безопасность

Грег Кроа-Хартман в рассылке LKML, выложил письмо адресованное разработчикам имевших доступ к kernel.org, с советами и полным описанием шагов касающихся способов обнаружить взлом своей рабочей системы.

Советы охватывают описание вариантов используемых средств для поиска руткитов в системе, проверку пакетной базы и сигнатур для подписи пакетов.

Кроме того, в LKLML также написал Питер Энвин, где он просит разработчиков пересоздать новые ключи для доступа к репозиториям проекта. Старые ключи ранее использовавшиеся для подписей будут отозваны.

Скорее всего, связано это с запланированным скорым запуском инфраструктуры kernel.org в работу после восстановления и проверки, дабы избежать повторения ситуации.

Недавно вышел в свет дистрибутив Linux Portable Security, развиваемый специалистами минобороны США.

Дистрибутив предназначен для тех людей, которые хотят работать в Сети без риска подхватить вирус или троян.

В этом релизе были добавлены новые драйверы, обновлено ПО и корневые сертификаты используемые DOD. Полная версия дистрибутива, в котором есть OpenOffice.org и Acrobat Reader занимает 316 мегабайт.

Мы уже писали некоторое время назад о том ,что инфраструктура проекта kernel.org была взломана. С тех пор сайт был не доступен, а на заглавной странице проекта висело объявление, что сайт временно отключен для проведения техработ.

В рассылке разработчиков Linux появилось письмо Питера Энвина (Peter Anvin), в котором он рассказывает, что же всё-таки было проделано с момента обнаружения факта взлома.

Согласно информации выложенной в письме, работа по переделке инфраструктуры идёт полным ходом. Как сообщает Питер, новая инфраструктура проекта будет лишена какого бы то ни было доступа к командной оболочке сервера, а доступ к репозторию будет рализован через веб-интерфейс с использованием gitolite.

Сам же gitolite планируется немного доработать для нужд разработчиков ядра, дабы они могли применять скрипты необходимые для работы над ядром, поскольку нынешнее устройство gitolite этого делать не позволяет.

Доступ к серверу будет осуществляться с помощью ssh-ключей, выдаваемых разработчикам уполномоченными лицами. Что касается восстановления полноценной работы проекта, то первые подвижки запланированы на следующую неделю, а к началу октября проект должен полностью вернуться в строй.

Спустя девять месяцев после выхода предыдущей версии, была выпущена новая версия системы контроля за доступом к сети.

Список изменений весьма серьёзен, но основные изменения касаются поддержки оборудования, а также поддержки способов авторизации клиентов.

Итак, что нового:

• Добавлена поддержка нового оборудования, среди которого:
  * Avaya Wireless Controller;
  * Dlink DWL Access-Point;
  * Для LG-Ericsson iPecs 4500 была реализована защита по кокретным портам, а также авторизация с помощью 802.1x;
  * Была добавлена авторизация на порту для серии оборудования Netgear FGS;
• Был сильно улучшен механизм перехвата http-соединений используемых для авторизации через веб-интерфейс. страница используемая для авторизации клентов стала более современной и конфигурируемой для нужд конкретных пользователей. В частности, страницу авторизации стало возиможным перевести на нуждный язык или поместить туда свой логотип компании;
• Увеличено удобство конфигурирования веб-интерфейса для аворизации клентов со стороны системных администраторов так и пользователей;
• Добавлена возможность просмотра журналов через веб-интерфейс;
• Добавлена поддержка RedHat Enterprise Linux 6 / CentOS 6;
• Добавлена поддержка Snort 2.9.x;
• Добавлена поддержка управления за полосой пропускания с использованием протокола RADIUS;
• Реализована возможность копирования конфигурационных файлов отвечающих за настройки фаерволла на отдельный сервер;
• Добавлены "отпечатки" позволяющие определить версию операционной системы и оборудования Mac OS X Lion, Fedora 14, Polycom, Aastra, LifeSize, Nortel, оборудование для проведения конференций Polycom и
  Snom, Ubuntu 11.04, роутеры Belkin Wireless, свитчи HP
  ProCurve, ОС Android, Zebra, Kyocera, прентеры HP и Xerox, проекторы NEC, оборудование для видеокнференций Polycom Video Conferencing и модулей Paradox Card Access;
• Добавлено множество новых функций отвечающих за управление гостевыми учётными записями;
• Упрощена настройка системы в целом, а также некоторых её модулей, вроде встроенного веб-сервера Apache;
• Переписаны скрипты отвечающие за первичную установку и настройку системы;
• Исправлены накопившиеся ошибки связанные с поддержкой оборудования Cisco, установкой системы и многое другое;

Список далеко не полон, так что за подробностями следует обращаться к странице анонса, либо чейнджлогу.

