Anywayz video sam problematicnu verziju koja je update-ovana pre par dana na arch mirrorima. OGROMNA GRESKA koju su napravili dev-ovi unrealircd-a je ta sto nisu periodicno proveravali checksum tarball-a, da je to ucinjeno - sve bi bilo otkriveno na vreme. Ovako je lik hakovao server, upload-ovao svoju "izmenjenu" verziju koju su ljudi kompajlirali i ukljucili u gentoo i arch repoe. Kao sto rekoh, da se proverio md5sum - ne bi bilo frke, videlo bi se da je po tarball-u tamperovano, cak mi nije jasno i kako nisu provalili timestamp (osim ako ga 'aker nije "doterao" i na fajlu i na serveru).

Samo da ne bude zabune, ovo nije VIRUS ili nesto slicno, ovo je exploit unutar samog programa koji je sheban upstream, ne moze da se siri sam od sebe ili slicno...

E, ali kad stavis ovakav naslov:

"Linux infection proves Windows malware monopoly is over"...

senzacija bato :)

Anyway, doticni paket ipak nije niti u core, niti u extra repo-u:

[srdjan@Zverko ~]$ yaourt unrealircd
1 community/unrealircd 3.2.8.1-3

Nista je nisam shvatio.. sta se desilo?
Zamjenjen je neki tar.gz nekog programa na sajtu onoga ko je napisao taj program?

Koliko sam ja skontao zamenjen je na hakovanim mirorima.

Pa u community repo-u arch-a je taj program.

Mirrori se sync-uju, tako da... :)

Vrlo moguce da su to vec ispravili, mogu da potrazim po arch bug, cek...

http://repos.archlinux.org/wsvn/community/?op=comp&compare[]=%2Funrealircd%2Ftrunk%2FPKGBUILD@14334&compare[]=%2Funrealircd%2Ftrunk%2FPKGBUILD@18710

Update-ovan je pre 3 dana a pre toga pre nekoliko meseci. Skinut je nov source ali je onaj stari bio zarazen - garant.

/edit: ma hakovan je glavni sajt a samim tim svi mirrori su se zeznuli :)

http://forums.unrealircd.com/viewtopic.php?t=6566

E sad ce da proveravaju source kao sto su trebali odavno...

Na moju srecu, nesto ne koristim IRC :)

Jeste za*eb, ali bar je ograniceno na user-e...

"access to execute commands as a user on the host..."

ma dobro, ne bi se ja sad nesto istresirao mnogo, ovo mi deluje na decije bolesti ulaska u mainstream

Evo i Dell je pun hvale Cak pise da je antivirus "unwarranted"
http://www.dell.com/content/to...;l=en&s=dhs&~ck=anavml

Mislim da je otvorenost koda kod Linux-a i aplikacija za njega ipak nesto
sto pravi ogromnu razliku kada je ta povezanost "ulaska u mainstream" sa kolicinom malvera u pitanju.

Uzmite, recimo samo "cenu" otkrivanja nekog malicioznog koda
kada imate pred sobom ceo source, i recimo otkrivanje takvog koda kod nekog DLL-a...

Hm, more ne svidja mi se to ni malo, prvo onaj adobe flash i acrobat reader bug koji je po prvi put i Linux affected (al ajde to je proprietary 3rd party sw), ali ovo NE SME da se dogadja. Pa covece oni nisu ni primetili timestamp da ne odgovara nekoliko meseci. Ovo je greska unrealircd dev-ova i maintainera, neko je vec trebao da primeti to. Mada meni bre nije jasno kako nisu primetili da md5 ne odgovara joooooj... A Windows advokati su ovo jedva docekali - i to sa punim pravom sad mogu da likuju, samo sto ce naravno ovo naduvati van proporcija.

Ocigledno da su "vrlo aktivno" radili na tom paketu - poslednjih 7 meseci.. :)

Ma dobro, mozda imaju git repo gde idu patchevi itd, ali ej da ti hostujes fajl 7 meseci i da ne primetis da ti je timestamp i md5 drugaciji - to je mislim ono - idiotizam. Ponavljam ovo ovoliko zato sto cudu ne mogu da se nacudim :(

Anywayz ovo nije nista novo - teorijski je i pre bilo svakako moguce, mada to i ne mora da bude losa stvar. Sad ce se valjda svi malo dotegnuti sto se toga tice i pratiti integritet svojih arhiva...

Jeste senzacija, i u pitanju je klasičan malware... Ono što je zastrašujuće je da korisnik nije kliknuo na "big_tits_and_free_taco.exe", već je malware pokupio kroz oficijalne kanale...

Ko zna koliko malware-a tu već postoji, i isti je moguće sakriti i u sam source bez da to iko provali... Bilo je i par tema ovde na ES-u o tome, a i viđao sam par studija gde se prezentovalo kako se malware kod može sakriti unutar sourace-a bez da iko išta posumnja... Tako da ni ti hashovi ni sam source nisu bog zna kakva zaštita...

