434 meneos
2850 clics
La web de Linux Mint ha sido hackeada y las ISOs tienen puertas traseras
[c&p] Las malas noticias han sido anunciadas hoy en la página oficial del proyecto; aparentemente los hackers consiguieron control de sus servidores durante un tiempo limitado, en el que pudieron sustituir las imágenes ISO para instalar Linux Mint con sus propias versiones con puertas traseras. Se calcula que un pequeño número de usuarios se han descargado una versión de Linux Mint modificada de tal manera que un atacante podría acceder a su sistema sin necesidad de identificarse a través de la red, lo que se conoce como una “puerta trasera”.
|
comentarios cerrados
Sigo diciendo lo mismo.
Cada día da más asco tener cualquier servicio online.
Cada día hay más hijos de puta organizados para sacarle los cuartos a la gente.
Es bestial el número de ataques automatizados que se reciben en un servidor de donnadies como yo.
En sitios como ese ya ni os cuento.
Hay días que dan ganas de parar todos los VPS y mandarlo a la mierda.
Es la misma sensación de abrir la puerta de tu casa para salir a la calle y de cada diez veces que abres, en siete descubres un tio hurgando en la cerradura.
Claro claro... pequeño.
Ni idea acerca del número de descargas, aunque han sido muy rápidos corrigiendo y advirtiendo.
En fin, espero que se puedan recuperar, entre los problemas de perdida de datos que han tenido y esto están apañados
Sigo diciendo lo mismo.
Cada día da más asco tener cualquier servicio online.
Cada día hay más hijos de puta organizados para sacarle los cuartos a la gente.
Es bestial el número de ataques automatizados que se reciben en un servidor de donnadies como yo.
En sitios como ese ya ni os cuento.
Hay días que dan ganas de parar todos los VPS y mandarlo a la mierda.
Es la misma sensación de abrir la puerta de tu casa para salir a la calle y de cada diez veces que abres, en siete descubres un tio hurgando en la cerradura.
www.openbsd.org
Si tienes una Intel o Radeon estás de suerte.
"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition. If you downloaded another release or another edition, this does not affect you. If you downloaded via torrents or via a direct HTTP link, this doesn’t affect you either. Finally, the situation happened today, so it should only impact people who downloaded this edition on February 20th."
Por otro lado lo de que Mint es la minoritaria... distrowatch.com/index.php?dataspan=2015 , abajo derecha. Linux Mint la primera ...
Vamos, como comparar el numero de usuarios de automovil y globo aerostatico.
www.muycomputer.com/2015/12/30/microsoft-almacena-claves-cifrado-usuar
How to check if your ISO is compromised?
If you still have the ISO file, check its MD5 signature with the command “md5sum yourfile.iso” (where yourfile.iso is the name of the ISO).
The valid signatures are below:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
1. Solo es en caso de encriptación de disco y usando el software de microsoft (que no suele ser el caso por cierto...).
2. Las ediciones Profesional y Enterprise permiten elegir no hacerlo...
Una puerta trasera es otra cosa...
Estaba por actualizar a Rosa desde Rafaela, pero he estado procrastinando y al final decidí que lo haría después de renovar mi PC.
Mira en distrowatch
¡Tienen mi apoyo!
El sistema claramente está hecho para que ellos tengan esas claves. Y ya sería el colmo, que también secuestraran claves de otros sistemas de encriptación.
Yo he dejado de discutir por eso, incluso de intentar evangelizar, cada cual que utilice lo que más le guste o lo que mejor le venga. Que te gusta más Win, pues hala! Que te gusta más Linux, pues hala!
Los que llevamos años usando Linux ya conocemos de sobra sus ventajas e inconvenientes y nos nos van a convencer de lo contrario. Los que quieran seguir con Win sin probar otra cosa, lo respeto. Ya somos mayorcitos y cada uno cargará con las consecuencias de sus decisiones, para bien o para mal.
Y el que le sobre la pasta y le guste OSX pues fenomenal para él.
Para gustos los colores!
Bueno ahí dejo esa idea, por si alguien busca un proyecto de startup.
Al final ocurre algo muy parecido a lo que ocurre con las democracias, que en ciertos aspectos se parecen mucho a dictaduras pero guardando muchísimo más las formas.
Ahora no te ponen "puertas traseras" según la definición, simplemente son "features" optativos.
#16 #24 #29 Vale, craso error, no suelo mirar la popularidad de las distros, habré entrado en distrowatch una vez. Cuando la usaba, la verdad es que hace mucho, no la conocía ni dios.
