Неизвестные пытаются встроить черный вход в Linux

В любой дистрибутив Linux попадает ядро с сайта kernel.org. Если подменить исходный код ядра в этой точке и встроить так называемый черный вход, то все дистрибутивы Linux окажутся уязвимыми. И задача подмены для спецслужб не представляет никакой сложности.

Backdoor in Linux

Разработчики ядра Linux прекрасно это понимают, поэтому использовали дополнительную защиту — криптографическую подпись. Как только АНБ или или кто-то еще изменит хотя бы один бит в коде ядра Linux, подпись сразу изменится и разработчики дистрибутивов увидят подмену. Казалось бы, опасаться нечего.

На днях специалисты по информационной безопасности обнаружили в свободном доступе поддельные ключи Линуса Торвальдса и Грега Кроа-Хартмана. Эти два человека полностью контролируют разработку Linux и распространение исходного кода. Создать полную копию ключа GPG математически невозможно, поэтому злоумышленники сгенерировали фиктивные ключи таким образом, чтобы совпадали только короткие 8-символьные отпечатки.

Что это дает? Не секрет, что разработчики разных дистрибутивов по-разному относятся к безопасности. Команда Debian ставит безопасность на первое место. Разработчики Mint откровенно пренебрегают безопасностью ради удобства. Кто-то проверяет полный отпечаток ключа, а кто-то ради удобства сверяет лишь 8 последних символов. Во втором случае фиктивный ключ будет опознан как настоящий, а модифицированный код ядра Linux с троянским конем будет подтвержден как оригинальный.

Выявление поддельных ключей дает основания предполагать, что ведется подготовка к атаке на Linux. Если злоумышленникам это удастся, миллионы серверов и миллиард мобильных устройств окажутся в зоне критического риска.

Ваша оценка: Нет Средняя оценка: 4 (12 votes)
a

У Microsoft тут преимущество. Они держат исходники внутри закрытой компании и не выкладывают на публичные сайты, которые взломать — как 2 пальца об асфальт.

Ваша оценка: Нет Средняя оценка: 2.4 (14 votes)
a

Именно по этому виндовс самая безопасная система в мире!

Ваша оценка: Нет Средняя оценка: 2.2 (23 votes)
11
pomodor

А чего же эта самая безопасная система в мире дохнет от первого встречного вируса? К тому же, в закрытые исходники намного проще встроить бэкдор. И Сноуден говорит нам об этом, что Microsoft — это шлюха АНБ.

Ваша оценка: Нет Средняя оценка: 4.6 (20 votes)
11
pomodor

Кстати, раздельное написание слова "поэтому" выдает в вас не только большого специалиста по безопасности операционных систем, но и эксперта по русскому языку.

ЗЫ А 1 сентября уже блиииизко... ;)

Ваша оценка: Нет Средняя оценка: 4.1 (8 votes)
a

Да. Преимущество для АНБ. Так надо какие-то ключи подделывать, сайты взламывать, рассчитывать на невнимательность дистрибутивостроителей, с риском влипнуть в очередной международный скандал. А так достаточно просто договориться с компанией или если она не идёт на контакт то подкупить конкретных сотрудников пишущих ядро венды, а с учётом отсутствия исходников — факт наличия бэкдора доказать будет куда сложнее.

Так что не пишите бред — публичная открытая разработка по самой своей идее уже куда более устойчива к внедрению в код бэкдоров от разных заинтересованных чекистов, чем закрытая компания вроде M$ открыто сотрудничающая с ними.

Ваша оценка: Нет Средняя оценка: 3.3 (6 votes)
9
comrade

"Польза" от таких лже-ключей крайне сомнительна(-:, чтобы делать такие глобальные выводы. Хотя бдительность, конечно, хорошее качество.

Если система изначально построена на правильных принципах, это сильно повышает безопасность.

Но если сами авторы системы умышленно оставляют дырки "для себя", и надеются, что никто не узнает – "патамушта код закрытый", то это фундаментальная угроза безопасности.