Oh yes they are, nece developer sam da ugradi backdoor u svoj software, u stvari moze - al' bi nagrabusio samo tako + sto bi takav projekat bio mizerno koriscen u samom startu.

Ma jeste za*eb, ali "Windows malware monopoly is over"... :)

Kako mislis da u source kodu sakrijes malware? Jedino ako podrazumevas
da neko ne zna da cita source kod, pa da nesto ne vidi, to je durga stvar.

Jel moze neki link na ovu temu - "a i viđao sam par studija gde se prezentovalo kako se malware kod može sakriti unutar sourace-a bez da iko išta posumnja"?

Nije mi jasno kako moze nesto da se "sakrije" u source-u.

Lol, i sad - kao niko ne zna sta je unrealircd. :)

U pitanju je jedan od najzastupljenijih IRC servera. Unreal je jedinstven po svojoj fleksibilnosti i mogucnosti kastomiziranja. Po performansama ne predstavlja perjanicu ircd-ova, pa ga i ne koriste na najvecim svetskim IRC mrezama, ali je svakako najlaksi za instalaciju i prilagodjavanje zbog cega ima najveci broj instalacija medju 'malim' korisnicima.

Posto je IRC bio (a i bice u doglednoj buducnosti) centralni brlog underground kulture, ovo je sigurno bilo dokazivanje neke `akeraske grupe. Kao sto je podlegao linux, pao bi i bilo koji drugi os..

Meni je jedino zao glavnog maintainer-a, coveka koji je par godina razvio artritis na levoj ruci i uprkos operativnim zahvatima nije uspeo da se oporavi, te tako da sa velikom fizickom mukom dodaje feature i ispravlja bug-ove. Zbog ovog problema vecina vlasnika srednjih i malih IRC mreza razmatra alternative..

Slucajno ili ne, isti ovaj server opsluzuje i nasu najvecu IRC mrezu - Krstaricu :)

Pa dobro, postavlja se pitanje koliko je ovaj malware bio poznat u underground 'akeraskim :D krugovima - tj koliko je zaista iskoriscen ovaj trojanac.

Naravno da moze... pogotovo u standardnom C++ gde bih mogao da pisem traktate o rezoluciji imena preklopljenih funkcija. Ovaj proces je iznenadjujuce (i iritantno) slozen..

Otvorenost sorsa, ne znaci da postoji znacajan broj ljudi koji ga citaju (ili uopste razumeju), vec da je lakse testirati softver... preporucujem Erika Rejmonda ("Cathedral and Bazaar") za bolje razumevanje Open Source razvoja... u svakom slucaju ovo nije obican malware.



Zabluda..



Vazi i obrnuto - pronalazenje ranjivosti koja ce omoguciti eksploatisanje sistema je takodje laksa kad imas pred sobom source, nego kod zatvorene binarne deljene biblioteke.

Prednost open source-a je u procesu, tj. nacinu razvoja.. ne u tome sto ce kao svako da chita kod..



Odrediti listu fajlova za koje treba vrsiti detekciju izmena je "pain in the ass". Odrzavati tu listu je jos gora muka, pogotovo ako site ima iole znacajnu dinamiku. Tripwire softer postoji skoro 30 godina, ali se retko koristi...

Osim toga, ovo ne samo da je bilo teorijski moguce i pre nego se radilo odavno.. naslo na ES je prosto senzacija koju je neki novinar pogresno povezao sa windows malware-om. Takodje verovati da ce se "svi malo dotegnuti" je zabluda :) Ja bih se pre kladio na ljudsku glupost i nemar...

Ja ne vidim sta je ovdje problem Linuxa.
Ovo je najobicnija glupost i nemar devsa. Ako sam ja dobro shvatio citavu pricu.

pa da, Linux je samo kernel ;)

Lol, pa dovoljno sto je znao onaj ko ga je postavio. Uz pomoc 'irc search'-a, mogao je da nadje gotovo sve znacajne instalacije i da se okoristi..

https://www.kernel.org/diff/di...6/testing/patch-2.6.35-rc3.bz2

Vidis kako lepo pise sta je izmenjeno, kada itd.

A ne mislim da je zabluda da dev-ovi nece sabotirati sopstveni projekat, mislim smesno... Moze da se dogodi da neki lik u svoj calculator koji je kao projekat za ucenje rokne i neki malware, samo sto je zgodnije to uciniti sa software-om koji treba da trci sa administratorskim privilegijama - mada danas, clanovi linux zajednice i ne gledaju bas kom parcetu software-a daju admin privilegije :( Sudo i cepaj :(

@Tyler - Exactly

Pa ni Microsoft nije kriv što mu korisnici otvaraju "big_tits_and_free_taco.exe", pa opet svi pljuju windows kao virusi, malware, ovo ono...

