Bevor jemand sich über GNU lustig macht, oder andere Leute sagen, dass das MS nicht passiert wäre (naja, dazu äußer ich mich jetzt nicht), sollte man sagen, dass das wohl schwer zu verhindern ist.
Einen lokal-Exploit in der Zeit der Entstehung und des Patches auszuführen heißt schon was. Aber da stellt sich mir die Frage, wer hat denn dort alles lokalen Zugriff?!
Zumindest versuchen meine Systeme nicht nach hause zu telefonieren, von daher denke ich, dass nichts großartiges geändert wurde. Aber zur Sicherheit nochmal Pakete überprüfen.
ich bin alle Monate auf den GNU Servern unterwegs und dort sind schon seit einiger Zeit verschiedene Dateien nichtmehr auffindbar. Außerdem ... wie willst du sowas herausfinden? Da hat eben jemand eine Rootshell, und? Wird auf diesem Server sicher öfter vorkommen. Das kann man nur herausfinden wenn wirklich etwas kaputt ist.
Nein; das ist tatsaechlich nicht lustig. Von offiziellen GNU Servern sollte man erwarten koennen, dass Mechanismen existieren, die evtl. kompromittierte Dateien aufspueren.
Was jetzt aber passiert (Suche nach MD5-Summen) ist uebelste Schlamperei; mir ist unverstaendlich, warum keine GPG-Signaturen der veroeffentlichten Software erzwungen werden/wurden.
In dieser Hinsicht gebe ich Dir Recht. Jeder noch so ein Depp-Admin macht Backups seines Systems und die gnu-Leute kriegen es nicht gebacken? Es kann wohl nicht sein, dass das Projekt nicht in der Lage ist, Staende wieder zu rekonstruieren... Es sei den, es ist ihnen erst Wochen oder gar Monate spaeter aufegfallen, dass sie gecrackt worden sind und die Backups waren schon futsch. In diesem Fall waere es aber noch peinlicher.
klar ist es peinlich zugeben zu müssen das man so geschlampt hat. aber immerhin besitzen sie die courage es zuzugeben und nicht zu verschweigen. solche fälle sollte man sich immer wieder zu herzen nehmen und checken ob sein backup-system auch stimmig ist ;)
das nennst du "courage" es zuzugeben? Des ist wohl ein Minimum was sie für uns machen können! Dann hat Microsoft aber auch viel "courage" jede Woche einen neuen Patch herauszustellen, der schon seit 3 Monaten bekannt war...
Die Kompromittierung ist mindestens schon seit 3. August bekannt. Die Admins sind zu der "genauen Erklärung" jetzt doch nur durch gestrigen Slashdot and sonstige Berichte gezwungen worden.
Von abcdefghijklmnopqrstuvwxyz am Do, 14. August 2003 um 10:53 #
-- Bevor jemand sich über GNU lustig macht, oder andere Leute sagen, dass das MS nicht -- passiert wäre, sollte man sagen, dass das wohl schwer zu verhindern ist. Gott sei dank gibt es hier keinen Diskusionsstil wie bei Heise
Wie kann das denn angehen, dass ftp.gnu.org fast kein Backup besitzt!? Man muß ja nicht gleich von einem Crack ausgehen, aber was ist denn, wenn mal die Maschinerie den Geist aufgibt? Ich finde das einfach nur verdammt verantwortungslos.
Aber ich sage nichts gegen die Qualität der GNU Software.
Die Mirrors sind kein Backup für solche Fälle, sie übernehmen doch täglich den Stand des Root-Servers, wenn dieser erreichbar ist. Man sollte mal fragen, ob die Mirrorbetreiber Backups haben.
VORALLEM SOLLTE man sich fragen, was man besser machen kann. Z.B. 5 Teams und 5 Root-Server betreiben. Jedes zu veröffendliches Paket muss bei den 5 Teams abgegeben werden. Sind diese gleich wird dieser Veröffendlicht. Die Mirrors vergleichen mindestens 3 Root-Server. Root-Server und Mirrors kontrolieren sich gegenseitig automatisch. Und gibt jedem der zugriff auf diesen Kisten hat zugriff zu explizieten Spiele-Kisten mit guten Internetanbindungen. Für einen Shell-Account den GNU FTP-server hacken - Namen und Bild von dem der das gemacht hat gehört veröffentlicht und eine Lehrstelle als Gärtner oder so angeboten.
Von Thorsten Schnebeck am Mi, 13. August 2003 um 23:30 #
Also, ich finde das schon _ziemlich_ heftig! OS muss unbedingt personen-/projektbezogene Signaturen in der Software-Verteilung als Standard einführen - aber auch in den Installationstools. Bei Gentoo verlasse ich mich auch nur auf die MD5-Prüfung, was absolut nicht hinreichend ist! (shame on me)
Auf alle Fälle ein schöner Dämpfer um nicht all zu hämisch auf all die verwurmten NT/XP/W2K-Maschinen dieser Tage zu zeigen!
Von Jens Gutzeit am Mi, 13. August 2003 um 23:42 #
Hinterher große reden schwingen ist einfach oder?
Woher weisst du das sie es nicht einsetzen?
Alle die hier jetzt über GNU, deren Admins herziehen und meinen es besser machen zu können, sollten sich mal überlegen den Leuten dort ihre Hilfe anzubieten. Die Jungs und Mädels machen das freiwillig und nicht jeder kann alles, noch kann er immer an alles denken (was das größte Problem ist).
Aber eigendlich gewöhne ich mich dran das jeder Depp meint der bessere Admin zu sein und frage mich eigendlich warum ich auf so einen scheiß dreck hier überhaupt noch antworte.
Schätzungsweise ist 90% der "Community" nur am flamen, die anderen 10% haben besseres zu tun und machen wirklich was um Probleme zu lösen, ich finde das ziemlich armseelig.
Ich kenne die Anlagen von GNU.org nicht, kann also nicht sagen ob dort geschlampt worden ist, aber zumindest haben sie sich hinterher korrekt verhalten, was das wichtigste ist, da auch mit der besten Absicherung ein Einruch passieren kann.
