Du nouveau sur les serveurs Debian compromis

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
28
nov.
2003
Debian
Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question. On peut lire les détails de l'intervention sur chaque machine, et une analyse des causes probables et des conséquenses des failles utilisées pour pénétrer ces machines.

Les machines étaient approximativement à jour, et les patchs de sécurités appliqués.
La machine master disposait pourtant assez bizarrement d'une copie de son ancienne installation...avec bien sur des binaires non patchés.

Tous les comptes ont été fermés, les mots de passe invalidés et les clefs ssh retirées...et ça va durer.

Comme le précise l'auteur de la dépêche sur Slashdot, la faille locale exploitée n'a pas été utilisée pour pénétrer la machine Sparc qui héberge l'archive ftp principale. C'est donc peut être une faille liée aux architectures i386 uniquement...

Je conseille à tous de lire l'annonce postée sur la liste Debian avant de réagir sur DLFP.

Aller plus loin

  • # Re: Du nouveau sur les serveurs Debian compromises

    Posté par  . Évalué à -10.

    moi qui croyait que Debian est super sécurisée comme quoi....
  • # Re: Du nouveau sur les serveurs Debian compromises

    Posté par  . Évalué à 3.

    J'ai peur que cet exemple ne soit désormais mis en avant par les détracteurs du libre, comme quoi c'est aussi sensible qu'autre chose au piratage.
    Sinon, cela risque-t-il de retarder le projet Debian ?
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  (site Web personnel) . Évalué à -10.

      J'ai peur que cet exemple ne soit désormais mis en avant par les détracteurs du libre

      Cela prouve bien que cet attentat a été commandité par des personnes ayant intérêt à ce que le libre soit décrédibilisé. Je ne citerai pas de nom sinon pasBill va me sauter dessus.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  (site Web personnel) . Évalué à 10.

        La thèse du complot est séduisante... Maintenant faut-il penser que chaque attaque contre un produit de Seattle est fait par les gens de l'astre solaire, que le grand bleu finance des mercenaires contre le bicéphale newhashp ?

        La réaction de l'équipe sécurité est plutôt saine je trouve. Reste quand même deux problèmes : comment sécuriser les mots de passe ? quelle est la faille locale root ?
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  (site Web personnel) . Évalué à 9.

          comment sécuriser les mots de passe ?
          En utilisant des logiciels qui ne nécessitent pas l'envoi des mots de passe, comme ssh par exemple.
          • [^] # Re: Du nouveau sur les serveurs Debian compromises

            Posté par  (site Web personnel) . Évalué à 6.

            sauf que... quel est le plus dur ? Topper un mot de passe écrit uniquement dans la tete de son possesseur... ou récupérer une clé privée ? Je n'ai pas de réponse... et je pense que l'une comme l'autre, ces méthodes sont faillibles (la faiblesse humaine est la pire invention de l'Homme, et des clés réparties sur 200 systemes maintenus par 200 personnes totalement indépendantes n'est guere une meilleure solution à mes yeux)

            Cela dit, c'est vrai, l'auth par clés pub/pv est une bonne chose, merci OpenSSH :c)
            • [^] # Re: Du nouveau sur les serveurs Debian compromises

              Posté par  . Évalué à 6.

              Note que normalement ta clef est UNIQUEMENT sur TA machine (donc pas sur un serveur) et qu'elle est de plus a associer a un mot de passe qui est seulement dans TA TETE pour etre fonctionnelle.
              je ne comprends donc pas ta comparaison. l'auth par clefs SSH est vraiment meilleure.
              • [^] # Re: Du nouveau sur les serveurs Debian compromises

                Posté par  (site Web personnel) . Évalué à 5.

                Il répondait à type qui parlait de « logiciels qui ne nécessitent pas l'envoi des mots de passe ». Du coup sa comparaison avait un sens.
                M'enfin, c'est vrai que c'est l'heure du dodo. -_^
                • [^] # Re: Du nouveau sur les serveurs Debian compromises

                  Posté par  . Évalué à 1.

                  Tu as raison, je viens de relire le post au dessus.
                  cependant pour etre tatillon il me semble que SSH n'envoie pas le mot de passe (il est utilisé localement ...)
                  quelqu'un pour confirmer/infirmer j'ai pas le temps de verifier !
                  • [^] # Re: Du nouveau sur les serveurs Debian compromises

                    Posté par  . Évalué à -1.

                    Je vois mal comment il pourrait ne pas l'envoyer... mais il l'envoie crypté^Wchiffré, donc à moins d'une faille dans le système de chiffrement c'est bon.
                    • [^] # Re: Du nouveau sur les serveurs Debian compromises

                      Posté par  (site Web personnel) . Évalué à 6.

                      Ben pourquoi il devrait envoyer un mot de passe... c'est inutile, sa clef publique permet à elle seule de l'authentifier... avec un challenge crypté avec la clef publique et envoyé au client (seul le possesseur de la clef privée peut décoder), décodage du challenge et réencodage avec la clef privée, renvoie au serveur... décodage sur le serveur avec la clef publique, si le tout correspond alors l'utilisateur est authentifié... non ?
                      • [^] # Re: Du nouveau sur les serveurs Debian compromises

                        Posté par  . Évalué à 1.

                        Bon, il se peut que je n'aie rien compris au fonctionnement de ssh (le moinssage le laisse penser), mais quand je fais un ssh sur une machine, elle ne connait pas ma clé publique à l'avance, je ne peux donc pas m'autentifier avec. Ce qu'il me semblait avoir compris, c'est qu'on échange les clés publiques pour établir un canal chiffré, et qu'à l'intérieur de ce canal, on s'autentifie avec le mot de passe de login classique.

                        Si c'est pas comme ça que ça marche, moinssez si vous voulez, mais au moins expliquez moi :-)
                        • [^] # Re: Du nouveau sur les serveurs Debian compromises

                          Posté par  (site Web personnel) . Évalué à 1.

                          Ben pour faire l'authentification plus haut, le serveur doit bien entendu connaître ta clef publique et elle doit être mappée à un user connu par la machine (par exemple avec LDAP).

                          Et donc plus besoin d'envoyer ton password en distant (crypté ou pas)... le serveur à juste besoin de savoir à qui appartient telle clef publique... et faire le mapping.
                          • [^] # Re: Du nouveau sur les serveurs Debian compromises

                            Posté par  . Évalué à 1.

                            J'utilise régulièrement ssh, et je n'ai jamais prévenu les serveurs de ce qu'était ma clé publique (d'ailleurs je ne sais même pas quelle tête elle a, ma clé publique ssh, et j'en ai donc une par machine que j'utilise). Par conséquent, j'ai toujours eu un prompt de mot de passe en utilisant ssh. S'il y a moyen de faire autrement, pourquoi pas, mais en fait je ne vois pas trop l'intérêt:

                            - soit je fais confiance au canal sécurisé établi par ssh, et dans ce cas là je peux l'utiliser pour envoyer mon mot de passe

                            - soit je ne fais pas confiance, et dans ce cas l'intérêt de ssh devient limité.

                            Le seul intérêt que je vois, c'est que comme je n'ai pas à taper le mot de passe, il ne peut pas être intercepté par un logiciel espion qui tournerait en local. Mais je dois quand même taper le pass correspondant a ma paire de clés, qui lui pourra alors être intercepté. Quelqu'un qui peut mettre un logiciel espion sur la machine est surement capable de me voler ma clé privée.
                            • [^] # Re: Du nouveau sur les serveurs Debian compromises

                              Posté par  (site Web personnel) . Évalué à 1.

