Tecnología, Internet y juegos
434 meneos
2850 clics
La web de Linux Mint ha sido hackeada y las ISOs tienen puertas traseras

La web de Linux Mint ha sido hackeada y las ISOs tienen puertas traseras

[c&p] Las malas noticias han sido anunciadas hoy en la página oficial del proyecto; aparentemente los hackers consiguieron control de sus servidores durante un tiempo limitado, en el que pudieron sustituir las imágenes ISO para instalar Linux Mint con sus propias versiones con puertas traseras. Se calcula que un pequeño número de usuarios se han descargado una versión de Linux Mint modificada de tal manera que un atacante podría acceder a su sistema sin necesidad de identificarse a través de la red, lo que se conoce como una “puerta trasera”.

| etiquetas: web , linux mint , isos , seguridad
206 228 0 K 522
206 228 0 K 522
Comentarios destacados:                                  
#8 :-S

Sigo diciendo lo mismo.
Cada día da más asco tener cualquier servicio online.
Cada día hay más hijos de puta organizados para sacarle los cuartos a la gente.
Es bestial el número de ataques automatizados que se reciben en un servidor de donnadies como yo.
En sitios como ese ya ni os cuento.

Hay días que dan ganas de parar todos los VPS y mandarlo a la mierda.
Es la misma sensación de abrir la puerta de tu casa para salir a la calle y de cada diez veces que abres, en siete descubres un tio hurgando en la cerradura.
«12
  1. Se calcula que un pequeño número de usuarios

    Claro claro... pequeño.
  2. Este es el año de Linux en las puertas traseras.
  3. El 20 de Febrero dice en el original blog.linuxmint.com/?p=2994, #1, osea ayer.
    Ni idea acerca del número de descargas, aunque han sido muy rápidos corrigiendo y advirtiendo.
  4. Ahora mismo parece que la web esta caida. www.linuxmint.com/
  5. Pero el malo es Windows :troll:
  6. Por eso lo mismo no pude instalar una y acabé pegándole una patada al ordenador. Menos mal que era viejo y para experimentos.
  7. Que hijos de puta... adoro esa distribución, que casualidad que justo que ahora que habian recibido unas donaciones bastante altas justo atacan la web...

    En fin, espero que se puedan recuperar, entre los problemas de perdida de datos que han tenido y esto están apañados xD
  8. :-S

    Sigo diciendo lo mismo.
    Cada día da más asco tener cualquier servicio online.
    Cada día hay más hijos de puta organizados para sacarle los cuartos a la gente.
    Es bestial el número de ataques automatizados que se reciben en un servidor de donnadies como yo.
    En sitios como ese ya ni os cuento.

    Hay días que dan ganas de parar todos los VPS y mandarlo a la mierda.
    Es la misma sensación de abrir la puerta de tu casa para salir a la calle y de cada diez veces que abres, en siete descubres un tio hurgando en la cerradura.
  9. ¡¡Que cabrones!! Esa es la distro que uso en el sobremesa. Menos mal que la mia lleva instalada años y que acostumbro a bajarme las ISO por Torrent siempre que se puede.
  10. #8

    www.openbsd.org

    Si tienes una Intel o Radeon estás de suerte.
  11. #5 Es que Windows te viene con puertas traseras de serie, por no hablar de que Linux Mint es una versión bastante minoritaria de las decenas de versiones de Linux que hay,
  12. #11 Jajaja como caéis en la trampa :troll:
  13. Beware of hacked ISOs if you downloaded Linux Mint on February 20th!: blog.linuxmint.com/?p=2994

    "As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition. If you downloaded another release or another edition, this does not affect you. If you downloaded via torrents or via a direct HTTP link, this doesn’t affect you either. Finally, the situation happened today, so it should only impact people who downloaded this edition on February 20th."
  14. #12 Sabía que era un bait del tamaño de una catedral, pero me da cosica que ese tipo de comentarios convenzan a potenciales usuarios a no dar el salto :-/
  15. #11 Puedes poner algun link donde se demuestre que Windows 8-10 tengan puertas traseras de serie?

