Articles précédents : Sécurité
- [32] Un bug de GnuPG compromet plusieurs centaines de clés
- [99] Plusieurs machines-maîtres du projet Debian auraient été compromises
- [164] Microsoft prépare un "assaut de sécurité" public sur Linux
- [64] Correction d'un problème de sécurité sur TuxFamily
- [10] Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
- [12] Le démon honeyd, utilisation des pot de miels contre les vers.
- [20] La suite Sentry de retour sous licence GPL/CPL
- [8] Un nouveau magazine chez votre libraire : hackin9
- [61] Le proxy d'accès à Google victime de son succès.
- [273] Le développeur principal d'xMule poursuivi en justice
Liens connexes
- L'annonce une des liste Debian (2073 hits)
- La dépêche sur Slashdot (717 hits)
- Analyse de Wichert Akkerman (1513 hits)
Dépêche modérée par
Sécurité : Du nouveau sur les serveurs Debian compromis
Posté par Brunus (). Modéré le 28 novembre 2003.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.
Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.
![[en]](../../../images/en.png)
L'annonce une des liste Debian (2073 hits)-
La dépêche sur Slashdot (717 hits)
-
Analyse de Wichert Akkerman (1513 hits)
> Lire la suite (118 commentaires, moyenne: 2,6). [dépêche : 845 caractères]
Les machines étaient approximativement à jour, et les patchs de sécurités appliqués.
La machine master disposait pourtant assez bizarrement d'une copie de son ancienne installation...avec bien sur des binaires non patchés.
Tous les comptes ont été fermés, les mots de passe invalidés et les clefs ssh retirées...et ça va durer.
Comme le précise l'auteur de la dépêche sur Slashdot, la faille locale exploitée n'a pas été utilisée pour pénétrer la machine Sparc qui héberge l'archive ftp principale. C'est donc peut être une faille liée aux architectures i386 uniquement...
Je conseille à tous de lire l'annonce postée sur la liste Debian avant de réagir sur DLFP.
[+] Re: Du nouveau sur les serveurs Debian compromises
moi qui croyait que Debian est super sécurisée comme quoi....
http://rootix.info
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Dies Irae (page perso, ) le 28/11/2003 à 18:15. (lien). Évalué à -3."C'est Bestel qui a voulu brancher le détecteur de mensonge sur la cibie et ça a fait PFOUIT!!"
-
[^]et la on voit les integristes debian qui te mettent un score a -10
Re: Du nouveau sur les serveurs Debian compromises
J'ai peur que cet exemple ne soit désormais mis en avant par les détracteurs du libre, comme quoi c'est aussi sensible qu'autre chose au piratage.
Sinon, cela risque-t-il de retarder le projet Debian ?
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Annah C. Hue (page perso, ) le 28/11/2003 à 18:08. (lien). Évalué à -11.J'ai peur que cet exemple ne soit désormais mis en avant par les détracteurs du libre
Cela prouve bien que cet attentat a été commandité par des personnes ayant intérêt à ce que le libre soit décrédibilisé. Je ne citerai pas de nom sinon pasBill va me sauter dessus.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Benoît Sibaud (Jabber id, page perso, ) le 28/11/2003 à 18:12. (lien). Évalué à 12.La thèse du complot est séduisante... Maintenant faut-il penser que chaque attaque contre un produit de Seattle est fait par les gens de l'astre solaire, que le grand bleu finance des mercenaires contre le bicéphale newhashp ?
La réaction de l'équipe sécurité est plutôt saine je trouve. Reste quand même deux problèmes : comment sécuriser les mots de passe ? quelle est la faille locale root ?-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Annah C. Hue (page perso, ) le 28/11/2003 à 18:18. (lien). Évalué à 9.comment sécuriser les mots de passe ?
En utilisant des logiciels qui ne nécessitent pas l'envoi des mots de passe, comme ssh par exemple.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Baptiste SIMON (Jabber id, page perso, ) le 28/11/2003 à 18:57. (lien). Évalué à 6.sauf que... quel est le plus dur ? Topper un mot de passe écrit uniquement dans la tete de son possesseur... ou récupérer une clé privée ? Je n'ai pas de réponse... et je pense que l'une comme l'autre, ces méthodes sont faillibles (la faiblesse humaine est la pire invention de l'Homme, et des clés réparties sur 200 systemes maintenus par 200 personnes totalement indépendantes n'est guere une meilleure solution à mes yeux)
Cela dit, c'est vrai, l'auth par clés pub/pv est une bonne chose, merci OpenSSH :c)--
BeTa-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par PLuG () le 28/11/2003 à 20:11. (lien). Évalué à 6.Note que normalement ta clef est UNIQUEMENT sur TA machine (donc pas sur un serveur) et qu'elle est de plus a associer a un mot de passe qui est seulement dans TA TETE pour etre fonctionnelle.
je ne comprends donc pas ta comparaison. l'auth par clefs SSH est vraiment meilleure.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Brice Arnould ( un_brice ) (page perso, ) le 28/11/2003 à 21:46. (lien). Évalué à 5.Il répondait à type qui parlait de « logiciels qui ne nécessitent pas l'envoi des mots de passe ». Du coup sa comparaison avait un sens.
M'enfin, c'est vrai que c'est l'heure du dodo. -_^--
Respect à RMS.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par PLuG () le 29/11/2003 à 11:31. (lien). Évalué à 1.Tu as raison, je viens de relire le post au dessus.
cependant pour etre tatillon il me semble que SSH n'envoie pas le mot de passe (il est utilisé localement ...)
quelqu'un pour confirmer/infirmer j'ai pas le temps de verifier !-
[+] [^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Yusei (page perso, ) le 29/11/2003 à 12:24. (lien). Évalué à -1.Je vois mal comment il pourrait ne pas l'envoyer... mais il l'envoie crypté^Wchiffré, donc à moins d'une faille dans le système de chiffrement c'est bon.
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par allcolor (Jabber id, page perso, ) le 29/11/2003 à 15:07. (lien). Évalué à 6.Ben pourquoi il devrait envoyer un mot de passe... c'est inutile, sa clef publique permet à elle seule de l'authentifier... avec un challenge crypté avec la clef publique et envoyé au client (seul le possesseur de la clef privée peut décoder), décodage du challenge et réencodage avec la clef privée, renvoie au serveur... décodage sur le serveur avec la clef publique, si le tout correspond alors l'utilisateur est authentifié... non ?
--
All those moments will be lost in time, like tears in the rain.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Yusei (page perso, ) le 01/12/2003 à 09:28. (lien). Évalué à 1.Bon, il se peut que je n'aie rien compris au fonctionnement de ssh (le moinssage le laisse penser), mais quand je fais un ssh sur une machine, elle ne connait pas ma clé publique à l'avance, je ne peux donc pas m'autentifier avec. Ce qu'il me semblait avoir compris, c'est qu'on échange les clés publiques pour établir un canal chiffré, et qu'à l'intérieur de ce canal, on s'autentifie avec le mot de passe de login classique.
Si c'est pas comme ça que ça marche, moinssez si vous voulez, mais au moins expliquez moi :-)-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par allcolor (Jabber id, page perso, ) le 01/12/2003 à 11:36. (lien). Évalué à 1.Ben pour faire l'authentification plus haut, le serveur doit bien entendu connaître ta clef publique et elle doit être mappée à un user connu par la machine (par exemple avec LDAP).
Et donc plus besoin d'envoyer ton password en distant (crypté ou pas)... le serveur à juste besoin de savoir à qui appartient telle clef publique... et faire le mapping.--
All those moments will be lost in time, like tears in the rain.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Yusei (page perso, ) le 02/12/2003 à 08:54. (lien). Évalué à 1.J'utilise régulièrement ssh, et je n'ai jamais prévenu les serveurs de ce qu'était ma clé publique (d'ailleurs je ne sais même pas quelle tête elle a, ma clé publique ssh, et j'en ai donc une par machine que j'utilise). Par conséquent, j'ai toujours eu un prompt de mot de passe en utilisant ssh. S'il y a moyen de faire autrement, pourquoi pas, mais en fait je ne vois pas trop l'intérêt:
- soit je fais confiance au canal sécurisé établi par ssh, et dans ce cas là je peux l'utiliser pour envoyer mon mot de passe
- soit je ne fais pas confiance, et dans ce cas l'intérêt de ssh devient limité.
Le seul intérêt que je vois, c'est que comme je n'ai pas à taper le mot de passe, il ne peut pas être intercepté par un logiciel espion qui tournerait en local. Mais je dois quand même taper le pass correspondant a ma paire de clés, qui lui pourra alors être intercepté. Quelqu'un qui peut mettre un logiciel espion sur la machine est surement capable de me voler ma clé privée.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par gnap gnap (page perso, ) le 02/12/2003 à 14:59. (lien). Évalué à 1.« Mais je dois quand même taper le pass correspondant a ma paire de clés, qui lui pourra alors être intercepté. Quelqu'un qui peut mettre un logiciel espion sur la machine est surement capable de me voler ma clé privée. »
Non. Espionner des paquets qui circulent sur le net, ce n'est pas équivalent à casser un compte unix sur une machine précise.
Mais l'intérêt principal de la passphrase est simple : il ne suffit pas de lancer des assaults avec un dictionnaire, ce qui peut être fait si tu autorise le login avec le mot de passe. Il faut en plus avoir la clef.
Bien entendu, si tu utilises une clef sur un serveur qui accepte les mots de passe, l'intérêt est moindre.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Yusei (page perso, ) le 03/12/2003 à 10:33. (lien). Évalué à 1.«Non. Espionner des paquets qui circulent sur le net, ce n'est pas équivalent à casser un compte unix sur une machine précise.»
Je ne parle pas d'interceptéer des paquets qui circulent sur le net.
Je parle de taper un pass en local, qui serait intercepté par un programme installé sur la machine.
Qu'il s'agisse d'un pass envoyé sur le réseau ou pas, peu importe, puisque quand il est envoyé il est chiffré. J'ai assez confiance dans le chiffrement utilisé par ssh (peut-être à tord, car je ne sais même pas exactement ce qu'il utilise) pour envoyer un pass que j'ose taper en local.
Autrement dit, je pense que s'il y a un maillon faible dans la chaîne d'authentification, c'est la machine locale (qui n'est pas toujours la même, qui peut être le windows d'un ami depuis lequel je me log) plutôt que le canal chiffré.
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par allcolor (Jabber id, page perso, ) le 01/12/2003 à 11:38. (lien). Évalué à 1.De plus je crois pas que ssh utilise tout le long un chiffrage par clef publique/privée (ça coûte trop de cpu).. mais l'utilise juste pour établir un canal chiffré pour faire transiter une clef symétrique de session...
--
All those moments will be lost in time, like tears in the rain.
-
-
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Mr F (page perso, ) le 30/11/2003 à 22:50. (lien). Évalué à 0.Si je te scp ta clé sur ma machine, elle va pas rester unique bien longtemps...
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par gnap gnap (page perso, ) le 02/12/2003 à 15:00. (lien). Évalué à 1.Et tu fais ça comment, par magie ?
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par ouah (page perso, ) le 01/12/2003 à 08:40. (lien). Évalué à 1.> comment sécuriser les mots de passe ?
On en parle peut-être pas assez, mais une chose très importante est d'utiliser un mot de passe différent par compte. Sinon, la sécurité de plusieurs machines/réseaux différents sont liés. On roote la connexion ADSL du type, on trojanne son client ssh et ensuite c'est son accès local sur {sourceforge.net|apache.org|debian.org|kernel.org|ftp.gnu.org|cvs.openbsd.org} qu'on obtient.
-
-
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Matthieu Moy (page perso, ) le 28/11/2003 à 20:05. (lien). Évalué à -5.Oui, ça a été fait par MS, mais c'est pour se venger des débianistes qui avaient lancé SQL slammer et Blaster.
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Antoine Reversat () le 28/11/2003 à 18:09. (lien). Évalué à 11.En meme temps la reactivite et le serieux de l'equipe debian peuvent etre mis en valeur et ca c'est une bonne chose. Si les serveurs hebergeant les sources de windows (euh pas sur que ce soit connecte au net mais bon...) etaient "rootés" microsoft serait il aussi reactif/transparent ?
Voila-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par passant (page perso, ) le 28/11/2003 à 18:10. (lien). Évalué à 2.t'es nul :-) chez MS ils appliquent tous les patchs de sécurité donc ils ne risquent rien...
--
---
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Gregory Colpart (page perso, ) le 29/11/2003 à 00:01. (lien). Évalué à 3.Ou ils ne disent rien quand ils leur arrivent des mésaventures...
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Raphaël Gertz (page perso, ) le 29/11/2003 à 14:46. (lien). Évalué à 0.> t'es nul :-) chez MS ils appliquent tous les patchs de sécurité donc ils ne risquent rien...
c'est faux lors du vers exploitant une faille de SQL server de microsoft, ce sont les serveur microsoft qui avais servi de relais parce qu'ils n'étaient pas patchés!!!
je commence de plus en plus a me demander d'ailleur si les failles qui sont trouvées ne sont pas commandées par la NSA ou autre institution, car le trous de sécu que blaster utilise n'est pas présent/exploitable dans un 2000pro brut de décofrage, mais apparait avec la SP1 ou 2 (il faut une sp2npour apliquer le patche donc je suppose que la sp1 est pas touchée...)
enfin encore une preuve de la fiabilité M$
si vous vous souvennez bien y a eu des histoire qui ont pu être couverte : par exemple le piratage des serveur hebergeant les version testing de je sais plus quel win il me semble ME, ou les pirates n'avaient pu télécharger que des versions buggées et inutilisable (la source étais peut-être au même endroit qui sait)...-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par pasBill pasGates () le 30/11/2003 à 00:31. (lien). Évalué à 3.je commence de plus en plus a me demander d'ailleur si les failles qui sont trouvées ne sont pas commandées par la NSA ou autre institution, car le trous de sécu que blaster utilise n'est pas présent/exploitable dans un 2000pro brut de décofrage, mais apparait avec la SP1 ou 2 (il faut une sp2npour apliquer le patche donc je suppose que la sp1 est pas touchée...)
Ce bug est present dans toutes les versions de NT a Win2003, faudrait revoir tes connaissances en la matiere.
si vous vous souvennez bien y a eu des histoire qui ont pu être couverte : par exemple le piratage des serveur hebergeant les version testing de je sais plus quel win il me semble ME, ou les pirates n'avaient pu télécharger que des versions buggées et inutilisable (la source étais peut-être au même endroit qui sait)...
