Неизвестные пытаются встроить черный вход в Linux
В любой дистрибутив Linux попадает ядро с сайта kernel.org. Если подменить исходный код ядра в этой точке и встроить так называемый черный вход, то все дистрибутивы Linux окажутся уязвимыми. И задача подмены для спецслужб не представляет никакой сложности.
Разработчики ядра Linux прекрасно это понимают, поэтому использовали дополнительную защиту — криптографическую подпись. Как только АНБ или или кто-то еще изменит хотя бы один бит в коде ядра Linux, подпись сразу изменится и разработчики дистрибутивов увидят подмену. Казалось бы, опасаться нечего.
На днях специалисты по информационной безопасности обнаружили в свободном доступе поддельные ключи Линуса Торвальдса и Грега Кроа-Хартмана. Эти два человека полностью контролируют разработку Linux и распространение исходного кода. Создать полную копию ключа GPG математически невозможно, поэтому злоумышленники сгенерировали фиктивные ключи таким образом, чтобы совпадали только короткие 8-символьные отпечатки.
Что это дает? Не секрет, что разработчики разных дистрибутивов по-разному относятся к безопасности. Команда Debian ставит безопасность на первое место. Разработчики Mint откровенно пренебрегают безопасностью ради удобства. Кто-то проверяет полный отпечаток ключа, а кто-то ради удобства сверяет лишь 8 последних символов. Во втором случае фиктивный ключ будет опознан как настоящий, а модифицированный код ядра Linux с троянским конем будет подтвержден как оригинальный.
Выявление поддельных ключей дает основания предполагать, что ведется подготовка к атаке на Linux. Если злоумышленникам это удастся, миллионы серверов и миллиард мобильных устройств окажутся в зоне критического риска.
Комментарии
Чингачгук
17 августа, 2016 - 13:37
У Microsoft тут преимущество. Они держат исходники внутри закрытой компании и не выкладывают на публичные сайты, которые взломать — как 2 пальца об асфальт.
Чингачгук
17 августа, 2016 - 13:41
Именно по этому виндовс самая безопасная система в мире!
pomodor
17 августа, 2016 - 14:02
А чего же эта самая безопасная система в мире дохнет от первого встречного вируса? К тому же, в закрытые исходники намного проще встроить бэкдор. И Сноуден говорит нам об этом, что Microsoft — это шлюха АНБ.
pomodor
17 августа, 2016 - 14:13
Кстати, раздельное написание слова "поэтому" выдает в вас не только большого специалиста по безопасности операционных систем, но и эксперта по русскому языку.
ЗЫ А 1 сентября уже блиииизко... ;)
Чингачгук
20 августа, 2016 - 15:03
Да. Преимущество для АНБ. Так надо какие-то ключи подделывать, сайты взламывать, рассчитывать на невнимательность дистрибутивостроителей, с риском влипнуть в очередной международный скандал. А так достаточно просто договориться с компанией или если она не идёт на контакт то подкупить конкретных сотрудников пишущих ядро венды, а с учётом отсутствия исходников — факт наличия бэкдора доказать будет куда сложнее.
Так что не пишите бред — публичная открытая разработка по самой своей идее уже куда более устойчива к внедрению в код бэкдоров от разных заинтересованных чекистов, чем закрытая компания вроде M$ открыто сотрудничающая с ними.
comrade
17 августа, 2016 - 15:34
"Польза" от таких лже-ключей крайне сомнительна(-:, чтобы делать такие глобальные выводы. Хотя бдительность, конечно, хорошее качество.
Если система изначально построена на правильных принципах, это сильно повышает безопасность.
Но если сами авторы системы умышленно оставляют дырки "для себя", и надеются, что никто не узнает – "патамушта код закрытый", то это фундаментальная угроза безопасности.
А вот и свежий пример (-:
«Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot»
http://www.opennet.ru/opennews/art.shtml?num=44950
pomodor
17 августа, 2016 - 15:44
Не сомнительная, а реальная.
На lkml.org бьют тревогу: «DO NOT TRUST ANYTHING SHORTER THAN THE FINGERPRINTS».
Пример чего? И какое отношение он имеет к теме? Есть проблема — уязвимость PGP short-ID collisions. По ссылке пример того, как дебилы из MS про...бали свой мастер-ключ по дурости.
:)
Чингачгук
17 августа, 2016 - 16:08
Приведите примеры массовых заражений mint.
Чур, тот единственный случай взлома глав.страницы сайта не вспоминать. Так как у дистров с подставной ссылки хеш суммы не совпадали с оригинальными.
И скачиваний было меньше 1000.
pomodor
17 августа, 2016 - 16:13
Пренебрежение — это не только взлом. Это отказ от публикации CVE и задержка с выпуском заплаток к критическим уязвимостям.
Чингачгук
17 августа, 2016 - 16:27
(CVE-2016-5696) проявляется c 2012 года в выпусках ядра Linux c 3.6 по или до(точно не помню) 4.7.
Спорим, в этих версиях ядер debian не позаботилась о заплатке?
Отказ от публикаций CVE комментировать не буду. Не публикуют — значит не надо. ;)
pomodor
17 августа, 2016 - 16:33
С таким уровнем аргументации нам беседовать не о чем.
