- Feeds completos
- Feeds dos comentários
- Feeds do fórum
- Receba o Meio Bit via e-mail
0 assinantes
Fórum
Últimos tópicos no fórumÚltimas respostas no fórum
- Telão de acrÃlico?
- [HELP] XBox não enxerga rede wireless
- HDR forçando a barra
- 1o Mobile Expert Worshop - alguém vai?
- Anti Virus
- Nikon d-40 como dslr entrada!
- Software para migrar FTP
- Recuperação de Dados Deletados do HD
- Montando um micro com muita verba
- Site especial do Google sobre as enchentes em SC
- placa de video temporária barata!!!
- E se fosse tivesse toda a internet em suas mãos?
Newsletter
Mantenha-se informado sobre as nossas novidades com nosso newsletter semanal, todas as segundas-feiras
Servidores da Red Hat e Fedora invadidos e hackeados
Enviado por Carlos Cardoso
em 27 Agosto, 2008 - 14:41
Invasores não-identificados conseguiram acesso aos servidores da Red Hat, e por extensão aos do Fedora. A empresa explica que está "altamente confiante" que o código-fonte do sistema operacional não foi modificado, mas 43 pacotes relacionados ao OpenSSH foram assinados indevidamente, isto é: Os hackers podem distribuir um programa malicioso que será devidamente autenticado como legÃtimo pela Red Hat.
Novas assinaturas para os pacotes em questão foram geradas, alertas de atualização enviados.
Curioso é que a Red Hat não está agindo de forma "comunitária". Estão minimizando a invasão, seguindo o modelo corporativo de Segurança por Obscuridade (tm Microsoft, IBM, Oracle, etc). Não falam nada sobre a invasão em si, não dizem qual falha foi explorada, nada. Quanto ao Fedora, simplesmente tirou do ar vários servidores e serviços, dizendo que estavam com "problemas técnicos". Muito bom. Essa é a transparência que a "comunidade" prega?
E sim, foi sério. O pessoal do Fedora fez um rebuild do zero, dos sistemas invadidos.
Fonte: The Register
- Ueba
- Rec6
- Blog do Carlos Cardoso
- entre com seu usuário e senha ou registre-se no site para enviar comentários
Até o linux? Em quê confiar agora?
No FreeBSD?
_____________
Eu esqueço tudo, sou muito cabeçudo. \o/ <- Pessoa normal, eu -> \O/
Acho que em alguma distribuição Linux que não seja tachada de capitalista, burguesa e essas coisas...
E em alguma distribuição que não seja odiada por adoradores de outra distribuição...
Compliquei agora, não?
---------------------------------------
Só a mudança é permanente.
"Compliquei agora, não?"
Um pouco, mas eu acho que por ser paga, capitalista ou burguesa não torna ela menos eficiente, só a torna alvo do pessoal extremista que não quer que ela exista, o que resulta na invasão.
Exatamente. You got the point.
---------------------------------------
Só a mudança é permanente.
Em práticas de segurança, não em "sistemas seguros".
Como diz meu querido amigo Clayton Lobato, "Devemos ter um pensamento em segurança e não apenas ferramentas de segurança"
Eu sei que não existe sistema completamente seguro, mas é que eu realmente apostava que o linux seria o mais improvável. Mas como o amiguinho falou mais abaixo, isso virou mito.
Muito conhecimento, não ter namorada, tempo livre, resulta em crackers com vontade de "derrubar a burguesia". E não tem admin, nem sistema que pare ele.
Sabe qual sistema é seguro? NENHUM!
A respeito da comunidade: A RedHat não deve satisfações para a comunidade, deve satisfações para quem comprou o sistema. Vamos lembrar que o linux comunitário deles (fedora) não tem NENHUM suporte da RedHat. Não que eu concorde com a postura, mas é uma opção deles. Se tivesse acontecido no Debian, aà sim a comunidade poderia exigir "transparência".
___________________________________________________________
No tears, please! It's a waste of good suffering!
Já aconteceu mais de uma vez, reportamos aqui. Debian invadido foi muito feio, aliás.
O que já aconteceu? Uma invasão no Debian ou uma falta de explicação para a comunidade?
O Debian foi invadido *duas* vezes, em 2003 (http://www.infoworld.com/article/03/11/24/HNdebian...) e em 2006 (http://news.cnet.com/Debian-locks-out-developers-a...).
Quanto a explicações, tem o que explicar?
Sim, tem.
Justamente o tipo de explicação a que o Cardoso se referia. Que falha foi usada, se foi usada. Se o servidor estava mal configurado. Se o admin dormiu no ponto, etc, etc, etc...
Ninguém divulga isso, principalmente se uma investigação criminal estiver em curso (como deve estar no caso do Fedora/Red Hat).