> Hinterher große reden schwingen ist einfach oder?
Ja, aber vorher Tripwire installieren noch einfacher.
> Woher weisst du das sie es nicht einsetzen?
Würden sie es tun, hätten sie den Einbruch nicht erst jetzt bemerkt.
> Aber eigendlich gewöhne ich mich dran das jeder Depp meint der bessere Admin zu sein > und frage mich eigendlich warum ich auf so einen scheiß dreck hier überhaupt noch > antworte.
Vielleicht weil Du selber weißt, daß es schlicht fahrlässig ist, auf einem öffentlichen und wichtigen Server kein Tripwire und Co laufen zu lassen?
> Schätzungsweise ist 90% der "Community" nur am flamen, die anderen 10% haben > besseres zu tun und machen wirklich was um Probleme zu lösen, ich finde das > ziemlich armseelig.
Es ist schon seit dem letzten Jahrhundert bekannt, wie man gegen unbemerkte Einbrüche vorsorgt: Tripwire, Aide, ...
ein kompromitierter Server ist ein kompromitierter Server ist ein kompromitierter Server...
du kannst jetzt natürlich ebenfalls leicht über andere herziehen, aber dass dort offensichtlich Leute geschlampt haben, kannst du nicht von der Hand weisen.
Ich will ja nicht sagen, dass das uns nicht passiert wäre (vielleicht ja, vielleicht nein), aber auf jedenfall müssten wir uns das auch anhören und eingestehen.
Und ist 'ne echt tolle Idee, noch mehr Leute an den Server zu lassen. Damit noch mehr lokale exploits gestartet werden können.... Man, der ist innerhalb einer Woche gestartet worden, da kannst du nichts dran ändern!
Sieh' es ein dass geschlampt wurde. Und ich schätze, du bist selbst ein Troll gegen "andere Trolle", oder bist du Mitglied bei GNU und hilfst denen aus?
Ich nicht, aber ich kann trotzdem sagen, dass geschlampt wurde...
Von Jens Gutzeit am Do, 14. August 2003 um 18:37 #
>du kannst jetzt natürlich ebenfalls leicht über andere herziehen, >aber dass dort offensichtlich Leute geschlampt haben, kannst du >nicht von der Hand weisen.
Ich weis zuwenig von den Maschinen als das ich sagen könnte das geschlampt worden wäre. Das habe ich auch eben schon gesagt, lies doch nochmal was ich schreibe,
>Ich will ja nicht sagen, dass das uns nicht passiert wäre >(vielleicht ja, vielleicht nein), aber auf jedenfall müssten >wir uns das auch anhören und eingestehen.
Natürlich ist etwas schief gelaufen wenn ein Einbruch stattfinden konnte, aber deshalb gleich von schlamperei zu sprechen finde ich nicht angebracht.
Ich habe nichts gegen Kritik gesagt, mich stören die kommentare von leuten die offenbar selbsr keine Ahnung haben und jetzt den größen security experten raushängen lassen müssen. Wenn man jeden Fehler als schlampen bezeichnet wird auf allen Maschinen mal mehr mal weniger geschlampt.
>Und ist 'ne echt tolle Idee, noch mehr Leute an den Server zu lassen.
Ich habe nicht gesagt, sie an die Server zu lassen, aber man könnte sich an die System Administratoren von GNU.org wenden und die Hilfe anbieten, wenn die merken das man Kompetent ist werden sie sicherlich Tipps gerne annehmen und sei es nur das mehr Leute lesen/hören was wie gemacht wurde.
>Und ich schätze, du bist selbst ein Troll gegen "andere Trolle"
Wenn du meinst.
>oder bist du Mitglied bei GNU und hilfst denen aus?
Mitglied? Ich bin nicht sehr aktiv bei GNU, aber ich helfe ab und an anderen Projekten aus, schreibe Dokumentationen und ähnl. Ob diese nun GNU oder BSD Lizenz sind interessiert mich relativ wenig. Für mehr Hilfe fehlt mir leider die zeit.
>Ich nicht, aber ich kann trotzdem sagen, dass geschlampt wurde...
Die Systeme nicht kennen und sagen das geschlampt wurde, is klar.
Mir wirds ehrlichgesagt zu doof. Anstatt sinnvoller Kritik an meinem beitrag wird man als Troll bezeichnet, dolle leistung. Bravo!
Ich glaube, dafür müsste man selbst welche bringen ;) Aus deinem Kommentar lese ich nur:
- Es liegt an den Admins, nicht am System - aber auch nicht an denen, sondern an euch, dass ihr nicht geholfen habt - ist aber wohl besser, dass ihr nicht helft, denn so toll seid ihr auch nicht - anstatt hier mit mir zu reden, wie 90% der anderen auch, solltet ihr arbeiten.. dito ;) - nehmt an mir ein Beispiel, ich schreibe Dokus
Der Umgang ist mal unterste Schublade. Keiner von uns kennt die genaue Architektur des Systems und jeder weiss, dass geschlampt wurde. Zuerst eingehender informieren, dann urteilen (so offensichtlich auch Schlamperei der Grund sein mag).
Du hast es voll auf den Punkt gebracht, Hut ab und wenn Du Doku's schreibst, gebührt Dir mein Dank. Es ist wirklich so, diese hier selbsternannten Pseudo-Administratoren sind Dank der Doku's die Du und andere geschrieben haben, gerade mal in der Lage Ihr Linux mittels Yast aufzusetzen.
> Natürlich ist etwas schief gelaufen wenn ein Einbruch stattfinden konnte, aber > deshalb gleich von schlamperei zu sprechen finde ich nicht angebracht.
[ ] Du hast kapiert, worum es in diesem Thread geht.
(HINT: es geht nicht darum, daß ein Einbruch passieren konnte (kann jedem mal passieren!), sondern darum, daß offensichtlich keine (einfachen(!)) Vorkehrungen getroffen worden sind, solche Einbrüche zuverlässig und zeitnah zu erkennen.
