Κερκόπορτα που εντοπίστηκε σε εφαρμογή του Linux σπάει κρυπτογραφημένες συνδέσεις SSH

[RaNd]

58 λεπτά πριν, Luciddream είπε

Δεν το διάβασα καν το άρθρο, παρακολουθώ το θέμα από την στιγμή που τελείωσε το embargo.. και είμαι από αυτούς που σίγουρα είχαν το πακέτο στον υπολογιστή τους για 1 μήνα. Το ότι βρέθηκε τυχαία 2 χρόνια μετά κάτι ότι συνέβαινε δεν σημαίνει ότι τόσα χρόνια δεν γινόντουσαν άλλα πράγματα. Έτσι και αλλιώς ότι γινόταν ήταν κρυμμένο μέσα στο binary και όχι στο source code. Το liblzma χρησιμοποιείται και απο browsers θα μπορούσε να γίνει exploit με οποιονδήποτε τρόπο. Μπορεί και να είμαστε safe, αλλά και αυτό από τύχη θα είναι. Είχα καιρό στο μυαλό μου να στήσω καλύτερο security για το σπίτι και τον server μου αλλά το συγκεκριμένο γεγονός με ξύπνησε. Εκτός ότι είχα το πακέτο και δούλευα τον τελευταίο μήνα project και βάσεις της δουλειάς από το Linux μου, έχω και προσωπικά πράγματα, δηλαδή αν είναι να το παίρνουμε τόσο χαλαρά, να το καταργήσουμε τελείως το security. Τους πιάσανε όλους στον ύπνο, εταιρίες δισεκατομμυρίων που οι χρήστες εμπιστευόμαστε υποτίθεται.

Αν εχεις production συστημα δεν βαζεις διανομες του "κιλού" αλλά enterprise RHEL, Suse Oracle Linux κλπ ...

[Luciddream]

54 minutes ago, RaNd said:

Αν εχεις production συστημα δεν βαζεις διανομες του "κιλού" αλλά enterprise RHEL, Suse Oracle Linux κλπ ...

Οι οποίοι δεν καταλάβανε τίποτα τόσο καιρό και σίγουρα υπάρχουν και άλλα παρόμοια θέματα.. έτυχε να το βρει ένας υπάλληλος της Microsoft αυτό. Ξέρουμε και τι κάνει η Red Hat με τα backports που είναι γεμάτα security issues.. Δεν είναι απλά πρόβλημα του Arch αυτό επειδή παίρνει τα τελευταία versions, όλο το οικοσύστημα έχει θέματα..

[Alani13]

Πάρτε Macbooks να σωθείτε!

[cpc464]

Για όποιον βαριέται να διαβάσει το άρθρο, και το backdoor δεν δουλεύει σωστά και ήταν σε  έκδοση που δεν είναι σταθερή,άρα επηρέασε ελάχιστους (ίσως και κανέναν) από αυτούς που δουλεύουν linux.

[Vault13]

Δεν υφίσταται ο όρος «κεκρόπορτα» στην πληροφορική. Βάλτε την Αγγλική λεξη καλύτερα

[Goulam]

2 ώρες πριν, Luciddream είπε

Το Arch παίρνει updates εδώ και 2 χρόνια από το συγκεκριμένο πακέτο... θεωρητικά μπορεί να έχουν γίνει άπειρα πράγματα που δεν θα τα μάθουμε ποτέ.. επίσης εδώ φαίνεται πόσο hobby διανομή είναι το Arch.. 2 μέρες μετά και ούτε μια έρευνα στο τι έχει γίνει τόσα χρόνια δεν έχουν κάνει. Προσωπικά έχασα οποιοδήποτε trust στο Linux community μετά από το συγκεκριμένο.. σίγουρα θα κάνω format, θα αλλάξω SSH keys, κωδικούς, και θα βάλω firewall τουλάχιστον από εδώ και πέρα, και λίγα λέω. Μερικές φορές πρέπει να πάθεις για να μάθεις.. Εδώ φάνηκε ότι το Network of Trust που μας λέει ο Linus δεν δουλεύει έτσι απλά.. χρειάζονται ριζικές αλλαγές στο πως λειτουργούν οι διανομές και το packaging.

