Sie sind nicht angemeldet.

1

02.09.2011, 01:42

kernel.org gehackt

Ist aber nichts passiert :)

Viel gibt es noch nicht dazu zu melden, deshalb nur der Link zum offiziellen Statement -> https://www.kernel.org/
und einer Erklärung, warum da nichts ernstes passieren konnte -> http://www.linuxfoundation.org/news-medi…cking-kernelorg

Denkt daran: Alles übrige, was im Netz jetzt schon darüber kursiert, sind phantastische Spekulationen.
In God They Trust. All Others They Monitor.

.not

User

Beiträge: 736

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: keine Ubuntu-Version

Architektur: 64-Bit PC

Desktop: anderer

Andere Distribution: Mac OSX, FreeBSD, Debian Jessie

  • Nachricht senden

2

02.09.2011, 10:13

Ich fand' die panikartigen Spekulationen über möglicherweise eingeschleuste Keylogger oder sonstige Schadsoftware in den Kernelcode ziemlich amüsant, man sollte vielleicht zuerst einmal die Umstände ansehen, draufkommen dass ein solches Unterfangen an Sinnlosigkeit grenzt, und dann erst in die Tasten für einen Artikel hauen. :whistling:
Besonders gut gefallen hat mit der letzte Teil aus dem Statement der "Linux Foundation":

Zitat

The kernel.org administrators have shown themselves to be careful and capable people over many years. It seems like they’ve had some sleepless nights, with the prospect of quite a few more to come. It will be necessary to rebuild the kernel.org infrastructure and to figure out how the attacker got in. The integrity of those systems was lost; restoring it and protecting it into the future will take a considerable amount of work. But people running Linux need not worry about the integrity of their kernels; that is protected by defenses stronger than those of any single computer.

Vielleicht lesen dass die Leute, die quer über das Internet nun auf die Administratoren dieser Server hinhauen, auch diese sind nicht allmächtig.

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

3

02.09.2011, 13:38

Entweder ist das Statement älter als die Infos auf kernel.org oder das ist das, was ich mit "phantastischen Spekulationen" gemeint habe. Die wissen doch schon, wie der Angreifer rein kam: Auf dem einfachsten Weg, den es für alle Einbrecher gibt, einem gefundenen/gestohlenen/gekauften Schlüssel. Hat halt ein Entwickler seinen letzten Drink mit einem USB-Stick bezahlt, auf dem sein SSH-key war. Die Menschen sind eben immer das schwächste Glied in jeder Sicherheitskette, da unberechenbar.

It will be necessary to rebuild the kernel.org infrastructure
Wer baut sein ganzes Haus neu, wenn eingebrochen wurde? Wenn es mit einem Nachschlüssel passiert ist, brauch ich nur das Schloss wechseln. In diesem Fall ist es sogar noch einfacher, sie brauchen nur den Schlüssel für ungültig erklären.
Der
considerable amount of work.
besteht also aus dem Löschen des Key-Eintrages und dem Neuladen von sshd.

Viel mehr Arbeit ist natürlich das Verfolgen der Spuren und der Schäden, das glaub ich schon. Aber daß deshalb kernel.org völlig neu entstehen muß, ist leicht übertrieben :)
In God They Trust. All Others They Monitor.

.not

User

Beiträge: 736

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: keine Ubuntu-Version

Architektur: 64-Bit PC

Desktop: anderer

Andere Distribution: Mac OSX, FreeBSD, Debian Jessie

  • Nachricht senden

4

02.09.2011, 18:09

Ich für mich hege den Verdacht, dass zwar der Einstiegspunkt ein gestohlener/gekaufter/wasauchimmer SSH-Key war, einige Sicherheitslücken allerdings tiefer gelegen sind (Falsch gesetzte Dateirechte, kompromitierte Software, falsch konfigurierte Dienste - ich bin kein Administrator, kann daher nur vermuten was alles schiefgehen kann.) und diese machen es erforderlich einen Teil der Infrastruktur neu zu bauen. Ist aber natürlich reine Spekulation.

Zitat

Viel mehr Arbeit ist natürlich das Verfolgen der Spuren und der Schäden, das glaub ich schon.