                              « Mais je dois quand même taper le pass correspondant a ma paire de clés, qui lui pourra alors être intercepté. Quelqu'un qui peut mettre un logiciel espion sur la machine est surement capable de me voler ma clé privée. »

                              Non. Espionner des paquets qui circulent sur le net, ce n'est pas équivalent à casser un compte unix sur une machine précise.

                              Mais l'intérêt principal de la passphrase est simple : il ne suffit pas de lancer des assaults avec un dictionnaire, ce qui peut être fait si tu autorise le login avec le mot de passe. Il faut en plus avoir la clef.

                              Bien entendu, si tu utilises une clef sur un serveur qui accepte les mots de passe, l'intérêt est moindre.
                              • [^] # Re: Du nouveau sur les serveurs Debian compromises

                                Posté par  . Évalué à 1.

                                «Non. Espionner des paquets qui circulent sur le net, ce n'est pas équivalent à casser un compte unix sur une machine précise.»

                                Je ne parle pas d'interceptéer des paquets qui circulent sur le net.

                                Je parle de taper un pass en local, qui serait intercepté par un programme installé sur la machine.

                                Qu'il s'agisse d'un pass envoyé sur le réseau ou pas, peu importe, puisque quand il est envoyé il est chiffré. J'ai assez confiance dans le chiffrement utilisé par ssh (peut-être à tord, car je ne sais même pas exactement ce qu'il utilise) pour envoyer un pass que j'ose taper en local.

                                Autrement dit, je pense que s'il y a un maillon faible dans la chaîne d'authentification, c'est la machine locale (qui n'est pas toujours la même, qui peut être le windows d'un ami depuis lequel je me log) plutôt que le canal chiffré.
                        • [^] # Re: Du nouveau sur les serveurs Debian compromises

                          Posté par  (site Web personnel) . Évalué à 1.

                          De plus je crois pas que ssh utilise tout le long un chiffrage par clef publique/privée (ça coûte trop de cpu).. mais l'utilise juste pour établir un canal chiffré pour faire transiter une clef symétrique de session...
              • [^] # Re: Du nouveau sur les serveurs Debian compromises

                Posté par  . Évalué à 0.

                Si je te scp ta clé sur ma machine, elle va pas rester unique bien longtemps...
          • [^] # Re: Du nouveau sur les serveurs Debian compromises

            Posté par  (site Web personnel) . Évalué à 1.

            > comment sécuriser les mots de passe ?

            On en parle peut-être pas assez, mais une chose très importante est d'utiliser un mot de passe différent par compte. Sinon, la sécurité de plusieurs machines/réseaux différents sont liés. On roote la connexion ADSL du type, on trojanne son client ssh et ensuite c'est son accès local sur {sourceforge.net|apache.org|debian.org|kernel.org|ftp.gnu.org|cvs.openbsd.org} qu'on obtient.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  (site Web personnel) . Évalué à -5.

        Oui, ça a été fait par MS, mais c'est pour se venger des débianistes qui avaient lancé SQL slammer et Blaster.
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  . Évalué à 10.

      En meme temps la reactivite et le serieux de l'equipe debian peuvent etre mis en valeur et ca c'est une bonne chose. Si les serveurs hebergeant les sources de windows (euh pas sur que ce soit connecte au net mais bon...) etaient "rootés" microsoft serait il aussi reactif/transparent ?
      Voila
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 2.

        t'es nul :-) chez MS ils appliquent tous les patchs de sécurité donc ils ne risquent rien...
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  (site Web personnel) . Évalué à 3.

          Ou ils ne disent rien quand ils leur arrivent des mésaventures...
          • [^] # Re: Du nouveau sur les serveurs Debian compromises

            Posté par  (site Web personnel) . Évalué à 0.

            > t'es nul :-) chez MS ils appliquent tous les patchs de sécurité donc ils ne risquent rien...

            c'est faux lors du vers exploitant une faille de SQL server de microsoft, ce sont les serveur microsoft qui avais servi de relais parce qu'ils n'étaient pas patchés!!!

            je commence de plus en plus a me demander d'ailleur si les failles qui sont trouvées ne sont pas commandées par la NSA ou autre institution, car le trous de sécu que blaster utilise n'est pas présent/exploitable dans un 2000pro brut de décofrage, mais apparait avec la SP1 ou 2 (il faut une sp2npour apliquer le patche donc je suppose que la sp1 est pas touchée...)

            enfin encore une preuve de la fiabilité M$

            si vous vous souvennez bien y a eu des histoire qui ont pu être couverte : par exemple le piratage des serveur hebergeant les version testing de je sais plus quel win il me semble ME, ou les pirates n'avaient pu télécharger que des versions buggées et inutilisable (la source étais peut-être au même endroit qui sait)...
            • [^] # Re: Du nouveau sur les serveurs Debian compromises

              Posté par  . Évalué à 3.

              je commence de plus en plus a me demander d'ailleur si les failles qui sont trouvées ne sont pas commandées par la NSA ou autre institution, car le trous de sécu que blaster utilise n'est pas présent/exploitable dans un 2000pro brut de décofrage, mais apparait avec la SP1 ou 2 (il faut une sp2npour apliquer le patche donc je suppose que la sp1 est pas touchée...)

              Ce bug est present dans toutes les versions de NT a Win2003, faudrait revoir tes connaissances en la matiere.

              si vous vous souvennez bien y a eu des histoire qui ont pu être couverte : par exemple le piratage des serveur hebergeant les version testing de je sais plus quel win il me semble ME, ou les pirates n'avaient pu télécharger que des versions buggées et inutilisable (la source étais peut-être au même endroit qui sait)...

              Tellement bien couvert que personne n'en a parle, peut-etre bien car ce n'est pas arrive d'ailleurs.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 10.

        réactif ? mais sait-on depuis quand ces machines ont été compromises ?
        le boulot qui a été fait depuis la découverte est plutot bonne, et on peut tirer notre chapeau aux personnes concernées
        par contre il me semble, si j'ai bien compris, que c'est un oops du kernel qui a mis la puce à l'oreil des admins en charge de ces machines ... si il n'y avait pas eu oops, ça veut dire que ça aurait pu encore continuer longtemps, non ?
        de plus, qui dit que depuis des mois certaines personnes ne se baladent pas en toute impunité sur ces différents serveurs ? :/

        l'équipe debian fait comme dh'abitude du bon boulot et tente de régler le pb comme elle peut, mais la sécurité n'est pas quelque chose d'acquis, quelque soit l'OS et nécessité une vigilance de tous les instants.
        Là apparemment, aucun paquet n'a été modifié, mais rien n'empechait l'intru de faire plus de dégat qu'elle n'en a fait :/
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 10.

          On ne sait pas vraiment, mais ça serait un peu bizarre que qqu'un pénètre les machines sans se faire remarquer, et tout à coup décide d'installer un rootkit sur toutes les machines qui trainent sans trop faire gaffe au fait qu'il laisse plein de traces.
          En plus des ooops, ils ont aussi eu des scripts qui leur ont indiqué que init avait été modifié.
          • [^] # Re: Du nouveau sur les serveurs Debian compromises

            Posté par  (site Web personnel) . Évalué à 10.