    Por otro lado lo de que Mint es la minoritaria... distrowatch.com/index.php?dataspan=2015 , abajo derecha. Linux Mint la primera ...
  16. #11 Linux Mint lleva siendo n1 en popularidad por los menos desde hace un año. distrowatch.com/table.php?distribution=mint
  17. #14 Lo que no convence a la gente a dar el salto es cosas como LibreOffice o similares, no el SO en si.
  18. #1 Qué gracioso el redactor xD
  19. Linux Mint ha sido hackeado. Descarga Linux Mint!! #EpicFail ¬¬  media
  20. #9 Pues ahora si te bajas la ISO por Torrent, no sabes si es la que tiene las puertas traseras o no. (O eso creo).
  21. #1 Pequeño en comparación con el numero de usuarios con Windows 10 y las puertas abiertas.

    Vamos, como comparar el numero de usuarios de automovil y globo aerostatico.
  22. #15 Eso de que microsoft almacene en sus servidores las claves de encriptación de tus discos duros sin advertir expresamente al usuario cuenta?

    www.muycomputer.com/2015/12/30/microsoft-almacena-claves-cifrado-usuar
  23. #20 blog.linuxmint.com/?p=2994
    How to check if your ISO is compromised?

    If you still have the ISO file, check its MD5 signature with the command “md5sum yourfile.iso” (where yourfile.iso is the name of the ISO).

    The valid signatures are below:

    6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
    e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
    30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
    3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
    df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
  24. #11 minoritaria?????
  25. #1 Siendo el año de Linux en el escritorio, puede ser una catástrofe :troll:
  26. #20 si la han modificado (con puertas traseras o con lo que sea) tiene que tener un hash diferente.
  27. #22 Varias cosas :

    1. Solo es en caso de encriptación de disco y usando el software de microsoft (que no suele ser el caso por cierto...).
    2. Las ediciones Profesional y Enterprise permiten elegir no hacerlo...

    Una puerta trasera es otra cosa...
  28. El verdadero problema no son los ISOs, que afectan a poca gente, además es buena práctica comprobar el hash de lo que te has bajado antes de instalarlo. El verdadero problema serían los repositorios de actualizaciones.

    Estaba por actualizar a Rosa desde Rafaela, pero he estado procrastinando y al final decidí que lo haría después de renovar mi PC.
  29. #11 error, es la mas popular del momento.
    Mira en distrowatch
  30. #23 Al parecer sólo han cambiado a las versiones con escritorio Cinnamon, no son tontos, es la que más aceptación tiene entre los usuarios de LM.
  31. Pues voy a añadir que hoy voy a donar una pequeña cantidad. La uso desde hace años y nunca les doné nada.
    ¡Tienen mi apoyo!
  32. #27 Dos cosas no son varias cosas. ;) De todas formas de eso ya ha llovido bastante, tampoco creo que no suela ser el caso para la mayoría de usuarios, y aún tampoco tiene mucho sentido que sea algo opcional en unas versiones u otras. De hecho, me parecería más de cajón que en las versiones más caras lo que sea un añadido extra sea crear un respaldo de tu clave en sus servidores.

    El sistema claramente está hecho para que ellos tengan esas claves. Y ya sería el colmo, que también secuestraran claves de otros sistemas de encriptación. :palm:
  33. #28 hombre, si el hash lo compruebas con el de la web donde te lo bajas y la web esta hackeada.. Habrán puesto en la web los hash de las imágenes con el backdoor, así que muy útil no es. Tendrías que saber los hash de las imágenes genuinas y eso sólo lo puedes saber ahora o viajando al pasado, antes de que hackearan nada
  34. hay gente con mala leche :-(
  35. #17 LibreOffice funciona perfectamente. ¿No va bien con windows?
  36. #32 Yo no entro en lo que me parece la opción. Digo, que en las versiones donde realmente se usa (profesionales) es optativo ponerlo en la nube de MS o no. Digo también, que no es el caso habitual usar ese software. Digo tambien que una puerta trasera a un sistema suele ser otra cosa (usuarios ocultos, programas ocultos, apis ocultas, etc...). Que alguien opina que con esa clave aunque no tenga encriptado tienen el control del pc (puerta trasera...) pues ok.
  37. #12 Ya estaba tardando la típica batallita Win vs Linux.

