Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: FreeBSD.org

FreeBSD Duiveltje Lizard schrijft: "Edwin Groothuis meldt op de FreeBSD security mailinglist dat het distributiebestand van het het populaire tooltje OpenSSH op de OpenBSD.org server een Trojaans Paard is. De aanpassing bevindt zich in het Configure script. Daarin wordt een shell-script gegenereerd dat probeert een verbinding met een server in Australië op te zetten. Groothuis uit het sterke vermoeden dat het besmette bestand al door een groot aantal mirrorsites is overgenomen. Iedereen die dit bestand recentelijk gedownload heeft doet er dus goed aan om te controleren of zijn versie in orde is. Hoe iemand de kwaadaardige programmacode in de OpenSSH distributie heeft weten te krijgen is niet duidelijk. De beheerders zijn inmiddels op de hoogte gesteld van de besmetting."

Moderatie-faq Wijzig weergave

Reacties (32)

Voor de duidelijkheid:

Ook de native versie van OpenSSH voor OpenBSD is getrojaned met de backdoor.
Als je een binary hebt geinstalleerd ben je niet geinfecteerd, dit geldt alleen voor de source distributie.

En, OpenSSH is niet geinfecteerd, de tarball is getrojaned.

Wat een verschrikkelijke titel trouwens. Het insinueert dat OpenBSD.org opzettelijk trojans zit te distributeren. Kan dit aangepast worden?
Klopt, alleen de source tarballs zijn getrojaned (openssh-3.4p1.tar.gz en openssh-3.4.tar.gz)

Van de irc chat hierover:

10:27 a7r| MD5 (openssh-3.4.tgz) = bda7c80825d9d9f35f17046ed90e1b0a
10:27 a7r| MD5 (openssh-3.4p1.tar.gz) = 3ac9bc346d736b4a51d676faa2a08a57
10:27 a7r| both of those are trojaned.

Dus ALLEEN deze tarballs zijn getrojaned. CVS e.d. niet.

De server waarmee contact gezocht werd door de trojan is inmiddels ook hersteld, dus als heeeel klein pleistertje op de ontzettend grote wond kan de trojan weinig schade meer aanrichten.
Heb je een suggestie? "per ongeluk" past er niet meer bij zoals je ziet :+.
OpenSSH 3.4p1 bevat trojan?
"Trojan Horse in OpenSSH van OpenBSD.org aangetroffen" zou wel moeten passen. Deze is 52 tekens, en de huidige 53.. Klinkt iig al stuk beter dan de huidige.

edit:
Trojan wordt verspreid via OpenBSD.org
Nee die is goed he |:( :P :+
welnee.. het is toch waar?
de Trojan loop je alleen op als en alleen _als_ je de source van OpenSSH download via OpenBSD.org

titel is 100% correct.

(hoewel Theo de Raadt het daar vast niet mee eens is ;) )
Wat een verschrikkelijke titel trouwens. Het insinueert dat OpenBSD.org opzettelijk trojans zit te distributeren. Kan dit aangepast worden?
Waarom? Het klopt toch.... moeten ze maar controleren wat ze uitbrengen...

edit: typo.
Het gaat m.i. niet om een DDos. De verbinding is ook niet naar een IRC server, maar naar de port waarop -normaliter- een irc server op listen(2)-t.

Het bij compilatie van openssh gegenereerde en draaiende programma opent een verbinding en wacht op commando's die vanaf die 'IRC lokatie' gestuurd kunnen worden. De commando's zijn wacht 1 uur, stop de applicatie, en -dit is de vervelende- start een programma (een shell).

Let op, deze trojan haal je dus binnen met de sources en wordt gemaakt (compilatie) tijdens het compileren, en wordt dan ook actief gemaakt. De openssh code zelf die je genereert schijnt niet beinvloedt te worden.
Het gaat m.i. niet om een DDos. De verbinding is ook niet naar een IRC server, maar naar de port waarop -normaliter- een irc server op listen(2)-t.
Ik ben eigenlijk wel benieuwd naar welk IP-adres een verbinding wordt opengezet. Iemand?
Het gaat om 203.62.158.32 (port 6667)

Het schijnt dat dit systeem gehackt was en dat de eigenaar ondertussen een nieuwe installatie heeft gedaan.
De Gentoo-openSSH-3.4-source-tarball is in ieder geval clean (MD5 checkt out met genoemde MD5sums in de posting) :)
Tenzij de MD5 checksum is berekend met de foutieve configure file.
Ter informatie:

md5sums van goede versies:

MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a

$: md5sum openssh-3.4p1.tar.gz (trojaned)

3ac9bc346d736b4a51d676faa2a08a57

Advies dus : gebruik ff "md5sum TARBALL"
om je source te checken.
Hoe iemand de kwaadaardige programmacode in de OpenSSH distributie heeft weten te krijgen is niet duidelijk.
Dat vraag ik me nou ook af... Hoe kan zoiets gebeuren? Wil iemand van de FreeBSD community Theo de Raadt zwart maken? (Omdat daar al lange tijd "strubbelingen" zijn?) :?

Ik vind de titel eigenlijk een beetje suggestief, "OpenBSD.org verspreidt trojan". Het was vast niet de bedoeling van OpenBSD.org om dat te doen, dus "trojan wordt verspreid via OpenBSD.org" lijkt me iets voorzichtiger. :Y)

(edit)Rick Jansen was me net voor. Twee zielen, een gedachte...
Als het een DDoS aanval op de RIAA betreft installeer ik denk ik ook maar eens die nieuwe client :)
Theo mag zijn jaartallen van "exploitvrij" gaan aanpassen :)

dat zoiets kan gebeuren is natuurlijk onbegrijpelijk voor een OS dat er prat op gaat de veiligste OS ooit te zijn,
maar met zo veel verschillende developers, in de opensource community, kan je de rotte appels er maar moeilijk uithouden denk ik, of je moet elke dag al je code gaan checken ;)
Wat heeft deze trojan in de tarball in vredesnaam te maken met het OS?!

A) OpenBSD is niet onveiliger door deze trojan
B) Er is niks fout aan de code van OpenBSD danwel OpenSSH waardoor deze trojan mogelijk is gemaakt
C) De trojan had netzogoed in de tarball van Apache, XFree86, BitchX of <vul maar wat in> kunnen zitten.
en daar kan je wat uit concluderen?
Deze trojan zit niet in de default install, dus geldt de orginele slogan nog steeds imho.
OpenSSH zit default in OpenBSD
Ja, maar de trojan niet. Het gaat om de default install van de officieele release. Dat er een webservertje gehackt is is iets heel anders.

:)

edit:
bij openbsd.org hebben ze blijkbaar een andere mening dan de mijne. Of is "one remote hole" er ook door een/de hacker op gezet?


Lijkt mij niet dat deze trojan tot de officieele release behoort. Het staat immers ook niet op de iso's :)
van website:
One remote hole in the default install, in nearly 6 years!

daaronder:

OpenBSD contains OpenSSH, which supports SSH1 and SSH2!

en daar kan je wat uit concluderen?
Een hele hoop, behalve dat OpenBSD onveiliger is omdat er op een ftp server een .tar.gz aangepast is.
dus een trojan is volgens jou veilig?
We hebben het niet over de veiligheid van een trojan, maar over de veiligheid van OpenBSD. Die wordt niet beinvloed door deze trojan, nee.
ik lees toch echt wel dat enkel openBSD last heeft van deze trojan
Dan moet je een bril kopen, want je begint dingen te zien die er niet zijn.
OpenSSH zit default in OpenBSD + men wil iedereen er van overtuigen dat openbsd apps veiliger zijn omdat die nog eens extra gecontrolleerd worden, maw, openbsd draagt ook een stuk verantwoordelijkheid tov de software die ze ondersteunen
En die stelling blijft.
Deze trojan versie van de tarball zit niet in de installatie van OpenBSD, en is dus ook niet aan dezelfde checks onderworpen.
van website:
One remote hole in the default install, in nearly 6 years!
daaronder:
OpenBSD contains OpenSSH, which supports SSH1 and SSH2!
en daar kan je wat uit concluderen?
A) OpenBSD is niet onveiliger door deze trojan
dus een trojan is volgens jou veilig?
B) Er is niks fout aan de code van OpenBSD danwel OpenSSH waardoor deze trojan mogelijk is gemaakt
ik lees toch echt wel dat enkel openBSD last heeft van deze trojan
C) De trojan had netzogoed in de tarball van Apache, XFree86, BitchX of <vul maar wat in> kunnen zitten.
OpenSSH zit default in OpenBSD + men wil iedereen er van overtuigen dat openbsd apps veiliger zijn omdat die nog eens extra gecontrolleerd worden, maw, openbsd draagt ook een stuk verantwoordelijkheid tov de software die ze ondersteunen
de 'default install' bevat deze trojan niet.

"OpenBSD contains OpenSSH", daaruit kun je concluderen dat als je OpenBSD installeert dat je dan OpenSSH op je systeem hebt, niet dat je de trojan hebt.

Uit "OpenBSD contains a trojaned OpenSSH" kun je concluderen dat als je OpenBSD installeert dat je dan een OpenSSH + trojan op je systeem hebt.

OpenBSD is inderdaad niet onveiliger door deze trojan, omdat OpenBSD de trojan niet bevat.

En nog altijd is er in bijna zes jaar slechts 1 remote hole in de default install. Al komen de komende 30 jaar elke dag 25 remote holes tevoorschijn, dan nog zijn er bijna zes jaren geweest waarin slechts 1 remote hole is ontdekt.

Gelieve even na te denken en te *GOED TE LEZEN* voor je onzin post.

Think, act. Not the other way around.
Waarom zou theo zijn jaartallen van exploitvrij moeten aanpassen?

Die tarballs stonden op hun server die op Solaris draait, dus waar is de exploit in OpenBSD?
Er is niet ingebroken op hun server door een exploit in OpenBSD omdat hun server simpelweg niet op OpenBSD draait, en OpenBSD bevat de trojan niet (voldoende reeds geargumenteerd).

Waarom draait openbsd.org op Solaris en niet op OpenBSD zelf? Simpel: ze krijgen hun server + bijhorende bandbreedte gesponserd door de universiteit van Alberta; ze hebben dus hun site gehosted op een SunSITE van een uni die wil sponsoren.
Als die server/ftp-server gehacked is, valt dat waarschijnlijk toe te schrijven aan een solaris-exploit of een fout van de beheerder van die SunSite of door onvoorzichtigheid (er is al gezegd dat het kan dat een computer van één van de developers gekraakt is en de hackers dus de paswoorden voor de openbsd.org server gesniffed hebben vanop de computer van een openbsd-developer)

Anyway, mijn vertrouwen in openbsd/openssh is eigenlijk enkel maar vergroot hierdoor: het heeft slechts enkele uren geduurd vooraleer men het door had, en door het fijne feit dat openbsd open-source is, kon iedereen heel makkelijk kijken wat er aan de hand is, enz...
Wat ga je doen als er in win2k een trojan zit?? Mooi wachten op nieuwe binaries van MS.
Hier kon je 1 lijntje in commentaar zetten, en openssh mooi compileren zonder de trojan.
heb jij ooit een trojan in MS download gehad...
toch weer een kleine tegenslag voor dit o zo goede besturingssysteem en deze stabiele distro die ik overigens zelf nog niet heb mogen testen
De machines waarop deze getrojanede versie te verkrijgen is, is zelf niet van OpenBSD, maar draait op SunOS.

Het is niet zo dat OpenBSD er zelf een trojan in zou steken, laat staan dat dit ook maar iets te maken heeft met een hack op OpenBSD zelf.

Waarschijnlijk werd er access verkregen op de FTP server en werd de code getrojaned.
Er is een OpenSSH Security Advisory (adv.trojan) verschenen op OpenSSH.org waarin wordt aangegeven hoe je kunt ontdekken dat je de verkeerde versie van OpenSSH hebt geinstalleerd.

Stukje info:
1. Systems affected:
OpenSSH version 3.2.2p1, 3.4p1 and 3.4 have been trojaned on the OpenBSD ftp server and potentially propagated via the normal mirroring process to other ftp servers. The code was inserted some time between the 30th and 31th of July. We replaced the trojaned files with their originals at 7AM MDT, August 1st.
Ik ben zeer nieuwschierig hoe deze trojan er in is gekomen. Mocht het door een mede softwareontwikkelaar zou dit niet zo goed kunnen gaan zijn voor de reputatie van OpenSource.
Alle code word al het goed is gescreend voordat het gereleased wordt.

Ik ben nog steeds voor open-source, je zal wel moeten kijken wie je in je development team haalt.

Dit soort grappen blijft altijd, of je nu te maken hebt met OpenSource of met ClosedSource. De gevaarlijkste mensen zijn je eigen werknemers! Die hebben namelijk toegang tot bepaalde zaken en kunnen daar misbruik van maken. Als je een mooi componentje bouwt voor je werkgever, kun je er ook een mooie trojan in bakken. Het heeft dus geen fluit te maken met OpenSource. OpenSource geeft nog het voordeel dat iemand er gelijk bovenop kan duiken als het nodig is.
Zit 'ie dus niet in FreeBSD 4.6?

*me haalt opgelucht adem...*

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True