            D'ailleurs ya un truc qui me chiffonne moi...
            Supposons que ya une faille, connue ou pas, qui a ete utilisee.
            Supposons que si cette faille est connue, l'exploit ne l'est pas, ou tout simplement que la faille ne soit pas connue. Les gars ont donc soit fait un exploit eux meme, soit choppé un exploit qui circule sous le manteau.
            Personellement, j'en conclue qu'ils ne sont donc pas les derniers des abrutis.
            Or, ils ont laissé quelques traces ici et la et utilisé un bete rootkit facilement decelable... je trouve ca louche, pas vous ?
            • [^] # Re: Du nouveau sur les serveurs Debian compromises

              Posté par  (site Web personnel) . Évalué à 1.

              C'est vendredi soir, il y a rien de bien nulle part, tentons une hypothése folle.
              On va me moinsser de partout, bien sur, mais soyons fous, l'hypothése me démange de trop...
              ( Par avance, c'est de l'humour, je pense pas ce que j'écrit )

              La question est "qui peut en vouloir à debian". Qui aurait à la fois les talents pour coder un exploit, et pourtant laisser les traces.

              La réponse est simple. L'exploit n'a pas été codé. L'exploit n'existe pas. Il s'agit d'une backdoor. Oui, un serveur root backdooré. Backdooré par qui ? Backdooré comment ?
              Ben facile, en rajoutant du code dans le serveur.
              Séduisante hypothése. Mais qui peut bien coder ça ? Qui a accés aux sources ?

              Quel est l'outil utilisé par le root, par tous, qui pourrait être compromis ?

              ls, cp, les fileutils. ceux du projet gnu.

              Pourquoi ceux la ?
              Pourquoi pas.
              Ça comblerait plusieurs points :

              Le motif ? La dispute entre RMS et le projet.
              L'alibi ? le piratage du serveur FTP il y a 6 mois. De quoi se couvrir en cas de probléme.
              Le modus operandi ? quelqu'un qui pourrait avoir un accés aux machines debian et aux machines gnu, ça doit pas être trop compliqués à trouver...


              ( Note à ceux qui vont me moinsser : c'est de _l'humour_, je ne suis pas sérieux quand j'accuse le projet gnu, encore moins le sieur yeupou, je sais parfaitement que tout le monde est bien au dessus de ce genre de réactions dignes d'un script kiddies. C'est pas un truc sérieux, juste une idée folle que je voulait faire partager )
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 6.

        Transparent surement pas.

        Reactif, probablement plus, il y a un team de securite 24h/24 7j/7 dont le seul boulot est de surveiller/scanner le reseau interne et les machines les plus precieuses, dont font partie les source servers.

        Et comme tu l'imagines, ces servers sont securises et audites de tres pres.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 4.

        Si les serveurs hebergeant les sources de windows (euh pas sur que ce soit connecte au net mais bon...) etaient "rootés" microsoft serait il aussi reactif/transparent ?

        Pourquoi se donner du mal ?

        N'avaient-ils pas, tous seuls, (soi-disant) perdu les sources de Windows pendant le procès ?
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  . Évalué à 6.

      Cela n'a rien de propre aux logiciels libres. Les gars de Debian s'en sont apperçu et l'ont fait savoir. C'est tout. Qui te dit que ce n'est pas le cas de plein de serveurs tournant sur d'autres OS? Par exemple, des bugs windows sont découverts de termps en temps (arf). Si les personnes qui découvrent l'exploit décident de s'en servir en mal(tm) au lieu de le diffuser, alors tu es dans le même cas de figure.
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  (site Web personnel) . Évalué à 10.

      Bin non, tu penses. Les comptes sont fermés, cvs.debian.org est inutilisable, people.debian.org n'est même pas en ligne, dinstall ne tourne pas (les paquets uploadés ne sont pas traités), bref il n'y a guère que sur alioth qu'on peut bosser, si on a des projets dessus. Mais aucune chance que ça retarde quoi que ce soit, hein.
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  . Évalué à 8.

      Annoncer qu'on a ete hacke est quand meme un risque. Combien d'entreprise se font pirater et ne disent rien ?
      Le probleme c'est que l'on considere les failles de securite uniquement lorsqu'elles sont connus. Les dernieres faille SSH ont ete exploitees pendant des mois. Des failles sont decouvertes des mois, voire des annees apres (cf, la fille realpath chez les BSD, celles de openssh and co). L'audit de code est une chose tres longue, donc forcement elle est orientee.

      De plus qui peut affirmer que son serveur est securise ?

      Pour en revenir a nos moutons, assumer le hck est une bonne chose, ce n'est pas une honte de se faire hacker...
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 8.

        Fais attention à ton vocabulaire:
        Un hacker c'est pas la même chose qu'un pirate.

        Dans le cas present, je dirais que le mot à utiliser est pirater et certainement pas hacker.

        A mon avis, ce serais bien la dernière chose qu'un hacker ferait : s'introduire sur les serveurs Deian
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 6.

          D'ailleurs un pirate n'est pas la même chose qu'un cracker, ici il s'agit de crackers. Le problème de pirate, c'est que ça ne veut rien dire. Un pirate c'est un type avec un foulard sur la tête, un bandeau sur l'oeil et un couteau entre les dents. C'est aussi un vilain djeunz qui copie illégalement des programmes ou de la musique. C'est aussi un vilain djeunz (ou pas) qui s'amuse à s'introduire illégalement dans les systèmes des autres. Et demain ça sera le vilain djeunz qui a utilisé un debugger pour violer honteusement le DMCA et lire son ebook qu'il a payé.
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 1.

          Arf, moi qui croyais qu'il y avait plein de hackers chez Debian !

          bon, ok, je sort ----->[]
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  . Évalué à 2.

      Ce qu'il y'a c'est qu'aprés la tentative de placer un backdoor dans les sources du kernel, et ce qui viens d'arriver aux serveurs debian -et cela dans un lapse de temps relativement court- j'ai du mal à croire que ça ne soit pas une action orchestrée ou commanditée par je ne sais qui ou quoi (chacun peut faire ses propres spéculations quant à l'origine). Il y'a une phrase qui dit: "à qui profite le crime?", eh bien je dois dire que si ce que je pense (et je ne suis pas le seul) s'avère juste, ça ne présage rien de bon, car aprés les tentatives -je l'espère- infructueuses de décédibiliser l'Open Source et plus particulièrement GNU/Linux par des moyens juridiques et financiers, on l'attaque sur la sécurité (un des arguments principaux des détracteurs d'une certaine multinationale basée à Redmond), et ça c'est pas bon, pas bon du tout. en tout cas j'espère me tromper.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 1.

        (...)j'ai du mal à croire que ça ne soit pas une action orchestrée ou commanditée par je ne sais qui ou quoi(...)déc[r]édibiliser l'Open Source et plus particulièrement GNU/Linux(...)

        Avec des phrases comme celles-là, l'Open-Source n'a pas besoin d'actions externes pour se décrédibiliser. Faut arrêter les X-Files et autres films où les méchants conspirateurs sont présents à chaque évènement.

        On ne peut pas passer sur le devant de la scène sans s'attirer des petits soucis de cet ordre-là. Pour un hackeur -et non un pirate-, l'équipe Debian doit représenter tout de même une belle cible. Quant à un hypothétique groupe de conspirateurs, j'peux te dire qu'avec des thunes de chez un célèbre concurrent (MultiDesk OS ?), c'est tout le projet que j'aurai effacé, permettant à la maison mère de dire "ouais, ils perdent leurs sources comme ça chez ces branleurs du libre", et ça, ç'aurait été décrédibilisant parce-qu'une société n'a pas forcément les moyens d'avoir plusieurs machines qui sauvegardent tout. (ni les utilisateurs des copies de sauvegardes du système ! ;) )
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 0.