Tellement bien couvert que personne n'en a parle, peut-etre bien car ce n'est pas arrive d'ailleurs.
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par ramzez () le 28/11/2003 à 19:08. (lien). Évalué à 11.réactif ? mais sait-on depuis quand ces machines ont été compromises ?
le boulot qui a été fait depuis la découverte est plutot bonne, et on peut tirer notre chapeau aux personnes concernées
par contre il me semble, si j'ai bien compris, que c'est un oops du kernel qui a mis la puce à l'oreil des admins en charge de ces machines ... si il n'y avait pas eu oops, ça veut dire que ça aurait pu encore continuer longtemps, non ?
de plus, qui dit que depuis des mois certaines personnes ne se baladent pas en toute impunité sur ces différents serveurs ? :/
l'équipe debian fait comme dh'abitude du bon boulot et tente de régler le pb comme elle peut, mais la sécurité n'est pas quelque chose d'acquis, quelque soit l'OS et nécessité une vigilance de tous les instants.
Là apparemment, aucun paquet n'a été modifié, mais rien n'empechait l'intru de faire plus de dégat qu'elle n'en a fait :/-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Christophe Fergeau () le 28/11/2003 à 19:21. (lien). Évalué à 10.On ne sait pas vraiment, mais ça serait un peu bizarre que qqu'un pénètre les machines sans se faire remarquer, et tout à coup décide d'installer un rootkit sur toutes les machines qui trainent sans trop faire gaffe au fait qu'il laisse plein de traces.
En plus des ooops, ils ont aussi eu des scripts qui leur ont indiqué que init avait été modifié.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Mathieu Pillard (page perso, ) le 28/11/2003 à 20:20. (lien). Évalué à 11.D'ailleurs ya un truc qui me chiffonne moi...
Supposons que ya une faille, connue ou pas, qui a ete utilisee.
Supposons que si cette faille est connue, l'exploit ne l'est pas, ou tout simplement que la faille ne soit pas connue. Les gars ont donc soit fait un exploit eux meme, soit choppé un exploit qui circule sous le manteau.
Personellement, j'en conclue qu'ils ne sont donc pas les derniers des abrutis.
Or, ils ont laissé quelques traces ici et la et utilisé un bete rootkit facilement decelable... je trouve ca louche, pas vous ?-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Misc (page perso, ) le 28/11/2003 à 21:38. (lien). Évalué à 1.C'est vendredi soir, il y a rien de bien nulle part, tentons une hypothése folle.
On va me moinsser de partout, bien sur, mais soyons fous, l'hypothése me démange de trop...
( Par avance, c'est de l'humour, je pense pas ce que j'écrit )
La question est "qui peut en vouloir à debian". Qui aurait à la fois les talents pour coder un exploit, et pourtant laisser les traces.
La réponse est simple. L'exploit n'a pas été codé. L'exploit n'existe pas. Il s'agit d'une backdoor. Oui, un serveur root backdooré. Backdooré par qui ? Backdooré comment ?
Ben facile, en rajoutant du code dans le serveur.
Séduisante hypothése. Mais qui peut bien coder ça ? Qui a accés aux sources ?
Quel est l'outil utilisé par le root, par tous, qui pourrait être compromis ?
ls, cp, les fileutils. ceux du projet gnu.
Pourquoi ceux la ?
Pourquoi pas.
Ça comblerait plusieurs points :
Le motif ? La dispute entre RMS et le projet.
L'alibi ? le piratage du serveur FTP il y a 6 mois. De quoi se couvrir en cas de probléme.
Le modus operandi ? quelqu'un qui pourrait avoir un accés aux machines debian et aux machines gnu, ça doit pas être trop compliqués à trouver...
( Note à ceux qui vont me moinsser : c'est de _l'humour_, je ne suis pas sérieux quand j'accuse le projet gnu, encore moins le sieur yeupou, je sais parfaitement que tout le monde est bien au dessus de ce genre de réactions dignes d'un script kiddies. C'est pas un truc sérieux, juste une idée folle que je voulait faire partager )-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par mammique (Jabber id, page perso, ) le 29/11/2003 à 00:14. (lien). Évalué à 6.Roh, ça va ces paranthèses/balises en haut et en bas de peur de te faire moinser ! Assume tes élucubration en thérapie de groupe !
-
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par pasBill pasGates () le 28/11/2003 à 23:08. (lien). Évalué à 6.Transparent surement pas.
Reactif, probablement plus, il y a un team de securite 24h/24 7j/7 dont le seul boulot est de surveiller/scanner le reseau interne et les machines les plus precieuses, dont font partie les source servers.
Et comme tu l'imagines, ces servers sont securises et audites de tres pres.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par pasBill pasGates () le 29/11/2003 à 12:26. (lien). Évalué à 2.D'ailleurs en passant, MS a sorti un article sur les mesures et procedures de securite prises chez nous : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)
Le but du papier est plus de donner une idee aux entreprises de ce qu'il est possible de faire, mais ca donne une idee assez bonne de comment ca se passe chez nous.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par gnumdk (page perso, ) le 29/11/2003 à 17:35. (lien). Évalué à 1.Donc c'est pas possible de piraté microsoft, tu veux pas faire une annonce officiel sur le net pour voir au bout de combien d'heures vos serveurs sont compromis ;)
Dans ton argumentation, on a l'impression que ce qui est arrivé a Debian ne pourrait pas arrivé à Microsoft. Je te trouve un peu trop sur de toi ;)
ps: ne jamais sous estimé l'ennemi ;)-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par pasBill pasGates () le 30/11/2003 à 00:20. (lien). Évalué à 2.Je n'ai jamais dit que ca ne pourrait jamais arriver, ca serait difficile a faire, mais c'est bien entendu pas impossible, la securite a 100% ca n'existe pas.
-
[^]Re: Du nouveau sur les serveurs Debian compromises
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par boklm (page perso, ) le 02/12/2003 à 15:31. (lien). Évalué à 1.Dans ton argumentation, on a l'impression que ce qui est arrivé a Debian ne pourrait pas arrivé à Microsoft. Je te trouve un peu trop sur de toi ;)
http://networking.earthweb.com/netsecur/article.php/625631(...)
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Obsidian () le 29/11/2003 à 00:23. (lien). Évalué à 4.Si les serveurs hebergeant les sources de windows (euh pas sur que ce soit connecte au net mais bon...) etaient "rootés" microsoft serait il aussi reactif/transparent ?
Pourquoi se donner du mal ?
N'avaient-ils pas, tous seuls, (soi-disant) perdu les sources de Windows pendant le procès ?
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par SoWhat () le 28/11/2003 à 18:11. (lien). Évalué à 6.Cela n'a rien de propre aux logiciels libres. Les gars de Debian s'en sont apperçu et l'ont fait savoir. C'est tout. Qui te dit que ce n'est pas le cas de plein de serveurs tournant sur d'autres OS? Par exemple, des bugs windows sont découverts de termps en temps (arf). Si les personnes qui découvrent l'exploit décident de s'en servir en mal(tm) au lieu de le diffuser, alors tu es dans le même cas de figure.