Mas se for uma falha NO DEBIAN, ela deverá ser divulgada, diferente da RedHat, que não deve nenhuma explicação para a comunidade!
Não disse que o Debian nunca foi invadido, sei bem das falhas que tem, assim como qualquer outro sistema! O que estou dizendo é que a galera do Debian deve explicações para a comunidade, só isso!
___________________________________________________________
No tears, please! It's a waste of good suffering!
Para desespero dos Freetards essa de que o Linux é mais seguro agora é mito. Vão colocar a culpa no admin, e quando acontece com Windows a culpa é da vulnerabilidade do sistema. Conveniencia wins.
Mas a culpa é sempre do Admin!
Ele é culpado em 2 momentos:
1- Quando ele escolhe um sistema operacional muito vunerável
2- Quando ele não cria diretrizes de segurança e pôe em prática
Só que desses pontos o linux tem muito mais vantagem no 1º isso é fato!
----
.\o>
. |
. \\
Eh...eles vão "dormir na pia" de preocupação com sua "quebra de conceitos".
..e vão botar OpenBSD porque "até o andar do mouse é criptografado"..hehehehheheheh
==============================
www.forum-invaders.com.br
"Para desespero dos Freetards essa de que o Linux é mais seguro agora é mito."
Então se amanhã atacarem novamente um servidor MS ele será novamente menos seguro e no dia seguinte atacam outro servidor Linux e o Linux passa a ser uma peneira e assim sucessivamente sempre considerando menos seguro o último a sofrer um ataque?
Na seção "loopback" da revista "Phrack"(eh tipo o Salsas e Caretas), um cara pergunta:
- What system is secure, Windows, Linux or Mac OS? (pergunta do user Salsa)
- None! (resposta do Admin)
==============================
www.forum-invaders.com.br
Que Fedorento!
[ ]'s
--------------------
http://www.youtube.com/anunciaraquiegratis
Já dizia a sabedoria popular: "Fedora: a distro que já vem com KGhost...view?"
ixi
agora que venha os trolls
I Work All Night, I Work All Day, to Pay the Bills I have to Pay
Ain't it sad
.
Truth happens? Shit happens!
.
Cesar Lemos
Ambiente Virtual Internet
http://ambientevirtual.wordpress.com
Por esta razão que estou largando a Red Hate! Os últimos updates vieram totalmente inconsistentes... OpenSuse FTW!
_____________________________________________
Mais um dia nas exatas.
[Modo WINTARD=ON]
Por isso eu uso windows, por que ele é melhor e não tem falhas de segurança
[/modo]
CadÊ os Freetards agora??
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
Ué! a distribuição da RedHat não é free
Correção :Cadê os TuxTards agora?
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
Não provoca rapaz...
Além do mais, freetards não usam RedHat, "eles traÃram o movimento FOSS, véio".
___________________________________________________________
No tears, please! It's a waste of good suffering!
Já corrigi.. TuxTards, ou LinuxTards
O que eu faço com um pinguim de chapéu vermelho que está batendo na minha porta armado de foice e martelo?
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
Uma mão bate na porta, outra segura a foice e o martelo? Afinal! Quantas mãos tem um pinguim?
Poemas open source em Memórias fictÃcias de Alex Popst
Na verdade pinguins não tem mãos e sim asas....
_____________________
Meu Twitter
About Me
Muita Pimenta Blogs em breve mais bonito e mais forte.
[modo chato on]
Na verdade, pinguins tem asas, não mãos.
[/modo]
Você pensou que ele poderia segurar o martelo e a foice com uma asa, ou então bater na porta com o Bico? [:D]
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
[modo House on]
O pinguim não bateu na porta com o bico para que o chapéu não caÃsse sobre seus olhos.
[modo House off]
Poemas open source em Memórias fictÃcias de Alex Popst
e se o chapéu for amarrado com uma fita?
(alguém já viu uma discussão tão idiota quanto esta neste site?
)
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
Eu já vi uma até mais idiota...
___________________________________________________________
No tears, please! It's a waste of good suffering!
Cara, não substime os pinguins
[s]
O martelo está no TuxCinto.
____________________
naotenho.blog.com.br
Oferece uma coca-cola geladinha...
___________________________________________________________
No tears, please! It's a waste of good suffering!
Claro e ofereço a dar uma volta numa ferrari [;)], usando um tenis da NIKE...
_________________________________________________Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
"Perdeu Praibói"...
_____________________
Meu Twitter
About Me
Muita Pimenta Blogs em breve mais bonito e mais forte.
Provavelmente uma conspiração que envolva os vÃrus espaciais da nasa, microsoft, igreja católica e o submundo do poder.
Poemas open source em Memórias fictÃcias de Alex Popst
Que o TheDarkMaster não leia isso...
___________________________________________________________
No tears, please! It's a waste of good suffering!