Wer auf diese Art einen FTP Server mit wichtiger Software betreibt handelt schlicht unverantwortlich. Das ist nun mal so, ob dir das gefällt, oder nicht.
Daß Du angeblich schonmal Dokumentation zu irgendwelchen GNU Projekten geschrieben hast, tut hier rein garnichts zur Sache. Du hättest eher ein Saint oder Tripwire HOWTO schreiben sollen ;-)
Und nun husch husch ins Kistchen, du Ich-lasse-keine-Kritik-an-GNU-zu-Troll!
Das weisst Du nicht! Schliesslich erwartet man auf einem solchen System ein IDS und wird dieses als erstes versuchen ausser Gefecht zu setztn. Mit root-Rechten eine einfache Sache. Alles läuft augenscheinig wie üblich, doch das IDS reagiert nicht mehr auf Veränderungen der vom Cracker gewünschten Art.
> Das weisst Du nicht! Schliesslich erwartet man auf einem solchen System ein > IDS und wird dieses als erstes versuchen ausser Gefecht zu setztn. Mit root-Rechten > eine einfache Sache.
Ha Ha Ha. Gut, daß Du zeigts, daß Du keinen Schimmer hast, warum gerade Tripwire, Aide, ... eben nicht mittels Root-Rechten umgangen werden können.
Bitte überlass doch Kommentare zu Themen, von denen Du offensichtlich nichts verstehst, den anderen, außer Du möchtest einzig die Mitleser belustigen.
Von Der es wirklich weiss am Fr, 15. August 2003 um 21:15 #
Yeah Besserwisser, Du kannst Tripwire mittels Rootrechte nicht umgehen? Dann gehörst Du zu den 99.8% der Computer-User, die das nicht können. Also betrachte dich als Durchschnittsuser.
Von Ja natürlich am Fr, 15. August 2003 um 21:36 #
Wir wissen doch schon, daß Du nicht weißt, wie man Tripwire oder Aide einsetzt.
Außer vielleicht, Du bist der Auserwählte, der es alleine mit Rootrechten schafft, eine CD-R (die noch dazu die meiste Zeit im Save lagert) neu zu beschreiben.
Hahaha, ganz einfach: Ich ersetzt Tripwire durch mein eigens gestricktes Programm, das zufällig die Hashwerte "korrekt" so berechnet, dass die von mir manipulierten Dateien nicht als solche erkannt werden. Tripwire wurde von mir selbst bereits eingesetzt und der Troll scheint hier jemand anderes zu sein. Wenn tripwire selbst auf einem RO-Datenträger liegt, gut dann installiere ich meine Version woanders, hoffe, dass der Pfad nicht komplett angegeben ist, so dass ich durch die Ausnutzung der Pfad-Umgebungsvariable meine Version ausgeführt wird.
Ist das genug um zu zeigen, dass bei unzureichender Vorsicht tripwire komplett umgangen werden kann? Mit Rootrechten kann man fast alles manipulieren (problematisch/unmöglich wirds bei Kernelmodulen oder von solchen überwachten Aktionen, RO-Datenträgern, Überwachung von einem Hostsystem aus, zu dem ich keinen Zugang habe (z.B. UML) u.ä..
Wieder so ein voreiliger Schluss von einem Typen, der nur das Papier und die schöne heile Welt, die auf diesem gezeichnet wird, kennt.
Man lass den doch dumm sterben, er hat es nicht kapiert, der glaubt echt mit Tripwire schafft er die 100% ige Sicherheit. Mir fällt da nur noch ein in Bezug auf die Denkweise, von Wand bis Tapete, wobei die ganze Räumlichkeit tapeziert ist ;-).
Wenn man bedenkt, dass es ein lokal Exploit war, könnte man Tripwire noch leichter umgehen (angenommen, es ist auf einer CD-ROM).
Original-CD raus, meine eigene rein. Wenn man schon so vertrauensvoll ist, dass man lokalen Zugriff hat, sollte das nicht das größte Problem sein. Und das dann zum Thema Tripwire...
ja, angenommen, der lokale Zugriff erfolgt nicht über eine SSH Verbindung.. Kurz gesagt: /dev/ttyX ;)
Wenn ich dann kompletten physischen Zugriff habe, und dann einen exploit ausnutze, für den es keinen Patch gibt wodurch ich root werden kann, kann ich die CD unmounten auswechseln und "weitermachen".
Das wird zwar nicht bei ftpgnu.gnu.org der Fall gewesen sein, aber man sollte bedenken, dass ein "normaler" Server, wie er in kleineren Firmen steht, dieses Problem hätte.
Und wer guckt schon immer ins CD-ROM Laufwerk, ob die richtige CD enthalten ist? (sollte man, aber man kennt ja die Gewohnheiten)
Naja, und da sind wir wohl wieder beim Ausgangspunkt angelangt.. gegen einen lokalen Angriff kann man nichts machen.
Und man muss auch sagen, dass es keine Schlamperei in dem Sinne war... Zumindest nicht, dass es passiert ist, denn, wie gesagt, etwas gegen tun kann man nicht.
"Schlamperei" eventuell, wenn überhaupt, weil Signaturen der Dateien fehlten. Aber selbst da muss man sagen, dass keine echte Schlamperei war, sondern nur doppelte Vorsicht... Denn wer kann schon sagen, ob die PGP Dateien echt sind.
Und ja, das wäre bei einem physischen Angriff trotz Tripwire-CD problematisch (siehe vorheriger Einwand).
Aber es ist immer die Frage, wie stark man von solchen Sicherheitsproblemen ausgehen muss. Man könnte auch sagen: "Nehm ich die CD raus und lege sie erst vor dem Überprüfen wieder rein." Ist richtig, aber dagegen könnte man sagen: "wenn dann ein Dieb die CD klaut, ist man aufgeschmissen, und Backup-CDs könnte man auch verändern, und, und, und..."
Ich sage nur, dass es für ftpgnu.gnu.org dumm gelaufen ist @lokaler Exploit, und dass wahrscheinlich keiner von uns eine perfekte Lösung dafür hat.