Linux je do skora imao tu sreću u nesreći da ima mizeran postotak tržišta pa nikoga nije ni zanimalo da piše malware za isti, ali koliko vidimo napisati malware za linux je još lakše nego na windowsu... Ne treba da imaš glupog korisnika, već možeš da inficiraš direktno oficijalni centar za distribuciju...

Bas tako, sa stanovista malware-a, "average windows user + windows" su daleko rizicniji od "average linux user + linux". Nazalost u ovoj relaciji linux i windows su zanemarljivi...



Pa zapravo je najverovatnije nemar admin-a mirrora sa koga se skidaju paketi.

Tako da pretpostavljam da project dev = admin servera sa koga se skida source. Mirrori se sync-uju automatski - a zarazeni fajl je mogao da se skine direktno sa glavnog http/ftp-a tako da pretpostavljam da je upravo on i hakovan. Da je mirror u pitanju - zarazeni fajl bi se prebrisao sam posle nekog vremena. I guess...

Linux infection proves Windows market monopoly is over! :)

Sam naslov ove teme je najobičniji FUD!

TO Slackware-ovac :D

Ne vidim po cemu je FUD, jeste senzacionalistiki ali nije FUD. Sasvim sigurno nije veci od tvrdnje da je windows siguronosna rupa.

Jbg, ne mozete racunati da nista ne krene naopako narocito kad ne postoji "komandna odgovornost" na periferiji. Clanak je sasvim siguran u jednoj stvari, kako se linuxu bude desavao narod bice i veceg interesa da se traze rupe da bi se korisnici oslobodili svojih SSN i CC brojeva Da li ce patching sistem na linuxu biti bolji ili gorin od windowsovog pokazace praksa.


Ono, bolje da se ovo pokazalo SADA kad je impact manji nego da se desilo kasnije kad Linux bude imao veci deo desktop trzista. Pitanje je samo da li ce linux komuna nesto nauciti iz ovoga.

@ventura: i ja bih voleo da cujem nesto vise o tehnikama skrivanja malware-a u kodu

Stolmnova definicija izvornog koda (nekog rada) je najpodesniji oblik za njegovo menjanje. Znači, ako pišeš nerazumljivo, to nije izvorni kod.

Ti mozes da pises nerazumljivo samo do one mere
do koje ce kod i dalje biti ispravan za kompajler, a
onaj ko zna da cita kod procitace ga koliko god da je
traljavo napisan, namerno ili ne.

Da,ali ce onda morati da se zaposle ljudi koji ce da sede i da citaju stotine hiljada linija koda da bi nasli malware.

Pa i taj deo koda koji bi sadrzao neku sigurnosnu rupetinu bi se tesko pronasao na prvi pogled, utnes neki header koji lici na neki vec postojeci i pozoves funkciju koja je onako neupadljiva i sa nekim logicnim imenom i zamaskiras to tako da neko ko letimicno pregleda kod (a nije dev na samom projektu) ne bi provalio nikad :)

ma jasno, masta je granica, ali sam ja shvatio da postoji tehnika da se uradi tako nesto, a da se hash poredjenjem to ne otkrije... o tome bih voleo da cujem malo vise...

Slazem se sa Venturom oko ocene problematicnosti ovoga sto se desilo. Ekvivalent ovom blamu bi bio da Windows Update servira malware... kakav bi to hit bio :-)

Dakle, blamcina je prilicno velika - a videce se kolika je steta.



Otvorenost koda nije nikakva garancija da ce uopste neko da procita taj deo koda za pocetak.

Ne postoji adekvatna zamena za placeni security review i strogo pridrzavanje opstih normi o kvalitetu pisanog koda.

Zapravo, oslanjanje na neku virtuelnu "komunu" koja ce magicno resiti neki problem je vrlo opasno - jer niko uopste ne garantuje da ce ta "komuna" uopste resiti neki problem, niti da "komuna" uopste i trosi svoje vreme na neku konkretnu f-ju.

Mislim, takva vrsta "garancije" je kao da unajmis beskonacnu kolicinu majmuna sa beskonacnim brojem pisacih masina da napisu neki roman... moras im dati i beskonacno vremena, onda :)

Koliko se ja secam, ako imas beskonacno vremena, sasvim ti je dovoljno i konacno mnogo majmuna (svaki sa pisacom, naravno).

Takodje, ovo jeste nemar. Sve dalje ostaje da se vidi... Jedan dogadjan nije pravilo. Da ce biti vise pokusaja i truda - hoce. Videcemo kako ce ici dalje :D.

Zbog ovakvih stvari bih se ja drzao RHEL-a za bilo sta ozbiljno a zahteva Linux (ili CentOS-a ako se nema kinte)

Nije bleeding edge, ali bar znas da na tome rade ljudi koji su placeni da distro bude pouzdan i da im nije cilj da sto pre nabiju sto vise "latest and greatest" paketa.