Γενικά αν έχεις ασχοληθεί με οτιδήποτε έχει να κάνει με software development αλλά κυρίως με devops και ιδιαιτερα αν έχεις και δικο σου homeserver όπως λες τότε γνωρίζεις ότι πάντα υπάρχει ο κίνδυνος να συμβούν τέτοια πράγματα.
Αυτός είναι και ο λόγος που βάζουμε όσο περισσότερα επίπεδα ασφαλείας μπορούμε. πχ εγώ αλλά και οι περισσότεροι με homeserver δεν κάνουμε καν expose τον σερβερ μας δημόσια αλλά συνδεόμαστε στις υπηρεσίες του με vpn πχ tailscale, έχουμε τα λειτουργικά μέσα σε proxmox και το εκάστοτε λογισμικό που τρέχουμε μέσα σε docker, καταργούμε τον χρήστη root από το να μπορεί να συνδεθεί απομακρυσμένα, κτλ, κτλ.
Έτσι γενικά λειτουργεί και λειτουργούσε πάντα η ασφάλεια στα λογισμικά (και όχι μόνο) και θα έπρεπε να την αντιμετωπίζεις. Να θεωρείς ότι πάντα το σύστημα σου έχει προσβληθεί και προσπαθείς με τα άλλα επίπεδα ασφαλείας να εξουδετερώσεις το πρόβλημα προληπτικά.
Και η αλήθεια είναι ότι κατά πάσα πιθανότητα και ο υπολογιστής σου με windows/linux/macos και το κινητο σου με android/ios μπορούν να χακαριστούν ανα πάσα στιγμή με κάποιο από τα zero-click zero days που βρίσκονται στις αποθήκες της NSA ή κάποιας ισραηλινής εταιρείας οπότε ανεξάρτητα του network of trust, είναι καλό να προσπαθείς να είσαι πάντα όσο πιο καλυμμένος γίνεται.

[kara]

3 hours ago, deathleader said:

το παραπάνω κείμενο δυσκολεύτηκα να το διαβάσω έτσι όπως έχει συνταχθεί!

και εγώ εγκατέλειψα την προσπάθεια μετά το μισό κείμενο. Επιπλέον, πολλή επανάληψη, λίγη πληροφορία.

 

Επεξ/σία 31 Μαρτίου από kara

[Dimitris_1981]

Ας το ξαναπούμε λοιπόν. Δεν υπάρχει άτρωτο Software. Είτε Mac OS , iOS , Linux, Android, Windows κτλ. 
Ακόμα και σε Mainframe IBM μπορείς να την πατήσεις. Αυτό που αλλάζει είναι η ευκολία. Τα windows είναι one miss click away από το κακόβουλο λογισμικό και είναι  μεγάλος στόχος. Τα αλλά είναι μικρότεροι στόχοι (ίσως εκτός των Linux server) και προστατεύουν πιο πολύ από το λάθος του χρήστη. 
Οι επιχειρήσεις κανονικά έχουν διαδικασίες Backup, DR, Network Isolation , HW & SW firewall και πάει λέγοντας. Πχ στα IBM mainframe μπορείς να έχει logging για τα πάντα. Αυτά είναι που θα βρουν ποιος το έκανε και θα σώσουν την περίπτωση δολιοφθοράς.

Εκει που είναι επικίνδυνα όλα αυτά για σοβαρές εταιρίες είναι η διαρροή δεδομένων. Στην Ελλάδα το κάνει η κυβ…. Όποτε  μην ανησυχείτε 😜

[kostakis_gr]

Το τι εχει συμβει είναι πραγματικά απίστευτο.

Ο τυπος (JiaT75) μέχρι προχθές έκανε κομμιτ που έβγαζε οδηγίες για το πως να αναφέρεις security θέματα -> https://git.phial.org/d6/xz-analysis-mirror

Τι να προτοσχολίασει κανεις:

1) Πως και γιατι τον έκαναν maintainer του repository μέσα σε 2 χρονια απο το πρωτο commit.

2) Το πώς έβαλε το exploit μονο στα deliverables(tar.gz) και μέσω test αρχειων.

3) Εκανε αυτοματα modify τα build scripts και περνανε τα malfunctioned τεστ αρχεια και τα εκανε "attach"

4) Πείραξε τις ρυθμίσεις του λινκερ, κτλπ κτλπ κτλπ.

5) Το πόσο πίεσε να πάρουνε αυτο το φιξ επειδή είχε hardware optimizations.

Η υπόθεση έχει πάρα πολυ ζουμι.

