Compromesso un server di GNU.org

Per alcuni mesi un cracker è riuscito a celare nel server FTP principale di GNU.org un cavallo di Troia e a sniffare le password. Il responsabile sembra un utente locale

Compromesso un server di GNU.orgBoston (USA) - Nelle scorse settimane il GNU Project, sponsorizzato dalla Free Software Foundation, ha pubblicato un avviso in cui ammette che il proprio server FTP principale, gnuftp.gnu.org (di cui esistono alias quali "ftp" e "alpha"), è stato compromesso da un cracker.

Secondo quanto spiegato dai responsabili del sistema, l'intruso è riuscito a penetrare sul server avvalendosi di un exploit di ptrace e, una volta ottenuti i privilegi di root, ad installare sulla macchina un cavallo di Troia.

"La macchina - si legge nell'annuncio pubblicato da GNU.org - sembra essere stata compromessa da un utente locale nel marzo 2003, ma il crack è stato scoperto solo durante l'ultima settimana di giugno". Considerando che l'exploit del bug di ptrace è stato rilasciato il 17 marzo e che il relativo exploit per il kernel di Linux è stato pubblicato la settimana dopo, ne consegue che il server è rimasto sotto il controllo del cracker per circa tre mesi.
Secondo GNU.org, in questo arco di tempo l'attività del cracker sembra essersi focalizzata nella raccolta di password e nella predisposizione del server come testa di ponte per altri attacchi.

Il maggior timore di utenti ed esperti di sicurezza è che l'intruso abbia potuto alterare i sorgenti del software distribuito dal progetto inserendovi codici malevoli. Sebbene la FSF sostenga che non vi sia nessuna prova al riguardo, in un advisory il CERT ha invitato gli amministratori di sistema a verificare l'integrità dei programmi scaricati dal server compromesso.
79 Commenti alla Notizia Compromesso un server di GNU.org
Ordina
  • Sprovveduti, con la testa piena di scemenze ideologiche e neanche capaci a gestire un pezzo di server.
    non+autenticato
  • Ma nell'open source non dovrebbero tutti volersi bene e partecipare alla diffusione del sw open?
    Se poi non ti puoi fidare nemmeno di un tuo utente che partecipa alla ......... missione di cui sopra!
    non+autenticato

  • - Scritto da: Anonimo
    > Ma nell'open source non dovrebbero tutti
    > volersi bene e partecipare alla diffusione
    > del sw open?

    Vero !

    > Se poi non ti puoi fidare nemmeno di un tuo
    > utente che partecipa alla ......... missione
    > di cui sopra!

    Probabilmente era un Windowsauro livido di rabbia, pagato dall'Imperialista Bill Gates !
    non+autenticato

  • - Scritto da: Anonimo

    > Probabilmente era un Windowsauro livido di
    > rabbia, pagato dall'Imperialista Bill Gates
    > !

    Lo escludo ! Se fosse stato un windowsauro non sarebbe stato in grado Sorride

    non+autenticato
  • Se ti bucano il server Windows basta dire che e' colpa della M$ che fa il software bacato e te la cavi alla grande, anzi se riesci a rimettere tutto a posto fai la figura dell'eroe e ti pagano a peso d'oro le ore spese nell'operazione.

    Se ti bucano un server Linux che amministri tu, l'unico PIRLA della situazione sei tu e ti tocca darti da fare, e di corsa, a rimmettere tutto a posto magari anche "a-gratis".

    Con Linux non hai scuse. Se ti bucano e' perche non sei stato abbastanza attento o non ai utilizzato i programmi di controllo adatti.
    non+autenticato

  • - Scritto da: Anonimo
    > Se ti bucano il server Windows basta dire
    > che e' colpa della M$ che fa il software
    > bacato e te la cavi alla grande, anzi se
    > riesci a rimettere tutto a posto fai la
    > figura dell'eroe e ti pagano a peso d'oro le
    > ore spese nell'operazione.
    >
    > Se ti bucano un server Linux che amministri
    > tu, l'unico PIRLA della situazione sei tu e
    > ti tocca darti da fare, e di corsa, a
    > rimmettere tutto a posto magari anche
    > "a-gratis".

