symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Analyse der Attacke auf die Debian-Server
Veröffentlicht durch XTaran am Dienstag 02. Dezember, 19:23
Aus der forensischen Abteilung
Security schth schreibt "Debian hat heute ein E-Mail an die Announcement-Mailing-Liste geschickt mit einer Analyse des Einbruchs in die Server des Projektes. Der Report ist in mehrere Teile unterteilt und beinhaltet eine Timeline der Attacke, wieso sie aufgefallen ist, wie sie "repariert" wurde und was für Konsequenzen es nun für das Debian-Projekt hat." Symlink berichtete bereits mehrmals über den Fall: Einbruch bei Debian, Erste Analyse, Kernel 2.4.23, Entdeckung der Gefährlichkeit. Update 20:30 Uhr: Eine deutsche Übersetzung der E-Mail gibt's bei Linux-Community.de. Danke an foxman für den Hinweis.

Insbesondere möchte ich in diesem Zusammenhang noch mal auf diesen Kommentar von haruschi hinweisen:

Laut einer Diskussion auf debian-devel ist das ganze aber nicht ganz so einfach. Andrew Morton und auch alle Distributoren gingen davon aus, dass es sich nur um einen normalen Bug und nicht um einen möglichen Root-Exploit handelte. Erst die Analyse nach dem Debian-Crack zeigte, dass sich dieser Bug für einen Root-Exploit eignete.

Neuer VIA 4-in-1 Treiber | Druckausgabe | IFS-Loader-Hack für Linux lädt ntfs.sys  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Linux
  • Kommentar von haruschi
  • Diskussion auf debian-devel
  • schth
  • E-Mail
  • Einbruch bei Debian
  • Erste Analyse
  • Kernel 2.4.23
  • Entdeckung der Gefährlichkeit
  • deutsche Übersetzung
  • Mehr zu Security
  • Auch von XTaran
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Linux Kernel und...? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 21:28 MET (#1)
    Der kernel ist ja nur ein Teil des Systems. Also, welche sites können nun deshalb geknackt werden und welche sind trotzdem noch geschützt?
    Re: Linux Kernel und...? (Score:2)
    Von pfr am Tuesday 02. December, 22:01 MET (#4)
    (User #4 Info) http://www.math.ethz.ch/~pfrauenf/
    Also, welche sites können nun deshalb geknackt werden und welche sind trotzdem noch geschützt?
    • Es ist ein lokaler Exploit.
    • Betroffen sind Kernel <2.4.23 oder <2.0.-test6. 2.2.x ist safe. Evtl. gibt es auch Distributionen, die schon früher den Fix drinhatten. Ist allerdings unwahrscheinlich, da man (die Kernel-Entwickler und die Leute, die schliesslich den Exploit untersucht hatten) nicht gedacht hat, dass der Bug ausgenutzt werden kann.

    --
    Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!
    Re: Linux Kernel und...? (Score:1)
    Von boomi (symlinkleser@number.ch) am Wednesday 03. December, 10:01 MET (#15)
    (User #1126 Info) http://www.number.ch
    Der Kernel ist der Kern des Systems, sagt ja schon der Name. Wenn du Code im Linux-Kernel hast, hast du Kontrolle ueber das gesamte System -> du bist Gott auf diesem System.

    Das ist ein fundamentales Problem aller monolithischen Architekturen, also Linux, BSD, Windows und mehr. Die komplexitaet des Kernels waechst, jede Zeile kann ein Exploit ermoeglichen.

    Deshalb sind Systeme mit Microkerneln wie HURD (sorry, kenne kein anderes Beispiel), eigentlich viel sicherer. Da haben selbst Hardware-Treiber nur gewisse Berechtigungen, warum sollte auch ein Tastaturtreiber Zugriff auf die Harddisk haben?
    Re: Linux Kernel und...? (Score:2)
    Von db (001@nurfuerspam.de) am Wednesday 03. December, 12:06 MET (#17)
    (User #1177 Info) http://www.bergernet.ch
    QNX ist eines, welches sogar fertig ist im Unterschied zum Hurd.
    Passwort gesnifft? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 21:39 MET (#2)
    Was mir völlig unklar ist: Wie zur Hölle kam der Cracker an das erste Passwort ran. Im Bericht steht es wurde gesnifft. Wie denn? Ist doch alles verschlüsselt?
    Re: Passwort gesnifft? (Score:2)
    Von maol (maol@symlink.ch) am Tuesday 02. December, 21:56 MET (#3)
    (User #1 Info) http://maol.ch/
    • Telnet, trotz allem: dann ist alles klar.
    • SSH: Einbruch auf dem Rechner des Entwicklers, Diebstahl seines Private Keys mit leerer Passphrase.
    Das sind nur zwei Möglichkeiten, und bitte merkt Euch: nie SSH mit leerer Passphrase fahren!

    --
    CRUX: LfS für faule Profis.

