[LOR] Некоторые пакеты IRC-сервера UnrealIRCd версии 3.2.8.1 содержат бэкдор

[rssbot]

Выяснено, что пакет Unreal3.2.8.1.tar.gz на некоторых зеркалах unrealircd.com был заменён на версии содержащими бэкдор. Данный бэкдор позволяет выполнить любую команду с привилегиями пользователя, запустившего IRCd, код может быть запущен независимо от любых ограничений пользователя. "Похоже, что подмена пакета произошла в ноябре 2009 года (по крайней мере на нескольких зеркалах) и по всей видимости никто не замечал её до сих пор. Мы не проверяли файлы на всех зеркалах регулярно, не подписывали релизы с помощью PGP/GPG, хотя надо было." - сообщают администраторы сайта.

оригинал на linux.org.ru

[sash-kan]

подробности.

вот, действительно, дилемма выходит.
в репозиториях всё ясно, там уж давно всё насквозь подписано/переподписано.
а вот как быть разработчикам?
вообще тарболлов не делать и отказываться от vcs-ов, из коробки gpg не поддерживающих?

[watashiwa_daredeska]

Подписывать/переподписывать тарболлы?

[sash-kan]

Подписывать/переподписывать тарболлы?

а id ключа, которым подписано, где хранить?
а то ведь подписать своим ключом изменённый тарболл — это как два пальца.

[watashiwa_daredeska]

а id ключа, которым подписано, где хранить?

Ссылка на архив, id ключа и подпись — на основном публичном [веб-]сервере, ключ можно тут же хранить, а можно на keyserver'е, архивы — на файловом [веб-]сервере. Итого, чтобы скомпрометировать, нужно хакнуть как минимум 2 сервера. И то, это будет заметно гораздо раньше, чем через более чем полгода.

В общем случае, конечно, эта проблема на 100% в онлайне не решается. Надежнее всего, встречаться в оффлайне и подписывать ключи перед скачиванием :)

[sash-kan]

как минимум 2 сервера

у мелких разработок, как правило, нет двух серверов в распоряжении.
получается, лучше всего отказаться от собственного сервера в пользу крупного хостинга проектов?

и, кстати, какие vcs-ы, кроме git-а, из коробки поддерживают связность коммитов хэшами?
а то ведь подправить историю — это ж вообще золотое дно для злоумышленников.

[watashiwa_daredeska]

какие vcs-ы, кроме git-а, из коробки поддерживают связность коммитов хэшами?

Спроси у Тихона про Mercurial. Какие-то хэши у него считаются, я только не знаю, как и обеспечивают ли они целостность всей истории или только одного коммита.

[watashiwa_daredeska]

у мелких разработок, как правило, нет двух серверов в распоряжении.

Ну, можно, конечно, сгородить intrusion detection на домашнем десктопе. Например, регулярно скачивать через публичный интерфейс странички, проверять, что упоминается правильный ключ, что подпись архива верна и т.п.

А крупный хостинг, думаю, не панацея, ибо един и ломается весь скопом. Суть именно в разных серверах, с разными логинами/паролями. Один может быть ориентирован только на отдачу статики, с минимальным количеством барахла на нем, а один — под динамический контент сайта.

[sash-kan]

какие vcs-ы, кроме git-а, из коробки поддерживают связность коммитов хэшами?

Спроси у Тихона про Mercurial. Какие-то хэши у него считаются, я только не знаю, как и обеспечивают ли они целостность всей истории или только одного коммита.

есть и другие vcs, помимо mercurial и git.

А крупный хостинг, думаю, не панацея, ибо един и ломается весь скопом.

крупный хостинг как раз на нескольких физических серверах и располагается.

[watashiwa_daredeska]

есть и другие vcs, помимо mercurial и git.

У других, которые я встречал, нет ничего даже похожего: arch, bzr, а тем более cvcs, типа svn, clear case, perforce. Может, есть, конечно, какие-то еще с такой функциональностью, но широко используемых и поддерживаемых я таких не знаю.

крупный хостинг как раз на нескольких физических серверах и располагается.

Ключевое тут то, что эти сервера типовые. Т.е. все одинаковые, с одинаковым софтом, логинами и паролями. Поэтому ломаются все оптом, независимо от их количества.

[sash-kan]

с одинаковым софтом, логинами и паролями

да ну? ключи-то, согласен, одинаковые. но вот пароли… неужели на крупных хостингах проектов непуганные идиоты админствуют?

[watashiwa_daredeska]

но вот пароли… неужели на крупных хостингах проектов непуганные идиоты админствуют?

Зачем обязательно админствуют? Достаточно сломать учетную запись, под которой хостится проект. Или на учетную запись выдается пачка паролей на каждый сервер?

[sash-kan]

Достаточно сломать учетную запись, под которой хостится проект.

не могу сказать за все хостинги, но, например, на github-е это ничего не даст. потому что тарболл с исходниками генерируется с помощью git archive по запросу. скорее всего не по каждому (выгоднее кэшировать), но, во всяком случае, у пользователя нет рычагов для подмены тарболла. а доступ к самим исходникам вообще только по ключу.

кто-нибудь в курсе, как обстоит с этим дело на других популярных хостингах проектов?

[watashiwa_daredeska]

но, например, на github-е

Ну, или так.

По сути же, контроль истории и пр. дает лишь возможность обнаружения вторжения апостериори, ибо злоумышленник вполне может добавить свой коммит/подправить несколько крайних. Те, кто работает с проектом, быстро заметят вторжение (сломается плавное течение push/pull). Те же, кто пришел первый раз, ничего не заметят.

[sash-kan]

Те, кто работает с проектом, быстро заметят вторжение

этого, как мне кажется, уже более чем достаточно.

значит, резюме такое: все на github?

[watashiwa_daredeska]

значит, резюме такое: все на github?

Ну, или на bitbucket.org, если Mercurial поддерживает контроль целостности истории также, как и git.

[sash-kan]

если Mercurial поддерживает

что-то в faq-е очень расплывчато по этому поводу написано. можно понять и так и эдак. расплата за «простоту», видать.
жду специалистов.

[dergachev]

Источник: Сообщение на их форуме.

12 июня команда UnrealIRCd заметила, что в ноябре 2009 года файл Unreal3.2.8.1.tar.gz на их [некоторых] зеркалах был подменен на другой, содержащий backdoor-трояна. Бэкдор позволяет исполнять любые команды от имени пользователя, от которого запущен ircd.

^^ Меня переподклеили, теперь это не актуально. ^^

Проверить, установлена ли у вас затрояненная версия, можно так:

1) Команда md5sum Unreal3.2.8.1.tar.gz (в соответствующей папке) должна ответить
- 7b741e94e867c0a7370553fd01506c66 если все хорошо
- 752e46f2d873c1679fa99de3f52a274d если троян
2) Команда grep DEBUG3_DOLOG_SYSTEM include/struct.h (в соответствующей папке) должна
- ничего не ответить, если все хорошо
- выдать две строчки, если троян.