    Yo he dejado de discutir por eso, incluso de intentar evangelizar, cada cual que utilice lo que más le guste o lo que mejor le venga. Que te gusta más Win, pues hala! Que te gusta más Linux, pues hala!

    Los que llevamos años usando Linux ya conocemos de sobra sus ventajas e inconvenientes y nos nos van a convencer de lo contrario. Los que quieran seguir con Win sin probar otra cosa, lo respeto. Ya somos mayorcitos y cada uno cargará con las consecuencias de sus decisiones, para bien o para mal.

    Y el que le sobre la pasta y le guste OSX pues fenomenal para él.

    Para gustos los colores!
  38. #36 A lo mejor podemos debatir ampliamente sobre lo que es una puerta trasera, al final el problema es el mismo, tu tienes un disco encriptado PERO por la letra pequeña resulta que no tienes realmente el control de tu privacidad. Si alguien quiere verlo como una "feature", pues por mi, también OK.
  39. #31 Y yo....llevo años disfrutando de un sistema fiable. Al igual que la Wikipedia, voy a donarles algo.
  40. #35 Para hacer cuatro documentos va bien, cuando tienes que hacer cosas profesionales entonces LibreOffice pasa a ser basura y te vuelves a MS office porque como ya se comento en otra noticia: "perder 3 horas en hacer lo mismo que haces en 15 minutos en otra suite es perder dinero" :-D
  41. #37 Por eso puse el comentario, por el sectarismo de meneame sobre el tema :-)
  42. #38 Podemos debatir pero la realidad es que se suele entender por puerta trasera otra cosa que la que ahí se dice. Y vuelvo a insistir , además de minoritario su uso, en las versiones donde se usa (profesionales) es OPTATIVO ponerlo en la nube.
  43. #40 ejemplo práctico?
  44. #33 Tienes toda la razón. La verdad es que ese es un tema que siempre me ha preocupado. Por eso he llegado a pensar que sería bueno un servicio externo de publicación de hashes para autentificación. Una especie de tercero de confianza. Eso incrementaría la seguridad. Ya que se tendrían que hackear 2 sites. Y al ser el cometido de éste último, en exclusiva, la seguridad, no sería tan fácil.

    Bueno ahí dejo esa idea, por si alguien busca un proyecto de startup.
  45. Últimamente estoy leyendo muchas noticias de ataques a Linux en general. A lo mejor va siendo hora de que hagan buenos programas de seguridad para Linux.
  46. #42 No hace falta que insistas, realmente no te llevo la contraria en eso, y ya sé que estoy rozando el límite de lo ambiguo con lo que he dicho.

    Al final ocurre algo muy parecido a lo que ocurre con las democracias, que en ciertos aspectos se parecen mucho a dictaduras pero guardando muchísimo más las formas.

    Ahora no te ponen "puertas traseras" según la definición, simplemente son "features" optativos.
  47. #11 #15 Las puertas traseras que tiene Windows www.gnu.org/proprietary/malware-microsoft.html
    #16 #24 #29 Vale, craso error, no suelo mirar la popularidad de las distros, habré entrado en distrowatch una vez. Cuando la usaba, la verdad es que hace mucho, no la conocía ni dios.
  48. #10 ¿Soporta Docker? ¿A parte de la seguridad y filosofía, que crees que lo hace una opción a tener en cuenta sobre GNU/Linux para el escritorio? ¿Y para servidores?
  49. #46 A mí me parece una "mala" practica porque la propia MS no esta libre de hackeo y se puede preparar cardina si cae en manos de un tercero.
  50. #40 ¿Ya permite hacer cosas profesionales? Sí que ha mejorado.
  51. #34 Sí, y con poco cerebro. Qué ganan con eso? unos cuantos cientos de zombies a su servicio para luego hacer ataques DoS?
    Creo que consiguen más zombies si hackean Win10 y lo distribuyen por torrents.