Ich bin gespannt, ob da irgendwelche rechtlichen Schritte gestartet werden und ob das überhaupt Sinn macht, wenn sich der Angreifer hinter einem Proxy in Russland verbirgt der auf einen weiteren Proxy in Malaysia weiterleitet, dann können sich die Strafverfolgungsbehörden brausen gehen.

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

  • »maettu« ist männlich

Beiträge: 3 210

Registrierungsdatum: 14.09.2005

Wohnort: Schweiz

Derivat: Xubuntu

Version: 14.04 (Trusty Tahr)

Architektur: 64-Bit PC

Desktop: XFCE

  • Nachricht senden

5

02.09.2011, 19:54

Zitat

Wer baut sein ganzes Haus neu, wenn eingebrochen wurde? Wenn es mit einem Nachschlüssel passiert ist, brauch ich nur das Schloss wechseln. In diesem Fall ist es sogar noch einfacher, sie brauchen nur den Schlüssel für ungültig erklären.
Naja kernel.org hat ja folgendes unteranderm mitgeteilt:

Zitat

  • Files belonging to ssh (openssh, openssh-server and openssh-clients) were modified and running live.
  • A trojan startup file was added to the system start up scripts
da wäre es wohl oder übel unverantwortlich nicht alle Files/Programme zu prüfen (was ja schon etwas länger dauert), und man dann sicher ist ob alles im "alten Haus" sauber ist...
Da lässt es sich schon einfacher ein "Neues Haus" zu bauen. Klar Backups werden wohl von den Daten einfach wiederhergestellt. Gut eigentlich kann es der Öffentlichkeit egal sein, da es ja wegen dem GIT-System keine Probleme gab wegen den Kernel-Sourcen. Aber trotzdem wurde es kommuniziert :thumbup: und nicht einfach unter den Teppich geschoben.
Es gibt da wohl genügend Firmen die solche Sachen nicht kommunizieren.

Zitat

Ich bin gespannt, ob da irgendwelche rechtlichen Schritte gestartet werden und ob das überhaupt Sinn macht, wenn sich der Angreifer hinter einem Proxy in Russland verbirgt der auf einen weiteren Proxy in Malaysia weiterleitet, dann können sich die Strafverfolgungsbehörden brausen gehen.
Vergiss es die Rechtlichen Schritte führt man ja nur bei "Copyright" aka Musik und Filmen durch, da scheut man ja auch nicht irgendwelche einzelnen User zu strafen. Und die meisten Hacker lassen sich nicht so leicht erwischen.

Skadi

User

Beiträge: 666

Registrierungsdatum: 13.10.2010

Architektur: andere

Desktop: anderer

  • Nachricht senden

6

19.09.2011, 19:40

Hallo,

kernel.org ist gar nicht mehr erreichbar, weiß da jemand näheres?
wie pamusb.org übrigens auch ?(

7

20.09.2011, 10:54

kernel.org:
Das letzte was dort vor einigen Tagen stand, war, daß sie den Server vom Netz genommen haben, um das System neu zu installieren, sowie ein kurzer Umriss des Grundes. Weitere Inhalte waren nicht vorhanden.
Jetzt wird er vermutlich gerade neu aktiviert. Was anderes kann ich mir unter "Down for maintenance" gerade nicht vorstellen.

pamusb.org sagt mir momentan gar nichts...
In God They Trust. All Others They Monitor.

  • »floogy« ist männlich

Beiträge: 3 084

Registrierungsdatum: 10.03.2005

Wohnort: Koblenz

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Distribution: debian

  • Nachricht senden

8

20.09.2011, 14:34

"Down for maintenance"


Heruntergefahren zur Wartung. Das heißt wohl, dass einige Dinge noch nicht so weit eingerichtet und getestet sind, dass der ganze Kram schon online gehen könnte.

fremdkoerperfalle

Gesperrter Benutzer

  • »fremdkoerperfalle« wurde gesperrt

Beiträge: 92

Registrierungsdatum: 04.08.2014

Derivat: Kubuntu

Version: 14.04 (Trusty Tahr)

Architektur: 64-Bit PC

Desktop: KDE4

Andere Distribution: Mac OS IX

  • Nachricht senden

9

20.09.2011, 18:33

Mein Statement zum Einbruch und der langen downtime:

Ich weiss, wir leben in einer Zeit, in der wir eigentlich keine Zeit haben. Wenn wir im Supermarkt in der Schlange stehen, regen wir uns drüber auf, wenn die/der ältere Dame/Herr vorn an der Kasse 20 Sekunden länger braucht als wir, um das Kleingeld zusammen zu suchen. Und wenn wir am Bankautomaten stehen und die Verarbeitung der Eingabe etwas länger dauert, regen wir uns wieder auf und denken sowas wie:"Man, betreiben die das Teil auf einem Commodore 16+4?". Noch schlimmer wird es, wenn unsere Lieblingsseite mal für mehr als 1 Stunde down ist. Und richtig dampft die Kacke, wenn der Inet Anschluß mal ganz ausfällt!

