und das es viele Idioten gibt, die gerade dabei sind MS voll in die Hand zu spielen. Diese Dinger schaden dem Ansehen von OpenSorce ganz allgemein mehr, als noch so viele "normale" Sicherheitslücken, denn sie zeigen ein prinzipielles Problem auf!!!
Allerdings sollten die Betreiber von Sendmail,FTP,SSH usw. endlich mal aufwachen und kapieren das ihre Software ein beliebter weg ist hunderte von unix servern aufeinmal unter Kontrolle zu bringen und Maßnahmen ergreifen. Updates/Installation solcher Programme sollte gesicherter sondierter ablaufen sonst gibts bald den super gau..
Von Felix Seeger am Mi, 9. Oktober 2002 um 23:40 #
Ja das sehe ich auch so. Ich frage mich warum noch niemand eine sichere Shell gebaut hat.
Also ein Sandkasten. Dem könnte man einen Prefix geben und alles was versucht woanders hin zu schreiben wird geblockt und gemeldet. Dann wird natürlich jegliche Socket Erstellung unterbunden und gemeldet.
Und was lehrnen wir daruas? ... ... dass aus einem "kleinen" vorfall wieder ein drama gemacht wird ...
es tat einmal jemand geschafft sich auf einen ftp-server zugang zu verschaffen und einen trojaner zu uppen. aber wegen den müssen wir uns jetzt nicht vor einem super gau fürchten! im normalfall kann man sich sicher sein dass die version die man sich von einem offiziellen server saugt auch sicher ist. interessanter wäre hier warum der eindringer auf den ftp gekommen ist? hat er einen sicherheitsbug ausgenutzt? ist irgenwo ein passwort durchgesickert? war es ein konfigurationsfehler? aber ich fürchte mich jetzt nicht vor einem supergau, und habe jedes mal angst wenn ich einen patch einspiele. ich weiß, das kann jeder zeit wieder passieren. aber das gleiche hätte in den letzten jahren auch schon passieren können, aber es ist eben sehr unwarhscheinlich ...
und was können die betreiber von Sandmail, ftp, ssh dafür? sollen sie ihre software einfach nicht mehr über internet anbieten, dann könnte man das (geringe) risiko entfernen ...
Niemand, dem Sicherheit am Herzen liegt, wird Sendmail einsetzen. Sendmail hatte schon mehr Sicherheitslücken als der Internetexplorer und ist an Unsicherheit am ehesten mit dem WUFTPd vergeichbar.
Daß das Sendmail Team nichtmal laufend per Skript die Authentizität der Pakete auf ftp.sendmail.com überprüft, ist wohl kein Zufall.
Also: Postfix oder Qmail verwenden, dann kann man über die vielen Sendmail Probleme nur schmunzeln
Nä, das ein Hacker in die Microsoft Zentrale eingedrungen ist und einen Trojaner in Windows eingebaut hat, ist bisher leider nur nicht bekannt geworden.
OS ist also immer noch sicherer, den eingebauten Trojaner kann man wenigstens dank Source Code aufspüren.
wieso sollte es? Solche Trojaner lassen sich meist mit der md5sum, spaetestens aber mit einer PGP sig aufspueren. Wer die Pakete herunterlaedt, ohne die sig zu ueberpruefen ist nun ganz einfach selbst schuld, und hats verdient.
Von Tilo Riemer am Do, 10. Oktober 2002 um 09:27 #
Was hat ein eingeschleuster Trojaner mit irgendwelchen sonstigen Sicherheitsluecken in Sendmail zu tun? Waere der Trojaner in Postfix eingeschleust worden, waere auch Postfix unsicher gewesen. Was haettest Du dann als Kommentar geschrieben? Wenn jemand einen Trojaner in die Kernelquellen einschleust, ist auch Linux unsicher, soll ich dann Windows nehmen?
Von Hanswurscht am Do, 10. Oktober 2002 um 10:11 #
Lies nochmal. Ich kritisierte, daß Sendmail keine z.B. skriptgesteuerte Überwchungsfunktion ihrer eigenen tar.gzs hat. Nur durch Zufall wurden sie eine Woche nach dem Vorfall darauf hingewiesen...
> Nur durch Zufall wurden sie eine Woche nach dem Vorfall darauf hingewiesen...
Was bedeutet, dass a) kaum einer den ftp-Server zum Download nutzt b) kaum einer der sendmail im source runterlädt (Admins) Prüfsummen und Signaturen checkt.
ich weiß nicht, wie debian es macht, doch gentoo prüft nach dem download die md5sum des source-Paketes mit einem im ebuild-script gespeicherten Wert.