    Por lo general (y me refiero a si hacemos una media) los usuarios de Linux son usuarios más avanzado y están mejor informados. Tras hacerse público el ataque pocos permanecerán ignorantes, y la gran mayoría de afectados ya habrá solucionado su problema. Por el contrario, si lo hacen con Win10 seguro que una proporción mayor ni se entera.
  52. #28 No sé hasta que punto sea mejor en este caso, pero siempre suelo bajar las distro por torrent y a lo mejor sea una mejor opción.
  53. #43 Soy defensor y usuario de linux, pero tienen toda la razón, el ejemplo práctico es hacer un workflow con Visio versus cualquier sustituto, no hay un sustituto decente (ahora me podrán mil aplicaciones, no, lo he probado, insisto en que no hay un sustituto decente).
  54. #40 Lo de "profesional" es una tontería. LO funciona bien para usos serios. Otra cosa que no sepas usarla. ¡Pasa lo mismo con la de Microsoft!
  55. La cara del meneante "pro" que suele reírse de Windows y los S.O de Apple al leer esta noticia. Noticia que no comentará y que intentará tirar por el owned recibido.  media
  56. ¿Wordpress? ¿En serio? Lo raro es que no los hayan hackeado antes.
  57. #49 De todas formas la "puerta trasera" sería que ellos pueden acceder a esas credenciales y simplemente "darlas" a quien les parezca sin que tu sepas nada de ello. Quizás hasta eso también se puede presentar de mejor forma mediante algún cumplimiento legal.

    Por supuesto que ser hackeados y perderlas también es un problema.
  58. #55 No sé por qué utilizas esa foto, cuando todos sabemos que implícitamente te refieres a esta. :-D  media
  59. #51 Tampoco me extrañaría que quisieran dañar su imagen.
  60. #47 Como puedes ver en el propio link se refiera mas a malware. Respecto Backdoors :

    -> Microsoft has already backdoored its disk encryption. Explicado. Es optativo en las versiones donde se usa. No me gusta porque no considero a MS un fortín pero no es una backdoor.

    -> Microsoft Windows has a universal back door through which any change whatsoever can be imposed on the users. -> En el link se refiere a que pueden hacer updates sin permiso de usuario. Mal pero vamos, no catastrofico.

    -> Windows 8 also has a back door for remotely deleting apps. -> y? El sistema operativo puede borrar una aplicación que considere maliciosa. Que se puede abusar? Si. Por cierto, nada nuevo bajo el sol... (Amazon ha borrado libros alguna vez por problemas de licencia).

    Que son cosas "peligrosas"? Si. Pero es que el Sistema operativo en red lo es... Backdoor en el sentido habitual (lo que le ha pasado a Linux Mint) es otra cosa.
  61. #14 Bait=Cebo, señuelo...
  62. #57 Sin duda. En eso coincido.
  63. Usad Debian.
  64. #59 jajaja esa es la que habitualmente tienen. Pero la del sapo es la cara de intentar conservar la dignidad y la prepotencia después de haber recibido un hostión de realidad.
  65. #11 En distrowatch aparece como la distribución mas descargada desde hace tiempo
  66. #44 Claro, para eso en las PKI añades terceros de confianza, para que las firmas no sean simples hashes sino que tengan que estar a su vez firmadas por claves verificadas por un tercero.
    En teoría eso se puede hacer, firmar las ISO o cualquier archivo, como se hace en los repos con PGP ahora ya, o windows update con las actualizaciones, etc.. se podría implementar eso mismo en los gestores de descargas de los navegadores, una comprobación de firmas y ya, tampoco hace falta inventar mucho, la tecnología está ahí.
  67. #10 No confundas sistema usado con ataques a todos los sistemas que comenta #8. Yo trasteo con una raspberry montando servidores de distintas cosas (FTP, VPN, HTTP, SSH), y los ataques son continuos, da igual que reinicies el router y cambies la IP, al rato algún servidor chino habrá hecho un escaneo de puertos a mi IP y estará intentando ataques de fuerza bruta al login de todos los servicios. Evidentemente si tienes contratado un servidor virtual, el amago de cambio de IP no te vale, pero como comento ni siquiera es efectivo.