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Jar Jar Binks (page perso, ) le 28/11/2003 à 19:57. (lien). Évalué à 10.Bin non, tu penses. Les comptes sont fermés, cvs.debian.org est inutilisable, people.debian.org n'est même pas en ligne, dinstall ne tourne pas (les paquets uploadés ne sont pas traités), bref il n'y a guère que sur alioth qu'on peut bosser, si on a des projets dessus. Mais aucune chance que ça retarde quoi que ce soit, hein.
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Dies Irae (page perso, ) le 28/11/2003 à 20:15. (lien). Évalué à -1.Bah, pendant ce temps ils peuvent toujours bosser sur MultideskOS
oui, oui, je connais le chemin..
--->[]
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par sheepkiller () le 28/11/2003 à 22:50. (lien). Évalué à 8.Annoncer qu'on a ete hacke est quand meme un risque. Combien d'entreprise se font pirater et ne disent rien ?
Le probleme c'est que l'on considere les failles de securite uniquement lorsqu'elles sont connus. Les dernieres faille SSH ont ete exploitees pendant des mois. Des failles sont decouvertes des mois, voire des annees apres (cf, la fille realpath chez les BSD, celles de openssh and co). L'audit de code est une chose tres longue, donc forcement elle est orientee.
De plus qui peut affirmer que son serveur est securise ?
Pour en revenir a nos moutons, assumer le hck est une bonne chose, ce n'est pas une honte de se faire hacker...-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Pascal (page perso, ) le 28/11/2003 à 23:49. (lien). Évalué à 8.Fais attention à ton vocabulaire:
Un hacker c'est pas la même chose qu'un pirate.
Dans le cas present, je dirais que le mot à utiliser est pirater et certainement pas hacker.
A mon avis, ce serais bien la dernière chose qu'un hacker ferait : s'introduire sur les serveurs Deian-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Yusei (page perso, ) le 29/11/2003 à 12:27. (lien). Évalué à 6.D'ailleurs un pirate n'est pas la même chose qu'un cracker, ici il s'agit de crackers. Le problème de pirate, c'est que ça ne veut rien dire. Un pirate c'est un type avec un foulard sur la tête, un bandeau sur l'oeil et un couteau entre les dents. C'est aussi un vilain djeunz qui copie illégalement des programmes ou de la musique. C'est aussi un vilain djeunz (ou pas) qui s'amuse à s'introduire illégalement dans les systèmes des autres. Et demain ça sera le vilain djeunz qui a utilisé un debugger pour violer honteusement le DMCA et lire son ebook qu'il a payé.
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Matthieu BENOIST () le 01/12/2003 à 10:15. (lien). Évalué à 1.Arf, moi qui croyais qu'il y avait plein de hackers chez Debian !
bon, ok, je sort ----->[]
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par logipeck () le 29/11/2003 à 05:27. (lien). Évalué à 2.Ce qu'il y'a c'est qu'aprés la tentative de placer un backdoor dans les sources du kernel, et ce qui viens d'arriver aux serveurs debian -et cela dans un lapse de temps relativement court- j'ai du mal à croire que ça ne soit pas une action orchestrée ou commanditée par je ne sais qui ou quoi (chacun peut faire ses propres spéculations quant à l'origine). Il y'a une phrase qui dit: "à qui profite le crime?", eh bien je dois dire que si ce que je pense (et je ne suis pas le seul) s'avère juste, ça ne présage rien de bon, car aprés les tentatives -je l'espère- infructueuses de décédibiliser l'Open Source et plus particulièrement GNU/Linux par des moyens juridiques et financiers, on l'attaque sur la sécurité (un des arguments principaux des détracteurs d'une certaine multinationale basée à Redmond), et ça c'est pas bon, pas bon du tout. en tout cas j'espère me tromper.
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par tchibitchi () le 29/11/2003 à 09:17. (lien). Évalué à 1.(...)j'ai du mal à croire que ça ne soit pas une action orchestrée ou commanditée par je ne sais qui ou quoi(...)déc[r]édibiliser l'Open Source et plus particulièrement GNU/Linux(...)
Avec des phrases comme celles-là, l'Open-Source n'a pas besoin d'actions externes pour se décrédibiliser. Faut arrêter les X-Files et autres films où les méchants conspirateurs sont présents à chaque évènement.
On ne peut pas passer sur le devant de la scène sans s'attirer des petits soucis de cet ordre-là. Pour un hackeur -et non un pirate-, l'équipe Debian doit représenter tout de même une belle cible. Quant à un hypothétique groupe de conspirateurs, j'peux te dire qu'avec des thunes de chez un célèbre concurrent (MultiDesk OS ?), c'est tout le projet que j'aurai effacé, permettant à la maison mère de dire "ouais, ils perdent leurs sources comme ça chez ces branleurs du libre", et ça, ç'aurait été décrédibilisant parce-qu'une société n'a pas forcément les moyens d'avoir plusieurs machines qui sauvegardent tout. (ni les utilisateurs des copies de sauvegardes du système ! ;) )-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Yusei (page perso, ) le 29/11/2003 à 12:28. (lien). Évalué à 1.«Pour un hackeur -et non un pirate-, l'équipe Debian doit représenter tout de même une belle cible.»
Pour un cracker tu veux dire ? :-)-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Mr F (page perso, ) le 30/11/2003 à 23:01. (lien). Évalué à 2.Ah c'est une petit biscuit salé qui a fait le coup ? Depuis le temps qu'on nous bassine à la télé que ce sont de sales types, ça devait arriver...
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par JP Martin () le 29/11/2003 à 09:48. (lien). Évalué à 0.Pourquoi ne pas appliquer les mêmes méthodes.
C'est bien une guerre... commerciale !!!
JP-
[^]Re: Du nouveau sur les serveurs Debian compromises
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromises
Posté par pasBill pasGates () le 29/11/2003 à 11:58. (lien). Évalué à -1.Tres bonne idee, appliques les memes methodes.
Mais a qui ? Tu sais qui c'est ? Tu as des preuves ?
En passant, je souhaites bonne chance a ton avocat face a MS si tu t'amuses a essayer de penetrer le reseau interne de MS, il va en avoir sacrement besoin, et toi tu n'auras probablement plus besoin de payer de loyer pendant un bon moment, tu seras loge et nourri aux frais de l'etat.
-
-
[+] Re: Du nouveau sur les serveurs Debian compromises
Je pensais que c'était dans les films qu'on pouvait casser des sécurités aussi rapidement... Maintenant reste a voir combien de temps MS va mettre pour annoncer avoir trouvé un bug chez Debian :-)
On Wednesday 19th November (2003), at approximately 5pm GMT, a sniffed
password was used to access an (unprivileged) account on
klecker.debian.org. Somehow they got root on klecker and installed
suckit. The same account was then used to log into master and gain
root (and install suckit) there too. They then tried to get to murphy
with the same account. This failed because murphy is a restricted box
that only a small subset of developers can log into. They then used
their root access on master to access to an administrative account
used for backup purposes and used that to gain access to Murphy. They
got root on murphy and installed Suckit there too. The next day they
used a password sniffed on master to login into gluck, got root there
and installed suckit.
o Klecker init timestamp: Nov 19 17:08
o Master sk timestamp: Nov 19 17:47
o Murphy sk timestamp: Nov 19 18:35
o Oopses on Murphy start: Nov 19 19:25
o Oopses on Master start: Nov 20 05:38
o Gluck init timestamp: Nov 20 20:54
--
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par m4k_pem () le 28/11/2003 à 18:12. (lien). Évalué à 4.Je parie qu'ils seront plus réactifs pour révéler les failles Debian que pour boucher les 9 (dites-moi si je me trompe) failles d'IE
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Christophe (rOotix) GUILLOUX (Jabber id, page perso, ) le 28/11/2003 à 18:16. (lien). Évalué à 8.le temps que tu écrives et ça a dû monter à 10 ;)
--
http://rootix.info-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Xavier Teyssier (Jabber id, page perso, ) le 29/11/2003 à 10:02. (lien). Évalué à 1.Quand on parle du loup : http://fr.news.yahoo.com/031129/35/3ittd.html(...)
:-)
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Mathieu Pillard (page perso, ) le 28/11/2003 à 19:16. (lien). Évalué à 3.9, ca me parait peu vu que ya quelques semaines c'etait 30... (Oui, je sais, ya eu un super gros patch depuis, mais surtout depuis on a plus vraiment de source fiable compilant toute la liste des failles connues...)
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par J-C () le 29/11/2003 à 17:09. (lien). Évalué à 1.Actuellement, il y en a 19, enfin d'après :
http://www.safecenter.net/umbrellawebv4/ie_unpatched/index.html(...)
-
-
Re: Du nouveau sur les serveurs Debian compromises
Moi, l'ignorant, le débutant, le petit, le naïf, je ne comprend pas comment il est possible de devenir root en partant d'un compte utilisateur sans privilèges. Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Benoît Sibaud (Jabber id, page perso, ) le 28/11/2003 à 18:31. (lien). Évalué à 13.Si quelqu'un arrive à s'introduire sur ta machine, sur ton compte, et que tu es root, il est root.
Si quelqu'un arrive à s'introduire sur ta machine, sur ton compte, et que tu es un utilisateur lamba non root, il faut qu'il trouve et utilise un faille locale pour devenir root. Si la machine est à jour d'un point de vue sécurité, il faut qu'il utilise une faille inconnue, ou connue mais pas encore patchée. Bref ça fait plusieurs 'si'. Qui étaient réunis dans le cas de Debian.
Mieux que l'utilisateur lamba, mieux que root, le rootkit (illustré dans la situation présente d'ailleurs).-
[^]Re: Du nouveau sur les serveurs Debian compromises
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Baptiste SIMON (Jabber id, page perso, ) le 29/11/2003 à 12:55. (lien). Évalué à 1.Pas forcé d'avoir à exploiter une faille logicielle connue pour obtenir les droits root en tant que user lambda. Prends l'exemple du binaire /bin/passwd : Il a (normalement et logiquement) un bit SUID et est la propriété de root, ce qui permet à quiconque de passer momentanément root à l'exécution de ce programme.
Le souci c'est s'il existe un bug sur ce genre de soft. Alors il n'est pas très compliqué d'obtenir un shell root. Vous allez dire qu'il "suffit" de se tenir à jour ? oui mais dans le cas du srv "Master", il existait une copie brute (suffisament ancienne) de son système contenant des binaires SUID non mis à jour. CQFD...
Résultat, ici, pour master, la faille a été dans les actions humaines, et non dans les outils installés eux mm. Donc comme d'hab', on retrouve l'erreur la plus commune dans tout système de sécu : l'Homme. C'est inévitable et incontournable, quoi qu'on fasse.--
BeTa-
[+] [^]nombrilisme detected !
Posté par passant (page perso, ) le 30/11/2003 à 22:43. (lien). Évalué à -1.Donc comme d'hab', on retrouve l'erreur la plus commune dans tout système de sécu : l'Homme.
L'Humain--
---
[^]Re: nombrilisme detected !
Posté par Yusei (page perso, ) le 01/12/2003 à 09:31. (lien). Évalué à 1.Et l'Humaine alors elle compte pour des prunes ?
Ahem, désolé, comment on dit, je sors, c'est ça ?
-
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Jerome Herman () le 28/11/2003 à 18:40. (lien). Évalué à 9.Pour faire rapide ca se passe en plusieurs etapes.
La premiere etape consiste a recuperer un couple login/mot de passe qui donne le droit a un shell sur la machine. (Avec un utilisateur qui sert uniquement a lancer des demons et dont le shell est /dev/null c'est possible aussi mais tres tres complexe).
La deuxieme etape consiste a se loguer sur la machine avec. Dans le cas de serveurs Debian qui sont "ouverts" dans le sens ou des developpeurs du monde entier peuvent se loguer dessus, la deuxieme etape est triviale. Deja dans un environement controle (ie ou les machines depuis lesquelles on a le droit de se loguer sur les serveurs sont connues et controllees). La deuxieme etape est souvent la plus difficile.
La troisieme etape consiste a "forcer" les droits root. Cela peut se faire d'un certains nombre de facon. Soit en faisant deborder un buffer quelconque, soit ne cherchant des programes qui ont le suid root alors qu'ils ne devraient pas, soit en reussissant a detourner les evenements clavier dans un fichier et en attendant patiamment que quelqu'un se logue en physique sur la machine...
Ensuite une fois que l'on a des droits root (attention on est toujours pas utilisateur root, et on a toujours pas acces au groupe wheel ou a tous les fichiers par exemple) on installe un rootkit, qui va permettre de devenir root pour de vrai...
Voila sur le comment on peut...
Ensuite il ne faut pas se loguer en root car si on fait une betise en root, elle peut tres facilement s'averer irrecuperable. Root ayant des droits monstrueux sur tous les fichiers et demons, une seule betise peut degenerer tres vite.
Par exemple un bete rm -rf {$tmplog}/* lance en tant que root peut etre devastateur si pour une raison ou une autre $tmplog n'est pas ou plus defini. Un utilisateur normal ne pourras que detruire ses propres fichiers.
Pour finir, si la securite te pose probleme sache que la releve arrive. Un environement SELinux avec chrootage des demons est considere aujourd'hui comme inrootkitable. Mais bon c'est une vrai plaie a mettre en place...
Kha-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Benoît Sibaud (Jabber id, page perso, ) le 28/11/2003 à 18:48. (lien). Évalué à 2.(...) soit en reussissant a detourner les evenements clavier dans un fichier et en attendant patiamment que quelqu'un se logue en physique sur la machine
Sans être root ? Seulement sous X (avec du xhost + par exemple) ou en console aussi ?-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Jerome Herman () le 28/11/2003 à 19:03. (lien). Évalué à 2.En console aussi. Et sous X le xhost + est tres voyant, perso j'ai un xhost - dans mon script login X. Mais je suis parano.
Sans rentrer dans les details c'est possible avec par exemple des locales foireuses quand le systeme est mal configure (et que les locales d'un utilisateur se repandent). Ou en creant un terminal sur un des acces libres (par exemple le tty12) non reserve par defaut et en priant pour que la personne qui se logue ne fera pas CTRL+ALT+F1 par exemple.
Mais bon c'etait un moyen tres utilise il y a 4-5 ans mais il est clairement en perte de vitesse vu que n'importe quel admin un peu experimente se mefie comme de la peste de ce qui se passe sur sa console quand il est physiquement sur une machine accessible depuis l'exterieur.
