* carl0z (carloz@paranoici.org) ha scritto:
interessante nel frattempo debian ha rilasciato orari e specifiche di attacco e contromisure
nel frattempo hanno rootkitato il webserver del nic - non so che linux giri la'
nel frattempo hanno rootkitato (via suckit) il server di web server di kde e un po' di siti indymedia - bsd, giusto per specificare che non e' una debian only story, e manco solo linux ...
ho detto una cazzata. su ahimsa2 (webserver indy.italia e kde e altro) gira un kernel linux. che oggi e' stato ricompilato. nel frattempo sfruttando lo stesso baco, e ipoteticamente con gli stessi tool (suckit, keylogger, ...), anche savannah.org e' stato rootkitato.
mi sembra molto interessante considerare che:
-> tutto sommato i disservizi sono stati minimi. in compenso, questo attacco ha permesso di elevare/aggiornare i livelli di sicurezza.
-> il punto debole della catena pare essere stato "a monte". all'inizio rispetto a indy si incriminava l'ftp - unico servizio non sicuro che girava sulla macchina. poi invece anche con i report di debian salta fuori che e' stato prima trovato un account valido - possibly social engeneering piu' brute force attack. una volta loggato, vai. insomma la parte umana della catena. amministratori o utenti (esperti) che magari hanno account mionome pass radical3 e forse nel caso di indy un utente standard con stessa pass tenuto uguale all'ftp (quindi sniffabile) e cmnq = a quello su altre macchine con appunto un nome utente noto + o - a tutti e una pass non impossibile ancora, admin con stessa coppia utente/pass (anche difficile, magari) su diverse macchine - tipo due server, tipo la tua e un server. entro sulla tua installo un keylogger e poi mi diverto. + o -. no?
ciao craloz
Package : kernel-image-2.4.18-1-alpha, kernel-image-2.4.18-1-i386, kernel-source-2.4.18 Vulnerability : userland can access full kernel memory Problem type : local Debian-specific: no CVE Id(s) : CAN-2003-0961 --