    No se trata de cuestión de sistemas más o menos seguros. Se trata de que ahora se ataca a todo el que salga a internet con algún puerto abierto para dar servicio, que por mucha seguridad que pongas, el gasto de recursos del sistema a frenar todos estos ataques es importante.
  68. #44 Otras distribuciones usan GPG para firmar las imágenes. Con GPG además de dar la clave de tu firma en la web puedes subirla a servidores de claves con lo cual el usuario puede verificarlos contra ellos y no directamente contra la clave que le hayas dado.

    En mi caso la distribución que uso lo hace y si voy al servidor de claves puedo comprobar que la clave además de tener el mismo nombre y firma que me dan en la web está firmada por varios miembros del equipo de desarrollo, y esta última parte un atacante no la puede replicar fácilmente.
  69. #53 me temo que habláis de ciencia ficción para mi.
    El uso normal, incluso con gestor de referencias o ficheros compartidos, funciona perfectamente.
    El tema de ecuaciones se come a msoffice.
    El tema de visionosequé...pos vale pos tendréis razón o algo :-/
  70. Siempre me he preguntado que extrañas fuerzas empujan al ser humano hacia la tesitura de la elección del sucedáneo respecto dell original. Uséase, que pa que pillarse el mint pudiendo pillarse el ubuntu y luego cambiarlo.
  71. Pregunta: si se ha actualizado la versión de mint a través del update manager, ¿se ha instalado la puerta trasera? ¿EL update de mint tira de la iso? Y si es así, ¿se descarga de repositorios o de la web? Y hablando de repositorios, ¿esto puede pasar también en actualizaciones de componentes alojados en repos? Gracias

    c/c: #13 #23 si tenéis respuesta os lo agradecería :pagafantas:

    P.D: no se si se nota pero estoy bastante pegado y un poco acojonado porque hice la actualización de la versión de mint ayer :palm:
  72. #44 Lo único que necesitan es firmar el hash con PGP, que es lo que hace cualquiera que se preocupe un mínimo por la seguridad. Es un problema que lleva décadas resuelto.
  73. #48 Me auto respondo: github.com/kvasdopil/docker

    De todos modos no parece muy actualizado y parece haber cierto desprecio a Docker desde los distintos sabores de BSD por ignorar la existencia de otros sistemas no basados en Linux. www.boycottdocker.org/
  74. #55 De owned nada.

    Es todo un orgullo observar como un sistema sin dueños con un fallo, se auto corrige y se comunica ampliamente sin tapujos y con todo lujo de detalles.

    Así que más que owned, es un well done guys!
  75. #72 Por lo que han puesto en el blog solo afecta a las descargas de las isos. de todas maneras comprueba que NO tienes este fichero en tu equipo: /var/lib/man.cy . Si lo tienes tu equipo ha sido comprometido.
  76. #50 #40 Por favor, ¿puede usted definir "cosas profesionales".

    Yo tengo una empresa de servicios informáticos "profesionales" en el área de sistemas.

    Toda la documentación es generada con LibreOffice.

    ¿Está usted insinuando que no somos profesionales?
  77. #11 "...por no hablar de que Linux Mint es una versión bastante minoritaria de las decenas de versiones de Linux que hay"


    EPIC FAIL!!
     media
  78. Yo tengo LM en algunos equipos y al final lo mejor es una Debían y luego el getor de ventanas que gustéis Cinamon y otro.
  79. #61 En mi sistema operativo en red nadie puede borrar nada sin mi permiso. Será que soy un raro...
  80. #76 Los updates comorueban las firmas, y se bajan de distintos sitios. Lo que han suplantado son las isos.
  81. #33 Los deb estan firmados, y las firmas estan ya en tu sistema.
  82. #67 Los deb hace años que vienen firmados.
  83. #45 Si.... intstala un antivirus.,:troll:
  84. #40 Hombre, si quieres hacer cosas "profesionales" quizás mejor usar LaTeX por los argumentos que tú expones
  85. #68 En caso de SSH cambiando simplemente el puerto barres el 90% de ataques.
  86. #69 "Si voy a.." ya hombre, pero esto no es muy práctico, lo que lleva a que la comprobación la hará tan poca gente que en un caso similar a este es poco probable que tuviera alguna repercusión, quizá que alguien se diera cuenta del ataque o que pasaba algo raro un poco antes... pero en terminos de gente con el sistema bajado e infectado iba a ser lo mismo.