    A gratis non penso proprio.

    > Con Linux non hai scuse. Se ti bucano e'
    > perche non sei stato abbastanza attento o
    > non ai utilizzato i programmi di controllo
    > adatti.

    E quindi ? Non mi sembra un problema. Se sai fare il tuo lavoro.
    non+autenticato
  • > > Con Linux non hai scuse. Se ti bucano e'
    > > perche non sei stato abbastanza attento o
    > > non ai utilizzato i programmi di controllo
    > > adatti.
    >
    > E quindi ? Non mi sembra un problema. Se sai
    > fare il tuo lavoro.

    Allora l'amministratore del server GNU bucato e' un incompetente?
    non+autenticato

  • - Scritto da: Anonimo
    > > > Con Linux non hai scuse. Se ti bucano
    > e'
    > > > perche non sei stato abbastanza
    > attento o
    > > > non ai utilizzato i programmi di
    > controllo
    > > > adatti.
    > >
    > > E quindi ? Non mi sembra un problema. Se
    > sai
    > > fare il tuo lavoro.
    >
    > Allora l'amministratore del server GNU
    > bucato e' un incompetente?

    quello è di sicuro il capo di tutti i lameroni... ahahah... ahaha ahahahah
    non+autenticato

  • - Scritto da: Anonimo

    > Con Linux non hai scuse. Se ti bucano e'
    > perche non sei stato abbastanza attento o
    > non ai utilizzato i programmi di controllo
    > adatti.

    Se questo fosse vero, ecco quindi che l'utente può valutare a chi affidarsi

    Windows = incertezza e scaricabarile all'infinito
    Linux = certezza della responsabilità degli operatori.


    non+autenticato
  • > Windows = incertezza e scaricabarile
    > all'infinito
    > Linux = certezza della responsabilità degli
    > operatori.

    Gia' tutto bellissimo, ma quante aziende vorranno affrontare il rischio?

    Ho gia' sentito un paio di "installatori" smadonnare con la loro Suse dando la colpa ai creatori della distrubuzione per i problemi che non riescono a risolvere.A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > > Windows = incertezza e scaricabarile
    > > all'infinito
    > > Linux = certezza della responsabilità
    > degli
    > > operatori.
    >
    > Gia' tutto bellissimo, ma quante aziende
    > vorranno affrontare il rischio?

    il rischio di uscire dalla truce macchina da scaricabarile che sono i tecnici microsoft e il monopolio microsoft?

    Le aziende con i managers IT accorti faranno un favore alla loro azienda, dando incarico a tecnici non-microsoft, mentre quelli malaccorti costringeranno la loro azienda alla metempsicosi delle responsabilità ballerine (è colpa del tecnico... no, di microsoft, no del tecnico.... eccc)

    > Ho gia' sentito un paio di "installatori"
    > smadonnare con la loro Suse dando la colpa
    > ai creatori della distrubuzione per i
    > problemi che non riescono a risolvere.A bocca aperta

    Ottimo: questi tecnici sanno isolare una responsabilità. Hanno tutte le distribuzioni del mondo tra le quali scegliere:

    www.linuxiso.org

    (la differenza tra microsoft e linux è che di windows c'è solo quello, mentre di Linux no: massima libertà al minimo prezzo)


    non+autenticato
  • > il rischio di uscire dalla truce macchina da
    > scaricabarile che sono i tecnici microsoft e
    > il monopolio microsoft?

    A livello di principio sono d'accordo ma a livello di business, o meglio di pagnotta, se non te la puoi sfangare che fai?