Wenn die beiden Zahlenfolgen nicht übereinstimmen, bricht gentoo mit einer nicht zu übersehenden Fehlermeldung ab.. es steht einem natürlich frei, das Paket dann noch per Hand zu installieren, wenn man das unbedigt will. Zum Glück macht es einem Gentoo in dem Fall schwer genug, daß man erstmal ein wenig lesen muß, bevor man die emerge Schritte einzeln ausführt. Viel Zeit, in der einem klar werden kann, daß es vielleicht keine gute Idee ist, was man da grad vorhat...
zu 1: Weiß ich nicht. Ich schau mal, ob ich da was finde... zu 2: Ja. MD5-Sums kann man ja selber machen. zu 3: Ja. Oder 10 oder 20 oder ... zu 4: Die Disks sollten dann aber schreibgeschützt sein.
Sinnvoll wäre es meiner Meinung nach, wenn die MD5-Summen, bzw. die Quell-Pakete per GPG signiert werden. So etwas läßt sich nicht so einfach fälschen und ist leicht zu überprüfen.
naja ich weiss net ob disketten da die richtige lösung sind besser wäre da ne cd oder ne read only gemountete festplatte passt mehr drauf und der admin muss net ewig die disketten wechseln ;) mann muss ja auch net über die fstab mounten und mount muss besser gesichert werden so das es nur der super user executen kann
a) wieso ist es nicht möglich, sendmail als Benutzer sendmail-admin (der dann nur auf die sendmail-Verzeichnisse schreibend zugreifen darf) zu installieren (und entsprechend für andere Software-pakete), wieso braucht man für rpm immer root-Rechte?
b) warum ist eine PGP-Signatur mit Verifikation nicht Standardmäßig in rpm und apt vorgesehen? (Ja, ich weiß das es hier kein rpm oder deb Paket getroffen hat und ich habe auch gehört, dass bei deb eine Überprüfung der md5-Checksumme schon drin ist. Aber Prinzipiell wären die als nächstes Opfer auch immer noch angreifbar.)
Was ich kurz klarstellen will, ist das es nicht an rpm liegt das man root sein muss, sondern an dem verzeichnis in dem die dateien liegen die rpm benutzt bzw. modiviziert. Du kannst z.B eine fritz.rpm als user franz unter /home/franz über rpm --root /home/franz fritz.rpm installieren ! damit wird /home/franz als root - verz genommen. Ok blödes Beispiel aber es zeigt auf alle fälle das nicht zwingend root nötig ist um ein rpm zu installieren.
Was kann getan werden um die Wahrscheinlicheikeit der Widerholung solcher GAUs zu verrringern. Gibt es nicht die Möglichkeit die Rolle des "Sicherheitsbeauftragten" zu definieren.?
Wer glaubst Du programiert solche HotteHüüs?
Ich habe da konkrete Vorstellungen!
Also ein Sandkasten. Dem könnte man einen Prefix geben und alles was versucht woanders hin zu schreiben wird geblockt und gemeldet.
Dann wird natürlich jegliche Socket Erstellung unterbunden und gemeldet.
Wäre was für die bash,sh,[your shell] ToDO Liste
... dass aus einem "kleinen" vorfall wieder ein drama gemacht wird ...
es tat einmal jemand geschafft sich auf einen ftp-server zugang zu verschaffen und einen trojaner zu uppen.
aber wegen den müssen wir uns jetzt nicht vor einem super gau fürchten!
im normalfall kann man sich sicher sein dass die version die man sich von einem offiziellen server saugt auch sicher ist.
interessanter wäre hier warum der eindringer auf den ftp gekommen ist? hat er einen sicherheitsbug ausgenutzt? ist irgenwo ein passwort durchgesickert? war es ein konfigurationsfehler?
aber ich fürchte mich jetzt nicht vor einem supergau, und habe jedes mal angst wenn ich einen patch einspiele. ich weiß, das kann jeder zeit wieder passieren. aber das gleiche hätte in den letzten jahren auch schon passieren können, aber es ist eben sehr unwarhscheinlich ...
und was können die betreiber von Sandmail, ftp, ssh dafür? sollen sie ihre software einfach nicht mehr über internet anbieten, dann könnte man das (geringe) risiko entfernen ...
B) gefälligst nach dem download die md5sum oder was auch immer benuztz wurde, genau anzusehen.
ciao
Volker
Daß das Sendmail Team nichtmal laufend per Skript die Authentizität der Pakete auf ftp.sendmail.com überprüft, ist wohl kein Zufall.
Also: Postfix oder Qmail verwenden, dann kann man über die vielen Sendmail Probleme nur schmunzeln
apt, die MD5 summen der Pakete kontrolliert
die er sich von einen Mirror herunterlädt?