А вот и свежий пример (-:
«Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot»
http://www.opennet.ru/opennews/art.shtml?num=44950

Ваша оценка: Нет Средняя оценка: 5 (4 votes)
11
pomodor

Не сомнительная, а реальная.

Nevertheless, real attacks started in June, some developers found
their fake keys with same name, email, and even "same" fake signatures
by more fake keys in the wild, on the keyservers.

На lkml.org бьют тревогу: «DO NOT TRUST ANYTHING SHORTER THAN THE FINGERPRINTS».

А вот и свежий пример (-:

Пример чего? И какое отношение он имеет к теме? Есть проблема — уязвимость PGP short-ID collisions. По ссылке пример того, как дебилы из MS про...бали свой мастер-ключ по дурости.

:)

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
a

Debian ставит безопасность на первое место. Разработчики Mint откровенно пренебрегают безопасность

Приведите примеры массовых заражений mint.
Чур, тот единственный случай взлома глав.страницы сайта не вспоминать. Так как у дистров с подставной ссылки хеш суммы не совпадали с оригинальными.
И скачиваний было меньше 1000.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
11
pomodor

Пренебрежение — это не только взлом. Это отказ от публикации CVE и задержка с выпуском заплаток к критическим уязвимостям.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
a

(CVE-2016-5696) проявляется c 2012 года в выпусках ядра Linux c 3.6 по или до(точно не помню) 4.7.
Спорим, в этих версиях ядер debian не позаботилась о заплатке?
Отказ от публикаций CVE комментировать не буду. Не публикуют — значит не надо. ;)

Ваша оценка: Нет Средняя оценка: 3.4 (5 votes)
11
pomodor

Не публикуют — значит не надо. ;)

С таким уровнем аргументации нам беседовать не о чем.

Ваша оценка: Нет Средняя оценка: 3 (6 votes)
a

А что вы хотели? Очередной ламер зашел похвалиться своим фетишем. Mint самый лучший. Почему? Так надо. :)

Ваша оценка: Нет Средняя оценка: 2.7 (7 votes)
a

Не ври. Я никогда не говорил что минт лучший. Я всего лишь напоминал, что Linux Mint это клон Ubuntu.
И отсутствие публикаций CVE, меня не беспокоит так, как это, беспокоит некоторых, беспокойных людей. По причине описанной выше.
Надеюсь, вы уловили смысл моего комментария.

Ваша оценка: Нет Средняя оценка: 5 (4 votes)
a

отсутствие публикаций CVE, меня не беспокоит

Я и говорю: ламер и фетишист. Теперь уловил?

Ваша оценка: Нет Средняя оценка: 2 (4 votes)
a

фетишист.

У кого что болит, тот о том и говорит.
Уловил?

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
a

Разработчики Mint не делают свои патчи для ядра :они используют ядра от разработчиков Canonical :)

Ваша оценка: Нет Средняя оценка: 5 (4 votes)
11
pomodor

Интересно, что и разработчики Ubuntu неоднократно обвинялись в том, что не вносят практически никакого вклада в копилку Linux. Mint — любопытный случай, когда паразит паразитирует на другом паразите.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
a

То есть — ихние ядра не отличаются от дебиановских ?

Ваша оценка: Нет
11
pomodor

Если и отличаются, то очень незначительно. Но самое забавное, что ядра берутся из нестабильной ветки Debian. Что нормальные линуксоиды не решаются пока использовать по соображениям стабильности, то в Ubuntu и Mint попадает как стабильное.

Ваша оценка: Нет
a

Mint — любопытный случай, когда паразит паразитирует на другом паразите.

То есть вы считаете, что Убунту — паразит? Но ведь вы сами вроде сейчас на Убунту? Вопрос, почему вы не не выбрали первоисточник — Дебиан, он же и стабильней, и вообще солидней. Спрашиваю абсолютно без ехидства, просто интересно узнать.