Offtopic: Nemojte ovu blamcinu da propustite...
Edit - ozbiljniji clanak

_{[Ovu poruku je menjao Cartman dana 15.06.2010. u 20:15 GMT+1]}

http://www.tomshardware.com/ne...untu-Linux-Security,10655.html

AHA !!! xD

Ja vec okacih link na dellovu stranicu koja je predmet ovoga :)

Ona tvoja je pisala da je unsupported :D Verovatno je unsupported zato sto nema malware-a za Linux. Kako bese naziv ove teme ? :D

ovde

ovde vidim da se za Windows ne isporucuje O. Office, niti GIMP, takodje antivirus extra cost, zasto? Ima besplatnih rade posao, koliko i komercijalni - manje vise ;-)

Jbt I'm blind :) Sry mmx, my mistake.

Nisi jedini - zato se vecina nas drzi istog. :D

Niti veći dio te "komune" zna implementirati tehnike i procese sigurnog programiranja.

Omg... a otkud znas da li su buffer overflow-ovi ili u slucaju web aplikacija npr. sql injection-i napravljeni nepaznjom programera ili namerno ? I jedno i drugo je kritican sigurnosni propust od kojih pati ogroman broj sto komercijalnih sto opensource aplikacija. To su greske za koje patchevi izlaze svakodnevno...





Windows ima toliko bogatu istoriju sigurnosnih problema, da vise nema nacina da se izblamiraju. Vec se X puta digla prasina u sigurnosnim krugovima da MS namerno ne krpi propuste dovoljno brzo.



Steta? Salis se, pa unreal sluzi za zamajavanje tinejdzera.. lol



"Sigurnosni review" je non-sense. Nikakva treca firma nece obezbediti "sigurnost" softvera. Siguran softver se stvara kroz siguran PROCES razvoja. Dakle jedini nacin da se obezbedi kvalitet softvera je testiranje u svim fazama. Metodologija testiranja ima koliko ti dusha ishte: unit testovi, testovi funkcionalnih tacaka, strukturalni testovi, sistemski testovi, staticke analize koda, regresivni testovi, behaviroal testovi, acceptance testovi, code review-ovi, itd..



Opensource razvoj donosi vrlo opipljive rezultate i to nije "magicna" komuna koja radi code review za tebe...



_{[Ovu poruku je menjao vlada_vlada dana 16.06.2010. u 10:04 GMT+1]}

Morao bih da se slozim sa vecinom ovih primedbi. Placeni security reviews su bacanje para za koje dobijes "to the best of our assertion" dokument sa 20% analitickog materijala i 80% disclaimera. Realno, ovo je prilicno novi izazov za linux komunu i iskreno ne ocekujem da ista pukne zbog ovoga. Ako nista drugo ne upali sami distroi ce poceti bolje da filtriraju sta se unosi u sistem, sa druge strane za esencijalne sisteme bice pritisak da se ekipe zamene ozbiljnijima ili da im se kontrola oduzme kroz neki fork, sto je opet vise opcija nego sto imas sa nekim delom proprietary sistema. I sa stanovista nbeke globalne sigurnosti je bolje ovako, bar nikad nece postojati LGA (Linux Genuine Advatage) koji ce blokirati security update neplatisama

IMHO, ovo ce sigurno drmnuti malo upstream dev-ove, iako se znalo da je ovako nesto moguce - ocigledno su se malo ususkali. Resenje ovog problema je jednostavno, redovna provera hasha i zdravo djaci.



Filtriranje floss projekata nikada nece zaziveti, makar ne u nekoj siroj varijanti (specijalizovani distroi naravno, to su do sad i radili). A i ne znam po kom principu bi se odlucivalo koji bi se projekat forkovao ako ne zadovoljava kriterijume, mislim to moze i sad svako da uradi ako zeli. Ja ne verujem da ce ovo ista promeniti. Ovo je bio potreban samar u lice floss zajednici - bolje sada nego kasnije :)

Ne postoji "linux komuna" kao neki inteligentan entitet koji bi se uzbudio oko ovoga. Nema tu ni linije komandne odgovornosti. Niti centralizovane organizacije, ni periferije. Nemaju svoje advokate ili PR-ove koji ce izaci da se bore za njih... linux je softverski eko-sistem gde desetine hiljada projekata prolazi kroz razlicte faze svojih zivotnih ciklusa.. dugorocno, prezivljavaju najbolji i to je to..

bilo koji sistem za staticku analizu koda bi vristao na ovo , trivijalno je detektovati ovaj slucaj,
http://seclists.org/fulldisclosure/2010/Jun/284
nisu se cak ni potrudili da sakriju backdoor :)