    En cuanto a lo de que los paquetes .deb como dice #85 tampoco sería muy útil en este caso, porque si meten un backdoor en las isos, ya puestos pueden meter las claves pgp de su propio servidor mirror de updates, con su keyserver propio y ya está, todo firmado y correcto y tu jamás te enterarás que pasa algo raro.

    Yo hablaba de que de poner un sistema tipo PGP o SSL o similar, tiene que ser algo integrado en el navegador, como ya se hace hoy en día con SSL para el 90% de las webs. O se protege todo por defecto con SSL y pista.

    Edit: en resumen, lo que quiero decir es que guay, mola implementar métodos seguros que podamos usar cuatro, pero cuando haces una distro destinada al público general no puedes pedirle que adquiera mágicamente conocimientos sobre criptografía para comprobar blabla tiene que ser algo más inmediato y automático
  87. #76 :hug: :hug: :hug: Gracias!!! Todo correcto. Al parecer me he librado.
  88. #88 De un escaneo de puertos no te libra nadie, a no ser que uses port knocking. Y eso ya implica un servicio más controlando los puertos, y aplicaciones en los clientes para entrar. Y los típicos limites de intentos fallidos o banneo de IP siempre son un coñazo (un usuario que meta mal las credenciales x veces puede suponer un problema). Evidentemente, en un servidor de pruebas o una RPi, que ataque quien quiera (o se cambian los puertos y a correr) pero en un servidor de producción todo son dolores de cabeza en torno a la seguridad.
  89. #22 El que utilice BitLocker para encriptar de forma segura sus discos duros, es un temerario. Es como el que envia archivos confidenciales a la nube y confiar en que el servicio encripte tus archivos de forma segura (tipo Mega). La única forma de realizar una encriptación fiable es usar tu mismo herramientas fiables, y encargarte de generar y almacenar la clave por tu cuenta.
  90. #43 casi todo lo que quieras hacer con la hoja de calculo, desde conectar a otras bases de datos a, y esto es penoso, resolver objetivis no lineares. Los plugins para esto aparecen y desaparecen de una version a otra de LO.
  91. #68 fail2ban es tu amigo
  92. #1 #18 entonces en que quedamos? ¿Es una cosa de frikis o se lo bajan miles diariamente? :troll:
  93. #62 Ya. Precisamente por eso lo he dicho. No entiendo tu comentario, supongo que querías cuota de ir de listo.
    #66 Ya. Lo han dicho cuatro personas antes que tú y además he reconocido mi error. Suele estar bien leer los comentarios antes de comentar.
    #79 Lo mismo que el anterior, sólo que encima con tonito gilipollas. Forocoches al fondo a la izquierda.
    #58 Eso es. Siempre pensé que Ubuntu era la más extendida, sin tener en cuenta a Mint como una versión de Ubuntu a la hora de contar.
  94. #91 La mayoría de ataques no conllevan escaneo de puertos.

    " pero en un servidor de producción todo son dolores de cabeza en torno a la seguridad."

    Cortafuegos. BSD permite bloquear todo eso cargándote todo intento y más.

    man pf.
  95. #19 Bueno, la 17.2 no ha sido hackeada, solo la 17.3 con el entorno de escritorio Cinnamon, durante 1 día. Que sí, que puede no dar confianza, pero en ese caso no habría peligro xD
  96. #75 es un owned total. Lo que pasa es que la gente como tú no sabéis lo que es la humildad. Pero bueno, si quieres apoyar tu baja autoestima en la defensa de un S.O...
«12
comentarios cerrados

menéame