Creo que consiguen más zombies si hackean Win10 y lo distribuyen por torrents.
Por lo general (y me refiero a si hacemos una media) los usuarios de Linux son usuarios más avanzado y están mejor informados. Tras hacerse público el ataque pocos permanecerán ignorantes, y la gran mayoría de afectados ya habrá solucionado su problema. Por el contrario, si lo hacen con Win10 seguro que una proporción mayor ni se entera.
Por supuesto que ser hackeados y perderlas también es un problema.
-> Microsoft has already backdoored its disk encryption. Explicado. Es optativo en las versiones donde se usa. No me gusta porque no considero a MS un fortín pero no es una backdoor.
-> Microsoft Windows has a universal back door through which any change whatsoever can be imposed on the users. -> En el link se refiere a que pueden hacer updates sin permiso de usuario. Mal pero vamos, no catastrofico.
-> Windows 8 also has a back door for remotely deleting apps. -> y? El sistema operativo puede borrar una aplicación que considere maliciosa. Que se puede abusar? Si. Por cierto, nada nuevo bajo el sol... (Amazon ha borrado libros alguna vez por problemas de licencia).
Que son cosas "peligrosas"? Si. Pero es que el Sistema operativo en red lo es... Backdoor en el sentido habitual (lo que le ha pasado a Linux Mint) es otra cosa.
En teoría eso se puede hacer, firmar las ISO o cualquier archivo, como se hace en los repos con PGP ahora ya, o windows update con las actualizaciones, etc.. se podría implementar eso mismo en los gestores de descargas de los navegadores, una comprobación de firmas y ya, tampoco hace falta inventar mucho, la tecnología está ahí.
No se trata de cuestión de sistemas más o menos seguros. Se trata de que ahora se ataca a todo el que salga a internet con algún puerto abierto para dar servicio, que por mucha seguridad que pongas, el gasto de recursos del sistema a frenar todos estos ataques es importante.
En mi caso la distribución que uso lo hace y si voy al servidor de claves puedo comprobar que la clave además de tener el mismo nombre y firma que me dan en la web está firmada por varios miembros del equipo de desarrollo, y esta última parte un atacante no la puede replicar fácilmente.
El uso normal, incluso con gestor de referencias o ficheros compartidos, funciona perfectamente.
El tema de ecuaciones se come a msoffice.
El tema de visionosequé...pos vale pos tendréis razón o algo
c/c: #13 #23 si tenéis respuesta os lo agradecería
P.D: no se si se nota pero estoy bastante pegado y un poco acojonado porque hice la actualización de la versión de mint ayer
De todos modos no parece muy actualizado y parece haber cierto desprecio a Docker desde los distintos sabores de BSD por ignorar la existencia de otros sistemas no basados en Linux. www.boycottdocker.org/
Es todo un orgullo observar como un sistema sin dueños con un fallo, se auto corrige y se comunica ampliamente sin tapujos y con todo lujo de detalles.
Así que más que owned, es un well done guys!
Yo tengo una empresa de servicios informáticos "profesionales" en el área de sistemas.
Toda la documentación es generada con LibreOffice.
¿Está usted insinuando que no somos profesionales?
EPIC FAIL!!
En cuanto a lo de que los paquetes .deb como dice #85 tampoco sería muy útil en este caso, porque si meten un backdoor en las isos, ya puestos pueden meter las claves pgp de su propio servidor mirror de updates, con su keyserver propio y ya está, todo firmado y correcto y tu jamás te enterarás que pasa algo raro.
Yo hablaba de que de poner un sistema tipo PGP o SSL o similar, tiene que ser algo integrado en el navegador, como ya se hace hoy en día con SSL para el 90% de las webs. O se protege todo por defecto con SSL y pista.
Edit: en resumen, lo que quiero decir es que guay, mola implementar métodos seguros que podamos usar cuatro, pero cuando haces una distro destinada al público general no puedes pedirle que adquiera mágicamente conocimientos sobre criptografía para comprobar blabla tiene que ser algo más inmediato y automático
#66 Ya. Lo han dicho cuatro personas antes que tú y además he reconocido mi error. Suele estar bien leer los comentarios antes de comentar.
#79 Lo mismo que el anterior, sólo que encima con tonito gilipollas. Forocoches al fondo a la izquierda.
#58 Eso es. Siempre pensé que Ubuntu era la más extendida, sin tener en cuenta a Mint como una versión de Ubuntu a la hora de contar.
" pero en un servidor de producción todo son dolores de cabeza en torno a la seguridad."
Cortafuegos. BSD permite bloquear todo eso cargándote todo intento y más.
man pf.