Чингачгук
17 августа, 2016 - 16:41
А что вы хотели? Очередной ламер зашел похвалиться своим фетишем. Mint самый лучший. Почему? Так надо. :)
Чингачгук
17 августа, 2016 - 16:55
Не ври. Я никогда не говорил что минт лучший. Я всего лишь напоминал, что Linux Mint это клон Ubuntu.
И отсутствие публикаций CVE, меня не беспокоит так, как это, беспокоит некоторых, беспокойных людей. По причине описанной выше.
Надеюсь, вы уловили смысл моего комментария.
Чингачгук
17 августа, 2016 - 17:01
Я и говорю: ламер и фетишист. Теперь уловил?
Чингачгук
17 августа, 2016 - 17:04
У кого что болит, тот о том и говорит.
Уловил?
Чингачгук
17 августа, 2016 - 19:55
Разработчики Mint не делают свои патчи для ядра :они используют ядра от разработчиков Canonical :)
pomodor
17 августа, 2016 - 20:01
Интересно, что и разработчики Ubuntu неоднократно обвинялись в том, что не вносят практически никакого вклада в копилку Linux. Mint — любопытный случай, когда паразит паразитирует на другом паразите.
Чингачгук
17 августа, 2016 - 20:07
То есть — ихние ядра не отличаются от дебиановских ?
pomodor
17 августа, 2016 - 20:17
Если и отличаются, то очень незначительно. Но самое забавное, что ядра берутся из нестабильной ветки Debian. Что нормальные линуксоиды не решаются пока использовать по соображениям стабильности, то в Ubuntu и Mint попадает как стабильное.
Чингачгук
17 августа, 2016 - 20:19
То есть вы считаете, что Убунту — паразит? Но ведь вы сами вроде сейчас на Убунту? Вопрос, почему вы не не выбрали первоисточник — Дебиан, он же и стабильней, и вообще солидней. Спрашиваю абсолютно без ехидства, просто интересно узнать.
pomodor
17 августа, 2016 - 20:41
Абсолютно без ехидства отвечаю, что действительно использую сейчас Ubuntu и считаю, что этот дистрибутив действительно больше берет, чем дает. Но у линуксов есть проблема, которая гораздо серьезнее паразитарства. Она заключается в том, что дистрибутивов много. Это заставляет линуксоидов сраться друг с другом и распыляет усилия по развитию. Ubuntu имеет наибольшие шансы объединить людей, поэтому я и выбрал Убуку. Даже скажу иначе, Убунта уже объединила тех людей, с которыми имеет смысл объединяться. Школьники, ламеры, незнающие английского и прочий специфический контингент давно расселся по своим минтам и росам и там им самое место. :)
Там, где Убука совсем плоха я продолжаю использовать Debian.
Чингачгук
17 августа, 2016 - 21:20
Благодарю за развернутый ответ.
Чингачгук
17 августа, 2016 - 21:27
Ну, где, кому, и какое место, это все-таки не вам решать. И не вам ярлыки на людей вешать. Полагаю вы и сам бывший ламер, школьник, незнающий англ.языка. Разве не так?
К чему это я? Да к тому, что такие пренебрежительные высказывания, не украшают Linux сообщество. И мало того, еще и отпугивают людей в первые услышавших слово "линукс".
Количество линукс пользователей и так уже балансирует между нулем и "минус бесконечность".
Давайте сменим риторику, если есть что сказать по делу, будем говорить.
А если нечего сказать, то лучше промолчать.
Это был не упрек, а мое частное мнение. Цели оскорбить Вас я не имел.
pomodor
17 августа, 2016 - 21:41
Непонятный анонимус приказывает мне молчать на моем же сайте? Чертовы школьники, чем больше каникул, тем больше вам срывает крышу. ;) Это же надо было догадаться такое предложить.
Все-таки мне. Я имею право на свою точку зрения, как и любой другой пользователь сайта.
Если передо мной ламер, то на нем обязательно будет висеть ярлык "ламер". Даже если "очень авторитетный анонимус" утверждает обратное. ;)
Не путайте меня с собой.
Если они такие пугливые, то пускай идут на хер. Представляю, как они напугаются, когда увидят доки на английском и командную строку. Я уже 100 раз говорил, что Linux используют только крепкие духом пацаны. Пугливые пускай прячутся за свой Вантуз. ;)
Глубокая мысль. ;)
Ваш комментарий демонстрирует обратное. Другой анонимус мне вежливо задал вопрос, я ему вежливо ответил, он меня поблагодарил. А к чему тут ваш высер понять трудно. ;)
Чингачгук
17 августа, 2016 - 23:51
Скажу, что нет никакой гарантии, что сами разработчики ядра линукс не были завербованы спецслужбами.
Чингачгук
18 августа, 2016 - 00:14
После ужасных пыток.
pomodor
18 августа, 2016 - 01:10
Виндовсом.
Чингачгук
18 августа, 2016 - 13:41
Благо криптографию никто не отменял... на линукс
Чингачгук
20 августа, 2016 - 14:48
Ух противные иудины! Везде стараются просунуть свои грязные щупалцы. Под ифимерным соусом заботы о рядовых хомячках. Они устроили эту тоталитарщину якобы ради защиты от нехороших бородатых дядек.
Насамом деле цель соврешенно другая. А именно сохранение своего прогнившего феодального сословья. И прежнего кричаше шикарного уровня потребления. Засчёт прозомбированных бедолаг.
Комментировать