Aber Tripwire/Tripwire-Datenbank auf CD ist ein Anfang...
PS: ich hoffe, wir werden nicht bis zum Re[8] kommen
> Bei physischem Zugriff istgegen eine Manipulation ohnehin kein Kraut gewachsen.
Bitte lerne verstehen, wie man Tripwire einsetzt. Bei vernünftiger Verwendung (d.h. nicht so, wie Du meinst, daß man es einsetzt), ist auch für einen lokalen Angreifer kein Kraut gewachsen, außer er ist hauptberuflicher Saveknacker.
Also, ich will jetzt hier keine grosse Diskussion provozieren - aber sind nicht genau das die Schwachstellen an denen ein TCPA-System (schreibt sich das so?) ansetzen soll?
Die ganzen Diskussionen um DRM, vermeintlich verletzten Datenschutz etc. - das sind natuerlich ernst zu nehmende eventuelle Folgen von TCPA & Co. - keine Frage.
Aber koennte man nicht gerade auch an diesem Beispiel ein positives Beispiel fuer TCPA sehen? Woher soll ich wissen ob die Pakete die ich morgen von GNU runterlade nicht auch irgendwie gefaelscht sind? Wenn es da eine ordentliche, hardware-nahe Identifizierung gaebe koennte man das durchaus als Plus ansehen ...
Ja und jetzt kommt noch die grosse Panikmache in Form eines Weltuntergangsszenario, man da ist ein Fehler passiert, na und? Unser Kanzler und Superminister machen das Tag ein Tag aus, und hat die schon einer gesteinigt? Ich höre hier nur Schreie von diesen Pseudo-Administratoren, was die alles gemacht hätten..... das haben die Mitläufer nach dem zweiten Weltkrieg auch getan! Mein Gott ist diese Community erbärmlich geworden.
Von Noch'n Freund am Do, 14. August 2003 um 09:17 #
TCPA hätte daran nicht wirklich etwas geändert (zumindest kenne ich nicht genügend Details des TCPA-Systems, um darüber eine kompetente Aussage machen zu können).
Wenn man aber sichergehen möchte, wer welche Änderungen gemacht hat, dann würde sicherlich auch ein Sign-Verfahren auf Basis von beispielsweise GPG dafür voll und ganz ausreichen.
Es müsste nur irgendein einfach bedienbares Tool geben, was solche Prüfungen automatisch durchführen kann - vielleicht eine Arte enhanced-CVS? Auf TCPA kann man aber getrost verzichten. ;) mfg
Nein! Dazu besteht überhaupt keine Notwendigkeit und es wäre auch kein Argument für TCPA, DRM & Co.
Vielmehr sind tools wie tripwire, aide, MD5 Prüfsummen und GnuPG und entsprechene daemons zur Integritätsprüfung für die gesicherte Verfügbarkeit der Daten sehr viel besser geeignet, sofern konsequent genutzt. Dazu kommt natürlich noch eine vernünftige Backup-Strategie. Ich kenne die Modalitäten bei gnu.org in dieser Hinsicht nicht, würde mir aber wünschen, daß die Möglichkeiten für Verifikation, Authentifikation und Verfügbarkeit der Daten wie oben genannt genutzt werden.
aber sind nicht genau das die Schwachstellen an denen ein TCPA-System (schreibt sich das so?) ansetzen soll?
AFAIK nein. TCPA setzt meines Wissens nach im BIOS des Rechners an und soll in erster Linie sicher stellen, das keine Software (Betriebssystem) geladen wird, das nicht mittels einer zentral vergebenen Signatur für die Plattform freigegeben wurde. Linux wäre damit z.B. aus dem Rennen. Die XBox verwendet ein an diesen Standard (ist das eigentlich einer?) angelehntes Verfahren.
DRM (Digital Right Management) wäre da schon eher geeignet so etwas zu verhindern...
Von Christophorus am Do, 14. August 2003 um 11:58 #
Wie toll DRM ist, sieht man ja an dem erweiterten DRM-Modul, das Microsoft vor wenigen Wochen herausgebracht hat. Und jetzt ratet mal, warum das DRM-Modul erneuert wurde - weil es jemand geschafft hatte, mit einem einfachen Skript die DRM-Sicherheitsstufe auf 1 herunterzusetzen. Ein paar Tage nach dem Update des DRM-Moduls war das System übrigens wieder geknackt. Kurz und gut: Ich denke nicht, dass DRM oder TCPA irgendetwas an dem Tatbestand geändert hätten, da beides vordergründig nicht auf Dateiintegrität ausgelegt sind, sondern auf Copyright. Um Konsistenz von Daten zu garantieren, gibt es bereits genügend Möglichkeiten, da reicht auch eine MD5-Prüfsumme, da sich prinzipbedingt bei nur einer leichten Änderung der Daten eine völlig andere Prüfsumme ergibt. Man muss natürlich die Daten und die Prüfsummen der Daten idealerweise physisch voneinander getrennt aufbewahren und nur zum Vergleich miteinander in Verbindung bringen, aber so einfach ist die Konsistenzhaltung von Daten. Außerdem ist natürlich ein tägliches Backup unerlässlich, auch wenn es - ist ja klar - sehr lästig sein kann. Und noch dazu muss einigen meiner Vorredner recht geben und bemerken, dass die GNU-Leute das alles für lau machen und in ihrer Freizeit und es deshalb ein Unterschied ist, ob Microsoft sowas passiert oder eben GNU!!!
Jetzt kommt endlich eine breite Sicherheitsdiskussion in Gang und viele OSS-Anwender werden sensibler in Sicherheitsfragen. Nichts ist gefährlicher als ein unsicheres System, von dem man meint, es wäre sicher.
GPG statt MD5 zur File-Verifizierung ist der erste Schritt. Ich hoffe auch auf Abschaffung von FTP zugunsten von SFTP o.ä. und auf GPG/PGP als verpflichtenden Email-Standard (nicht nur freiwillig).
Ein weiterer wichtiger Punkt ist die Verifizierung der Nameserver. Auch da könnte man viel Unfug treiben.
Von Jens Gutzeit am Do, 14. August 2003 um 14:31 #
>Ich hoffe auch auf Abschaffung von FTP zugunsten von SFTP
Ich mag FTP zwar auch nicht, aber ob SFTP dort so sinnvoll ist ... Ich mein mit SFTP gibst du jemanden ja schon fast ne shell (ich weis man kann es alles eingrenzen mit speziellen shells aber trotzdem...).
Auch ist fraglich ob Verschlüsselung dort sinn macht, es werden ja keine sensiblen Daten übertragen, um die echtheit der Pakete sicherzustellen ist verschlüsselung eh nicht sinnvoll, da hilft nur GPG/PGP. Auch sollte bei verschlüsselung (leider) nicht der Rechenzeit Overhead vergessen werden, mir liegen dazu zwar keine benchmarks vor, aber ich denke der Durchsatz sollte merklich sein.
Letztendlich wird man auch kaum SFTP Mirror finden, womit das ganze ziemlich sinnlos erscheint.
Also ich gehe mal davon aus, dass ne Veränderung schnelle auffällt, bzw schnelle zunichte gemacht wird, sofern CVS benutzt wird, denn jeder Entwickler gehe ich jetzt mal aus benutzt CVS zum einchecken der Software und da würde ne Änderung, solange sie nicht im CVS per commit eingecheckt worden ist sofort überschrieben werden.
Ich denke auch, dass jeder Entwickler jetzt sein Zeugs checken wird, also sollte die Sache schnelle behoben sein und Änderungen schnell festgestellt werden, wenn ich mir denke, dass ich jetzt paket xxx entwickle es auf den gnu server lege , selbst backups habe, mit denen ich die auf dem gnu server vergleichen kann, oder nicht?
Also denke ich die Sache ist nicht ganz so tragiscg, auf jedenfall bekommt jemand mächtig eins auf den Sack, wenn was manipuliert wurde und die Anzahl derer die in Frage kämen ist ja eingrenzbar
Einen lokal-Exploit in der Zeit der Entstehung und des Patches auszuführen heißt schon was. Aber da stellt sich mir die Frage, wer hat denn dort alles lokalen Zugriff?!
Zumindest versuchen meine Systeme nicht nach hause zu telefonieren, von daher denke ich, dass nichts großartiges geändert wurde. Aber zur Sicherheit nochmal Pakete überprüfen.
;)
ich bin alle Monate auf den GNU Servern unterwegs und dort sind schon seit einiger Zeit verschiedene Dateien nichtmehr auffindbar. Außerdem ... wie willst du sowas herausfinden? Da hat eben jemand eine Rootshell, und? Wird auf diesem Server sicher öfter vorkommen. Das kann man nur herausfinden wenn wirklich etwas kaputt ist.
Gruß
Nein; das ist tatsaechlich nicht lustig. Von offiziellen GNU Servern sollte man erwarten koennen, dass Mechanismen existieren, die evtl. kompromittierte Dateien aufspueren.
Was jetzt aber passiert (Suche nach MD5-Summen) ist uebelste Schlamperei; mir ist unverstaendlich, warum keine GPG-Signaturen der veroeffentlichten Software erzwungen werden/wurden.
das nennst du "courage" es zuzugeben? Des ist wohl ein Minimum was sie für uns machen können! Dann hat Microsoft aber auch viel "courage" jede Woche einen neuen Patch herauszustellen, der schon seit 3 Monaten bekannt war...
Mahlzeit, Frank
>Dann hat Microsoft aber auch viel "courage" jede Woche einen neuen Patch herauszustellen, der schon seit 3 Monaten bekannt war
schöner satz
-- passiert wäre, sollte man sagen, dass das wohl schwer zu verhindern ist.
Gott sei dank gibt es hier keinen Diskusionsstil wie bei Heise
Aber ich sage nichts gegen die Qualität der GNU Software.
z.B.
ftp://sunsite.informatik.rwth-aachen.de/pub/gnu
mir war der Schwund auch schon aufgefallen, war aber bei einigen Paketen
eher von einem gnu / non-gnu Konflikt ausgegangen.
Fälle, sie übernehmen doch täglich den
Stand des Root-Servers, wenn dieser
erreichbar ist.
Man sollte mal fragen, ob die Mirrorbetreiber Backups haben.
VORALLEM SOLLTE man sich fragen, was man
besser machen kann. Z.B. 5 Teams und 5 Root-Server betreiben. Jedes zu
veröffendliches Paket muss bei den 5 Teams
abgegeben werden. Sind diese gleich wird dieser Veröffendlicht.
Die Mirrors vergleichen mindestens 3 Root-Server.
Root-Server und Mirrors kontrolieren sich
gegenseitig automatisch.
Und gibt jedem der zugriff auf diesen
Kisten hat zugriff zu explizieten Spiele-Kisten mit guten Internetanbindungen.
Für einen Shell-Account den GNU FTP-server
hacken - Namen und Bild von dem der das gemacht hat gehört veröffentlicht und eine
Lehrstelle als Gärtner oder so angeboten.
Gruss
rob
Lehrstelle als Strafe? ja nee, is klar
Andere wären froh eine als Gärtner zu bekommen ...
Jens
Dieser Kommentar bringt es eigentlich auf den Punkt:
Es existieren von allen Dateien Backups, außer von solchen, die erst, nachdem der Exploit ausgenutzt wurde, hinzugefügt wurden.
Da dort die Backups natürlich auch kompromittiert gewesen sein können. Diese Dateien werden jetzt "von Hand" überprüft.
Also von Schlamperei kann keine Rede sein :-).
Die Slashdot-Kommentare mit Threshold 5 lohnen sich übrigens. Sehr vergnügliches Lesen ;-).
cu
Fabian
Auf alle Fälle ein schöner Dämpfer um nicht all zu hämisch auf all die verwurmten NT/XP/W2K-Maschinen dieser Tage zu zeigen!
Bye
Thorsten
Dann geschieht es ihnen recht!