Kha
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par passant (page perso, ) le 28/11/2003 à 18:53. (lien). Évalué à 3.Le Titanic ne pouvait pas couler
--
---
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Jerome Herman () le 28/11/2003 à 19:07. (lien). Évalué à 5.Je n'ai aps dit que SELinux etait inhackable, je dis juste que pour mettre un rootkit qui marche il faut y aller. En plus de l'usurpation d'identite Unix, il faut usurpe l'id, les roles et les domaines de SELinux. Et la ca se complique tres vite.
A mon sens les premieres failles sur SELinux ne passeront pas par un rootkit.
Au fait si le Titanic n'avait pas essayer d'eviter l'iceberg me se l'etait pris de plein fouet, il n'aurait probablement pas coule.
Kha
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Obsidian () le 28/11/2003 à 19:01. (lien). Évalué à 13.je ne comprend pas comment il est possible de devenir root en partant d'un compte utilisateur sans privilèges
C'est bien le problème, ce genre d'action n'est pas censé être possible. Pour que cela le devienne, il faut qu'il y ait une faille à la base A L'INTERIEUR du système. Soit c'est volontaire (backdoor), soit c'est dù à un bug ou une erreur de conception.
La difficulté réside dans le fait que même si tu vérifies et relis ton programme de bout en bout, en contrôlant tous les points que tu estimes sensibles, il n'y a rien qui te dit dès le départ que telle ou telle fonction ne va pas devenir dangereuse, une fois combinée à l'environnement dans lequel elle va s'exécuter. Un exemple (passé à l'époque sur rootshell):
Un logiciel de backup sur bande stockait ses messages dans un log, et offrait à l'utilisateur les possibilités de:
- Choisir le nom et l'emplacement de son log (généralement utile).
- Insérer manuellement une ligne dans le log avec une commande (utile aussi).
Parallèlement,
- le logiciel était SETUIDé pour toujours s'exécuter en tant que root, car il faisait des accès bas-niveau sur certains périphériques, et pour ce faire, avait besoin des privilèges du super-user.
A priori, rien d'inquiétant puisque seul le programme s'exécute en root, en aucun cas l'utilisateur qui a lancé le programme n'acquiert ces privilèges. Après tout, la commande passwd est elle aussi SETUIDée ...
Sauf que: L'utilisateur pernicieux va choisir un nom de log du style « /etc/passwd », et va y ajouter une entrée ressemblant à « toto::0:0:toto:/home:/bin/bash ». Comme le programme est root, il aura le droit de le faire. L'utilisateur n'aura ensuite qu'a se loguer normalement sous l'identité toto, sans mot de passe, pour avoir l'UID 0 et donc être root.
Et voila comment un pirate de base sans aucune connaissance en programmation peut prendre le contrôle d'une machine en 30 secondes si le logiciel en question est y installé.
Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?
Ce qui est dangereux, c'est d'ETRE root, pas de le devenir. Se loguer en root, cela revient à dire au pirate: « Pourquoi tu te fais suer ? C'est ouvert ! ».
Imagine simplement que je t'envoie par mail un script shell qui ne contienne que la ligne « rm -rf / » et que, bêtement, tu cliques dessus. Si tu utilises un compte de test, au pire seul ce compte est effacé, au mieux il ne se passera rien du tout car tu n'auras pas d'accès en écriture à la racine. Si tu fais la même chose sous root, en 3 minutes, tout ton disque dur est vierge.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Brice Arnould ( un_brice ) (page perso, ) le 28/11/2003 à 22:03. (lien). Évalué à 1.Imagine simplement que je t'envoie par mail un script shell qui ne contienne que la ligne « rm -rf / » et que, bêtement, tu cliques dessus
Faut pas exagèrer... même OE en est plus là (pas loin?). Avec un client sérieux c'est GRO_WARNING -> "Enregistrer sous"-> [...] -> "Clic droit" -> "Sécurité" -> "Autoriser l'execution" -> OK -> "Clic sur le fichier" -> "Pfiou, j'ai enfin réussi à bousiller ma partoche !"
L'avantage avec Kmail, c'est que pour arriver à faire une connerie, il faut vraiment le vouloir ^_^.--
Respect à RMS.-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Obsidian () le 28/11/2003 à 22:59. (lien). Évalué à 5.Naturellement ! :-)
L'objectif de ce post n'était pas de remettre en cause la messagerie sous Linux, mais bien de mettre en évidence le fait que se loguer en root est une très mauvaise idée ...
D'autre part, j'ai beau être un détracteur de Windows accompli (PasBill ne me contredira probablement pas), il faut reconnaître qu'avoir en soi une API qui permet d'accéder universellement à toutes les parties de n'importe quelle application est appréciable. Microsoft a appris à ses dépends qu'un environnement multiutilisateur ainsi qu'un bon chroot sont très utiles pour confiner l'exécution d'un programme potentiellement dangereux, mais cela aurait très bien pu nous arriver aussi. Tous les logiciels de messagerie conçus depuis lors font maintenant très attention à ce fait et c'est tant mieux, mais on ne saura jamais maintenant qui serait tombé dans le même piège.
-
-
[^]Re: Du nouveau sur les serveurs Debian compromises
Posté par Mr F (page perso, ) le 30/11/2003 à 23:05. (lien). Évalué à 1.D'ou la bonne idée généralement de séparer ceci en deux processus.
-
Typo
Y'a une erreur dans le titre. Tout le monde aura bien sûr rectifié. On dit "serveuses", et non "serveurs" avec "compromises".
-
[^]Re: Typo
Posté par grafit () le 28/11/2003 à 18:40. (lien). Évalué à 13.C'est un complot des ligues féministes de chez copinesdegeek qui depuis quelques temps féminisent les dépèches. Elles se sont fait la main chez Debian avant de s'attaquer au machines de linuxfr!
Sondage:
[+] vous vous sentez d'humeur blagueuse
[- ] yen a marre de ces commentaires, je viens pas là pour rigoler!
-
[^]Re: Typo
Posté par Loïs Taulelle (page perso, ) le 28/11/2003 à 20:03. (lien). Évalué à 0.[Alleï, on en remet une couche]
Et à con promis, chose due.
hop > []
Re: Du nouveau sur les serveurs Debian compromis
Ca veut dire quoi "rootkitées" ???
In tartiflette we trust !
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Zorro () le 28/11/2003 à 20:25. (lien). Évalué à -5.Ca veut dire qu'un mec avec un logiciel spécial qui exploite une faille a réussi à devenir root à distance sur une machine. Un logiciel qui permet de devenir root subrepticement est un rootkit.
-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Jar Jar Binks (page perso, ) le 28/11/2003 à 20:50. (lien). Évalué à 4.Rien à voir.
Le rootkit est un logiciel que tu installes une fois que tu es devenu root, et qui permet d'effacer tes traces, et plein de fonctionnalités formidables, en l'occurrence sniffer les mots de passe.-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Brunus () le 28/11/2003 à 21:50. (lien). Évalué à 7.Oui sauf qu'il sagit souvent d'un kit, un ensemble de binaires usuels, modifiés, pour agir avec des privilèges root si ils sont invoqués par le pirate qui les a installé.
genre syslog, sshd, cp...n'importe qu'elle commande ou démon peut être "rootkité"
Un rootkit remplace donc souvent les démons ou commandes importantes d'un système, enfin ceux ou celles qui permettent à un intrus de prendre la main sur un système.