Обновился весьма известный и популярный анализатор сетевых протоколов Wireshark.

В этом выпуске исправлено свыше 30 ошибок, закрыто 5 уязвимостей, а также обновлена поддержка ряда сетевых протоколов.

Нововведений нет, релиз направлен только на исправление ошибок.

История с поддельными сертификатами DigiNotar, про которую написало множество сайтов посвящённых инфобезу, продолжает развиваться.

Спустя всего неделю после выхода срочного обновления браузера Firefox, вышло новое. Текущее обновление браузеров Firefox шестой и третьей веток, связано с отзывом сертификата для сайта правительства Нидерландов.

Проект OpenSSH в особых представленях не нуждается. Любой системный администратор или пользователей Linux/UNIX с ним сталкивался.

Вчера вышла новая версия реализации клиента и сервера для работы по защищённому протоколу SSH.

Изменений много, как водится. Вот наиболее интересные из них:

• Появление нового режима для "песочницы" под названием "UsePrivilegeSeparation=sandbox". Предназначен для организации мандатного доступа к коду вызываемого на стадии находящейся непосредственно перед аутентификацией, работающего с использованием системного вызова privsep. Доступно три его реализации с использованием systrace, seatbelt и rlimit, которые используются в зависимости от имеющейся платформы;
• Добавлены новые HMAC-режимы с использованием хэша SHA256 предназначенных для проверки целостности;
• ssh теперь предупреждает об отказе в форвардинге X11;
• Опция AuthorizedKeysFile в конфигурационном файле sshd_config теперь позволяет указывать несколько путей разделённых пробелами, где могут находиться ключи доступа;
• Опция Host теперь поддерживает проверку на совпадение с заданным хостом с использованием операции отрицания;
• Команда ssh-add теперь поддерживает стандартный ввод с использованием каналов для указания пути расположения ключей. Т.е. теперь стало можно использовать конструкции вида "ssh-add - < /path/to/key";
• В ssh-keygen добавлена опция "-A", позволяющая автоматическим образом добавлять недостающие ключи с указанием парметров по умолчанию и пустым паролем.;
• Реализована возможность приёма мультиплексированных соединений без обрыва уже имеющихся;

Помимо нововведений, исправлено множество ошибок, устранены проблемы со сборкой, поправлены .speс файлы для сборки rpm-пакетов;

Что-то в последнее время много дистрибутивов стало выходить, связанных так или иначе с безопасностью и ИТ-криминалистикой.

BackBox Linux - основанный на кодовой базе Ubuntu дистрибутив с набором всевозможных инструментов и набором для пентестов.

Согласно анонсу, дистрибутив в сравнении с предыдущей версией стал гораздо быстрее загружаться, а также добавились новые инструменты предназначенные для анализа VoIP-трафика, проверки на уязвимости и ИТ-криминалистов.

Поддерживаются архитектуры x86 и x86_64.

Открытая, кроссплатформенная программа для шифрования данных "на лету" обновилась до версии 7.1.

Что нового:

• Добавлена поддержка 32-х и 64-х разрядных версий MacOS 10.7 "lion";
• Исправление ошибок и мелкие улучшения в версиях для Linux, MacOS и Windows;

На сайте kernel.org висит сообщение о том, что инфраструктура проекта была взломана.

Как гласит сообщение, был взломан один из серверов под названием Hera и к нему был получен root-доступ. Каким образом это было сделано - пока неизвестно, но расследование инцидиента продолжается.на этом сервере были изменены файлы отвечавшие за доступ по протоколу ssh, а таке добавлен троян запускавшийся вместе с системой. Кроме того, троян пытался проверять наличие Xnest на компьютере логинящегося пользователя и если он его не обнаруживал, то выдавал ошибку. Зачем ему это требовалось - пока неясно тоже, поэтому всем разработчикам ядра, кто не пользуется Xnest, просьба проверить логи и целостность файлов.

Из хороших новостей - исходники Linux не пострадали, никаких изменений не было сделано, благодаря крайне жёсткой проверке входящих коммитов и уже имеющихся тарболлов, но на всякий случай проводится дополнительная проверка. Само собой, производится переустановка операционной системы, которая подверглась взлому.