        Pourquoi ne pas appliquer les mêmes méthodes.
        C'est bien une guerre... commerciale !!!

        JP
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 6.

          Une guerre commerciale? Où tu as vu cela?
          Linux n'est pas à vendre.
          L' OS n'est pas une marchandise.
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à -1.

          Tres bonne idee, appliques les memes methodes.

          Mais a qui ? Tu sais qui c'est ? Tu as des preuves ?

          En passant, je souhaites bonne chance a ton avocat face a MS si tu t'amuses a essayer de penetrer le reseau interne de MS, il va en avoir sacrement besoin, et toi tu n'auras probablement plus besoin de payer de loyer pendant un bon moment, tu seras loge et nourri aux frais de l'etat.
  • # Re: Du nouveau sur les serveurs Debian compromises

    Posté par  . Évalué à -1.

    Je pensais que c'était dans les films qu'on pouvait casser des sécurités aussi rapidement... Maintenant reste a voir combien de temps MS va mettre pour annoncer avoir trouvé un bug chez Debian :-)

    On Wednesday 19th November (2003), at approximately 5pm GMT, a sniffed
    password was used to access an (unprivileged) account on
    klecker.debian.org. Somehow they got root on klecker and installed
    suckit. The same account was then used to log into master and gain
    root (and install suckit) there too. They then tried to get to murphy
    with the same account. This failed because murphy is a restricted box
    that only a small subset of developers can log into. They then used
    their root access on master to access to an administrative account
    used for backup purposes and used that to gain access to Murphy. They
    got root on murphy and installed Suckit there too. The next day they
    used a password sniffed on master to login into gluck, got root there
    and installed suckit.

    o Klecker init timestamp: Nov 19 17:08
    o Master sk timestamp: Nov 19 17:47
    o Murphy sk timestamp: Nov 19 18:35
    o Oopses on Murphy start: Nov 19 19:25
    o Oopses on Master start: Nov 20 05:38
    o Gluck init timestamp: Nov 20 20:54
  • # Re: Du nouveau sur les serveurs Debian compromises

    Posté par  . Évalué à 2.

    Moi, l'ignorant, le débutant, le petit, le naïf, je ne comprend pas comment il est possible de devenir root en partant d'un compte utilisateur sans privilèges. Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  (site Web personnel) . Évalué à 10.

      Si quelqu'un arrive à s'introduire sur ta machine, sur ton compte, et que tu es root, il est root.
      Si quelqu'un arrive à s'introduire sur ta machine, sur ton compte, et que tu es un utilisateur lamba non root, il faut qu'il trouve et utilise un faille locale pour devenir root. Si la machine est à jour d'un point de vue sécurité, il faut qu'il utilise une faille inconnue, ou connue mais pas encore patchée. Bref ça fait plusieurs 'si'. Qui étaient réunis dans le cas de Debian.

      Mieux que l'utilisateur lamba, mieux que root, le rootkit (illustré dans la situation présente d'ailleurs).
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 3.

        Clair, j'ai compris, suffisait de réfléchir avant de poster :)
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  (site Web personnel) . Évalué à 1.

        Pas forcé d'avoir à exploiter une faille logicielle connue pour obtenir les droits root en tant que user lambda. Prends l'exemple du binaire /bin/passwd : Il a (normalement et logiquement) un bit SUID et est la propriété de root, ce qui permet à quiconque de passer momentanément root à l'exécution de ce programme.

        Le souci c'est s'il existe un bug sur ce genre de soft. Alors il n'est pas très compliqué d'obtenir un shell root. Vous allez dire qu'il "suffit" de se tenir à jour ? oui mais dans le cas du srv "Master", il existait une copie brute (suffisament ancienne) de son système contenant des binaires SUID non mis à jour. CQFD...

        Résultat, ici, pour master, la faille a été dans les actions humaines, et non dans les outils installés eux mm. Donc comme d'hab', on retrouve l'erreur la plus commune dans tout système de sécu : l'Homme. C'est inévitable et incontournable, quoi qu'on fasse.
        • [^] # nombrilisme detected !

          Posté par  . Évalué à -1.

          Donc comme d'hab', on retrouve l'erreur la plus commune dans tout système de sécu : l'Homme.

          L'Humain
          • [^] # Re: nombrilisme detected !

            Posté par  . Évalué à 1.

            Et l'Humaine alors elle compte pour des prunes ?

            Ahem, désolé, comment on dit, je sors, c'est ça ?
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  . Évalué à 9.

      Pour faire rapide ca se passe en plusieurs etapes.

      La premiere etape consiste a recuperer un couple login/mot de passe qui donne le droit a un shell sur la machine. (Avec un utilisateur qui sert uniquement a lancer des demons et dont le shell est /dev/null c'est possible aussi mais tres tres complexe).

      La deuxieme etape consiste a se loguer sur la machine avec. Dans le cas de serveurs Debian qui sont "ouverts" dans le sens ou des developpeurs du monde entier peuvent se loguer dessus, la deuxieme etape est triviale. Deja dans un environement controle (ie ou les machines depuis lesquelles on a le droit de se loguer sur les serveurs sont connues et controllees). La deuxieme etape est souvent la plus difficile.

      La troisieme etape consiste a "forcer" les droits root. Cela peut se faire d'un certains nombre de facon. Soit en faisant deborder un buffer quelconque, soit ne cherchant des programes qui ont le suid root alors qu'ils ne devraient pas, soit en reussissant a detourner les evenements clavier dans un fichier et en attendant patiamment que quelqu'un se logue en physique sur la machine...

      Ensuite une fois que l'on a des droits root (attention on est toujours pas utilisateur root, et on a toujours pas acces au groupe wheel ou a tous les fichiers par exemple) on installe un rootkit, qui va permettre de devenir root pour de vrai...

      Voila sur le comment on peut...


      Ensuite il ne faut pas se loguer en root car si on fait une betise en root, elle peut tres facilement s'averer irrecuperable. Root ayant des droits monstrueux sur tous les fichiers et demons, une seule betise peut degenerer tres vite.

      Par exemple un bete rm -rf {$tmplog}/* lance en tant que root peut etre devastateur si pour une raison ou une autre $tmplog n'est pas ou plus defini. Un utilisateur normal ne pourras que detruire ses propres fichiers.


      Pour finir, si la securite te pose probleme sache que la releve arrive. Un environement SELinux avec chrootage des demons est considere aujourd'hui comme inrootkitable. Mais bon c'est une vrai plaie a mettre en place...


      Kha
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  (site Web personnel) . Évalué à 2.

        (...) soit en reussissant a detourner les evenements clavier dans un fichier et en attendant patiamment que quelqu'un se logue en physique sur la machine

        Sans être root ? Seulement sous X (avec du xhost + par exemple) ou en console aussi ?
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 2.

          En console aussi. Et sous X le xhost + est tres voyant, perso j'ai un xhost - dans mon script login X. Mais je suis parano.

          Sans rentrer dans les details c'est possible avec par exemple des locales foireuses quand le systeme est mal configure (et que les locales d'un utilisateur se repandent). Ou en creant un terminal sur un des acces libres (par exemple le tty12) non reserve par defaut et en priant pour que la personne qui se logue ne fera pas CTRL+ALT+F1 par exemple.

          Mais bon c'etait un moyen tres utilise il y a 4-5 ans mais il est clairement en perte de vitesse vu que n'importe quel admin un peu experimente se mefie comme de la peste de ce qui se passe sur sa console quand il est physiquement sur une machine accessible depuis l'exterieur.

