报告的数据损失和系统漏洞几乎成为过时但不时事件发生,承担自己的生命和影响已远远超出了最初的违反通常代表。
上周晚些时候宣布,关键服务器属于Fedora和Red Hat Linux发行版都妥协。违反他们加入的行列Ubuntu,Debian和Gentoo)的Linux发行版,遭受了严重的服务器漏洞。Fedora是什么导致最担忧的是,一个服务器的突破被用来提供权威签署包分布在Fedora的旗帜下。攻击者能够捕获了私钥,甚至源短语用于生成密钥,然后就可以生成自己的包认证官方Fedora软件。Red Hat妥协导致定制OpenSSH包被上传到服务器妥协。
虽然Fedora表示,他们不相信关键或短语被破坏,许多人觉得它不够好,并呼吁Red Hat更为开放的报告究竟发生了什么。不同的签名系统使用帮助减轻损害的程度(否则Red Hat的妥协会同样的风险如Fedora的)但有担心容易红帽系统如何签署的修改后的OpenSSH包。
这将是有趣的发现进行攻击的原因。如果谨慎处理,攻击者可以巧妙地毒害用户空间的应用程序可能会允许简单的提取敏感的个人信息用于身份盗窃或欺诈。针对关键系统组件更可能是攻击者发现更快,但这也意味着,攻击者可能会全系统对大量的全球系统的访问没有任何额外的努力。有一天我们将看到一个跨越点,在悄悄地窃取个人信息的价值大于系统的价值作为僵尸网络的一部分,攻击者将开始关注细微的用户级攻击为实现这一目标。
除了直接破坏和发现问题解决任何损害的程度,相关的成本与re-verifying所有的源代码和重建包使这组特定的系统漏洞比别人付出更大的代价。问题应该被问及为什么包签约机网络(互联网,最终可获得的),这是一个情况安全一直无意中破坏为了更简单的管理和计划分配通过远程作者吗?
作为一个开源公司使经济复苏过程不同于如果是闭源公司吗?大多数源代码的公开发布半衰期2 (2003),Diebold选举系统(2003),和部分源代码,思科IOS(2004),和Windows NT和2000(2004)似乎没有任何重大影响,可以与违反立即在随后的发布或之后。
如果攻击者没有上传修改OpenSSH包然后攻击Red Hat的系统可能已经忽略了更长一段时间。
已经有报告攻击SSH-enabled系统这是一个奇怪的巧合,这违反Red Hat的系统。可能相关的攻击是削弱了Debian OpenSSH版本从几个月前,但时机表明,Red Hat违反是更有可能触发的事件。感染rootkit的目标之一是恢复有效的SSH密钥从受损的系统使它更难解决如何违反发生当攻击者能够使用有效身份凭证进入一个可信的系统。
一个问题,所有那些负责系统和网络安全应该问自己现在到底有多少可以相信他们系统没有默默地妥协,通过可信的渠道或妥协。成功的攻击是一个时间的问题,没有如果。
即使你正在运行的系统和应用程序软件,可以从源验证,您仍然需要在某种程度上相信有人或组织,知道他们在做什么,把你的信任。对很多用户和管理员运行Fedora和红帽系统信任是放置在组织负责分布和相关联的服务器。这种信任,在大多数情况下放置,会最终导致广泛的脆弱系统如果没有捡起在这个实例中。
Ken Thompson的反思信任信任应该是必读的人必须参与这样的工作。
这个故事,“红帽违反更广泛的影响”最初发表的《计算机世界》 。