C'est dailleur marrant de constater qu'utiliser un rootkit connu pose deux problèmes à un pirate..dabord ne pas être détecté par le ou les admins du système, ensuite...ne pas pouvoir être utilisé par un autre pirate que lui même.
Le pirate en arrive donc à devoir sécuriser le système qu'il vient de rootkiter !-
[+] [^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Raphaël Gertz (page perso, ) le 29/11/2003 à 15:18. (lien). Évalué à -4.c'est ce qui se passe sur des serveur W$ (et oui les linux c plus chaud) qui servent de sto (comprennez FTP pirate pour du contenu illicite (film, jeux, etc...))
Les gars qui avaient exploité la faille faisait en sorte que le patch n'ai aucun effet sur leur installation, mais faisait en sorte de boucher la faille pour ne pas se faire piquer par d'autre ce qu'ils avaient si durement pris (même si sa prennais que 30 secondes parfois tellement les portes du monde M$ sont grande ouvertes...).
Je précise que je condamne ces piratages et que je n'ai rien a voir.
Je ne condamne pas par contre les merveilleux pirates qui mettent régulièrement down las serveurs de M$ et de toutes les entreprises qui leur font a tord confiance!!!-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par pasBill pasGates () le 30/11/2003 à 00:21. (lien). Évalué à 1.Je ne condamne pas par contre les merveilleux pirates qui mettent régulièrement down las serveurs de M$ et de toutes les entreprises qui leur font a tord confiance!!!
Ouh ca c'est un type intelligent.
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Jerome Herman () le 28/11/2003 à 21:51. (lien). Évalué à 1.Pour etre parfaitement complet, un rootkit est un logiciel que tu installes quand tu as les droits roots sans avoir l'uid 0 et donc sans etre root reellement. Le rootkit permet de devenir root completement.
Les fonctionalites annexes d'effacage de logs et de sniffage en pagaille sont surtout des plus.
Kha-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par gebura () le 29/11/2003 à 15:12. (lien). Évalué à 1.hum hum,mais comment est ce possible?
Si je tente (par ex) en simple user de modifer le binaire ssh (pour reprendre un ex plus haut) , le sys m envoie chier royallement.
J ai roujours cru qu il fallait etre root pour installer le rootkit (mes connaissances en secu vont pas bien loin je le sais) et la on m apprend que c est pas le cas mais a priori en theorie c est impossible nan ?-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Brice Arnould ( un_brice ) (page perso, ) le 29/11/2003 à 22:34. (lien). Évalué à 1.Normalement, c'est impossible oui.
Sauf si il y une faille.
Et justement, le principe du rootkit, c'est qu'utiliser une faille est très chiant: déjà, il fait faire plein de trucs bizarres. Genre créer un fichier pingouin.gif* de 10 Mo dans lequel il est écrit "je fait 2Ko" que quand Gimp l'ouvre il dit "deux ko, ça marche !"... et il se retrouve à écrire 10Mo et donc à écrire sur des emplacement qui avaient pas été prévu pour ça... voir même à recopier le fichier sur lui même.
Ensuite, il faudrait encore que le truc avec lequel Gimp vient de se barbouiller la figure veuille dire quelque chose: il s'agit en effet que le processeur qui essaie d'éxecuter Gimp en arrive à executer notre fichier à sa place. Ça suppose que nos données tombent piles au bon endroit et plein d'autres choses.
Mais même là, t'est bien content d'avoir le droit de donner des ordres au processeur en te faisant passer pour le pauvre petit utilisateur de Gimp. Il faut encore lui dire des trucs qui feront des choses réellement "interessantes", genre voler son mot de passe etc...
Bon. Bien sûr cette faille (inventée) ne permetterais de toutes manières que de prendre contrôle d'un utilisateur (celui qui lance Gimp).
Il n'empêche que c'est très... long (surtout que c'est le type de faille le moins vicieux de ceux dont j'ai entendu parler).
Donc un "rootkit", c'est un programe prêt à l'emploi qui fait tout ça vite fait à la place du pirate.--
Respect à RMS.-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par benja () le 30/11/2003 à 07:03. (lien). Évalué à 5.pas du tout, efface. Un rootkit s'installe après avoir exploité une faille (qui permet d'avoir les droits suffisant à son installation).
Il consiste en un remplacement de certain binaires, cherchant à dissimuler sa présence et en ouvrant une backdoor pour que le cracker ne doivent pas de retaper tout le tralala.
-
-
-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par boklm (page perso, ) le 02/12/2003 à 15:41. (lien). Évalué à 2.Pour etre parfaitement complet, un rootkit est un logiciel que tu installes quand tu as les droits roots sans avoir l'uid 0 et donc sans etre root reellement. Le rootkit permet de devenir root completement.
Ca veux dire quoi avoir les droits root sans avoir l'uid 0 ?
Non je crois que tu te trompe sur ce qu'est un rootkit.
Un rootkit ca sert une fois que tu as obtenu l'acces a un shell root (donc a un shell tournant avec l'uid 0) et c'est utilise pour cacher sa presence sur le systeme. Un rootkit modifie en general certains programmes comme ps, ls, find, etc... pour qu'ils ne listent plus les fichiers processus et connections du pirate. Il cache egalement en general une backdoor sur le systeme permettant au pirate de revenir sur le systeme sans se faire remarquer par l'administrateur de la machine.
-
-
-
-
[^]Rootkit
Posté par Maillequeule () le 28/11/2003 à 22:30. (lien). Évalué à 6.Un superutilisateur avec des jantes alliage sur une voiture jaune ?
M
[+] Re: Du nouveau sur les serveurs Debian compromis
Re: Du nouveau sur les serveurs Debian compromis
Soyons honnête : ce n'est pas le système Debian qui est en cause mais, comme dans la majorité des problèmes de sécurité, c'est plus dû à manque de rigueur de la part des administrateurs que par l'exploitation d'une hypothétique faille inconnue :
- Première erreur : "The kernels running on the machines in question didn't all get a ptrace fixed kernel as fast one might have liked ". Trop de temps s'est écoulé entre la sortie du patch et son application, laissant une fenêtre de temps ouverte à un exploit. Plus cette fenêtre est grande, plus elle risque d'être exploitée.
- Seconde erreur : "Master had a copy it's old harddrive still lying around by accident. Unfortunately it had a lot of old, unpatched suid binaries on it". Les anciens binaires suid, qui peuvent contenir des failles, ont pu être exploités pour gagner des privilèges
- Troisième erreur : "All the compromised machines were running recent kernels and were up-to-date with almost all security updates". Un système est à jour ou il ne l'est pas : s'il est "presque" à jour au niveau sécurité, il n'est pas totalement sécurisé. S'il toutes les mises à jour de sécurité sont appliquées, on peut considérer qu'il est à jour et sécurisé au regard des failles existantes. Si les mises à jour sont partiellement appliquées, on ne peut pas raisonnablement considérer que le système est sécurisé. C'est d'autant plus étonnant que Debian est connue pour son système de mis à jour très élaboré, donc c'est bien un certain laxisme qui pourrait être en cause.
