für die jeweiligen Pakete. DIE kann ein Hacker nun nicht mehr so leicht ersetzen, außer er hat den Secret Key, mit dem das Paket signiert wurde. Aufgefallen ist ja in dem Fall auch, daß sich zwar der Timestamp des Pakets geändert hat, aber nicht der Timestamp der Signature.
schlimme Sache sowas.
Wo gibt es eigendlich die entsprechenden MD5 Codes für die Softwarepakete, einer MD5 Summe von einem untermenierten Server kann man ja leider nicht trauen. Gibt es einen unabhängigen Server auf dem MD5 Codes hinterlegt werden, oder ist so etwas geplant.
MfG Marek Walther
D.h. die Package Maintainer erzeugen zu den Sourcepackages auch die passenden MD5 Checksummen (und überprüfen die hoffentlich doppelt und dreifach z.B. auch mit OpenPGP Signaturen). Zusammen werden sie auf Gentoo RSYNC Server geladen.
Wenn du dann ein Paket installierst, lädst du von einem RSYNC Server die MD5s und das kleine ebuild Script runter - das eigentlcihe Source Archiv wird von einem seperaten Mirror oder dem Original Projekt Server geladen. Dann werden natürlich die Checksummen verglichen.
Es wurde auch schon diskutiert das System irgendwann auf OpenPGP Signaturen umzustellen.
Und zum Glück war bei dieser OpenSSH, Gentoo nicht betroffen.
Gruß
Martin
Das Abholen der MD5's kann dann mit einem spez. Protokoll erfolgen, um den Installationsvorgang zu beschleunigen.
Der Server sollte also unabhängig und übergreifend arbeiten, dadurch würden solche angriffe wesendlich erschwert. Denn es müssten jetzt 2 System unterminiert werden.
1. Der Projektserver
2. der MD5 Server
MfG Marek Walther
Derjenige der den Code auf den FTP stellt soll mit seinem PGP/GPG Key das Packet signieren.
Damit ist jederzeit nachprüfbar ob das Packet wirklich von einem der Entwickler stammt.
Nichtmal eine Woche hat es gedauert das Backdoor zu finden.
Wie lang war das in der Borland Software nochmal aktiv?
Das muss doch all diesen "schaust du dir jedesmal den Quellcode an?" Typen die Schuhe ausziehen. ;-)