          Kha
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 3.

        Le Titanic ne pouvait pas couler
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 5.

          Je n'ai aps dit que SELinux etait inhackable, je dis juste que pour mettre un rootkit qui marche il faut y aller. En plus de l'usurpation d'identite Unix, il faut usurpe l'id, les roles et les domaines de SELinux. Et la ca se complique tres vite.

          A mon sens les premieres failles sur SELinux ne passeront pas par un rootkit.

          Au fait si le Titanic n'avait pas essayer d'eviter l'iceberg me se l'etait pris de plein fouet, il n'aurait probablement pas coule.


          Kha
    • [^] # Re: Du nouveau sur les serveurs Debian compromises

      Posté par  . Évalué à 10.

      je ne comprend pas comment il est possible de devenir root en partant d'un compte utilisateur sans privilèges

      C'est bien le problème, ce genre d'action n'est pas censé être possible. Pour que cela le devienne, il faut qu'il y ait une faille à la base A L'INTERIEUR du système. Soit c'est volontaire (backdoor), soit c'est dù à un bug ou une erreur de conception.

      La difficulté réside dans le fait que même si tu vérifies et relis ton programme de bout en bout, en contrôlant tous les points que tu estimes sensibles, il n'y a rien qui te dit dès le départ que telle ou telle fonction ne va pas devenir dangereuse, une fois combinée à l'environnement dans lequel elle va s'exécuter. Un exemple (passé à l'époque sur rootshell):

      Un logiciel de backup sur bande stockait ses messages dans un log, et offrait à l'utilisateur les possibilités de:

      - Choisir le nom et l'emplacement de son log (généralement utile).
      - Insérer manuellement une ligne dans le log avec une commande (utile aussi).

      Parallèlement,

      - le logiciel était SETUIDé pour toujours s'exécuter en tant que root, car il faisait des accès bas-niveau sur certains périphériques, et pour ce faire, avait besoin des privilèges du super-user.

      A priori, rien d'inquiétant puisque seul le programme s'exécute en root, en aucun cas l'utilisateur qui a lancé le programme n'acquiert ces privilèges. Après tout, la commande passwd est elle aussi SETUIDée ...

      Sauf que: L'utilisateur pernicieux va choisir un nom de log du style « /etc/passwd », et va y ajouter une entrée ressemblant à « toto::0:0:toto:/home:/bin/bash ». Comme le programme est root, il aura le droit de le faire. L'utilisateur n'aura ensuite qu'a se loguer normalement sous l'identité toto, sans mot de passe, pour avoir l'UID 0 et donc être root.

      Et voila comment un pirate de base sans aucune connaissance en programmation peut prendre le contrôle d'une machine en 30 secondes si le logiciel en question est y installé.

      Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?

      Ce qui est dangereux, c'est d'ETRE root, pas de le devenir. Se loguer en root, cela revient à dire au pirate: « Pourquoi tu te fais suer ? C'est ouvert ! ».

      Imagine simplement que je t'envoie par mail un script shell qui ne contienne que la ligne « rm -rf / » et que, bêtement, tu cliques dessus. Si tu utilises un compte de test, au pire seul ce compte est effacé, au mieux il ne se passera rien du tout car tu n'auras pas d'accès en écriture à la racine. Si tu fais la même chose sous root, en 3 minutes, tout ton disque dur est vierge.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  (site Web personnel) . Évalué à 1.

        Imagine simplement que je t'envoie par mail un script shell qui ne contienne que la ligne « rm -rf / » et que, bêtement, tu cliques dessus

        Faut pas exagèrer... même OE en est plus là (pas loin?). Avec un client sérieux c'est GRO_WARNING -> "Enregistrer sous"-> [...] -> "Clic droit" -> "Sécurité" -> "Autoriser l'execution" -> OK -> "Clic sur le fichier" -> "Pfiou, j'ai enfin réussi à bousiller ma partoche !"
        L'avantage avec Kmail, c'est que pour arriver à faire une connerie, il faut vraiment le vouloir ^_^.
        • [^] # Re: Du nouveau sur les serveurs Debian compromises

          Posté par  . Évalué à 5.

          Naturellement ! :-)

          L'objectif de ce post n'était pas de remettre en cause la messagerie sous Linux, mais bien de mettre en évidence le fait que se loguer en root est une très mauvaise idée ...

          D'autre part, j'ai beau être un détracteur de Windows accompli (PasBill ne me contredira probablement pas), il faut reconnaître qu'avoir en soi une API qui permet d'accéder universellement à toutes les parties de n'importe quelle application est appréciable. Microsoft a appris à ses dépends qu'un environnement multiutilisateur ainsi qu'un bon chroot sont très utiles pour confiner l'exécution d'un programme potentiellement dangereux, mais cela aurait très bien pu nous arriver aussi. Tous les logiciels de messagerie conçus depuis lors font maintenant très attention à ce fait et c'est tant mieux, mais on ne saura jamais maintenant qui serait tombé dans le même piège.
      • [^] # Re: Du nouveau sur les serveurs Debian compromises

        Posté par  . Évalué à 1.

        D'ou la bonne idée généralement de séparer ceci en deux processus.
  • # Typo

    Posté par  . Évalué à 6.

    Y'a une erreur dans le titre. Tout le monde aura bien sûr rectifié. On dit "serveuses", et non "serveurs" avec "compromises".
    • [^] # Re: Typo

      Posté par  . Évalué à 10.

      C'est un complot des ligues féministes de chez copinesdegeek qui depuis quelques temps féminisent les dépèches. Elles se sont fait la main chez Debian avant de s'attaquer au machines de linuxfr!

      Sondage:
      [+] vous vous sentez d'humeur blagueuse
      [- ] yen a marre de ces commentaires, je viens pas là pour rigoler!
    • [^] # Re: Typo

      Posté par  (site Web personnel) . Évalué à 0.

      [Alleï, on en remet une couche]

      Et à con promis, chose due.

      hop > []
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  (site Web personnel) . Évalué à 2.

    Ca veut dire quoi "rootkitées" ???
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  (site Web personnel) . Évalué à -5.

      Ca veut dire qu'un mec avec un logiciel spécial qui exploite une faille a réussi à devenir root à distance sur une machine. Un logiciel qui permet de devenir root subrepticement est un rootkit.
      • [^] # Re: Du nouveau sur les serveurs Debian compromis

        Posté par  (site Web personnel) . Évalué à 4.

        Rien à voir.

        Le rootkit est un logiciel que tu installes une fois que tu es devenu root, et qui permet d'effacer tes traces, et plein de fonctionnalités formidables, en l'occurrence sniffer les mots de passe.
        • [^] # Re: Du nouveau sur les serveurs Debian compromis

          Posté par  . Évalué à 7.

          Oui sauf qu'il sagit souvent d'un kit, un ensemble de binaires usuels, modifiés, pour agir avec des privilèges root si ils sont invoqués par le pirate qui les a installé.
          genre syslog, sshd, cp...n'importe qu'elle commande ou démon peut être "rootkité"

          Un rootkit remplace donc souvent les démons ou commandes importantes d'un système, enfin ceux ou celles qui permettent à un intrus de prendre la main sur un système.

          C'est dailleur marrant de constater qu'utiliser un rootkit connu pose deux problèmes à un pirate..dabord ne pas être détecté par le ou les admins du système, ensuite...ne pas pouvoir être utilisé par un autre pirate que lui même.