    Re: Passwort gesnifft? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 22:21 MET (#6)
    Oder Keylogger beim Developper, oder gleiches Passwort für verschiedene Dinge verwendet oder, oder...
    Re: Passwort gesnifft? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 22:24 MET (#7)
    Ja, aber wie siehst in diesem konkreten Fall aus? Schliesslich ist das ein zentraler Punkt. Merkwürdig das darüber nicht ausführlicher informiert wird.
    Re: Passwort gesnifft? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 22:35 MET (#8)
    "Gesnifft" kann vieles heißen, das muß nicht ein simpler tcpdump sein.
    • Hardware zwischen Tastatur und Rechner
    • Gecrackter Rechner, ersetzte Binaries
    • " , Protokoll auf Kernellevel
    • Social Engineering
    • Über die Schulter sehen
    • Mehrfach benutztes Passwort
    • uvm.
    Was deutlich wird, der Unterschied: "local exploit" vs. "remote expoit" ist schwimmend. Eigentlich kann bestenfalls derjenige der keine Useraccounts hat bei einem "local exploit" etwas beruhigter sein. Es müssen nicht die User sein.
    Da es hier nicht nach Script-Kiddies aussieht dürfte einiges an Know-How und Energie vorhanden gewesen sein. Durchaus denkbar, daß da einige andere Rechner vorher komprimitiert wurden. Z.B. durch den neuen Kernel-Exploit.
    Re: Passwort gesnifft? (Score:0)
    Von Anonymer Feigling am Wednesday 03. December, 02:09 MET (#13)
    # Hardware zwischen Tastatur und Rechner
    # Gecrackter Rechner, ersetzte Binaries
    # Protokoll auf Kernellevel
    # Social Engineering
    # Über die Schulter sehen
    # Mehrfach benutztes Passwort
    # uvm.

    haste erfahrung ?
    Psychologischer Hintergrund (Score:1)
    Von foxman am Tuesday 02. December, 23:16 MET (#9)
    (User #752 Info) http://www.unormal.org
    Was bei der ganzen technischen Diskussion jeweils ausser acht gelassen wird, ist der psychologische Hintergrund, bzw: Wieso hat das jemand gemacht ? War es nur einfach Spass ? Dafür scheint es zu aufwendig gewesen zu sein. Und dabei fallen auch gleich die Skript-Kiddies weg. Oder ging es um Prestige-Verlust für Debian oder GNU oder Linux allgemein ?
    Mir ist durchaus bewusst, dass hier nur spekuliert werden kann und die Wahrheit nur durch den oder die AusführerInnen selber zu Tage kommen könnte. Aber nichtsdestotrotz ist mir das in der letzten Zeit des öfteren durch den Kopf gegangen.
    Re: Psychologischer Hintergrund (Score:1)
    Von Kermit am Tuesday 02. December, 23:49 MET (#10)
    (User #1277 Info)
    Genau das habe ich mich auch schon gefragt! Aus welchem Grund wurde da angegriffen?
    Aus Spass daran und um zu zeigen, dass es geht? -> Die Medienresonanz ist natürlich bei diesem Server sehr gross... es wurde nach meiner Kenntniss aber keine "Nachricht" oder ein Hinweis zurückgelassen.
    Angriff auf das Prestige von GNU/Linux: Scheinbar waren hier Experten dran, die Linux gut kennen -> warum also das System in ein schlechtes Licht rücken? War es vielleicht ein "Auftragshack"?

    Dies sind natürlich alles nur Spekulationen und zufällige Übereinstimmungen ob jetzt oder in Zukunft sind rein zufällig!

    In diesem Sinne noch eine gute Nacht
    Kermit
    Verschwörungstheorie... (Score:1)
    Von maNic am Wednesday 03. December, 01:24 MET (#11)
    (User #341 Info)

    Der Hack wurde von

    • Microsoft
    • Business Software Alliance
    • SCO
    gesponsort.


    Re: Psychologischer Hintergrund (Score:0)
    Von Anonymer Feigling am Wednesday 03. December, 09:16 MET (#14)
    tja, da gaebe es 1000 gruende und motivationen - die gedankenwelt der menschen ist seeeehr komplex ... und genauso wie es leute gibt die am liebsten 10 stunden am auto schrauben, so gibt es halt auch die fraktion von humanoiden, die am liebsten ihre zeit mit dem hacken verbringen. der ruhm ist dem typen in seinen kreisen nun gewiss :-} --inglf00
    Quotes & comments (Score:1)
    Von chickenshit am Wednesday 03. December, 02:06 MET (#12)
    (User #1217 Info) http://chickensh.it

    (...) security experts discovered which kernel bug was utilised.

    Schade, steht which statt that the.

    On klecker, however, this was postponed for a scheduled maintenance (...).

    Language means business.

    This (...) effectively disabled just about any public Debian work.

    Private network, open source .. smells of contradiction.

    Microsoft hat doch ne Kampagne am Laufen... (Score:2)
    Von kuckuck am Wednesday 03. December, 10:56 MET (#16)
    (User #818 Info) http://www.commandline.ch
    ...welche zeigen soll dass Linux nicht 'Sicher' ist.
    Quellen:
    Geekcode: GCS d+ s++:- !a C++ UB++++ P++ L+++ E--- W++ N+ o K- w--- O- M- V- PS++ PE-- Y+ PGP++ t 5 X++ R- tv-- b++ D

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen