Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties
Bron: Linux Weekly News

Nadat onlangs een aantal Debian-servers waren gehackt door een fout in de Linux-kernel, lijkt nu ook een server van het Gentoo-project het doelwit te zijn geweest van een hacker, zo is te lezen op Linux Weekly News. De getroffen Gentoo-server was een van de servers die de zogenaamde rsync-dienst leverde. Deze server voorzag in zogenaamde portage-bestanden welke door gebruikers worden gebruikt om updates en nieuwe programma's installeren op een Gentoo Linux-systeem. Dankzij de aanwezigheid van een intrusion detection system werd de inbraak snel ontdekt waardoor de server slechts een uur in 'gehackte toestand' heeft verkeerd.

De methode waarop de hacker toegang had verschaft tot de server wordt niet duidelijk vermeld in de publicatie waarin het incident wordt bekend gemaakt. De server was geen eigendom van de Gentoo-organisatie, maar werd gedoneerd door een sponsor van het project. Deze sponsor wilde tot op heden niet bij naam genoemd worden en derhalve is ook niet bekend welke server precies is getroffen. Dankzij een intrusion detection system en een file integrity checker was het mogelijk om nauwkeurig vast te stellen wat de hacker precies op de server heeft veranderd. Tot dusver lijkt het erop dat de databestanden van het Gentoo-project niet zijn gewijzigd en dat Gentoo-gebruikers zich verder nergens druk om hoeven te maken. Gebruikers die echter het zekere voor het onzekere verkiezen kunnen hun systeem updaten en voorzien van de nieuwste pakketten:

Gentoo Linux logo-iconAgain, based on the forensic analysis done so far, we are reasonably confident that no files within the Portage tree on the box were affected. However, the server has been removed from all rsync.*.gentoo.org rotations and will remain so until the forensic analysis has been completed and the box has been wiped and rebuilt. Thus, users preferring an extra level of security may ensure that they have a correct and accurate portage tree by running: emerge sync, which will perform a sync against another server and ensure that all files are up to date.
Moderatie-faq Wijzig weergave

Reacties (93)

Hoewel rottig voor de linux community kan het zeker geen kwaad te realiseren dat beveiliging voor ieder OS altijd een zorgen kindje is.
En zo zie je ook maar weer dat niet alleen Windows "onveilig" is.

Per definitie is ieder systeem "veilig" (safety by obscuring / veiligheid door verdoezeling en onbekendheid), totdat het de eerste keer gehacked wordt. Dan is het opeens onveilig. Windows wordt echter veel vaker gehacked en als onveilig beschouwd omdat er veel meer Windows-gebruikers dan Linux-gebruiks zijn. Veel meer gebruikers betekent veel meer doelen, en dus ook veel meer ge´nteresseerde hackers en veel meer treffers. Hoe meer Linux gebruikt gaat worden, hoe vaker we hacks zullen zien op Linux servers.

Wel is het zo dat Linux "out of the box" veel veiliger is ingesteld dan Windows. Dat maakt het systeem voor thuisgebruikers echter gebruikersonvriendelijk. Windows is nou net daarop gericht; men offert veiligheid op voor handigheidjes en gebruikersgemak.

Waarom wordt dat dan gedaan? Simpel: veel mensen willen tegenwoordig met een computer werken, maar er niet meer mee leren omgaan... vele mensen zijn nog te lam om in de help te kijken van een Nederlands programma zoals Word. (Nofi, maar het is gewoon zo, ik zie het dagelijks.) Laat staan dat dit soort mensen met een firewall zou willen leren werken....

Als Linux tÚ gebruikersvriendelijk gaat worden, en veiligheid voor gemak inwisselt, dan gaan dit soort mensen er ook mee (proberen) te werken, en tadaaa: Linux is onveilig geworden.

Ik heb 3 servers ge´nstalleerd bij mijn stagebedrijf: 2x Windows 2000 Server SP4, alle updates + alle onnodige services uit + goede firewall. Standaard ALLE verkeer dat binnenkomt blokkeren, behalve expliciet doorgelaten verkeer en verkeer van vertrouwde adressen. NOOIT veiligheidsproblemen mee gehad. Windows is zeker veilig te krijgen.

Daarnaast heb ik ook 1 linux server ge´nstalleerd. Deze heeft ook nooit problemen ondervonden, al moet ik zeggen dat het ten tijde van de installatie wel een heel stuk moeilijker was om die goed veilig te krijgen (tegenover Windows), maar dat lag meer aan mijn op dat moment beperkte kennis van Linux dan aan Linux zelf.

Uiteindelijk is alles veilig en onveilig tegelijk: het is maar wat je er zelf van maakt.
Waar staat eigenlijk welke serversoftware/OS precies op die gecrackte server draaide? Ik kan het niet vinden in het artikel. Wat voorbarige conclusies dus.

Dat verhaal over veiliger = minder handig, dat geloof ik gewoon niet. Als je vantevoren goed nadenkt over hoe je iets ontwerpt dan valt daar zeker een compromis in te bereiken. Maar tegen mensen die hun bak zonder updaten en firewall 24x7 aan het net laten hangen zal dat inderdaad niet helpen.
@Reinouts:

Ik vind het zelfs handig als ik van mijn firewall een bericht krijg "Programma dit en dat wil op het internet, wilt u dit toestaan?", of "Inkomende verbinding op poort ???, wilt u dit toestaan?". Als het een programma is dat ik niet ken, of een onbekende verbinding, dan weet ik dat er ergens wat fout zit. De meeste mensen vinden dit echter ZEER vervelend, vooral omdat zij niet weten hoe ze hiermee moeten omgaan. Voor hen is het dus NIET handig, en dan laten ze de firewall maar weg. Ze ruilen dus veiligheid in voor gemak.

@uwog:

In mijn geval thuis bijvoorbeeld moet ik een firewall draaien, of een ander programma dat poorten blokkeert.

Ik heb 1 PC die aan het internet hangt, en die draait een software-router, een forwarding DNS server. (Hij stuurt DNS-aanvragen door naar de ISP dus), een DHCP server, en een forwarding mailserver.

PC hangt aan het internet. Als ik nu geen firewall draai, dan zijn deze services vanuit het internet zichtbaar. Met andere woorden, iemand kan bijvoorbeeld mijn computer als DNS server gebruiken, of als mailserver. Dat weet ik zeker, want ik heb het al geprobeerd.

Nu gebruik ik de firewall om deze mogelijkheden van buitenaf te blokkeren: ik houdt alle verkeer voor die services van alle niet-192.168.?.? IP adressen tegen. Zo zijn de services alleen beschikbaar voor het lokale netwerk. Veel routers hebben deze mogelijkheid zelf al, (dus eigenlijk hebben ze een ingebouwde firewall) maar de mijn (gratis) progje niet. Daarom gebruik ik Kerio Firewall om toch controle te houden over het inkomende en uitgaande verkeer.

"Waarom zou ik een firewall gebruiken?" is net zo'n loos argument als "Waarom zou ik een virusscanner gebruiken?". Je kunt wel goed opletten wat je doet, en je kunt zoveel dingen zelf voorkomen.... ooit gaat het echter toch fout. Ik open nooit onbekende attachement in mails, bijvoorbeeld, maar soms krijg ik wÚl bekende mails met virussen, omdat een kennis van mij een virus heeft... zonder virusscanner zou ik dan gehangen hebben. Voor een firewall geldt hetzelfde.

"Waarom zou ik mijn auto afsluiten? Ik zet hem nooit in een gevaarlijke buurt." Dat gaat een tijdje goed, maar opeens ben je hem kwijt.
OK, leg mij eens uit waarom zou ik een firewall zou moeten gebruiken? Ik heb op de servers die ik beheer ALLE services uit staan die niet nodig zijn. De services die wel nodig zijn worden ook door een firewall niet beschermt (anders kan niemand ze meer gebruiken ). Een firewall heeft voor dergelijke servers dus totaal geen meerwaarde, en zeer waarschijnlijk draaide die dan ook niet op zowel de debian als de gentoo servers.
het kan nog steeds handig zijn om een firewall te draaien, die jouw machine iets minder open zet. Allereerst heb je zo een extra laag beveiliging (mocht er een onverwachte poort aangezet worden), en niet alle uitgaande services wil je toelaten, en geeft je machine zo minder informatie over zichzelf weg.

ieder pakketje wat verstuurd wordt vanaf jouw server (ook een TCP-RST als indicatie dat er geen service draait) is al teveel. Jouw machine is zo nogal makkelijk te scannen.

en zo limiteer ik graag de apache-user (waaronder mijn webserver draait), tot het versturen van antwoorden op poort 80. iedere laag beveiliging is mooi meegenomen.

Jouw machine kan nu ook gebruikt worden in een idle-scan, en er zijn genoeg andere obscure pakketjes die toch een antwoord van je server uitlokken. Zo bestaat er een "smurf-amplifier" aanval, die een host nodig heeft die reageerd op icmp-broadcasts. ...etc...

geen firewall willen draaien is zeer naief.

[/off topic]
OK, leg mij eens uit waarom zou ik een firewall zou moeten gebruiken? Ik heb op de servers die ik beheer ALLE services uit staan die niet nodig zijn. De services die wel nodig zijn worden ook door een firewall niet beschermt (anders kan niemand ze meer gebruiken ). Een firewall heeft voor dergelijke servers dus totaal geen meerwaarde, en zeer waarschijnlijk draaide die dan ook niet op zowel de debian als de gentoo servers.
Je kunt met een firewall ook services afschermen die niet voor iedereen toegankelijk hoeven te zijn. Zoals ik het lees heeft bij jou gewoon de hele wereld toegang tot de services op je machine die iemand in je organisatie nodig heeft.

Voorbeeldje:

Mijn FTP server is alleen toegankelijk voor mensen die (mogelijk indirect) vanuit Nederland (lees met een IP dat reverse resolved naar iets dat eindigd op .nl) connecten. Als ik weet dat iemand vanuit het buitenland toegang moet hebben dan voeg ik dat handmatig toe aan mijn firewall.

True, hetzelfde kun je ook bereiken met tcpwrappers of iets dergelijks (kent Windows hier een equivalent van?). Maar hiermee is het toch mogelijk om met behulp van een portscanner te achterhalen welke services er draaien op de betreffende server.

Doorgaans is het verstandig om zo weinig mogelijk hints naar buiten af te geven over welk Operating System en welke services (en versies ervan) er draaien op een machine. Zo wordt een OpenBSD machine die ik heb draaien al tijden lang door nmap-os-detection gezien als Windows 95/98. Hoe moeilijker het is om informatie over een systeem te bemachtigen, des te moeilijker het is om het system te hacken. Immers als je weet dat er Windows 98 draait op een machine, dan kun je een stuk gerichter zoeken naar eventuele exploits...

Maar een goede firewall configuratie laat alleen connecties toe naar services vanaf vaste IP adressen die geassocieerd zijn met gebruikers die die service ook daadwerkelijk nodig hebben. In praktijk is dit vaak alleen wat moeilijk te vangen in een firewall configuratie aangezien mensen vanuit thuis of vanuit een hotel willen werken waar ze geen vaste IP adressen hebben. En verder is het met IPv4 nog te makkelijk om IP addressen te spoofen waardoor in sommige uitzonderlijke situaties je firewall buiten spel kan worden gezet.
Je hebt dan wel services draaien, maar je wilt niet dat ze van buitenaf gebruikt kunnen worden. Dan heb je toch echt een firewall nodig om alleen vertrouwde IP-adressen te filteren.
nee hoor, die services alleen laten luisteren op localhost als niemand er van buiten op mag, en anders je hosts.allow file ff aanpassen.
@uwog:
stel, ik heb een webserver, waar 10000 studenten en docenten een account op hebben. Stel, ik geef ze de mogelijkheid om PHP en perl scripts uit te voeren, en stel, ik heb een local root expoit in mn systeem zitten. Wat kan een firewall voor mij betekenen?

Student installeert mbv een exploit een leuke bindshell, en wil daarop connecten vanbuitenaf. Zonder firewall, connect ie met telnet en heeft ie root of welke user ie ook maar gesploit heeft. Met firewall, mag hij eerst nog zien hoe een daemon te killen en vervolgens die bindshell achter die poort te gooien, wat zeer snel opvalt omdat er dan al snel studenten bij ons in de deuropening staan te schreeuwen dat de webserver niet werkt.
@Jan de Groot:

Een server achter een goede geconfigureerde firewall vind ik ook beter, maar heb nog een (zeur) opmerking.

Ik ga ervanuit dat de student wel Linux kent, maar niet z'n eigen exploits kan schrijven. Verder is het logisch dat de student geen ssh toegang heeft, alleen ftp. Als de machine achter de firewall hangt, kan de student via een PHP met de poort waar bind op draait verbinden en wat leuke iptables regels toevoegen. Iets als:
iptables -t nat -A PREROUTING -i 1.2.3.4 -p tcp --dport 80 -j REDIRECT --to-ports 9999

Dus: Verkeer vanaf ip 1.2.3.4 (machine onder controle van de student) naar poort 80 lokaal doorsturen naar localhost poort 9999 (waar bv de bind shell op draait). Hoef je dus geen daemon voor te killen.

Natuurlijk is deze aanval veel moeilijker uit te voeren, maar met deze methode hoeft de daemon niet gekilled te worden. :)
Een firewall voor een server heeft enkele redenen:
- de firewall is normaliter niet direct bereikbaar vanaf internet en de server, dus deze instellingen zijn daardoor moeilijk te wijzigen door een hacker.
- een firewall geeft een extra mogelijkheid om verkeer te screenen zodat je meer informatie kunt krijgen bij een aanval.
- als de server gehackt wordt kan de cracker niet meer services installeren dan de firewall toelaat. En IP-filter op de server zelf is dan nutteloos.
- tenslotte is er de optie dat de firewall helemaal geen verbindingen toelaat van binnen naar buiten, zodat als je de server gehackt heb je geen verbinding naar de buitenwereld kunt maken voor het ophalen van een rootkit, extra software e.d.. De overige mogelijkheden om software toe te voegen kun je dan weer gaan screenen...

Als je ervan uitgaat dat het ombouwen van een bestaande server enige tijd kost (omdat standaard extra services niet werken) betekent dit dat het praktisch nut van een gehackte server op de defacement na praktisch 0 is. Of je moet erop gokken dat er niemand gaat kijken als de server storing heeft.

Als aanvulling op andere voorzorgen als een intrusion detection system, een ACL, het dichttimmeren van de kernel heeft een firewall zeker zijn voordelen.

Nadelen van een firewall:
- duur
- extra configuratie
- mogelijk performenceverlies
- ...
OK, leg mij eens uit waarom zou ik een firewall zou moeten gebruiken? Ik heb op de servers die ik beheer ALLE services uit staan die niet nodig zijn. De services die wel nodig zijn worden ook door een firewall niet beschermt (anders kan niemand ze meer gebruiken :) ). Een firewall heeft voor dergelijke servers dus totaal geen meerwaarde, en zeer waarschijnlijk draaide die dan ook niet op zowel de debian als de gentoo servers.
@FirePower:

We hebben het over servers hier, niet over thuisgebruikers. De thuis situatie die jij beschrijft vereist natuurlijk een firewall.
De servers waarover wij hier praten zijn op geen enkele manier gebaat bij een firewall. Mocht jij dat anders zien, enlighten me met een voorbeeld.
@uwog:

Veel bedrijven, zeker kleinere, gebruiken slechts 1 server die alles kan. Zou jij willen dat anderen van buitenaf via jouw server mailen, of het ding als DNS gebruiken of wat dan ook?

Je hebt dan wel services draaien, maar je wilt niet dat ze van buitenaf gebruikt kunnen worden. Dan heb je toch echt een firewall nodig om alleen vertrouwde IP-adressen te filteren.
Daar heb je toch programma's als inetd, xinetd, tcpserver etc. voor? Naar mijn mening hoef je daar totaal geen firewall voor te draaien...
een voordeel van een firewall bijv. is dat een scan al stukke langer duurt.. een standaard geblocked linux/windows systeempje nmap je in 10 seconde... als je bijv. shorewall installeerd duurt dit al snel 10 tot 30 minuten.

je moet ervan uit gaan net zoals bij inbraak bij je thuis als je de tijdsduur kan oprekken is de kans op inbraak lager.
@ FirePower:

Jij weet dus duidelijk gewoon niet hoe je je zooi moet configureren.

Ik draai thuis ook smtp, web, ftp, pop3, imap en ene proxy. En alles staat zo dat het van buitenaf ook benaderbaar is. Kortom, op mn router zijn die poorten gewoon geforward naar mn server. Als jij dan denkt dat iemand van het internet via mn smtp zou kunnen mailen. Dan heb je het mis. Als je configuratie goed is, dan kunnen alleen pc's die achter je router staan gebruik maken van die services, maar kan je smtp wel mail ontvangen van buitenaf. Kortom, een mail naar je server toe kan wel. Een mail via je server kan neit. En daar heb je dus geen firewall of wat voor zooi ook voor nodig.

K vind je argumentatie een beetje dom overkomen eigenlijk, heb je uberhaupt wel verstand van zake of neit?

@ N3M3l355:

Dit is echt onzin vind ik. Een firewall blokkeerd inderdaad de boel. Maar wat niet open staat hoeft ook niet echt geblokkeerd te worden :) Tenminste, zo zie ik het. Ik zie een firewall mee voor complete netwerken die direct aan het internet hangen. Niet voor servers. Daar heb je gewoon simpelweg geen firewall voor nodig. Netzoals op je workstation. Vind ik firewalls gewoon overbodige onzin. In mn router staat de firewall overigens ook gewoon simpelweg uit. K heb die troep niet nodig. Mn linux server zit dicht. Daar komt niemand zonder wachtwoord in. De rest is zowiezo verstopt achter een router, dus daar is contact naar toe zowiezo neit mogenlijk.
Er zijn zeker wel redenen voor een firewall in een intern netwerk, je wil mischien delen van het interne netwerk scheiden of je hebt niet alle controle over bepaalde delen van het netwerk. Ook voor beveiligde machines geldt dat een firewall nuttig kan zijn, beveiligen doe je in lagen, je kunt alles wel lekker dicht hebben staan maar mocht iemand er doorheen breken en een backdoor installeren dan zal deze eerst de firewall moeten uitschakelen of aanpassen. Is toch weer een extra stap.
Het probleem was een bug in rsync (daarom is nu rsync-2.5.7 beschikbaar). Na gebruik te hebben gemaakt van die bug is de kernel bug die ook bij debian gebruikt is, gebruikt om root rechten te krijgen. Op deze server was rsync namelijk niet in een chroot-gevangenis geinstalleerd.
Dit is echt onzin vind ik. Een firewall blokkeerd inderdaad de boel. Maar wat niet open staat hoeft ook niet echt geblokkeerd te worden Tenminste, zo zie ik het. Ik zie een firewall mee voor complete netwerken die direct aan het internet hangen. Niet voor servers. Daar heb je gewoon simpelweg geen firewall voor nodig. Netzoals op je workstation. Vind ik firewalls gewoon overbodige onzin. In mn router staat de firewall overigens ook gewoon simpelweg uit. K heb die troep niet nodig. Mn linux server zit dicht. Daar komt niemand zonder wachtwoord in. De rest is zowiezo verstopt achter een router, dus daar is contact naar toe zowiezo neit mogenlijk.
Afhankelijk van de provider zul je een situatie aantreffen waar een 19" kast staat met aansluiting op internet, met daarin 1 of meer firewalls en een accesspoint om van afstand in te loggen zodat je de servers kunt configureren en herstarten op afstand.

Als je puur voor goedkoop een server aan internet hangt is dit natuurlijk gewoon veel te duur. Als veiligheid boven alles staat dan is die firewall er als het goed is.

Als jij Linux gebruikt hoef ik jou waarschijnlijk niet uit te leggen waarom je een server in een DMZ plaatst, waarom je een recente kernel gebruikt of juist niet, waarom je ACL zou kunnen toepassen en hoe je de kans op een succesvolle hack via een buffer overrun kunt verkleinen. En verder waarom verschillende ontwikkelaars niet blij zijn met lsm in de 2.6.x-kernel.

Er zit verschil tussen een prive servertje en een systeem dat bedrijfsmatig moet werken EN veilig moet zijn. Geen services is dan niet altijd een optie.

En nog altijd staan openssl en openssh in de top 10 van de zwakste plekken voor Unix/Linux (nieuws: SANS bestempelt IIS als meest onveilige Windows-software)...
Een firewall kan je bijvoorbeeld beschermen tegen het gebruik van al dan niet via een worm of hack van je wel openstaande services binnengekomen trojans, of tegen misbruik van services die je misschien niet eens kende, die je gebruikers op een systeem installeren, etc.
Als de machine achter de firewall hangt, kan de student via een PHP met de poort waar bind op draait verbinden en wat leuke iptables regels toevoegen. Iets als:
iptables -t nat -A PREROUTING -i 1.2.3.4 -p tcp --dport 80 -j REDIRECT --to-ports 9999
en daarom staat een firewall ook nooit op de server zelf ;)

Een server hoort in een DMZ te staan. Dit is een afgeschermde zone (op een aparte nic van de server). De firewall laat op deze nic alleen antwoorden van poort 80 toe.de server zelf mag nergens naar connecten.
Ho, je gaat hier wel heel erg kort door de bocht.

Het feit dat er in de afgelopen paar dagen 2 linux servers zijn gehacked, doet nog steeds niets, maar dan ook niets af aan de verhouding van security tussen windows en linux.

Ik heb het niet geteld, maar het aantal remote-root-achtige exploits zijn voor linux (voor het afgelopen jaar) wel op een of twee handen te tellen.
Voor windows heb je dan wel een paar handen nodig.

Alleen al dat dit verhaal, van de gehackte linux server, echt nieuws is, geeft al aan dat het iets speciaals is. Je zult het hier niet zo snel zien over windows.
Gaan we weer:
Windows wordt echter veel vaker gehacked en als onveilig beschouwd omdat er veel meer Windows-gebruikers dan Linux-gebruiks zijn. Veel meer gebruikers betekent veel meer doelen, en dus ook veel meer ge´nteresseerde hackers en veel meer treffers.
Hoe verhoudt het aantal apache servers zich ten opzichte van IIS en het aantal Sendmail server ten opzichte van Exchange?
Uiteindelijk is alles veilig en onveilig tegelijk: het is maar wat je er zelf van maakt.
Meen eens, maar zelf ga ik dan liever uit van 'dicht tenzij je het open zet' dan andersom.
Je vergeet te melden dat Linux een betere structuur heeft dan windows, waar je in windows standaard rechten hebt over alle files (root rechten) in linux heb je dat niet, en dat maakt linux veel veiliger.

Een voorbeeld waar die veilige structuur en gebruiksgemak samengaan is natuurlijk Mac OSX, wat is gebaseerd op Net/FreeBSD geloof ik..
@firepower

Het wel of niet gebruiken van services, vanuit internet heeft niets te maken met een firewall.

De firewall zal je beschermen tegen bepaalde vervormde ip-paketten, en zal gewoon inschakelen voordat de server naar buitenuit zegt 'sorry service draai ik niet'
Als je de firewall uitschakeld en als iedereen daarna zomaar van je services, smtp, dns relay etc gebruik kan maken dan zit er een serieuse fout in de configuratie van die server en services.

BTW : het is security by obscurity, en het duid op het feit dat sommige mensen/bedrijven denken dat de beste veiligheid is om geen informatie prijs te geven over systemen, closed-source, en protocollen.
Het nadeel hiervan is dat wanneer de informatie dan door 1 persoon gevonden word, het hele systeem in duigen valt, aangezien DE veilighei erop berustte dat niemand de informatie had...
Als een van je 'officiele' services een lek heeft en een attacker daardoor een een trojan weet te installeren die luistert op een 'onofficiele' poort ben je zonder firewall de lul. Een firewall zou het verkeer naar die 'onofficiele' poort en dus naar de trojan tegen houden, waardoor de hacker alsnog niets met die trojan kan doen.

Ook op een server heeft een firewall dus zin.
@ The Noid

Ik zeg niet dat het geen zin heeft, ik zeg alleen maar dat als hij de firewall nodig heeft om restricties te zetten op de services zelf, er een probleem is met zijn configuratie.

Verder ben ik het met je eens en draai ik thuis een freebsd bak die enkel als firewall dient
En de volgende hack:

Het CVS en ontwikkel services van GNU en andere free software projects is, blijkt zojuist, ook gehackt op dezelfde manier:

Op:

http://savannah.gnu.org/statement.html

On December 1st, 2003, we discovered that the "Savannah" system, which is maintained by the Free Software Foundation and provides CVS and development services to the GNU project and other Free Software projects, was compromised at circa November 2nd, 2003.

The compromise seems to be of the same nature as the recent attacks on Debian project servers; the attacker seemed to operate identically. However, this incident was distinctly different from the modus operandi we found in the attacks on our FTP server in August 2003. We have also confirmed that an unauthorized party gained root access and installed a root-kit ("SucKIT") on November 2nd, 2003.

In the interest of continuing cooperation and in helping to improve security for all essential Free Software infrastructure, and despite important philosophical differences, we are working closely with Debian project members to find the perpetrators and to secure essential Free Software infrastructure for the future. We hope to have future joint announcements that discuss a unified strategy for addressing these problems.

For the moment, we are installing replacement hardware for the Savannah system, and we will begin restoring the Savannah software this week. Initially, there will be some security related changes which may be inconvenient for our developers. We will try to ease these as we find secure ways to do so. We are in particular researching ways to ensure secured authentication of the source code trees stored on the system.

We will send more detailed announcements about efforts to verify the authenticity of the source code hosted on Savannah, and how the community can help in that effort once we've brought the system back online.

We hope to have at least minimal services back up by Friday 5 December 2003.

Bron Slashdot.org :
Update: 12/03 22:54 GMT by T: One more damage report: gibson writes "The Free Software Foundation recently discovered that its software host site was compromised a month ago. The compromise appears to be the same as the recent attacks on the Debian servers. The site is shut down until Friday while they install replacement hardware and verify the authenticity of the hosted source code."
Dankzij een intrusion detection system en een file integrity checker was het mogelijk om nauwkeurig vast te stellen wat de hacker precies op de server heeft veranderd. Tot dusver lijkt het erop dat de databestanden van het Gentoo-project niet zijn gewijzigd
ALs hack-noob, zou ik willen weten of het niet mogelijk is om deze file integrity checker niet te misleiden, en daardoor de indruk te wekken dat alles is zoals het was.
Het lijkt mij logisch dat je dit soort dingen aanpast om je sporen uit te wissen.
ALs hack-noob, zou ik willen weten of het niet mogelijk is om deze file integrity checker niet te misleiden, en daardoor de indruk te wekken dat alles is zoals het was.
Het lijkt mij logisch dat je dit soort dingen aanpast om je sporen uit te wissen.
de logs van het IDS worden op een andere server geplaatst.
In dit geval stonden alle checksums/logs op cdrom
Er wordt door de integrity checker gekeken bij initialisatie naar het complete systeem. Van alle binaries kan je bijvoorbeeld een md5sum nemen.
Als tijdens een hack dan een binary als /sbin/init wordt aangepast dan geeft deze een andere md5sum terug.
Zou je nog kunnen omzeilen met een aangepaste md5sum die de oude waardes allemaal ophaalt voordat de hack verder gaat, dan deze md5sum te installeren en je checker zou te misleiden zijn. Echter dit is een van de sporen die je achter kan laten, daarom is het het veiligst om een readonly medium ergens te hebben liggen met binaries die je ter plekke kan benaderen om je systeem te controleren, dan is namelijk je uitgangspunt al een stuk zekerder omdat die binaries niet aangepast zijn.
Wat je dan nog wel zeker moet weten is dat je mount nog bestaat etc.....
Ik vraag me af waarom Gentoo eigenlijk niet gebruik maakt van pakketten die met PGP gesignd zijn.
Dit wordt bijvoorbeeld door Mandrake wel gedaan.
Op het moment dat je een pakket download met urpmi en de handtekening klopt niet, kan je zelf het risico nemen om het alsnog te installeren of het te weigeren.
Dus als een server gecrackt wordt en er worden pakketten gewijzigd, vormt dat niet direct een gevaar voor alle systemen die daar de updates vandaan halen.
Op het moment dat je een pakket download met urpmi en de handtekening klopt niet, kan je zelf het risico nemen om het alsnog te installeren of het te weigeren.
tijdens een 'emerge' wordt de file met een MD5 key (of PGP key?) gecontroleerd. En als die niet klopt, mag je er toch op rekenen dat 'emerge' je software botweg weigerd.
ja, daar heb je gelijk in...
maar een MD5-sum is te veranderen. Een goede pgp-key niet.
En iemand de macht heeft om de portage-tree te wijzigen, zou hij dus en de lokatie van de source van het programma en de MD5-sum kunnen wijzigen. Vervolgens lijkt dus alles weer te kloppen.
(Ik begrijp dat het voor Gentoo moeilijker is)
Mandrake heeft 2 ontwikkel onderdelen, Cooker (wat je op de cd kan vinden) en Contrib (extra's). Dagelijks komen er nieuwe rpms uit. Voor beide onderdelen samen zijn er gisteren 28 verschillende 'pakketten' geupload (1 src rpm 'pakket' kan meerdere rpm packages creeŰn. Al deze paketten zijn gesigned. De contrib sectie (en sinds kort ook Cooker) worden door zowel Mandrake als vrijwilligers onderhouden. Het is dus mogelijk (alhoewel Gentoo mogelijk uit veel meer vrijwillegers bestaat).
Wij zijn bezig om te kijken hoe we pgp kunnen integreren. Er is echter een groot verschil tussen gentoo en mandrake. Bij mandrake wordt eens in de zoveel tijd een hele cd gereleased. Bij gentoo zit er tussen het in cvs committen en het beschikbaar zijn maximaal een uur. Dit betekend dat elke dev een key moet hebben en dat er infrastructuur moet zijn die er voor zorgt dat al deze sleutels vertrouwd zijn, maar ook dat oude sleutels niet meer geldig zijn.
MD5sum is een file checksum, die is vrij eenvoudig te faken als dat je doel is; hij is dan ook meer bedoeld om na te gaan of de dataoverdracht goed gelukt is, als er 1 of meer bitjes onderweg zijn omgevallen, wordt dat meteen gedetecteerd.

En als die overdracht niet gelukt is, mag je inderdaad hopen dat het systeem niet probeert het pakket te installeren.

Dit is echter heel iets anders dan werkelijk 'signen' van pakketten, wat normaal gesproken garandeerd dat het pakket door de 'signer' gecompileerd is; dit is niet zonder meer te faken.
md5sum is een cryptografisch veilige checksum, hij is echter wel gevoelig voor de verjaardagsaanval. Indien je je checksum breed genoeg maakt, wordt een verjaardagsaanval ondoenlijk, en is hij veilig.
Het probleem zit er in dat de md5 sums op de ebuilds via hetzelfde kanaal versprijdt worden als de ebuilds zelf. Het is dus triviaal voor een hacker om een trojan in een ebuild te stoppen (in het script zelf, of door de source lokatie te veranderen) en gebruikers die te laten draaien.

gpg signatures hebben nog een andere beveiliging namelijk het feit dat ze zonder private sleutel niet the creeren zijn. Dit maakt het onmogelijk om een geldige ondertekening te creeren zonder private sleutel.
We zien nu een totale bedreiging voor alle OS sen en merken dat ongeacht de getroffen maatregelen alle besturingssystemen kwetsbaarheden hebben.

De verwijten aan Microsoft dat ze vanuit arrogantie hun systemen niet tijdig patchen moet je nu ook van toepassing verklaren op de Linuxwereld die de bedreiging door hackers te lang als vrijwel onmogelijk heeft gezien. Open source is ee prima initiatief maar ook daar lopen vreemde vogels rond met kwade bedoelingen.

De les die we hieruit leren is dat elk OS kwetsbaar is en aandacht verdient op het gebied van beveiliging en vooral zaken als Intrusion detection en intrusion prevention.
Systemen die als een schil om het OS specifiek voor dat soort zaken zijn geschreven lijken een redelijke, maar wederom niet totale, bescherming te bieden.

De vraag is dus of het mogelijk is een OS te bouwen waar dit soort logica standaard ingebouwd zit.
Waarbij de integriteit van de kernel gecontroleerd wordt en bewaakt door het OS zelf.
We zien nu een totale bedreiging voor alle OS sen en merken dat ongeacht de getroffen maatregelen alle besturingssystemen kwetsbaarheden hebben.
Oud nieuws. Linux is sterk op security gebied doordat men nooit de ilusie heeft gewekt dat het onkwetsbaar.
De verwijten aan Microsoft dat ze vanuit arrogantie hun systemen niet tijdig patchen moet je nu ook van toepassing verklaren op de Linuxwereld die de bedreiging door hackers te lang als vrijwel onmogelijk heeft gezien.
Doe je huiswerk. http://lwn.net/Articles/60948/
Samenvatting: De security-teams van meerdere Linuxdistributies hebben zich als 1 man op een inbraak bij Debian gestort. Het gevolg is dat we nu weten wat het lek is, en kan erger voorkomen worden. Patchen moet vanaf nu als de donder uitgevoerd worden. De teller is gestart op 2 december. Zullen we aftellen tot alle systemen gepatcht zijn.
De les die we hieruit leren is dat elk OS kwetsbaar is en aandacht verdient op het gebied van beveiliging en vooral zaken als Intrusion detection en intrusion prevention.
Systemen die als een schil om het OS specifiek voor dat soort zaken zijn geschreven lijken een redelijke, maar wederom niet totale, bescherming te bieden.
Nee, wij leren deze les niet, wij weten dit al.
De vraag is dus of het mogelijk is een OS te bouwen waar dit soort logica standaard ingebouwd zit.
Waarbij de integriteit van de kernel gecontroleerd wordt en bewaakt door het OS zelf.
Moeilijk. Het OS kan de beheerder niet verbieden bepaalde taken uit te voeren, zijn opdrachten moeten onvoorwaardelijk uitgevoerd worden. Het gevolg is dat je ook maar moeilijk kan bepalen wat nu een legitieme opdracht is en welke niet. Het belangrijkste blijft het voorkomen dat een ongeoorloofd gebruiker root wordt, omdat het OS een gewone gebruiker nu eenmaal niet onvoorwaardelijk hoeft te gehoorzamen.
De teller is gestart op 2 december. Zullen we aftellen tot alle systemen gepatcht zijn.
De teller is gestart op 22 september. En ondergetekende is sinds 23 oktober 'gepatched'.
Helaas, het lek was pas bekend op 2 december. Op 22 september is een big gefixt, welke toen nog niet als veiligheidslek gezien werd. Gezien men voor normale bugs niet patcht, en dat ook een zeer slecht idee zou zijn, dienen we pas vanaf 2 december te patchen.

Men dient in principe ook geen onafgewerkte kernels te installeren, de gefixte kernel kwam vorige week uit. Voor mij mag het de releasedatum van 2.4.23 ook nemen als startdatum, maar niet 22 september. Wie destijds al gepatcht was, had of een zeer goede reden om een onafgewerkte kernel te draaien, of hij was dom bezig.
Oud nieuws. Linux is sterk op security gebied doordat men nooit de illusie heeft gewekt dat het onkwetsbaar is.
Vertel dat de helft van de posters maar die hier regelmatig loopt te blaten dat een Linux-based OS zo veilig is.

Iets minder hoog van de toren blazen mag ook hoor :)
Dat valt wel mee hoor, het is meer een vooroordeel dat linux gebruikers blind zijn voor security problemen in linux, daarnaast: deze bug is voor zover ik begrijp alleen local, dwz dat je eerst met een gebruiker op het systeem moet inloggen en dat je dan pas de bug kunt gebruiken, dat is heel wat anders dan die RPC bug in nt.
Beter gezegd, Linux is erg veilig, en een reden daarvoor is dat men als basisbeginsel neemt dat men kwetsbaar is.
De vraag is dus of het mogelijk is een OS te bouwen waar dit soort logica standaard ingebouwd zit.
Waarbij de integriteit van de kernel gecontroleerd wordt en bewaakt door het OS zelf.
Daar hebben we http://www.lids.org/ voor. Er zijn nog wel andere projecten die soortgelijke doelen hebben. misschien vinden we dit ooit wel in de mainstream kernel terug.

Het initiatief van Microsoft op dit gebied (onder de naam Palladium, en ja ik weet dat het nu een andere naam heeft) gaat voor mijn gevoel veel te ver en geeft de macht niet aan het OS en de gebruikers, maar aan de software makers zelf. Dit is een heel foute ontwikkeling.
\[off-topic]
Ik ben eerlijk gezegd voor een deel wel blij dat Palladium de gebruiker minder macht geeft. Vooral als het gaat om de noob die z'n pc ongepatched, zonder firewall en virusscanner, aan het internet hangt en vervolgens als mailserver voor spammers of als zombie voor een DDOS wordt gebruikt. Of al die beheerders die na 6 maanden nog steeds niet de belangrijke patches hebben geinstalleerd. Dat soort mensen heeft in mijn ogen hun rechten op (een deel van) de macht over hun machines verspeeld. Helaas betekend dit dat de mensen die wel netjes blijven patchen ook (een deel van) hun macht verliezen, want als je dit als optie maakt zullen ook de bovengenoemde gebruikers/beheerders het uitzetten en verbeterd er nog niets.

En het is natuurlijk helemaal zwaar klote dat we daardoor ook moeten gaan betalen voor muziek, films en software :'(

De enige andere oplossing die ik kan bedenken is bepaalde patches wettelijk verplicht stellen en mensen die ze niet installeren een flinke boete/celstraf geven. Want zelfs al zal MS open-source gaan of dat iedereen stop MS software te gebruiken, dit soort onverantwoordelijke gebruikers zullen nooit uit zichzelf met deze praktijken stoppen.
\[/off-topic]
Ik ben eerlijk gezegd voor een deel wel blij dat Palladium de gebruiker minder macht geeft
Microsoft zal wel moeten, want dit is de enige manier om hun systeem via een omweg veiliger te krijgen: zie design flaws in the Win32 API Gezien de punten uit dat artikel, hadden ze beter van de desktop een optionele feature kunnen maken, maar nu is het daarvoor te laat.
Ik vind die een beetje paniekzaaierij, er wordt toch ook niet voor elke gekraakte windows server een bericht op tweakers geplaatst?

Deze attacks worden uitgevoerd op "publiek toegankelijke" servers waar de aanvaller al een account heeft (helaas betreffen dat veelal CVS servers en dergelijke).
Het gat in de kernel is nu duidelijk, en ook het feit dat Linux systeembeheerders ook lui kunnen zijn met updaten.

Trouwens wel dom dat Gentoo, bekend als een van de makkelijkst up-to-date te houden Linux distributies, ten prooi valt aan een oude kernel. Maar dat bewijst maar weer, ook met een Linux systeem is beveiliging een proces, niet iets dat je eenmalig installeert.

Mensen die jaren hebben 'gewacht' lijken dit nu aan te grijpen om Linux te bashen, erg kinderachtig.
Een korte vergelijking:

- 1 van de gentoo rsync servers is gehackt
- dit was een gedoneerde externe server
- in 1 uur is het gedetecteerd
- er zijn 20 personenen die met deze gehackte tree gesynct hebben.
- Er zijn meerdere rsync-mirros en download-mirrors, waarvan gedownload wordt (en dus checksums mee vergeleken worden)
- we weten niet eens welk OS die server draaide.
- de server had read-only toegang tot de main tree.

Iedereen vrraagt zich ineens af hoe onveilig Linux is. (en ik vind ook niet dat je daar teveel over moet opscheppen)

...hoe zal Microsoft dit vergaan als de Windows Update server gekraakt wordt? Ik vrees voor Microsoft dat ze best wel meer tijd kunnen steken in het aanmaken van meer barrieres zoals gentoo hier heeft..

ik hoop niet dat jullie dit opvatten als een troll, maar als een punt voor discussie.

relatief gezien vind ik dit nog best wel mee vallen.
Het is gewoon een gevoelige klap die uitgedeeld wordt, waar een hoop ruchtbaarheid aangegeven worden.

De procedures hoe te handelen bij dit soort situaties deugen prima, en het draaiboek wordt gewoon zoals het hoort afgewerkt. Belangrijk is goede voorlichting aan de gebruikers, wat helaas deze "zie je wel" discussie veroorzaakt. Dat neemt men op de koop toe, dit is ondergeschikt aan het belang dat de hele gemeenschap ingelicht wordt van het gevaar en actie onderneemt. Er is wat dit betreft niks mis met Linux.
Ik denk niet dat je kan zeggen dat gentoo onveilig is de server kan bepaalde software hebben gedraaid dat een backdoor in zich heeft hoeft niet direct in de gentoo software te zitten.

laten we maar wachten tot we weten waar het exact in zat...

veiligheid in linux en windows
beiden zijn niet waterdicht, wat het makkelijkste te hacken is word vakergehacked dus het is dus niet dat het ene beter is of minder fouten heeft

Arjan H.
Gentoo Gebruiker :*)
laten we maar wachten tot we weten waar het exact in zat...
Aangezien deze hackpoging erg lijkt op de geslaagde hack op de servers van Debian lijkt het erop dat het hier om dezelfde security exploit in de kernel betreft.

Maar het is inderdaad even afwachten. Ik hoop in ieder geval dat er verder nog geen andere gekke dingen worden gevonden. :(
Aangezien deze hackpoging erg lijkt op de geslaagde hack op de servers van Debian lijkt het erop dat het hier om dezelfde security exploit in de kernel betreft.
de server was remote ge-exploit. Dat is dus iets anders dan de hack van de debian servers, die locaal was uitgevoerd met een login-account.
Nee, het was het gebruik van 2 bugs. 1 in rsync om binnen te komen, en dan de debian bug om root te worden.
Die 10 miljoen steken ze liever in een marketing campagne die aantoont waarom Windows 2003 beter is dan Linux.
Dan ken jij Microsoft nog niet, ze hebben dit al eens eerder gedaan.
Gentoo was meer voor Xbox-Linux bedoeld of niet?

ken
Nee gentoo is gewoon een linux distrubutie zoals velen anderen. Het is er eentje voor de geduldige linuxfreaks onder ons :) Ik draai hem zelf ook maar ik zou iemand die linux wil proberen het niet aanraden. Niet omdat hij niet makkelijk werkt, want het is eigenlijk een leken linux, maar omdat je zo lang moet wachten totdat je apps er op staan omdat je bij gentoo al je apps laat compileren zodat ze specifiek voor jouw machine geschrikt zijn gemaakt en je moet de term rtfm kennen zoals eigenlijk bij alle linuxen :)

Gelukkig dat de server maar even gehacked is geweest. Want dan zullen er niet alteveel mensen hun portage tree hebben geupdate met een eventueel gehacked stukje code.
rtfm ...... even kijken... wat was de definitie ook al weer:

Het was "Read The Fantastic Manual" als de klant er naar vroeg en "Read The Fantastic Manual" als de klant je niet hoort en die weer is een gebruikersfout heeft gemaakt
:Y)
uhm niet dus, Gentoo is gewoon een normaal volwaardig linux systeem, alleen het is meer bedoeld voor gebruikers die maximale controle willen hebben over hun systeem. Vergelijk het een beetje met Debian en Slackware
In tijden dat Windows als "relatief" onveilig bekend staat, worden ineens de servers van verschillende distro's "gehacked". Debian, dÚ distro die bekend staat om z'n veiligheid, wordt aangevallen, en het project moet toegeven dat er inderdaad ingebroken is.

Meteen zie je reacties in de trant: "zie je wel, linux is net zo onveilig!" en "dit wordt geen linux meer op m'n volgende server".

Precies zoals Microsoft het hebben wil. Een mogelijkheid waarmee ik rekening houd is dat Microsoft best wel eens in de organisatie zou kunnen zitten van dit soort "hacks". Je brengt wat knappe koppen bij elkaar, gooit er 10mln budget tegenaan en stelt als doel: "breng linux een veiligheidsklap toe".
Tuurlijk heeft MS hier helemaal geen probleem mee. Welke multi-national niet? Maar geef mij eens ongelijk dat ze het WEL erg vinden dat het echt een trend begint te worden het hacken of soms cracken van al dat spul.

"Een mogelijkheid" Je begint je met een complottheorie bezig te houden. Jouw 'mogelijkheid' is onzin.

Ten 1e, dit hou je nooit 1, 2 decennia vol.

Ten 2e, een ontevreden iemand begint te praten en MS kan niks doen omdat dan de heleboel bevestigt word wat ze 'gedaan' hebben.

Ten 3e, denk maar niet dat dit gebeurt met toestemming van Bill Gates. Die man is programmeur in hart en nieren, een ICT-er in hart en nieren. Die doet dat niet, het zou zijn rijkdom (en dan bedoel ik niet zijn geld) een zure, wrange smaak geven me dunkt.
Precies zoals Microsoft het hebben wil. Een mogelijkheid waarmee ik rekening houd is dat Microsoft best wel eens in de organisatie zou kunnen zitten van dit soort "hacks". Je brengt wat knappe koppen bij elkaar, gooit er 10mln budget tegenaan en stelt als doel: "breng linux een veiligheidsklap toe".
Oftewel het 'evil plan' scenario. Maar even daarin meegaande. Dan moeten die clubs de beveiliging maar voor elkaar hebben. Drie grote hacks achter mekaar vind ik toch wel veel voor een OS waar altijd hoog van de toren wordt geroepen dat het allemaal zo mega veilig is. Tijd voor beide benen op de grond
Dan moeten die clubs de beveiliging maar voor elkaar hebben. Drie grote hacks achter mekaar vind ik toch wel veel voor een OS waar altijd hoog van de toren wordt geroepen dat het allemaal zo mega veilig is.
Ten eerste heeft Linus of een andere ontwikkelaar zover ik weet nog nooit beweerd dat Linux een mega veilig besturingssysteem is. Het enigste wat gezegd wordt is dat het een goed alternatief is voor besturingssystemen zoals Windows.

Daarnaast is het zo dat de fout in de kernel pas sinds kort bekend staat als security exploit.

Daarvoor stond deze bekend als bug en is ook enige tijd geleden als zodanig gefixed, en dus niet als security hole. Wellicht hadden de ontwikkelaars niet echt door wat er zou kunnen gebeuren als hier misbruik kan worden gemaakt en is dit ook niet echt wereldkundig gemaakt. Dat er een of andere blackhat rondloopt die blijkbaar goed changelogs kan lezen en aardig zijn weg naar binnen kan werken daar kunnen zij weinig aan doen ;)

Alle drie hacks hebben plaatsgevonden omdat men domweg nog niet een nieuwere kernel heeft geinstalleerd. Iets wat men sinds een paar dagen terug waarschijnlijk wel heeft gedaan.

Ik denk zelfs dat er wellicht nog wel een flink aantal berichten over andere gehackte machines zullen opduiken de komende dagen aangezien de kernel bug tot de Debian hack nog niet bekend stond als exploit. Men heeft dus alle tijd gehad om de fout te misbruiken, en dus om rootkits te installeren en andere rottigheid uit te halen.
Ten eerste heeft Linus of een andere ontwikkelaar zover ik weet nog nooit beweerd dat Linux een mega veilig besturingssysteem is. Het enigste wat gezegd wordt is dat het een goed alternatief is voor besturingssystemen zoals Windows.
Lees eens wat berichten op de frontpage of het forum en dan kom je genoeg voorbeelden tegen. Ik lees echt niks anders dan van dit soort verhalen.
Daarnaast is het zo dat de fout in de kernel pas sinds kort bekend staat als security exploit.

Daarvoor stond deze bekend als bug en is ook enige tijd geleden als zodanig gefixed, en dus niet als security hole. Wellicht hadden de ontwikkelaars niet echt door wat er zou kunnen gebeuren als hier misbruik kan worden gemaakt en is dit ook niet echt wereldkundig gemaakt.
Dat heet ook wel een verbeterpunt. Mijn indruk is dat dit nogal genegeerd wordt. Ik zie vooral reacties van oh wat heeft de open source gemeenschap snel gereageerd maar ik vind het nogal knullig.
Dat er een of andere blackhat rondloopt die blijkbaar goed changelogs kan lezen en aardig zijn weg naar binnen kan werken daar kunnen zij weinig aan doen
Dan moeten ze daar maar wel eens wat aan gaan doen.
Lees eens wat berichten op de frontpage of het forum en dan kom je genoeg voorbeelden tegen. Ik lees echt niks anders dan van dit soort verhalen
Die verhalen komen dan ook voornamelijk van blijkbaar tevreden Linux gebruikers ;)
Dan moeten ze daar maar wel eens wat aan gaan doen.
"there is no such thing as safe software", domweg omdat software door mensen geschreven wordt. Tenzij je een computer standalone in een kluis zet met meerdere veiligheidsmechanismes kun je er gewoon niet vanuit gaan dat dat ding dus veilig is.
"there is no such thing as safe software", domweg omdat software door mensen geschreven wordt. Tenzij je een computer standalone in een kluis zet met meerdere veiligheidsmechanismes kun je er gewoon niet vanuit gaan dat dat ding dus veilig is.
Dat is een leuk algemeen statement maar wat me vooral opvalt is dat ik voornamelijk reacties zie in de categorie 'niks aan de hand' terwijl het juist tot nadenken en daaropvolgende actie zou moeten leiden anders is het gewoon de volgende keer weer raak
Even doorgaan op het "evil plan" scenario.
Dan moeten die clubs de beveiliging maar voor elkaar hebben.
Klopt. Maar beveiliging valt met 'brute force' (geld / tijd / kennis) altijd te kraken. Als er dus veel geld tegenaan gesmeten wordt dan kun je (bijna) alles kraken, hoe goed het ook in elkaar steekt.

Van de "linux" wereld weet ik dat ze niet met deze insteek opereren, van Microsoft kan ik het niet inschatten.

Mijn theorie zal misschienl als 'troll' eindigen, maar ik heb het nog niet voorbij zien komen in de discussies.
Mijn theorie zal misschienl als 'troll' eindigen, maar ik heb het nog niet voorbij zien komen in de discussies.
Dat zou een beetje flauw zijn, discussie is discussie.
Ik denk niet dat ze het doen, stel dat het uitkomt, niet onmogelijk en dat zou een enorme PR schade geven. Geloof ik niet in.

Overigens is er vanuit de Open source gemeenschap wel degelijk geld betaald om MS producten te hacken, denk aan de XBox, wel even wat anders mischien maar toch een soort van stout :)
Een mogelijkheid waarmee ik rekening houd is dat Microsoft best wel eens in de organisatie zou kunnen zitten van dit soort "hacks".
Sure. En Bill Gates is stiekem de duivel.

Voel jij je wel helemaal lekker?
Je brengt wat knappe koppen bij elkaar, gooit er 10mln budget tegenaan en stelt als doel: "breng linux een veiligheidsklap toe".
Die 10 miljoen steken ze liever in een marketing campagne die aan IT managers aantoont waarom Windows 2003 beter is dan Linux. Daar hebben ze veel meer aan dan aan servers te hacken, als ze zoiets al zouden doen.
Draai een openbsd
De remote exploits zijn echter vrij miniem.
EN ja iedereen word wel eens gehacked. Ik vind nog steeds dat linux beter is dan windows maar dat zijn zo van die eindeloze discussies.
rsync draait ook op openbsd dus dat zou ook gehacked zijn. Daarnaast zijn we al blij dat de desbetreffende partij resources (processor en bandbreedte) beschikbaar stelt. Aangezien de server ook voor andere niet-gentoo dingen gebruikt wordt kunnen we verder weinig eisen stellen.
LOL
het is niet zo dat als rsync vulnerable is op linux dat ie daarom ook te hacken valt op een bsd

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True