Ваша оценка: Нет
11
pomodor

Абсолютно без ехидства отвечаю, что действительно использую сейчас Ubuntu и считаю, что этот дистрибутив действительно больше берет, чем дает. Но у линуксов есть проблема, которая гораздо серьезнее паразитарства. Она заключается в том, что дистрибутивов много. Это заставляет линуксоидов сраться друг с другом и распыляет усилия по развитию. Ubuntu имеет наибольшие шансы объединить людей, поэтому я и выбрал Убуку. Даже скажу иначе, Убунта уже объединила тех людей, с которыми имеет смысл объединяться. Школьники, ламеры, незнающие английского и прочий специфический контингент давно расселся по своим минтам и росам и там им самое место. :)

почему вы не не выбрали первоисточник — Дебиан

Там, где Убука совсем плоха я продолжаю использовать Debian.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
a

Благодарю за развернутый ответ.

Ваша оценка: Нет
a

Школьники, ламеры, незнающие английского и прочий контингент давно расселись по своим минтам и росам и там им самое место. :)

Ну, где, кому, и какое место, это все-таки не вам решать. И не вам ярлыки на людей вешать. Полагаю вы и сам бывший ламер, школьник, незнающий англ.языка. Разве не так?
К чему это я? Да к тому, что такие пренебрежительные высказывания, не украшают Linux сообщество. И мало того, еще и отпугивают людей в первые услышавших слово "линукс".
Количество линукс пользователей и так уже балансирует между нулем и "минус бесконечность".

Давайте сменим риторику, если есть что сказать по делу, будем говорить.
А если нечего сказать, то лучше промолчать.

Это был не упрек, а мое частное мнение. Цели оскорбить Вас я не имел.

Ваша оценка: Нет Средняя оценка: 3.8 (4 votes)
11
pomodor

Непонятный анонимус приказывает мне молчать на моем же сайте? Чертовы школьники, чем больше каникул, тем больше вам срывает крышу. ;) Это же надо было догадаться такое предложить.

где, кому, и какое место, это все-таки не вам решать

Все-таки мне. Я имею право на свою точку зрения, как и любой другой пользователь сайта.

И не вам ярлыки на людей вешать.

Если передо мной ламер, то на нем обязательно будет висеть ярлык "ламер". Даже если "очень авторитетный анонимус" утверждает обратное. ;)

Полагаю вы и сам бывший ламер

Не путайте меня с собой.

еще и отпугивают людей в первые услышавших слово "линукс".

Если они такие пугливые, то пускай идут на хер. Представляю, как они напугаются, когда увидят доки на английском и командную строку. Я уже 100 раз говорил, что Linux используют только крепкие духом пацаны. Пугливые пускай прячутся за свой Вантуз. ;)

Количество линукс пользователей и так уже балансирует между нулем и "минус бесконечность".

Глубокая мысль. ;)

А если нечего сказать, то лучше промолчать.

Ваш комментарий демонстрирует обратное. Другой анонимус мне вежливо задал вопрос, я ему вежливо ответил, он меня поблагодарил. А к чему тут ваш высер понять трудно. ;)

Ваша оценка: Нет Средняя оценка: 2.2 (10 votes)
a

Скажу, что нет никакой гарантии, что сами разработчики ядра линукс не были завербованы спецслужбами.

Ваша оценка: Нет Средняя оценка: 5 (5 votes)
a

После ужасных пыток.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
11
pomodor

Виндовсом.

Ваша оценка: Нет Средняя оценка: 4.2 (5 votes)
a

Благо криптографию никто не отменял... на линукс

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
a

Ух противные иудины! Везде стараются просунуть свои грязные щупалцы. Под ифимерным соусом заботы о рядовых хомячках. Они устроили эту тоталитарщину якобы ради защиты от нехороших бородатых дядек.
Насамом деле цель соврешенно другая. А именно сохранение своего прогнившего феодального сословья. И прежнего кричаше шикарного уровня потребления. Засчёт прозомбированных бедолаг.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.