Ο τύπος στο μεταξύ το βρήκε επειδή το ssh άργησε 0,5 seconds για να κάνει authenticate το connection.

Υ.Γ: Μεγάλο λάθος του GitHub να κανει disable/archive το repository.

Επεξ/σία 31 Μαρτίου από kostakis_gr

[CanonTux]

6 ώρες πριν, Bourdoulas είπε

Κερκόπορτα 😂😂😂😂

Αγράμματος εν όψει.

[Melven]

Για όποιον ενδιαφερόμενο εδω :

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

 

[Bourdoulas]

57 λεπτά πριν, CanonTux είπε

Αγράμματος εν όψει.

Ναι Αννούλα μου, ναι 

[Abudi]

Κάπου διάβασα οτι η βαθύτερη έρευνα αυτού που έκανε την αποκάλυψη είναι επειδή υπήρχε καθυστέρηση 500ms (μισό δευτερόλεπτο) στην εκτέλεση κάποιας ενέργειας που δεν του κολλούσε και το έψαξε περισσότερο. Αυτό θα πει νερντουλας. Respect

[Luciddream]

5 hours ago, Goulam said:

Γενικά αν έχεις ασχοληθεί με οτιδήποτε έχει να κάνει με software development αλλά κυρίως με devops και ιδιαιτερα αν έχεις και δικο σου homeserver όπως λες τότε γνωρίζεις ότι πάντα υπάρχει ο κίνδυνος να συμβούν τέτοια πράγματα.
Αυτός είναι και ο λόγος που βάζουμε όσο περισσότερα επίπεδα ασφαλείας μπορούμε. πχ εγώ αλλά και οι περισσότεροι με homeserver δεν κάνουμε καν expose τον σερβερ μας δημόσια αλλά συνδεόμαστε στις υπηρεσίες του με vpn πχ tailscale, έχουμε τα λειτουργικά μέσα σε proxmox και το εκάστοτε λογισμικό που τρέχουμε μέσα σε docker, καταργούμε τον χρήστη root από το να μπορεί να συνδεθεί απομακρυσμένα, κτλ, κτλ.
Έτσι γενικά λειτουργεί και λειτουργούσε πάντα η ασφάλεια στα λογισμικά (και όχι μόνο) και θα έπρεπε να την αντιμετωπίζεις. Να θεωρείς ότι πάντα το σύστημα σου έχει προσβληθεί και προσπαθείς με τα άλλα επίπεδα ασφαλείας να εξουδετερώσεις το πρόβλημα προληπτικά.

Συμφωνώ απόλυτα.. και γενικά προσέχω.. και διαβάζω πάντα τα PKGBUILD από AUR και ότι περίεργο συμβαίνει το ψάχνω πάντα.. αλλά αυτό περνάει σε άλλο level. Από εδώ και πέρα θα γίνω παρανοικός σε όλα.

[menthol1979]

5 ώρες πριν, Dimitris_1981 είπε

Ας το ξαναπούμε λοιπόν. Δεν υπάρχει άτρωτο Software. Είτε Mac OS , iOS , Linux, Android, Windows κτλ. 
Ακόμα και σε Mainframe IBM μπορείς να την πατήσεις. Αυτό που αλλάζει είναι η ευκολία. Τα windows είναι one miss click away από το κακόβουλο λογισμικό και είναι  μεγάλος στόχος. Τα αλλά είναι μικρότεροι στόχοι (ίσως εκτός των Linux server) και προστατεύουν πιο πολύ από το λάθος του χρήστη. 
Οι επιχειρήσεις κανονικά έχουν διαδικασίες Backup, DR, Network Isolation , HW & SW firewall και πάει λέγοντας. Πχ στα IBM mainframe μπορείς να έχει logging για τα πάντα. Αυτά είναι που θα βρουν ποιος το έκανε και θα σώσουν την περίπτωση δολιοφθοράς.

Εκει που είναι επικίνδυνα όλα αυτά για σοβαρές εταιρίες είναι η διαρροή δεδομένων. Στην Ελλάδα το κάνει η κυβ…. Όποτε  μην ανησυχείτε 😜

Όντας z/OS admin, το 99.9999% των security vulnerabilities προέρχεται από os ported εφαρμογές (π.χ. WAS, Liberty, Tivoli). Ελάχιστα DB2, κάνενα pure MVS τουλάχιστον τα 14 τελευταία χρόνια που διαχειρίζομαι.