Im Falle von der kernel.org Geschichte sehe ich das bisher alles sehr entspannt und positiv.

Erstmal finde ich gut, wie transparent man sich zu dem Einbruch geäussert hat. Es wurde nicht verheimlicht, dass der Server schon seit Mitte August ein ungewöhnliches Verhalten zeigte. Auch wurde nicht verschwiegen, dass der Einbruch dann erst ca. 2 Wochen später nach einem Kernel-Upgrade und Reboot wirklich aufgefallen ist. Es wäre also möglich, dass der Einbrecher über 2 Wochen Zeit hatte, sich auszutoben. Ok, sehr spekulativ, aber vorstellbar.

Aus meiner Sicht soll kernel.org sich all die notwendige Zeit nehmen, um den Fall zu untersuchen um dann für eine saubere Infrastruktur zu sorgen.

Bei den meisten Betreibern anderer großen/wichtigen Dienste und Seiten wird nach Einbrüchen imho viel unter den Teppich gekehrt. Lieber schnell ein Backup einspielen und weiter gehts. Kommt mir auf jeden Fall oft so vor, oder ich bin nur paranoid. :S

Sorry, aber das musste ich mal loswerden. Danke fürs Lesen.

Just my 2 ¢.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »fremdkoerperfalle« (20.09.2011, 18:34)


DocHifi

unregistriert

10

20.09.2011, 21:53

Hi,
wie heißt es so schön, gut Ding braucht lang Weile. :thumbup:
Gruß DH

fremdkoerperfalle

Gesperrter Benutzer

  • »fremdkoerperfalle« wurde gesperrt

Beiträge: 92

Registrierungsdatum: 04.08.2014

Derivat: Kubuntu

Version: 14.04 (Trusty Tahr)

Architektur: 64-Bit PC

Desktop: KDE4

Andere Distribution: Mac OS IX

  • Nachricht senden

11

21.09.2011, 19:46

"Down for maintenance"


Heruntergefahren zur Wartung......


Da steht ja noch mehr:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<!--<h3>The page you are looking for is temporarily unavailable.  Please
            try again later.</h3>-->

            <!--<div class="alert">
                <h2>What to do</h2>
                <div class="content">
                    <p>This site is currently down for scheduled system
                    maintenance. We are actively working to bring the system
                    back up as soon as possible. We apologize for the
                    inconvenience.</p>

                    <p>Please try again shortly by going back in
                    your browser or by refreshing this page.</p>
                </div>
            </div>-->

12

21.09.2011, 22:05

Dann wird es ja langsam wieder. :)
So gesprächig war die Seite bei meinem letzten Besuch nämlich nicht.
In God They Trust. All Others They Monitor.

fremdkoerperfalle

Gesperrter Benutzer

  • »fremdkoerperfalle« wurde gesperrt

Beiträge: 92

Registrierungsdatum: 04.08.2014

Derivat: Kubuntu

Version: 14.04 (Trusty Tahr)

Architektur: 64-Bit PC

Desktop: KDE4

Andere Distribution: Mac OS IX

  • Nachricht senden

13

21.09.2011, 22:16


So gesprächig war die Seite bei meinem letzten Besuch nämlich nicht.


Im Browser oder im Quelltext? Man beachte meinen geposteten Quellcode. Das wirklich informative an der Seite sind nur HTML comments.

<!-- bla blubb bla--> ;)

14

21.09.2011, 23:55

Ganz usermäßig im Browser natürlich, ich bin ja kein Hacker. Darum bleiben mir solche Einsichten leider verborgen:
Das wirklich informative an der Seite sind nur HTML comments
In God They Trust. All Others They Monitor.