          Le pirate en arrive donc à devoir sécuriser le système qu'il vient de rootkiter !
          • [^] # Re: Du nouveau sur les serveurs Debian compromis

            Posté par  (site Web personnel) . Évalué à -4.

            c'est ce qui se passe sur des serveur W$ (et oui les linux c plus chaud) qui servent de sto (comprennez FTP pirate pour du contenu illicite (film, jeux, etc...))

            Les gars qui avaient exploité la faille faisait en sorte que le patch n'ai aucun effet sur leur installation, mais faisait en sorte de boucher la faille pour ne pas se faire piquer par d'autre ce qu'ils avaient si durement pris (même si sa prennais que 30 secondes parfois tellement les portes du monde M$ sont grande ouvertes...).

            Je précise que je condamne ces piratages et que je n'ai rien a voir.

            Je ne condamne pas par contre les merveilleux pirates qui mettent régulièrement down las serveurs de M$ et de toutes les entreprises qui leur font a tord confiance!!!
        • [^] # Re: Du nouveau sur les serveurs Debian compromis

          Posté par  . Évalué à 1.

          Pour etre parfaitement complet, un rootkit est un logiciel que tu installes quand tu as les droits roots sans avoir l'uid 0 et donc sans etre root reellement. Le rootkit permet de devenir root completement.

          Les fonctionalites annexes d'effacage de logs et de sniffage en pagaille sont surtout des plus.

          Kha
          • [^] # Re: Du nouveau sur les serveurs Debian compromis

            Posté par  . Évalué à 1.

            hum hum,mais comment est ce possible?
            Si je tente (par ex) en simple user de modifer le binaire ssh (pour reprendre un ex plus haut) , le sys m envoie chier royallement.

            J ai roujours cru qu il fallait etre root pour installer le rootkit (mes connaissances en secu vont pas bien loin je le sais) et la on m apprend que c est pas le cas mais a priori en theorie c est impossible nan ?
            • [^] # Re: Du nouveau sur les serveurs Debian compromis

              Posté par  (site Web personnel) . Évalué à 1.

              Normalement, c'est impossible oui.
              Sauf si il y une faille.

              Et justement, le principe du rootkit, c'est qu'utiliser une faille est très chiant: déjà, il fait faire plein de trucs bizarres. Genre créer un fichier pingouin.gif* de 10 Mo dans lequel il est écrit "je fait 2Ko" que quand Gimp l'ouvre il dit "deux ko, ça marche !"... et il se retrouve à écrire 10Mo et donc à écrire sur des emplacement qui avaient pas été prévu pour ça... voir même à recopier le fichier sur lui même.
              Ensuite, il faudrait encore que le truc avec lequel Gimp vient de se barbouiller la figure veuille dire quelque chose: il s'agit en effet que le processeur qui essaie d'éxecuter Gimp en arrive à executer notre fichier à sa place. Ça suppose que nos données tombent piles au bon endroit et plein d'autres choses.
              Mais même là, t'est bien content d'avoir le droit de donner des ordres au processeur en te faisant passer pour le pauvre petit utilisateur de Gimp. Il faut encore lui dire des trucs qui feront des choses réellement "interessantes", genre voler son mot de passe etc...

              Bon. Bien sûr cette faille (inventée) ne permetterais de toutes manières que de prendre contrôle d'un utilisateur (celui qui lance Gimp).
              Il n'empêche que c'est très... long (surtout que c'est le type de faille le moins vicieux de ceux dont j'ai entendu parler).
              Donc un "rootkit", c'est un programe prêt à l'emploi qui fait tout ça vite fait à la place du pirate.
              • [^] # Re: Du nouveau sur les serveurs Debian compromis

                Posté par  . Évalué à 5.

                pas du tout, efface. Un rootkit s'installe après avoir exploité une faille (qui permet d'avoir les droits suffisant à son installation).
                Il consiste en un remplacement de certain binaires, cherchant à dissimuler sa présence et en ouvrant une backdoor pour que le cracker ne doivent pas de retaper tout le tralala.
          • [^] # Re: Du nouveau sur les serveurs Debian compromis

            Posté par  . Évalué à 2.

            Pour etre parfaitement complet, un rootkit est un logiciel que tu installes quand tu as les droits roots sans avoir l'uid 0 et donc sans etre root reellement. Le rootkit permet de devenir root completement.

            Ca veux dire quoi avoir les droits root sans avoir l'uid 0 ?
            Non je crois que tu te trompe sur ce qu'est un rootkit.
            Un rootkit ca sert une fois que tu as obtenu l'acces a un shell root (donc a un shell tournant avec l'uid 0) et c'est utilise pour cacher sa presence sur le systeme. Un rootkit modifie en general certains programmes comme ps, ls, find, etc... pour qu'ils ne listent plus les fichiers processus et connections du pirate. Il cache egalement en general une backdoor sur le systeme permettant au pirate de revenir sur le systeme sans se faire remarquer par l'administrateur de la machine.
    • [^] # Rootkit

      Posté par  . Évalué à 6.

      Un superutilisateur avec des jantes alliage sur une voiture jaune ?

      M
      • [^] # Re: Rootkit

        Posté par  . Évalué à 3.

        nan nan ca c est un rootjackyté...
        • [^] # Re: Rootkit

          Posté par  . Évalué à 2.

          Non, c'est un Jacky de la root ...
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  (site Web personnel) . Évalué à -7.

    C'est quand même bien la preuve que Debian c'est nul, parce que c'est pas sur les serveurs de Mandrake que ça arriverait.
    (hihihi...)
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  . Évalué à 8.

    Soyons honnête : ce n'est pas le système Debian qui est en cause mais, comme dans la majorité des problèmes de sécurité, c'est plus dû à manque de rigueur de la part des administrateurs que par l'exploitation d'une hypothétique faille inconnue :

    - Première erreur : "The kernels running on the machines in question didn't all get a ptrace fixed kernel as fast one might have liked ". Trop de temps s'est écoulé entre la sortie du patch et son application, laissant une fenêtre de temps ouverte à un exploit. Plus cette fenêtre est grande, plus elle risque d'être exploitée.

    - Seconde erreur : "Master had a copy it's old harddrive still lying around by accident. Unfortunately it had a lot of old, unpatched suid binaries on it". Les anciens binaires suid, qui peuvent contenir des failles, ont pu être exploités pour gagner des privilèges

    - Troisième erreur : "All the compromised machines were running recent kernels and were up-to-date with almost all security updates". Un système est à jour ou il ne l'est pas : s'il est "presque" à jour au niveau sécurité, il n'est pas totalement sécurisé. S'il toutes les mises à jour de sécurité sont appliquées, on peut considérer qu'il est à jour et sécurisé au regard des failles existantes. Si les mises à jour sont partiellement appliquées, on ne peut pas raisonnablement considérer que le système est sécurisé. C'est d'autant plus étonnant que Debian est connue pour son système de mis à jour très élaboré, donc c'est bien un certain laxisme qui pourrait être en cause.

    L'auteur du message ne pense pas que ces erreurs aient été exploitées et invoque probablement un exploit local existant et inconnu : je me permets d'exprimer mon sceptissisme car dans l'hypothèse où une telle faille existe, elle n'excuse pas du tout les erreurs d'administration précédentes. Si les systèmes avaient été correctement administrés, la piste de recherche vers une faille local inconnue aurait été beaucoup plus logique.
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  (site Web personnel) . Évalué à 1.