L'auteur du message ne pense pas que ces erreurs aient été exploitées et invoque probablement un exploit local existant et inconnu : je me permets d'exprimer mon sceptissisme car dans l'hypothèse où une telle faille existe, elle n'excuse pas du tout les erreurs d'administration précédentes. Si les systèmes avaient été correctement administrés, la piste de recherche vers une faille local inconnue aurait été beaucoup plus logique.
-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par mac_is_mac (page perso, ) le 28/11/2003 à 23:00. (lien). Évalué à 1.En tout cas ça ouvre un boulevard à Microsoft pour déplacer subrepticement
le débat de
- quel système plus sûr pour votre entreprise/maison ?
à
- est ce que les serveurs internes Microsoft ont +/- de chances que
les machines d'un projet libre de se faire hacker ,
et là il faut reconnaitre qu'on est moins à l'aise...-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Gohar () le 29/11/2003 à 10:20. (lien). Évalué à 2.Pourrait-on accéder de la même manière aux serveurs de sociétés telles que Red Hat, Suse ou Mandrake ?
Autrement dit, ce genre de problème est-il propre au modèle du libre ou au modèle associatif de Debian ?
Dans le deuxième cas, cela resterait grave, mais un peu moins tout de même.
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Raphaël Gertz (page perso, ) le 29/11/2003 à 15:29. (lien). Évalué à -3.- quel système plus sûr pour votre entreprise/maison ? <<--- un linux like si il est bien administré!!!
un windows possède tjs des failles!!!, sauf si tu le rend hermetique a internet avec un firewall qui laisse rien passer, mais alors là linux fais aussi bien...
- est ce que les serveurs internes Microsoft ont +/- de chances que
les machines d'un projet libre de se faire hacker ?
Il est certain que des tentatives existe de chaque côté, mais je doute que les pirate de debian fasse partie de la catégorie des pirates non financé...
Il n'avait qu'un but : décridibiliser le libre donc sa peut venir que d'entreprise non libre et c presque sur...
De plus les serveurs du libres ne se retrouvent pas régulièrement a faire tourner des vers SQL et consort!!! sa fait combien de fois ??? 2 gros vers, combien de virus???
On ne peut rien faire de mieux que le libre en matière de sécuritée!!!
Le seul défaut est l'élément humain, alors que les system M$ cumulent les facteurs humains : les prgrameurs M$ et leur concour interne sur le plus grand nbre de failles et bug a la ligne de code possible et l'erreur humaine de l'admin (mais il est en plus obligé d'en comettre certaine car certain paramètres ne sont pas entre ses mains!!!)-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par marcMC () le 29/11/2003 à 17:22. (lien). Évalué à 4.Il est certain que des tentatives existe de chaque côté, mais je doute que les pirate de debian fasse partie de la catégorie des pirates non financé...
Il n'avait qu'un but : décridibiliser le libre donc sa peut venir que d'entreprise non libre et c presque sur...
FUD de troisième sous-sol
trop con, passera pas
-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par pasBill pasGates () le 30/11/2003 à 00:28. (lien). Évalué à 1.un windows possède tjs des failles!!!, sauf si tu le rend hermetique a internet avec un firewall qui laisse rien passer, mais alors là linux fais aussi bien...
Ah oui, bon un Linux aussi, mais t'es trop aveugle par ta passion et ton ignorance pour t'en rendre compte.
Il est certain que des tentatives existe de chaque côté, mais je doute que les pirate de debian fasse partie de la catégorie des pirates non financé...
Il n'avait qu'un but : décridibiliser le libre donc sa peut venir que d'entreprise non libre et c presque sur...
Bien entendu, c'est evident, bon comme toujours, aucun argument pour supporter cette theorie a la con.
De plus les serveurs du libres ne se retrouvent pas régulièrement a faire tourner des vers SQL et consort!!! sa fait combien de fois ??? 2 gros vers, combien de virus???
Et tu crois que nos source servers font tourner SQL Server ? T'as jamais appris a administrer une machine...
On ne peut rien faire de mieux que le libre en matière de sécuritée!!!
Le seul défaut est l'élément humain, alors que les system M$ cumulent les facteurs humains : les prgrameurs M$ et leur concour interne sur le plus grand nbre de failles et bug a la ligne de code possible et l'erreur humaine de l'admin
C'est rigolo a quel point tu ne sais pas de quoi tu parles, enfin, c'est un peu triste, mais rigolo.
-
-
-
[+] [^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Brunus () le 28/11/2003 à 23:02. (lien). Évalué à -2.En lisant les post sur Slashdot je suis tombé la dessus (résumé d'une traduction): "pourquoi est ce que c'est arrivé précisément à Debian.org ? des serveurs qui tournent sur un des distribs parmis les plus stable et sécurisée, administrés par des gens qui sont censés êtres respectueux et au courant des problèmes de sécurité tout en étant des bénévols. Les pirates doivent êtres retrouvés et punis par la communauté du libre et par personne d'autre !"
blablabla...
Mais l'idée est bien présente...une erreur d'administration à peut être été commise, ce n'est pas une raison pour blamer la distrib elle même (et par là les mainteneurs de la distrib).
Je ne suis pas un utilisateur de Debian, mais je partage le sentiment de révolte que nous devrions tous ressentir...cette attaque est malsaine...la communauté du libre doit réagir, fermement...en traquant les coupables.
"Mandrake distro de noobs, Debian roulaise, et Slack c'est roots et de toute façon *BSD c'est ce qu'il se fait de plus safe" ... on laisse tout de coté, on admet les erreurs liées à l'administration imparfaite (tout en restant conscient que rien n'est parfait dès qu'on introduit une intervention humaine..."free kevin" ;-) ), et on termine le boulot..proprement. On aide les admins de debian.org comme on peut..et on applique les patchs.
Re: Du nouveau sur les serveurs Debian compromis
Il y a des liens très interressants sur la page de Wichert Akkerman qui permettent
d'avoir des infos sur comment sécuriser un peu mieux sa machine quand on n'est pas un guru de la sécurité.
Il parle par exemple d'outils comme debsum qui permet de vérifier les checksums des packages, aide (http://www.cs.tut.fi/~rammer/aide.html(...)) qui permet de vérifier l'intégrité et les dates et autre des binaires, fichiers de conf, etc... Il décrit aussi les rootkit et des softs qui permettent de les repérer. Enfin
il donne quelques configs à activer dans le kernet pour + de sécurité
Enfin comme ça a déjà été dit il évoque des bonnes pratiques de sécurité.
Bref que du bon pour des gens qui cherchent à en savoir un peu plus sur la sécurité des Unix
-
[^]Re: Du nouveau sur les serveurs Debian compromis
Posté par Brice Arnould ( un_brice ) (page perso, ) le 28/11/2003 à 22:20. (lien). Évalué à 1.Il parle par exemple d'outils comme debsum qui permet de vérifier les checksums des packages
Pour faire ça sous Gentoo, y'a le surpuissant qpkg (app-portage/gentoolkit), qui peut (entre autre) vérifier les checksums md5 ("-cm"), les dates de modifications ("-ct"), ou les deux ("-c"). Et ce pour un package, plusieurs packages (rtfm) ou tous le système (ne rien indiquer de plus).
[mavie]Par contre il ramouille pas mal... faut dire que mon HD ATA 133 veut pas marcher au delà de 28MB/s.[/mavie]
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.