Hätten sie Aide eingesetzt, hätten sie die den Einbruch bemerkt und sofort gesehen, welche Dateien geändert worden sind.
Woher weisst du das sie es nicht einsetzen?
Alle die hier jetzt über GNU, deren Admins herziehen und meinen es besser machen zu können, sollten sich mal überlegen den Leuten dort ihre Hilfe anzubieten. Die Jungs und Mädels machen das freiwillig und nicht jeder kann alles, noch kann er immer an alles denken (was das größte Problem ist).
Aber eigendlich gewöhne ich mich dran das jeder Depp meint der bessere Admin zu sein und frage mich eigendlich warum ich auf so einen scheiß dreck hier überhaupt noch antworte.
Schätzungsweise ist 90% der "Community" nur am flamen, die anderen 10% haben besseres zu tun und machen wirklich was um Probleme zu lösen, ich finde das ziemlich armseelig.
Ich kenne die Anlagen von GNU.org nicht, kann also nicht sagen ob dort geschlampt worden ist, aber zumindest haben sie sich hinterher korrekt verhalten, was das wichtigste ist, da auch mit der besten Absicherung ein Einruch passieren kann.
Jens
Ja, aber vorher Tripwire installieren noch einfacher.
> Woher weisst du das sie es nicht einsetzen?
Würden sie es tun, hätten sie den Einbruch nicht erst jetzt bemerkt.
> Aber eigendlich gewöhne ich mich dran das jeder Depp meint der bessere Admin zu sein
> und frage mich eigendlich warum ich auf so einen scheiß dreck hier überhaupt noch
> antworte.
Vielleicht weil Du selber weißt, daß es schlicht fahrlässig ist, auf einem öffentlichen und wichtigen Server kein Tripwire und Co laufen zu lassen?
> Schätzungsweise ist 90% der "Community" nur am flamen, die anderen 10% haben
> besseres zu tun und machen wirklich was um Probleme zu lösen, ich finde das
> ziemlich armseelig.
Es ist schon seit dem letzten Jahrhundert bekannt, wie man gegen unbemerkte Einbrüche vorsorgt: Tripwire, Aide, ...
du kannst jetzt natürlich ebenfalls leicht über andere herziehen, aber dass dort offensichtlich Leute geschlampt haben, kannst du nicht von der Hand weisen.
Ich will ja nicht sagen, dass das uns nicht passiert wäre (vielleicht ja, vielleicht nein), aber auf jedenfall müssten wir uns das auch anhören und eingestehen.
Und ist 'ne echt tolle Idee, noch mehr Leute an den Server zu lassen. Damit noch mehr lokale exploits gestartet werden können....
Man, der ist innerhalb einer Woche gestartet worden, da kannst du nichts dran ändern!
Sieh' es ein dass geschlampt wurde.
Und ich schätze, du bist selbst ein Troll gegen "andere Trolle", oder bist du Mitglied bei GNU und hilfst denen aus?
Ich nicht, aber ich kann trotzdem sagen, dass geschlampt wurde...
>aber dass dort offensichtlich Leute geschlampt haben, kannst du
>nicht von der Hand weisen.
Ich weis zuwenig von den Maschinen als das ich sagen könnte das geschlampt worden wäre. Das habe ich auch eben schon gesagt, lies doch nochmal was ich schreibe,
>Ich will ja nicht sagen, dass das uns nicht passiert wäre
>(vielleicht ja, vielleicht nein), aber auf jedenfall müssten
>wir uns das auch anhören und eingestehen.
Natürlich ist etwas schief gelaufen wenn ein Einbruch stattfinden konnte, aber deshalb gleich von schlamperei zu sprechen finde ich nicht angebracht.
Ich habe nichts gegen Kritik gesagt, mich stören die kommentare von leuten die offenbar selbsr keine Ahnung haben und jetzt den größen security experten raushängen lassen müssen. Wenn man jeden Fehler als schlampen bezeichnet wird auf allen Maschinen mal mehr mal weniger geschlampt.
>Und ist 'ne echt tolle Idee, noch mehr Leute an den Server zu lassen.
Ich habe nicht gesagt, sie an die Server zu lassen, aber man könnte sich an die System Administratoren von GNU.org wenden und die Hilfe anbieten, wenn die merken das man Kompetent ist werden sie sicherlich Tipps gerne annehmen und sei es nur das mehr Leute lesen/hören was wie gemacht wurde.
>Und ich schätze, du bist selbst ein Troll gegen "andere Trolle"
Wenn du meinst.
>oder bist du Mitglied bei GNU und hilfst denen aus?
Mitglied? Ich bin nicht sehr aktiv bei GNU, aber ich helfe ab und an anderen Projekten aus, schreibe Dokumentationen und ähnl. Ob diese nun GNU oder BSD Lizenz sind interessiert mich relativ wenig. Für mehr Hilfe fehlt mir leider die zeit.
>Ich nicht, aber ich kann trotzdem sagen, dass geschlampt wurde...
Die Systeme nicht kennen und sagen das geschlampt wurde, is klar.
Mir wirds ehrlichgesagt zu doof. Anstatt sinnvoller Kritik an meinem beitrag wird man als Troll bezeichnet, dolle leistung. Bravo!
Jens
Ich glaube, dafür müsste man selbst welche bringen ;)
Aus deinem Kommentar lese ich nur:
- Es liegt an den Admins, nicht am System
- aber auch nicht an denen, sondern an euch, dass ihr nicht geholfen habt
- ist aber wohl besser, dass ihr nicht helft, denn so toll seid ihr auch nicht
- anstatt hier mit mir zu reden, wie 90% der anderen auch, solltet ihr arbeiten.. dito ;)
- nehmt an mir ein Beispiel, ich schreibe Dokus
ok, das zum thema sinnvolle Kritik
- Wenn man gefragt wird, ob man im GNU-Team mitarbeitet, darf man darauf antworten, ohne dass dafür ein Vorwurf gemacht werden kann.
- es macht ausserordentlich Spass, wenn so etwas passiert und alle ringsherum "Dummköpfe" schreien!