OS ist also immer noch sicherer, den eingebauten Trojaner kann man wenigstens dank Source Code aufspüren.
Solche Trojaner lassen sich meist mit der md5sum, spaetestens aber mit einer PGP sig aufspueren. Wer die Pakete herunterlaedt, ohne die sig zu ueberpruefen ist nun ganz einfach selbst schuld, und hats verdient.
Waere der Trojaner in Postfix eingeschleust worden, waere auch Postfix unsicher gewesen. Was haettest Du dann als Kommentar geschrieben?
Wenn jemand einen Trojaner in die Kernelquellen einschleust, ist auch Linux unsicher, soll ich dann Windows nehmen?
Viele Gruesse, Tilo
Was bedeutet, dass
a) kaum einer den ftp-Server zum Download nutzt
b) kaum einer der sendmail im source runterlädt (Admins)
Prüfsummen und Signaturen checkt.
Ich locke mal Antwort a) ein
Ganz davon abgesehen, dass sie sie Entwicklung mit bezahlen.
mad
dies zu verhinder bzw. erheblich zu erschweren.
Könnt ihr mir diese Fragen beantworten ?
1. Werden die MD5summen nach dem download von paketen (zB. mit apt-get) eigentlich automatisch überprüft ?
2. Ist es nicht sinnvoll die MD5 auf einem anderen Server zu hinterlegen als den src-code (dann müssen immerhin 2 server gecrackt werden)
3. oder vielleicht sogar auf 5 verschieden servern, mit unterschiedlichen systemen und verschiedenen administratoren.
4. md5-summen sollten auf dem server immer auf disketten gesichert sein:-)
(naja, da könnte man dann auch /dev/fdx umbiegen ...)
cu
m.m
ich weiß nicht, wie debian es macht, doch gentoo prüft nach dem download die md5sum des source-Paketes mit einem im ebuild-script gespeicherten Wert.
Wenn die beiden Zahlenfolgen nicht übereinstimmen, bricht gentoo mit einer nicht zu übersehenden Fehlermeldung ab.. es steht einem natürlich frei, das Paket dann noch per Hand zu installieren, wenn man das unbedigt will.
Zum Glück macht es einem Gentoo in dem Fall schwer genug, daß man erstmal ein wenig lesen muß, bevor man die emerge Schritte einzeln ausführt. Viel Zeit, in der einem klar werden kann, daß es vielleicht keine gute Idee ist, was man da grad vorhat...
ciao
Volker
ebuild ebuildfile digest
downloaded und bildet die Md5sum...
Wenn das also gerade passiert, wenn Paket XY infiziert ist, dann hilft das auch nix.
(Irrtum scheint mir nicht wahrscheinlich, ist aber nicht gänzlich ausgeschlosssen)
zu 1: Weiß ich nicht. Ich schau mal, ob ich da was finde...
zu 2: Ja. MD5-Sums kann man ja selber machen.
zu 3: Ja. Oder 10 oder 20 oder ...
zu 4: Die Disks sollten dann aber schreibgeschützt sein.
Sinnvoll wäre es meiner Meinung nach, wenn die MD5-Summen, bzw. die Quell-Pakete per GPG signiert werden. So etwas läßt sich nicht so einfach fälschen und ist leicht zu überprüfen.
Gruß
Marc
mann muss ja auch net über die fstab mounten und mount muss besser gesichert werden so das es nur der super user executen kann
r4d4
Mir fallen dazu zwei Dinge ein:
a) wieso ist es nicht möglich, sendmail als Benutzer sendmail-admin (der dann nur auf die sendmail-Verzeichnisse schreibend zugreifen darf) zu installieren (und entsprechend für andere Software-pakete), wieso braucht man für rpm immer root-Rechte?
b) warum ist eine PGP-Signatur mit Verifikation nicht Standardmäßig in rpm und apt vorgesehen? (Ja, ich weiß das es hier kein rpm oder deb Paket getroffen hat und ich habe auch gehört, dass bei deb eine Überprüfung der md5-Checksumme schon drin ist. Aber Prinzipiell wären die als nächstes Opfer auch immer noch angreifbar.)
Gruß
Thorsten
Was ich kurz klarstellen will, ist das es nicht an rpm liegt das man root sein muss, sondern an dem verzeichnis in dem die dateien liegen die rpm benutzt bzw. modiviziert.
Du kannst z.B eine fritz.rpm als user franz unter /home/franz über
rpm --root /home/franz fritz.rpm
installieren !
damit wird /home/franz als root - verz genommen.
Ok blödes Beispiel aber es zeigt auf alle fälle das nicht zwingend root nötig ist um ein rpm zu installieren.
Einfach mit rpm --checksig zu überprüfen...