symlink.ch | Update: SourceForge Server gehackt

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

Update: SourceForge Server gehackt

Veröffentlicht durch maol am Mittwoch 30. Mai, 01:23
Aus der Konzentration-ist-gut Abteilung

Gestern Abend beim Emails lesen zuerst die Nachricht "einer gewöhnlich gut unterrichteten Quelle", dass SourceForge gehackt worden sei, und die Admins damit beschäftigt, alles wieder in Ordnung zu bringen. Update von tbf: Auf CNET gibt Pat McGovern von SourceForge.net einige Details zum Einbruch preis.

Weiter unten in der Inbox dann ein Mail von SF selbst, ich solle doch mein Passwort ändern, weil ich in der fraglichen Zeit auf dem betroffenen System war.

Ich wollte die Nachricht nicht unnötig weiterverbreiten, da sich die SF Leute komischerweise zu einer Security through Obscurity Strategie entschlossen haben (niemand weiss, was genau geschehen ist), aber jetzt ist ein Artikel auf Slashdot mit dem Mail, das wir bekommen haben.

Dieser Einbruch macht hoffentlich wieder ein paar Leuten mehr klar, was es heisst, dass so viele Open Source Projekte an einem zentralen Platz gehostet werden. Auch der Umgang von SourceForge mit dem Problem ist zwar nicht grottenschlecht (immerhin werden betroffene User benachrichtigt), aber wieso erfahren wir nicht, was genau geschehen ist?

Und nicht vergessen: beim Download von Software immer zuerst die MD5SUM kontrollieren. Und am besten darauf bestehen, dass die MD5SUM mit gpg (oder pgp) signiert ist. Wer macht das von Euch schon? Mir ists regelmässig zu mühsam.

< Technisches Training DNS & BIND von "Men & Mice" | Druckausgabe | eGovernment in .uk nur mit IE5 >

symlink.ch Login

extrahierte Links

Slashdot

Artikel auf Slashdot

SourceForge

CNET

Mehr zu Programmieren

Auch von maol

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

Die Ursache war also, (Score:2, Tiefsinnig)

Von maol (maol.symlink.ch) am Wednesday 30. May, 11:13 MET (#7)
(User #1 Info) http://www.maol.ch/

gemäss dem Artikel auf c|net, ein Admin, der sich von zu Hause via ISP in den Server eingeloggt hat. Da der ISP gehackt war, konnte die Verbindung gesnifft werden.
Frage an alle: hat demzufolge der Angestellte eine nicht encryptete Verbindung aufgetan? AFAIK kann das mit ssh (oder beliebigen Protokollen über ssl) nicht passieren, es sei denn durch eine man-in-the-middle Attacke. Aber davor wird man gewarnt, und das wäre wohl erwähnt worden.

Bin ich da komplett falsch, oder hat dieser Angestellte elementare Sicherheitsmassnahmen ausser acht gelassen?

--
the dorkest dork is a dork that dorks "dork"

Re:Die Ursache war also, (Score:3, Informativ)

Von tbf am Thursday 31. May, 01:54 MET (#8)
(User #21 Info)

Irgend ein Arschloch, daß gerade themes.org verändert hat und auch meint sourceforge.net und apache.org gehackt zu haben, meint dies dazu:

The site's "shell server" was compromised May 22 after a SourceForge employee logged on to an outside Internet service provider that had already been taken over by the intruder, said Pat McGovern, site director of SourceForge.net. When the staff member logged on to SourceForge remotely, the intruder captured the password.
Well some of that is true, I mean I did trojan ssh but I did it about 5 months ago, so kudos to the admin you sir are awesome..
"What happened was the (ISP) was compromised and had not known it," McGovern said, adding that the site's administrator quickly noticed the intruder and shut systems down. "Basically we had to go through and rebuild the machine, and then we checked the log file of everyone who used the machine."
hrm I guess that could also be considered true, if by true you mean, finding out every box on your network is owned 5 months after the fact and only due to my own boredom that consisted of me ircing it infront of the admin, by the way good job of auditing your network, wait thats just too much sarcasm for one sentence..
After the attack, VA removed the shell service until workers could reinstall the software and data on the server. The shell server allowed SourceForge members to type commands into the system remotely. On Thursday, the company posted an alert that the shell server couldn't be used because of an "unscheduled maintenance event."
It also allowed me to sniff my way onto apache.org and sourceforge webserver and leave all sorts of goodies in the code..
In this case, they only got into a shell server," McGovern said.
Hey, theres no disputing that, I mean.. wait.. Whats this I'm defacing ?
The company also decided to shut down its "compile farm," a collection of computers running different operating systems on which SourceForge developers can test their software.
Why would they shut down other boxes, if only the shell server was hacked ?
Although illicit modifications to the programming projects are a concern, McGovern said the intruder didn't get that far.
oh come now, you're just being silly..
Its ok thought I dont blame you guys, I mean atleast you admited to being schooled, thats more then I can say for akamai, but thats a different story all together.. But never the less, I'd like to thank valinux.. apache.. akamai and ofcourse exodus without their poor security and refusal to make security breaches known to the public I wouldnt be sitting atop a mountain of roots and oodles of proprietary software.. This is the fluffy bunny signing of.. beep..

Dieses Arschloch ist ja sozial so inkompetent wie jemand, der Parkbänke und Blumenbeete zerstört und dafür auch noch Anerkennung verlangt...

Re:Die Ursache war also, (Score:1)

Von DawnRazor (thomasb at trash dot net) am Thursday 31. May, 07:48 MET (#9)
(User #8 Info) http://www.trash.net/~thomasb/

Ich sage nur: gepatchtes ssh oder Keystroker.
--
Anyone can make an omelet with eggs. The trick is to make one with none.

Offizielles Statement von Sourceforge (Score:2, Informativ)

Von tbf am Thursday 31. May, 10:56 MET (#10)
(User #21 Info)

Unser aller Freund bei Sourceforge Jacob Moorman hat eine offizielle zum Einbruch veröffentlicht.

Re:Offizielles Statement von Sourceforge (Score:0, Offtopic)

Von tbf am Thursday 31. May, 10:59 MET (#11)
(User #21 Info)

Maol! Wo ist der Quellcode zum HTML-Parser des Kommentarmodules? Der Parser suckt ja as hell: Hat gerade den Anchortag verstümmelt. Trotz Preview (die ordentlich aussah).

Re:Offizielles Statement von Sourceforge (Score:1)

Von maol (maol.symlink.ch) am Thursday 31. May, 11:10 MET (#12)
(User #1 Info) http://www.maol.ch/

Leider geht er mit keinem Wort auf den von einem Hacker behaupteten Zusammenhang der Defacements von themes.org und apache ein. Der Cracker behauptet ja, dass er der Urheber des SF Hack sei, und schon seit 5 Monaten auf dem System.

Wegem Kommentarparser: was ging nicht? mach ein Mail an symlink@symlink.

--
the dorkest dork is a dork that dorks "dork"

Apache.org / Themes.org auch kompromitiert (Score:1)

Von soltix am Thursday 31. May, 11:10 MET (#13)
(User #381 Info)

Die Sache weitet sich langsam aus. Durch einen ausgetauschten SSH-Client auf dem Sourceforge Shell-Server konnten wohl auch Apache.org und Themes.org in Mitleidenschaft gezogen werden.
Siehe Apache.Org compromise report, May 30th, 2001
Themes.org Cracked

Re:Apache.org auch kompromitiert (Score:1)

Von maol (maol.symlink.ch) am Thursday 31. May, 12:18 MET (#14)
(User #1 Info) http://www.maol.ch/

Der Report der Apache Leute ist vorbildlich. Zuerst eine kurze Zusammenfassung, dann in aller Ausführlichkeit was wann wie geschehen ist. Super. Da arbeiten Leute, die wissen, was sie ihrem Ruf schuldig sind.

--
the dorkest dork is a dork that dorks "dork"

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.