Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 23, views: 23.582 •
Submitter: SidewalkSuper

Hackers hebben vanaf september toegang gehad tot de infrastructuur van het FreeBSD-project door het lekken van een ssh-sleutel, zo is afgelopen week ontdekt. Twee machines voor de distributie van FreeBSD-packages van derde partijen zijn getroffen.

FreeBSD logo (105 pix)Het gaat om twee machines binnen de FreeBSD-infrastructuur, die vanaf 19 september binnengedrongen werden, schrijft de organisatie achter het opensourceproject. De hack werd afgelopen zondag pas opgemerkt. De waarschijnlijke oorzaak zou niet bij een kwetsbaar systeem of exploit liggen, maar bij het lekken van een ssh-sleutel van een ontwikkelaar die rechtmatig toegang had tot de systemen.

De beveiligingsmanager van FreeBSD.org benadrukt dat de veiligheid van de basis van het besturingssysteem, waarvan de ontwikkeling door de FreeBSD-community geschiedt, niet in het geding is. De systemen zouden alleen gebruikt worden voor het opbouwen en de distributie van third party-packages die met het OS meegeleverd worden. Voor de integriteit van packages die geïnstalleerd konden worden tussen 19 september en 11 november kan de organisatie niet instaan, hoewel analyse geen onregelmatigheden aan het licht heeft gebracht.

De beheerders van het FreeBSD-project hebben zodra de hack bekend werd de systemen offline gehaald en geverifieerd dat er niet met de base gerommeld is. Aangeraden wordt verouderde update-mechanismes niet meer te gebruiken en alles wat in de genoemde periode bijgewerkt is als verdacht te beschouwen.

Reacties (23)

Gelukkig hebben ze niks met het besturingssysteem zelf gedaan, anders zouden er hele grote open deuren aan de achterkant kunnen zitten die FreeBSD voor altijd onveilig maken.
...die FreeBSD voor altijd onveilig maken.
Voor altijd is een allemachtig lange tijd. Ik zou zeggen, totdat eventueel gecompromiteerde packages hersteld zijn.

Wel een erg vervelend lek voor een systeem dat zo'n goede naam heeft, want er zullen ongetwijfeld weer onnadenkende types zijn die dit aangrijpen als bewijs dat BSD niet veilig is. Wat natuurlijk onzinnig is.

Het feit dat er geen onregelmatigheden zijn gevonden en dat het zo lang absoluut niet opgevallen lijkt te zijn, doet me vermoeden dat er niet veel met de rechten op de server is gedaan. Misschien zelfs niets. Jammer dat je dan toch voor alle zekerheid die tijd moet spenderen om mogelijk verdachte pakketten te vervangen.
Beste Tweakers,
Sinds wanneer is het lekken van een ssh-key een hack ?
Beste Tweakers,
Sinds wanneer is het lekken van een ssh-key een hack ?
Altijd al? Of denk je soms dat die key op een publieke website stond?
Dan nog zijn niet de freeBSD servers gehackt, maar is een developer gehackt.

Gelukkig zegt het nieuwsbericht het dan ook goed: "Hacker had toegang tot..." ipv het foute "... is gehackt"
Illegaal een infrastructuur binnendringen via een gehacked systeem wat via ssh keys geautoriseerd is om toegang te verkrijgen is nog altijd een hack. Een complexere hack zelfs. (Multi stage hack)

Het is blijft een hack.
Hier ga je uit van een bewuste actie. Als de developer doelbewust is gehackt om zijn ssh-key te bemachtigen of om toegang te krijgen tot de FreeBSD systemen, dan ben ik het met je eens. Het is echter (nog) onduidelijk hoe de ssh-key is 'gelekt'. Alhoewel je zo'n ssh-key niet zomaar 'per ongeluk' in handen krijgt hoeft het ook geen gerichte en doelbewuste hack te zijn geweest op die developer .

Blijft natuurlijk erg slordig.
onder lekken versta ik iets anders dan hacken. Onder lekken geef je aan de de key moedwillig is afgegeven, er dan ook geen sprake van een hack.

Als je hem niet hebt gelekt dan ben je gehackt en is men zo in het bezit van de sleutel gekomen.
Hacken: het zonder toestemming van rechthebbende toegang verkrijgen tot een computersysteem.

Al betekent het orgineel heel wat anders, maar goed..
Maar in de originele betekenis is de titel van de nieuwspost ook correct. :+
Hackers maken regelmatig gebruik van social engineering om een systeem binnen te komen. Dat zou jij dus ook geen hacken noemen?
Het lekken van de ssh-key was ook niet de hack maar maakte de hack mogelijk.
(oops, had reply op d1ng moeten zijn)

[Reactie gewijzigd door joppybt op 17 november 2012 15:49]

buitengewoon slordig van betreffende developer. houd je private key wat beter beveiligd, zou je toch denken...

heeft verder 0 gevolgen voor mensen die hun ports collectie via portsnap of subversion binnenhalen sinds voor 19 september, gelukkig maar.

de csup methode is al een tijdje deprecated.
In die context zou je dus al een hacker zijn als je fysieke toegang weet te krijgen tot een PC. Dan heb je immers ook onrechtmatige toegang.

Het bemachtigen van de ssh-key zelf zou natuurlijk wel middels een hack kunnen zijn, maar dat is nog onduidelijk. 'Lekken' klinkt toch wat anders als 'hacken'.
Ik vind het bijzonder slordig dat de eigenaar van de key er blijkbaar voor heeft gekozen een key aan te maken zonder wachtwoord erop. Zeker voor een key die blijkbaar toegang geeft tot dergelijke cruciale infrastructuur zou toch wel iets beter mogen zijn beveiligd.
Dat weet je niet, je weet niet wat er aan kant van de developer heeft afgespeeld. Of wel?

Dus dat is puur giswerk.
Sjongejonge, overkomt mij weer.

Heb ik het net even helemaal gehad met linux (tja, what's in my name ...) en op de achtergrond loopt nu een PC-BSD installatie (third party FreeBSD)

Kon geen beter moment bedenken als ik het zo bekijk :Y) -O-

Hoop dat ze hun huiswerk goed gedaan hebben en dat ze alle trees afgelopen hebben op eigenaardigheden, ze melden dat ze het gedaan hebben, we gaan het meemaken.
Als je installeert vanaf de dvd ISO, hoef je je geen enkele zorgen te maken. Die was al final lang voor deze hack plaatsvond. Wel even controleren dat je updates pas binnenhaalt van 3rd party als dat officieel weer kan. Base en world zijn veilig.
Tjonge je private key moet dan gelekt zijn en nog meer, hoe kom je achter het password? Of Brute Force of social engineering, of ..... er stond geen password op...
Overigens de basis van JunOS is free BSD. Niet te hopen dat er inderdaad Juniper routers... oh well de toekomst zal het uitwijzen
Reken maar dat Juniper en Apple, 2 bedrijven die veel met BSD code doen, dit aandachtig in de gaten houden en zelf ook mensen er op zetten om mee te helpen.
Hoe kun je onder FreeBSD zien wat wanneer is bijgewerkt? Onder Gentoo kun je met qlop -l eenvoudig een lijst genereren wat precies aangeeft op welke dag en tijd iets geinstalleerd is, maar onder FreeBSD heb ik geen idee hoe je zo iets zou moeten doen :/
Ik denk dat het volgende voor je zou moeten werken: ls -cltT /var/db/pkg/*/+CONTENTS .
Daar heb je het commando pkg_info voor. Laat de info zien van zowel de packages als de ports.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013