    > (la differenza tra microsoft e linux è che
    > di windows c'è solo quello, mentre di Linux
    > no: massima libertà al minimo prezzo)
    >

    E gia' ma la Suse o la Mandrake sono le piu' facili da installare, e ricodano molto il setup, plug and pray, di win a cui molti installatori sono affezionati.
    non+autenticato

  • - Scritto da: Anonimo
    > > il rischio di uscire dalla truce macchina
    > da
    > > scaricabarile che sono i tecnici
    > microsoft e
    > > il monopolio microsoft?
    >
    > A livello di principio sono d'accordo

    ottimo. E' il livello giusto

    > ma a
    > livello di business, o meglio di pagnotta,
    > se non te la puoi sfangare che fai?

    ti butti sul mercato Linux

    (ce ne son tanti, sai...)

    > > (la differenza tra microsoft e linux è che
    > > di windows c'è solo quello, mentre di
    > Linux
    > > no: massima libertà al minimo prezzo)
    > >

    >
    > E gia' ma la Suse o la Mandrake sono le piu'
    > facili da installare,

    ottimo: hai già citato DUE distribuzioni facili da installare.

    tu is megl' che uan

    > e ricodano molto il
    > setup, plug and pray, di win a cui molti
    > installatori sono affezionati.

    ma non sono certo le uniche distribuzioni. una volta che avrai accumulato un minimo d'esperienza con linux ti accorgerai che c'è modo di cavarsela con tutte le distribuzioni.

    Questo fa di linux un mercato APERTO e LIBERO.

    Questi sono vantaggi reali per gli utenti e per gli operatori che si sento no in grado di fornire loro servizi a valore aggiunto

    Gli altri operatori continueranno a fare i fanalini di coda del monopolio




    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    >
    > Windows = incertezza e scaricabarile
    > all'infinito
    > Linux = certezza della responsabilità degli
    > operatori.

    sono fattori soggettivi...

    io personalmente non ho mai conosciuto un amministratore linux con le palle... puzzano tutti di lamer a 3 miglia di distranza e danno sempre la colpa ai produttori di hardware, anche quando il mouse ps2 crasha il sistema !
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > >
    > > Windows = incertezza e scaricabarile
    > > all'infinito
    > > Linux = certezza della responsabilità
    > degli
    > > operatori.
    >
    > sono fattori soggettivi...

    no.

    che la responsabilità del sistema winsows sia demandabile all'azienda-madre è un fatto oggettivo

    che la responsabilità del sistema linux NON sia demandabile all'azienda-madre è un fatto oggettivo

    > io personalmente non ho mai conosciuto un
    > amministratore linux con le palle...

    QUESTO è un fatto soggettivo.

    Che tu NON conosca qualcuno, non significa che NON ne esistano.

    Tra l'altro il concetto dell'"avere le palle " va commisurato a quante ne hai tu (altro dato soggettivo che non ci comunichi)
    non+autenticato
  • scusate lo sfogo, ma dopo aver letto messaggi di utonti..
    Per alcune notizie il forum deve essere filtrato, magari con domande come: windows è il computer? (no) ; ho pagato la licenza del mio os? (si) ; GNU/linux costa di più di win? (no) ; Con win e outlook express sono al sicuro? (no) ; mi impegno a pensare prima di postare sciocchezze? (si)

    ..e via con altre.. chi risponde male non posta, ciao
    non+autenticato

  • Allora puoi ridare il computer al venditore che te l'ha dato... Non fa per te. Almeno una risposta e' una vaccata solenne (lascio a te scoprire quale).
    non+autenticato

  • > ..e via con altre.. chi risponde male non
    > posta, ciao


    quindi perchè il tuo messaggio appare?