- Wenn Du nichts zu tun hast, kannst Du natürlich weiter solche Kommentare schreiben, lass es dann aber wenigstens die anderen wissen...
Du hast es voll auf den Punkt gebracht, Hut ab und wenn Du
Doku's schreibst, gebührt Dir mein Dank.
Es ist wirklich so, diese hier selbsternannten Pseudo-Administratoren sind Dank der Doku's die Du und andere
geschrieben haben, gerade mal in der Lage Ihr Linux mittels
Yast aufzusetzen.
mfg ein interessierter Leser
> deshalb gleich von schlamperei zu sprechen finde ich nicht angebracht.
[ ] Du hast kapiert, worum es in diesem Thread geht.
(HINT: es geht nicht darum, daß ein Einbruch passieren konnte (kann jedem mal passieren!), sondern darum, daß offensichtlich keine (einfachen(!)) Vorkehrungen getroffen worden sind, solche Einbrüche zuverlässig und zeitnah zu erkennen.
Wer auf diese Art einen FTP Server mit wichtiger Software betreibt handelt schlicht unverantwortlich. Das ist nun mal so, ob dir das gefällt, oder nicht.
Daß Du angeblich schonmal Dokumentation zu irgendwelchen GNU Projekten geschrieben hast, tut hier rein garnichts zur Sache.
Du hättest eher ein Saint oder Tripwire HOWTO schreiben sollen ;-)
Und nun husch husch ins Kistchen, du Ich-lasse-keine-Kritik-an-GNU-zu-Troll!
> IDS und wird dieses als erstes versuchen ausser Gefecht zu setztn. Mit root-Rechten
> eine einfache Sache.
Ha Ha Ha. Gut, daß Du zeigts, daß Du keinen Schimmer hast, warum gerade Tripwire, Aide, ... eben nicht mittels Root-Rechten umgangen werden können.
Bitte überlass doch Kommentare zu Themen, von denen Du offensichtlich nichts verstehst, den anderen, außer Du möchtest einzig die Mitleser belustigen.
umgehen?
Dann gehörst Du zu den 99.8% der Computer-User, die das nicht
können.
Also betrachte dich als Durchschnittsuser.
Außer vielleicht, Du bist der Auserwählte, der es alleine mit Rootrechten schafft, eine CD-R (die noch dazu die meiste Zeit im Save lagert) neu zu beschreiben.
Also entweder überschreibst Du einzig mit Rootrechten eine viele Meter vom Rechner entfernet liegende CD-R oder bist jetzt ruhig!
Wenn tripwire selbst auf einem RO-Datenträger liegt, gut dann installiere ich meine Version woanders, hoffe, dass der Pfad nicht komplett angegeben ist, so dass ich durch die Ausnutzung der Pfad-Umgebungsvariable meine Version ausgeführt wird.
Ist das genug um zu zeigen, dass bei unzureichender Vorsicht tripwire komplett umgangen werden kann? Mit Rootrechten kann man fast alles manipulieren (problematisch/unmöglich wirds bei Kernelmodulen oder von solchen überwachten Aktionen, RO-Datenträgern, Überwachung von einem Hostsystem aus, zu dem ich keinen Zugang habe (z.B. UML) u.ä..
Wieder so ein voreiliger Schluss von einem Typen, der nur das Papier und die schöne heile Welt, die auf diesem gezeichnet wird, kennt.
Man lass den doch dumm sterben, er hat es nicht kapiert, der
glaubt echt mit Tripwire schafft er die 100% ige Sicherheit.
Mir fällt da nur noch ein in Bezug auf die Denkweise, von Wand
bis Tapete, wobei die ganze Räumlichkeit tapeziert ist ;-).
mfg ein interessierter Leser
> glaubt echt mit Tripwire schafft er die 100% ige Sicherheit.
Man, lass den doch dumm sterben, er hat es nicht kapiert, der glaubt echt tripwire würde man auf einer Festplatte installieren. Aua!
Original-CD raus, meine eigene rein. Wenn man schon so vertrauensvoll ist, dass man lokalen Zugriff hat, sollte das nicht das größte Problem sein. Und das dann zum Thema Tripwire...
Wenn ich dann kompletten physischen Zugriff habe, und dann einen exploit ausnutze, für den es keinen Patch gibt wodurch ich root werden kann, kann ich die CD unmounten auswechseln und "weitermachen".
Das wird zwar nicht bei ftpgnu.gnu.org der Fall gewesen sein, aber man sollte bedenken, dass ein "normaler" Server, wie er in kleineren Firmen steht, dieses Problem hätte.
Und wer guckt schon immer ins CD-ROM Laufwerk, ob die richtige CD enthalten ist? (sollte man, aber man kennt ja die Gewohnheiten)
Und man muss auch sagen, dass es keine Schlamperei in dem Sinne war... Zumindest nicht, dass es passiert ist, denn, wie gesagt, etwas gegen tun kann man nicht.
"Schlamperei" eventuell, wenn überhaupt, weil Signaturen der Dateien fehlten. Aber selbst da muss man sagen, dass keine echte Schlamperei war, sondern nur doppelte Vorsicht... Denn wer kann schon sagen, ob die PGP Dateien echt sind.
Und ja, das wäre bei einem physischen Angriff trotz Tripwire-CD problematisch (siehe vorheriger Einwand).
Aber es ist immer die Frage, wie stark man von solchen Sicherheitsproblemen ausgehen muss. Man könnte auch sagen: "Nehm ich die CD raus und lege sie erst vor dem Überprüfen wieder rein." Ist richtig, aber dagegen könnte man sagen: "wenn dann ein Dieb die CD klaut, ist man aufgeschmissen, und Backup-CDs könnte man auch verändern, und, und, und..."
Ich sage nur, dass es für ftpgnu.gnu.org dumm gelaufen ist @lokaler Exploit, und dass wahrscheinlich keiner von uns eine perfekte Lösung dafür hat.
Aber Tripwire/Tripwire-Datenbank auf CD ist ein Anfang...