Following a forensic examination, the Linux distribution is convinced that hackers were NOT able to capture the passphrase used to secure the Fedora package signing key. "Based on our review to date, the passphrase was NOT used during the time of the intrusion on the system and the passphrase is NOT stored on any of the Fedora servers," Frields writes.
Nonetheless, as a precaution, Fedora has changed its signing key.
E... ?
Ele sabe ingrêis
Eu também:
maclaren, bacon, greatest hits
fax modem, internet, puff, metal
tape deck, I love you, pause, stop
michael jackson aaaaaaaaaaaa
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
f*cking laughing out loud
http://bugigangadigital.wordpress.com/ , afinal, o nome já diz tudo...
Put I keep are You? (hehehehe)
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
Foo Dell!
--Mesmo não concordando com o que dizes, defendo o seu direito de dizê-lo--
Uati fóqui is déti???
_________________________________________
"Espaço reservado para frase inteligente"
http://www.youtube.com/watch?v=2jYEaXYbEPM
Round one, Fight, Final lap, Start, Game over, Playstation, Atari aaaaaaaaaah
--Mesmo não concordando com o que dizes, defendo o seu direito de dizê-lo--
No projeto Fedora e em diversos outros Linux, há dezenas de sevidores espalhados pelo mundo. Com certeza diversos podem ter falhas de segurança que não foram fechadas ou configurações falhas que podem deixar alguém entrar. A única segurança é a assinatura dos pacotes.
Uma passphrase proteje as chaves usadas para assinar os pacotes .RPM, por default os repositórios oficiais (e mirrors no caso do Fedora) vêm configurados para não instalar pacotes que não estejam assinados.
Sei de duas formas de um pacote modificado passar, uma seria o administrador de algum sistema baixar na mão o pacote (ignorando o YUM) e instalar com o comando RPM. A outra seria ele alterar a configuração de repositório do YUM, desligando a verificação de chaves (gpgcheck=0).
Acredito que em 15 minutos se instala um servidor (o que demora mais são as configurações e atualizações). Se as configurações forem mais ou menos padrão ou haja backup delas, então sem muito tempo perdido aqui. As atualizações podem ser feitas no momento da instalação, não consumindo tempo extra que seja significativo.
Ao passo que, verificar o sistema em busca de alterações e backdoors, com certeza leva horas, assim o melhor é instalar do zero mesmo. Imagina aÃ, se vc emprestar seu notebook para o Mitnick usar, vc confiaria de novo no notebook? Vá por mim, é melhor instalar do zero, não esquecendo a BIOS/firmware.
Uma passphrase proteje as chaves usadas para assinar os pacotes .RPM, por default os repositórios oficiais (e mirrors no caso do Fedora) vêm configurados para não instalar pacotes que não estejam assinados.
Para mim é quase inacreditável ouvir isso. Porque as chaves estão armazenadas no servidor? Não importa se a passphrase foi digitada ou não, agora que o servidor foi invadido você tem que assumir que a chave foi quebrada. Já passou pela cabeça da Fedora colocar as chaves em um HSM ou mesmo em um smart card?
O servidor (do site) do LinuxMint foi invadido duas vezes nas últimas duas semanas. A última foi hoje.
Da primeira vez ele tava instalando um trojan em máquinas Windows, agora outro tipo de vÃrus.
"Update #1: A backdoor virus was found so it’s possible we got re-infected from the inside. I’m currently re-applying updates to clean the website first."
Quem quiser confirir:
http://www.linuxmint.com/blog/?p=240
Meio off...
Todo vez que tento abrir o meiobit no Firefox ou Opera aparece isso:
http://i186.photobucket.com/albums/x128/dyegowill/...
Quando eu cancelo o Firefox trava.
Aqui também... queria saber pq ele está querendo instalar um applet java aqui!
_________________________________________________
Conheça : GuZ .
>/¨\< Cuidado! Se você tivesse um TK-85, isso seria uma nave inimiga
Isso acontece pra quem atualizou o Flash PLayer pra ultima versão, aquele Banner da Dell lá em cima que está com código bugado e crash o player novo.
_____________________
Meu Twitter
About Me
Muita Pimenta Blogs em breve mais bonito e mais forte.
FlashBlock Nele!
----
.\o>
. |
. \\
Isso aconteceu depois que acessei o site da Creative. Mas aceitei...
http://bugigangadigital.wordpress.com/ , afinal, o nome já diz tudo...
Apareceu aqui também...
''I Still Haven't Found What I Looking For''
Falando a nossa LÃngua
O Ubuntu é o mais usado e até agora não aconteceu uma coisa dessas. Canonical RLZ!
----
.\o>
. |
. \\
OMFG!
Por favor, me diz que era piada e eu não entendi...
___________________________________________________________
No tears, please! It's a waste of good suffering!