    nop
    563
  • - Scritto da: Anonimo
    > scusate lo sfogo, ma dopo aver letto
    > messaggi di utonti..
    > Per alcune notizie il forum deve essere
    > filtrato, magari con domande come: windows è
    > il computer? (no) ; ho pagato la licenza del
    > mio os? (si) ; GNU/linux costa di più di
    > win? (no) ; Con win e outlook express sono
    > al sicuro? (no) ; mi impegno a pensare prima
    > di postare sciocchezze? (si)
    >
    > ..e via con altre.. chi risponde male non
    > posta, ciao

    Ne aggiungo qualcuna.

    se colleghi il mouse alla scheda audio squittisce? (no)
    il computer bara nei videogiochi? (no)
    se sbatti la tastiera contro l'armadio condinci il computer a funzionare meglio? (no)
    L'hard disk di chiama così perchè è difficile romperlo? (no)
    i programmi che non hai mai usato sono troppo difficili da usare? (no)
    sei capace di installare open office senza cancellare i file di sistema? (si)
    la gpl è un virus? (no)
    linux è un cancro? (no)
    hoff
    203

  • - Scritto da: Anonimo
    > scusate lo sfogo, ma dopo aver letto
    > messaggi di utonti..
    > Per alcune notizie il forum deve essere
    > filtrato, magari con domande come: windows è
    > il computer? (no) ; ho pagato la licenza del
    > mio os? (si)

    Ehm... io non l'ho pagata! Ne uso uno Free Sorride))

    (cut)

    > ..e via con altre.. chi risponde male non
    > posta, ciao

    Acc! Allora non dovevo postare...
    Scusate!

    Con la lingua fuoriPPPPPP
    non+autenticato
  • hahaha veramente che pollastri!!A bocca aperta
    Un sistema cosi' importante compromesso da 3 mesi prima che se ne accorgessero, assolutamente scandaloso. Immaginate cosa avrebbe potuto fare - o forse ha fatto - alterando i sorgenti. Tanti amanti della sicurezza e del compilo-io-cosi-sono-sicuro beffati alla grande.
    Scandaloso.
    non+autenticato

  • - Scritto da: Anonimo
    > hahaha veramente che pollastri!!A bocca aperta
    > Un sistema cosi' importante compromesso da 3
    > mesi prima che se ne accorgessero,
    > assolutamente scandaloso. Immaginate cosa
    > avrebbe potuto fare - o forse ha fatto -
    > alterando i sorgenti. Tanti amanti della
    > sicurezza e del compilo-io-cosi-sono-sicuro
    > beffati alla grande.

    E una buona occasione per i tanti amanti del io-parlo-a-vanvera-senza-sapere-una-mazza per postare idiozie come queste senza aver capito nulla della notizia (e dell'utilita' di avere i sorgenti, delle firme digitali ecc... ecc...)

  • Brucia, ne?
    non+autenticato
  • Semplicemente:
    Se su un sito ci sono i binari, modificarli non è semplice.
    Se su un sito ci sono i sorgenti, non ci vuole nulla a modificarli.
    Ma:
    Se scarichi i binari e controlli la firma elettronica o il checksum, puoi accorgerti che sono stati falsificati
    Se scarichi i binari, compili e installi sei un pollo, e un po' te le cerchi.
    Morale:
    La mentalità "scarico-i-sorgenti-compilo-e-vivo-tranquillo" non viene compromessa da quanto è successo.
    Resta la figura di merda dell'amministratore, quello sì
    My 2 cents

  • - Scritto da: Anonimo
    > hahaha veramente che pollastri!!A bocca aperta
    > Un sistema cosi' importante compromesso da 3
    > mesi prima che se ne accorgessero,
    > assolutamente scandaloso. Immaginate cosa
    > avrebbe potuto fare - o forse ha fatto -
    > alterando i sorgenti. Tanti amanti della
    > sicurezza e del compilo-io-cosi-sono-sicuro
    > beffati alla grande.
    > Scandaloso.
    già già già già già, come direbbe il vecchio Alfred.
    AVANTI IL PROSSIMO, GRAZIE!!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)