PS: ich hoffe, wir werden nicht bis zum Re[8] kommen
Bitte lerne verstehen, wie man Tripwire einsetzt. Bei vernünftiger Verwendung (d.h. nicht so, wie Du meinst, daß man es einsetzt), ist auch für einen lokalen Angreifer kein Kraut gewachsen, außer er ist hauptberuflicher Saveknacker.
Wer so eine CC im Laufwerk vergisst, gehört eh entlassen (oder im Falle von GNU-Freiwilligen von M$ eingestellt).
Die ganzen Diskussionen um DRM, vermeintlich verletzten Datenschutz etc. - das sind natuerlich ernst zu nehmende eventuelle Folgen von TCPA & Co. - keine Frage.
Aber koennte man nicht gerade auch an diesem Beispiel ein positives Beispiel fuer TCPA sehen? Woher soll ich wissen ob die Pakete die ich morgen von GNU runterlade nicht auch irgendwie gefaelscht sind? Wenn es da eine ordentliche, hardware-nahe Identifizierung gaebe koennte man das durchaus als Plus ansehen ...
Weltuntergangsszenario, man da ist ein Fehler passiert, na und?
Unser Kanzler und Superminister machen das Tag ein Tag aus, und
hat die schon einer gesteinigt?
Ich höre hier nur Schreie von diesen Pseudo-Administratoren, was
die alles gemacht hätten..... das haben die Mitläufer nach dem
zweiten Weltkrieg auch getan!
Mein Gott ist diese Community erbärmlich geworden.
mfg ein interessierter Leser
Wenn man aber sichergehen möchte, wer welche Änderungen gemacht hat, dann würde sicherlich auch ein Sign-Verfahren auf Basis von beispielsweise GPG dafür voll und ganz ausreichen.
Es müsste nur irgendein einfach bedienbares Tool geben, was solche Prüfungen automatisch durchführen kann - vielleicht eine Arte enhanced-CVS? Auf TCPA kann man aber getrost verzichten. ;)
mfg
noch ein Freund
Vielmehr sind tools wie tripwire, aide, MD5 Prüfsummen und GnuPG und entsprechene daemons zur Integritätsprüfung für die gesicherte Verfügbarkeit der Daten sehr viel besser geeignet, sofern konsequent genutzt. Dazu kommt natürlich noch eine vernünftige Backup-Strategie.
Ich kenne die Modalitäten bei gnu.org in dieser Hinsicht nicht, würde mir aber wünschen, daß die Möglichkeiten für Verifikation, Authentifikation und Verfügbarkeit der Daten wie oben genannt genutzt werden.
J.
AFAIK nein. TCPA setzt meines Wissens nach im BIOS des Rechners an und soll in erster Linie sicher stellen, das keine Software (Betriebssystem) geladen wird, das nicht mittels einer zentral vergebenen Signatur für die Plattform freigegeben wurde. Linux wäre damit z.B. aus dem Rennen. Die XBox verwendet ein an diesen Standard (ist das eigentlich einer?) angelehntes Verfahren.
DRM (Digital Right Management) wäre da schon eher geeignet so etwas zu verhindern...
A.T.
Kurz und gut: Ich denke nicht, dass DRM oder TCPA irgendetwas an dem Tatbestand geändert hätten, da beides vordergründig nicht auf Dateiintegrität ausgelegt sind, sondern auf Copyright. Um Konsistenz von Daten zu garantieren, gibt es bereits genügend Möglichkeiten, da reicht auch eine MD5-Prüfsumme, da sich prinzipbedingt bei nur einer leichten Änderung der Daten eine völlig andere Prüfsumme ergibt. Man muss natürlich die Daten und die Prüfsummen der Daten idealerweise physisch voneinander getrennt aufbewahren und nur zum Vergleich miteinander in Verbindung bringen, aber so einfach ist die Konsistenzhaltung von Daten.
Außerdem ist natürlich ein tägliches Backup unerlässlich, auch wenn es - ist ja klar - sehr lästig sein kann. Und noch dazu muss einigen meiner Vorredner recht geben und bemerken, dass die GNU-Leute das alles für lau machen und in ihrer Freizeit und es deshalb ein Unterschied ist, ob Microsoft sowas passiert oder eben GNU!!!
GPG statt MD5 zur File-Verifizierung ist der erste Schritt. Ich hoffe auch auf Abschaffung von FTP zugunsten von SFTP o.ä. und auf GPG/PGP als verpflichtenden Email-Standard (nicht nur freiwillig).
Ein weiterer wichtiger Punkt ist die Verifizierung der Nameserver. Auch da könnte man viel Unfug treiben.
Ich mag FTP zwar auch nicht, aber ob SFTP dort so sinnvoll ist ...
Ich mein mit SFTP gibst du jemanden ja schon fast ne shell (ich weis man kann es alles eingrenzen mit speziellen shells aber trotzdem...).
Auch ist fraglich ob Verschlüsselung dort sinn macht, es werden ja keine sensiblen Daten übertragen, um die echtheit der Pakete sicherzustellen ist verschlüsselung eh nicht sinnvoll, da hilft nur GPG/PGP. Auch sollte bei verschlüsselung (leider) nicht der Rechenzeit Overhead vergessen werden, mir liegen dazu zwar keine benchmarks vor, aber ich denke der Durchsatz sollte merklich sein.
Letztendlich wird man auch kaum SFTP Mirror finden, womit das ganze ziemlich sinnlos erscheint.
Jens
Ich denke auch, dass jeder Entwickler jetzt sein Zeugs checken wird, also sollte die Sache schnelle behoben sein und Änderungen schnell festgestellt werden, wenn ich mir denke, dass ich jetzt paket xxx entwickle es auf den gnu server lege , selbst backups habe, mit denen ich die auf dem gnu server vergleichen kann, oder nicht?
Also denke ich die Sache ist nicht ganz so tragiscg, auf jedenfall bekommt jemand mächtig eins auf den Sack, wenn was manipuliert wurde und die Anzahl derer die in Frage kämen ist ja eingrenzbar