      En tout cas ça ouvre un boulevard à Microsoft pour déplacer subrepticement
      le débat de
      - quel système plus sûr pour votre entreprise/maison ?
      à
      - est ce que les serveurs internes Microsoft ont +/- de chances que
      les machines d'un projet libre de se faire hacker ,

      et là il faut reconnaitre qu'on est moins à l'aise...
      • [^] # Re: Du nouveau sur les serveurs Debian compromis

        Posté par  (site Web personnel) . Évalué à 2.

        Pourrait-on accéder de la même manière aux serveurs de sociétés telles que Red Hat, Suse ou Mandrake ?

        Autrement dit, ce genre de problème est-il propre au modèle du libre ou au modèle associatif de Debian ?

        Dans le deuxième cas, cela resterait grave, mais un peu moins tout de même.
      • [^] # Re: Du nouveau sur les serveurs Debian compromis

        Posté par  (site Web personnel) . Évalué à -3.

        - quel système plus sûr pour votre entreprise/maison ? <<--- un linux like si il est bien administré!!!
        un windows possède tjs des failles!!!, sauf si tu le rend hermetique a internet avec un firewall qui laisse rien passer, mais alors là linux fais aussi bien...

        - est ce que les serveurs internes Microsoft ont +/- de chances que
        les machines d'un projet libre de se faire hacker ?
        Il est certain que des tentatives existe de chaque côté, mais je doute que les pirate de debian fasse partie de la catégorie des pirates non financé...
        Il n'avait qu'un but : décridibiliser le libre donc sa peut venir que d'entreprise non libre et c presque sur...

        De plus les serveurs du libres ne se retrouvent pas régulièrement a faire tourner des vers SQL et consort!!! sa fait combien de fois ??? 2 gros vers, combien de virus???

        On ne peut rien faire de mieux que le libre en matière de sécuritée!!!
        Le seul défaut est l'élément humain, alors que les system M$ cumulent les facteurs humains : les prgrameurs M$ et leur concour interne sur le plus grand nbre de failles et bug a la ligne de code possible et l'erreur humaine de l'admin (mais il est en plus obligé d'en comettre certaine car certain paramètres ne sont pas entre ses mains!!!)
        • [^] # Re: Du nouveau sur les serveurs Debian compromis

          Posté par  . Évalué à 4.

          Il est certain que des tentatives existe de chaque côté, mais je doute que les pirate de debian fasse partie de la catégorie des pirates non financé...
          Il n'avait qu'un but : décridibiliser le libre donc sa peut venir que d'entreprise non libre et c presque sur...


          FUD de troisième sous-sol

          trop con, passera pas
        • [^] # Re: Du nouveau sur les serveurs Debian compromis

          Posté par  . Évalué à 1.

          un windows possède tjs des failles!!!, sauf si tu le rend hermetique a internet avec un firewall qui laisse rien passer, mais alors là linux fais aussi bien...

          Ah oui, bon un Linux aussi, mais t'es trop aveugle par ta passion et ton ignorance pour t'en rendre compte.

          Il est certain que des tentatives existe de chaque côté, mais je doute que les pirate de debian fasse partie de la catégorie des pirates non financé...
          Il n'avait qu'un but : décridibiliser le libre donc sa peut venir que d'entreprise non libre et c presque sur...


          Bien entendu, c'est evident, bon comme toujours, aucun argument pour supporter cette theorie a la con.

          De plus les serveurs du libres ne se retrouvent pas régulièrement a faire tourner des vers SQL et consort!!! sa fait combien de fois ??? 2 gros vers, combien de virus???

          Et tu crois que nos source servers font tourner SQL Server ? T'as jamais appris a administrer une machine...

          On ne peut rien faire de mieux que le libre en matière de sécuritée!!!
          Le seul défaut est l'élément humain, alors que les system M$ cumulent les facteurs humains : les prgrameurs M$ et leur concour interne sur le plus grand nbre de failles et bug a la ligne de code possible et l'erreur humaine de l'admin


          C'est rigolo a quel point tu ne sais pas de quoi tu parles, enfin, c'est un peu triste, mais rigolo.
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  . Évalué à -2.

      En lisant les post sur Slashdot je suis tombé la dessus (résumé d'une traduction): "pourquoi est ce que c'est arrivé précisément à Debian.org ? des serveurs qui tournent sur un des distribs parmis les plus stable et sécurisée, administrés par des gens qui sont censés êtres respectueux et au courant des problèmes de sécurité tout en étant des bénévols. Les pirates doivent êtres retrouvés et punis par la communauté du libre et par personne d'autre !"

      blablabla...

      Mais l'idée est bien présente...une erreur d'administration à peut être été commise, ce n'est pas une raison pour blamer la distrib elle même (et par là les mainteneurs de la distrib).

      Je ne suis pas un utilisateur de Debian, mais je partage le sentiment de révolte que nous devrions tous ressentir...cette attaque est malsaine...la communauté du libre doit réagir, fermement...en traquant les coupables.

      "Mandrake distro de noobs, Debian roulaise, et Slack c'est roots et de toute façon *BSD c'est ce qu'il se fait de plus safe" ... on laisse tout de coté, on admet les erreurs liées à l'administration imparfaite (tout en restant conscient que rien n'est parfait dès qu'on introduit une intervention humaine..."free kevin" ;-) ), et on termine le boulot..proprement. On aide les admins de debian.org comme on peut..et on applique les patchs.
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  (site Web personnel) . Évalué à 6.

    Il y a des liens très interressants sur la page de Wichert Akkerman qui permettent
    d'avoir des infos sur comment sécuriser un peu mieux sa machine quand on n'est pas un guru de la sécurité.

    Il parle par exemple d'outils comme debsum qui permet de vérifier les checksums des packages, aide (http://www.cs.tut.fi/~rammer/aide.html(...)) qui permet de vérifier l'intégrité et les dates et autre des binaires, fichiers de conf, etc... Il décrit aussi les rootkit et des softs qui permettent de les repérer. Enfin
    il donne quelques configs à activer dans le kernet pour + de sécurité

    Enfin comme ça a déjà été dit il évoque des bonnes pratiques de sécurité.

    Bref que du bon pour des gens qui cherchent à en savoir un peu plus sur la sécurité des Unix
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  (site Web personnel) . Évalué à 1.

      Il parle par exemple d'outils comme debsum qui permet de vérifier les checksums des packages

      Pour faire ça sous Gentoo, y'a le surpuissant qpkg (app-portage/gentoolkit), qui peut (entre autre) vérifier les checksums md5 ("-cm"), les dates de modifications ("-ct"), ou les deux ("-c"). Et ce pour un package, plusieurs packages (rtfm) ou tous le système (ne rien indiquer de plus).

      [mavie]Par contre il ramouille pas mal... faut dire que mon HD ATA 133 veut pas marcher au delà de 28MB/s.[/mavie]
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  . Évalué à -2.

    Moi je me demande comment va faire la Team Debian. Cela fait 2 fois qu'ils se font attaquer, en ayant une securité maximum (enfin je pense), avec toutes les programmes à jour
    Conclusion, l'attaquant utilise une faille aujourd'hui inconnue.

    Que peut faire Debian??

    3 solutions:
    - Mettre la tête du pirate à prix (comme Microsoft pour Blaster, Nimda....), mais je pense qu'ils ont pas les moyens

    - Essayer de trouver en examinant les sources des applications qu'ils utilisent, la faille de sécurité que le pirate a utilisé et la corrigé. Mais c'est difficile et cela demande énormément de temps.

    - Arrêter complètement le service incriminé (s'ils savent lequel bien sur)

    - Utiliser une autre OS comme Windows, mais ils ont encore plus de chances de se retrouver dans la meme situation d'ci quelques mois.

    Il faut avouer qu'ils doivent se retrouver dans un impasse, devant laquelle tout administrateur réseau peut être confronté un jour ou l'autre..
    Que faire dans cette situation??
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  . Évalué à 3.

      Très fort de proposer à l'équipe Debian de passer sous Windows ...

      Si t'en as d'autres sous la main, n'hesites pas :)
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  (site Web personnel) . Évalué à 1.

      J'entends de plus en plus parler de SELinux. C'est à peu près ce qui se fait de mieux en matière de contrôle des droits, et c'est compatible avec exec_shield pour le contrôle de l'exécutabilité des segments de mémoire. Qui plus est, SELinux est facilement intégré à Debian et fera partie du noyau 2.6.

      Si on ajoute à ça des restrictions d'accès bien plus fortes que celles présentes actuellement, genre l'absence de comptes shell sur certaines machines, il y a moyen de faire beaucoup mieux que ce qu'il y avait jusqu'ici.
    • [^] # Re: Du nouveau sur les serveurs Debian compromis

      Posté par  (site Web personnel) . Évalué à 1.

      > avec toutes les programmes à jour

      Avec "presque" tous les programmes à jour. Il y a un "almost" dans la news que je trouve très significatif. Puis sur le master il y a les softs à jour ... et une vieille copie des softs pas à jour aussi..
  • # Il y a au moins 2 failles à prendre en compte

    Posté par  . Évalué à 4.

    Ce qui est démontré dans le cas Debian c'est qu'il à fallu au moins 2 failles de sécurité pour passer root.

    Si les éléments pour comprendre l'usurpation des privilèges de root manquent actuellement, ce seul défaut n'aurait pas suffit à quelqu'un d'extérieur au projet pour exploiter cette faille (Je fais l'hypothèse que tous les mainteneurs Debian sont gentils.).

    Il a donc fallu exploiter en premier lieu un autre défaut pour se faire passer pour un utilisateur normal d'une machine Debian.

    Je regrette le manque d'explication sur ce préalable, et je vais tenter de proposer plusieurs hypothèses naïves que je soumet à votre sagacité.

    Tout d'abord il faut envisagé les cas non techniques. Je n'en vois qu'un. C'est le cas ou le pirate a regardé par dessus l'épaule d'un mainteneur Debian au moment où il se loggait sur une machine Debian (cas 0).

    Les cas techniques que j'entrevois sont les suivants :
    1 - espionnage de l'entrée du mot de passe au clavier
    2 - exploitation d'une faille dans SSH/OpenSSH permettant de décrypter le mot de passe envoyé
    3 - vol d'une la clé privé OpenSSH
    4 - autres exploitations de faille SSH permettant de se passer d'une authentification
    5 - exploitation d'une faille GPG permettant de décrypter un message et interception d'un mail de demande de changement de mot de passe
    6 - interception d'une transaction SSL de demande de changement de mot de passe
    7 - espionnage de la page/mémoire du navigateur lors du changement par un mainteneur Debian de ses info personnelles sur le site db.debian.org.

    Dans les cas 0,1,3 et 7 il faut probablement que le pirate soit root pour que cela soit possible, et donc qu'il soit administrateur de la machine ou qui ai usurpé les droits de root sur cette machine également.

    Il me semble que l'on peu raisonnablement se prémunir contre ces 4 cas par l'application d'une politique de sécurité rigoureuse mais malheureusement contraignante, qu'il risque d'être difficile à imposer à une communauté de bénévoles.

    Par contre pour les cas restants, la seule solution que j'envisage est de rechercher les failles et de se passer des services inutiles.

    Vous avez d'autres idées ?
    • [^] # Re: Il y a au moins 2 failles à prendre en compte

      Posté par  (site Web personnel) . Évalué à 2.

      pour le cas 3, il ne faut pas forcément etre root pour voler la clé pv SSH d'un user. il suffit d'etre le user en question (qui a forcément besoin d'avoir le droit en lecture sur le fichier contenant sa clé pv).
      • [^] # Nous sommes en guerre....

        Posté par  (site Web personnel) . Évalué à 0.

        Il reste enfin une possibilité: Celle de l'utilisation de technique de renseignement.

        Faisons une supposition rapide.
        Combien "l'industrie" informatique en place génère t'elle de chiffre d'affaire, et par là de bénéfice par an ?
        Réponse=> bénéfices colossaux.

        Donc, Linux venant troubler l'ordre établit, et Debian, par son coté preu sans reproche fiable qui marche, en étant un symbole, il est plausible de penser que Debian peut constituer un objectif.

        RedHat est une société à but lucratif. Ca s'achète, il suffit d'aligner un chèque suffisant.

        Le bénévolat réparti, ça ne s'achète pas.
        C'est une idée.
        Ce n'est pas à vendre.
        Pour l'industrie, c'est un délit d'opinion.
        C'est un objectif stratégique à détruire.

        Le debian Keyring est plutot bien foutu, donc je pense que la faille est bien plus plausiblement humaine (l'humain est faible devant les $$ en nombre suffisant).
        A mon sens, il s'agit d'un travail de renseignement.

        Ce qui me choque le plus dans la logique, ce sont les traces (grossières ?) laissées derrière lui par le malfrat. Un remord ? La volonté de que ça ce voie? Faire bien (4 machines centrales dans le dispositif) mais voyant juste ce qu'il faut pour garder une conscience...

        Le spécialiste contracté a eu des remords, et se serait débrouillé pour que cela se voie.

        Elucubrations que tout cela.

        Toutes choses étant égales, la solution la plus simple et toujours la meilleure.

        La guerre est ouverte. Le logiciel propriétaire attaque de front désormais.
        • [^] # Re: Nous sommes en guerre....

          Posté par  . Évalué à 3.

          Il y en a qui ont de la chance.
          Quelques lignes sur DLFP et hop, adieu Prozac, champignons hallucinogènes, pétards et Marc de Bourgogne. Effet garanti, délire incontrôlable, hallucinations, petits hommes verts, etc.
          Plus sérieusement, il faudrait commencer à envisager une cure de désintoxication, pour certains ça devient limite dangereux, surtout pour leur entourage. Attention, si ça se trouve il a un GPS dans son alim, mais on est peu à le savoir.
        • [^] # Re: Nous sommes en guerre....

          Posté par  . Évalué à 2.

          Mon dieu, j'ai peur !
          Je ne vais pas oser éteindre la lumière ce soir, je ne vais pas fermer les yeux, je vais sursauter au moindre bruit dans la nuit !
          Au secours !!!
        • [^] # Re: Nous sommes en guerre....

          Posté par  . Évalué à 1.

          Après avoir entendu ça, comment voulez vous convaincre les gens que Linux, c'est pas un truc pour les allumés...
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  . Évalué à 5.

    Un traduction française de http://www.wiggy.net/debian/explanation/(...) :
    - http://castor-server.homelinux.org/debian/(...)

    Si vous voyez des fautes, mailez-moi je serais de retour ce soir pour les corriger.

    Max
  • # Re: Du nouveau sur les serveurs Debian compromis

    Posté par  . Évalué à 0.

    Moi en fait je trouve que c bien ce qui arrive a debian meme a tous ceux qui particitipent au developpement du libre, ca va permettre a tous de ce remettre en cause. On vient tous de prendre un gros coup de pied au CUL et ca va faire du bien a tous. Ca montre que Debian et les autres distrib ne sont pas incassables et qu'il faut toujours etre attentif.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.